| Autore |
 Discussione  |
|
|
donatello
Senior Member
.jpg)
Città: Napoli
158 Messaggi |
 Inserito il - 25/04/2008 : 11:49:22
|
Ciao a tutti,
pochi giorni fa mio fratello ha preso un virus su MSN scaricando una finta foto da un contatto amico dove addirittura c'era una frase che diceva "vedi se ti piaccio".
Una volta scaricato il virus è entrato in circolo,
Azione: si distribuisce automaticamente da un pc infetto trmite MSN invia a tutti i contatti dell'elenco un msg con questa finta foto infettata, il VIRUS è un WORM, nn dovrebbe esser difficile da eliminare ma da molti fastidi, con avast sono riuscito a rallentarlo (eliminando alcuni file) ma ancora adesso mentre navigo avast mi segnala:
VIRUS "troppe mail in un lasso di tempo troppo breve" scelgo di NON INVIARE ma le segnalazioni sono continue.
Allego log scansione approfondita con AVAST:
htt*://[www].freefilehosting.net/download/3g48b
Allego log HIJACK:
htt*://[www].freefilehosting.net/download/3g48e
Mi aiutate ad eliminarlo
GRAZIE A TUTTI x l'interessamento
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 25/04/2008 : 11:55:33
|
disattiva il ripristino configurazione di sistema: start => pannello di controllo => sistema => ripristino configurazione di sistema => spunta "disattiva ripristino configuraz. di sistema"
apri hijack e spunta:
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [dxetuiahaozug] C:\WINDOWS\system32\dxetuiahaozug.exe
O4 - HKLM\..\Run: [sniy] C:\WINDOWS\system32\sniy.exe
clicca su fix checked
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto CON la dicitura files to delete:
files to delete:
C:\WINDOWS\system32\dxetuiahaozug.exe
C:\WINDOWS\system32\sniy.exe
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, scheda Pulizia, eseguire l’operazione “avvia pulizia"
Scheda registro, eseguire problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Esegui htt*://[www].globula.it/upload/MSNFix.zip - segui la guida :
htt*://[www].globula.it/upload/guida%20virus.pdf e alla fine della scansione ricordati di eliminare il file .zip
NB: Ricorda a tuo fratello di stare attento a tutto ciò che scarica da internet e da software quali msn, emule ecc..  |
Modificato da - Leleago in data 25/04/2008 12:00:16 |
 |
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 25/04/2008 : 12:53:08
|
Ciao Lele,
grazie della tempestività intanto avevo fatto anche una scansione con KASPERKY "critical area" giusto per capire è il log è a conferma delle operazioni da te consigliate, anche se qui vedo che c'è anche qualche altra cosa che dici??
htt*://[www].freefilehosting.net/download/3g49i
Ho fixato le voci.. ed è andata a buon fine l'operazione con avenger:
htt*://[www].freefilehosting.net/download/3g49m
Ora provvedo ad usare GLOBULA... anke se nn vorrei disinstallare MSN (se comporta la cancellazione di tutti i contatti opzioni ecc)
Aspetto una tua considerazione anche su KASPERSKY
GRAZIE CIAO
|
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 25/04/2008 : 12:57:03
|
Ecco anke il log di MSNfix:
htt*://[www].freefilehosting.net/download/3g4a1
dovrebbe esser tutto ok!!??
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 25/04/2008 : 13:02:45
|
Bene..su kaspersky ho notato delle voci nocive ti consiglio di rieseguire le scansione con kaspersky di tutto il pc (nn solo delle critical areas come hai fatto) sempre con l'opzione "extended"!
Alla fine posta il log |
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 28/04/2008 : 14:41:27
|
Ecco fatto.. allego il log della scansione completa del pc con KASPERSKY
htt*://[www].freefilehosting.net/download/3g90m
E' normale che ci siano tutti questi file "locked"
Abbiamo anche un altro ospite a quanto pare
WINDOWS\system32\cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows
Che roba è??? è legato a questo virus che abbiamo eliminato con successo oppure era preesistente ed invisibile ad avast???
Inoltre fisicamente nn riesco a vedere quel file zip che dovrebbe risiedere in file ricevuti sarà crittografato??
Grazie!!!! |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 28/04/2008 : 15:01:40
|
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto CON le diciture files to delete e registry values to replace with dummy:
files to delete:
C:\Documents and Settings\nicola.EIA.000\Documenti\File ricevuti\picture_835-JPEG.zip
C:\Programmi\File comuni\Services\Cgg.exe
C:\Programmi\File comuni\Services\fEi.exe
C:\Programmi\File comuni\Services\GEt.exe
C:\Programmi\File comuni\Services\HAAUu.exe
C:\Programmi\File comuni\Services\iqY.exe
C:\Programmi\File comuni\Services\LZpvEW.exe
C:\Programmi\File comuni\Services\OZM.exe
C:\Programmi\File comuni\Services\rdb.exe
C:\WINDOWS\system32\cmdow.exe
C:\WINDOWS\Tasks\ehsn.job
C:\WINDOWS\Tasks\fjqoizo.job
C:\WINDOWS\Tasks\gatqfn.job
C:\WINDOWS\Tasks\ljzs.job
C:\WINDOWS\Tasks\ohwkgahk.job
C:\WINDOWS\Tasks\spo.job
C:\WINDOWS\Tasks\vqkb.job
C:\WINDOWS\Tasks\wxmss.job
C:\WINDOWS\Tasks\yzaeyw.job
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Riavvia Ccleaner
Lanciare il programma, scheda Pulizia, eseguire l’operazione “avvia pulizia"
Scheda registro, eseguire problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Scansiona il pc con questi tool:
htt*://info.prevx[.com]/gromozon.asp
htt*://[www].symantec[.com]/content/en/us/global/removal_tool/threat_writeups/FixLinkopt.exe
Posta i log di entrambi i tools. O li trovi nel desktop o in c:\ |
Modificato da - Leleago in data 28/04/2008 16:39:22 |
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 01/05/2008 : 14:59:00
|
Ciao LELE e a tutti quelli che hanno partecipato alla discussione
Ho fixato tutte le voci con successo con Avenger, ecco il log
htt*://[www].freefilehosting.net/download/3gdf8
Mi ha meravigliato la pulizia di CCLeaner in quanto ha rimosso quasi 1GB di file, nonostante la mia pulizia quasi quotidiana, forse a seguito della cancellazione di quei file che ho fixato.
Ma sono rimasto perplesso e di fatto nn ho continuato invece la pulizia delle voci di registro perchè voleva togliere file eseguibili come hijack avenger ecc.. dai un'occhiata
htt*://[www].freefilehosting.net/download/3gdff
Per quanto riguarda GROMOZON io avevo già i tools di rimozione (anche se li ho scaricati nuovamente) perchè tempo fa ho combattuto con successo (relativo!! in quanto so che si può solo debellare,mettere a tacere, ma non eliminare definitivamente) grazie alla saggia mano di ARIS e MICHAL che saluto!!
dovrebbe essere tutto ok
htt*://[www].freefilehosting.net/download/3gdg1
Non so perchè il tool della symantec nn ha prodotto log ma proverò a farne un altra
Intanto GRAZIE!!
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 02/05/2008 : 10:36:30
|
Puoi cancellare tranquillamente quelle voci di registro, nn compromettono nè hijack nè avenger!
cmq ti ho fatto scansionare con i tool di gromozon perchè avevo rilevato ancora dei file eseguibili contenuti in C:\Programmi\File comuni\Services che appunto ti ho fatto eliminare con avenger
|
|
|
|
donatello
Senior Member
Città: Napoli
158 Messaggi |
Inserito il - 02/05/2008 : 13:15:31
|
Bhe cosa dire...
A questo punto non mi resta che RINGRAZIARE!!! GRAZIE LELE!! e tutti quelli che hanno anche solo letto la discussione..
E ancora una volta COMPLIMENTI al sito e a coloro che si impegnano nell'aiutare persone più o meno esperte nei loro piccoli e grandi problemi col pc.
E' grazie alla serietà e alla preparazione di alcune persone su questo sito che almeno da parte mia gode della massima stima.
MISSION COMPLETED!!!
 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 02/05/2008 : 14:12:31
|
|
|
|
|
| |
Discussione |
|
VIRUS da MSN!!!!
Forum Bloccato
