| Autore |
 Discussione  |
|
old_boy
Senior Member
Città: città
158 Messaggi |
 Inserito il - 21/05/2008 : 16:23:54
|
ciao a tutti ho lo stesso problema già affrontato in altra discussione con l'aggravante che sono anche imbranato
il risultato della scansione è htt*://[www].freefilehosting.net/download/3hdk4
cosa devo fare?
il mio antivirus (panda), pur trovando alcuni virus e spyware vari (che elimina) non riesce ad eliminare il problema.
Molte grazie
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 21/05/2008 : 16:52:33
|
Scarica CCleaner (htt*://[www].filehippo[.com]/download_ccleaner/), Avenger (htt*://swandog46.geekstogo[.com]/avenger.zip)
Disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {7EB54066-AE06-4CF2-8626-2BC987890CEE} - C:\WINDOWS\system32\atipdlxxb.dll (file missing)
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvlux.dll,startup
le voci O15
O20 - Winlogon Notify: winhdn32 - C:\WINDOWS\SYSTEM32\winhdn32.dll
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll (file missing)
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto:
files to delete:
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\drvlux.dll
C:\WINDOWS\system32\atipdlxxb.dll
C:\WINDOWS\SYSTEM32\winhdn32.dll
C:\WINDOWS\system32\svshost.dll
registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit | ntos
registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7EB54066-AE06-4CF2-8626-2BC987890CEE}
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte). Vai su scheda Registro, trova problemi e ripara selezionati
Scaricati DelDomains da qui: htt*://[www].mvps.org/winhelp2002/DelDomains.inf
Lo salvi sul desktop! Clicchi col tasto destro su installa e segui le istruzioni
a) Scarica questo software:
htt*://[www].download[.com]/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm lo aggiorni e scegli la modalità scansione completa. Alla fine vai nella scheda file di log, apri il file di testo e lo posti secondo le regole del forum
b)
1.Scarica il file - htt*://subs.geekstogo[.com]/ComboFix.exe
2. Doppio click su combofix.exe & e segui le istruzioni
3. Quando avrà finito, creerà log ....
Posta i log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt
c)
Fai una scansione con kaspersky:
htt*://[www].kaspersky[.com]/service?chapter=161739400
1.Clicca su Kaspersky Online Scanner
2.Scarica un componente ActiveX da Kaspersky, Clicca su "Yes."
3.Attendi la fine del download
4.Clicca su "Next"
5.Clicca su "Scan Settings"
6.Assicurati che siano spuntate le seguenti voci
Scan using the following Anti-Virus database:
Extended
spunta le voci di "Scan options"
Scan Archives
Scan Mail Bases
7.Clicca su "OK"
8.Scegli "My computer"
Attendi la fine della scansione salva il rapporto cliccando su "Save as Text" e postalo caricandolo su htt*://freefilehosting.net/
Posta il log di avenger contenuto in c:\
Ricapitolando posta i log di: avenger, combofix e kaspersky
|
Modificato da - Leleago in data 29/05/2008 14:10:35 |
 |
|
|
old_boy
Senior Member
Città: città
158 Messaggi |
Inserito il - 21/05/2008 : 17:11:20
|
per il momento grazie mille davvero.
Spero proprio di riuscire a fare tutto senza (gravi  ) errori e ti faccio sapere |
|
|
|
old_boy
Senior Member
Città: città
158 Messaggi |
Inserito il - 21/05/2008 : 19:47:15
|
Citazione:
Messaggio inserito da Leleago
Scaricati DelDomains da qui: htt*://[www].mvps.org/winhelp2002/DelDomains.inf
Lo salvi sul desktop! Clicchi col tasto destro su installa e segui le istruzioni
prima di tutto ancora non ho finito ma il problema sembra risolto 
Questa parte ho provato a farla ma dopo (letto tardi l'aggiunta) e non penso di esserci riuscito.
Ora ho in corso la scansione con Kaspersky che, temo, durerà molto.
Se dovessi andare via prima del termine posso continuare domani?
In questo caso devo riattivare il ripristino configurazione di sistema? 
Grazie
|
|
|
|
old_boy
Senior Member
Città: città
158 Messaggi |
Inserito il - 21/05/2008 : 19:57:16
|
in attesa della fine dell'ultimo passaggio inizio ad inserire i log di avenger e combofix
htt*://[www].freefilehosting.net/download/3he1g
htt*://[www].freefilehosting.net/download/3he1h
|
|
|
|
old_boy
Senior Member
Città: città
158 Messaggi |
Inserito il - 21/05/2008 : 20:24:59
|
| ops avevo dimenticato l'altro htt*://[www].freefilehosting.net/download/3he21 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/05/2008 : 08:45:39
|
Ridisattiva ripristino config di sistema che si è attivato dopo aver usato combofix!
Avvia il file avenger.exe
COPI e INCOLLI nella finestra: "Imput script here" il SEGUENTE testo COSI' COME l'ho scritto:
files to delete:
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\drvlux.dll
C:\WINDOWS\system32\atipdlxxb.dll
C:\WINDOWS\SYSTEM32\winhdn32.dll
C:\WINDOWS\system32\svshost.dll
C:\WINDOWS\system32\winver.bat
C:\WINDOWS\system32\opduerud.tmp
C:\WINDOWS\system32\shmgraten.exe
C:\vecchio hardisk\Disco locale (F)\entratel\ricezione\Varie\mirc616.exe
C:\WINDOWS\system32\winexz32.dll
C:\WINDOWS\system32\wintuh32.dll
files to move:
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Analog Devices\SoundMAX\bak\SMax4PNP.exe | C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\bak\bak\Smax4.exe | C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe | C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\File comuni\LogiShrd\LComMgr\bak\Communications_Helper.exe | C:\Programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe | C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe
C:\Programmi\Google\Google Talk\bak\googletalk.exe | C:\Programmi\Google\Google Talk\googletalk.exe
C:\Programmi\Hewlett-Packard\Toolbox2.0\bak\hpbpsttp.exe | C:\Programmi\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
C:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\bak\StatusClient.exe | C:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programmi\iTunes\bak\iTunesHelper.exe | C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Logitech\QuickCam\bak\Quickcam.exe | C:\Programmi\Logitech\QuickCam\Quickcam.exe
C:\Programmi\Logitech\QuickCam10\bak\QuickCam10.exe | C:\Programmi\Logitech\QuickCam10\QuickCam10.exe
C:\Programmi\Microsoft ActiveSync\bak\wcescomm.exe | C:\Programmi\Microsoft ActiveSync\wcescomm.exe
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\Programmi\ScanSoft\PDF Converter 2.0 Professional\PDFConv\bak\RegistryController.exe | C:\Programmi\ScanSoft\PDF Converter 2.0 Professional\PDFConv\RegistryController.exe
C:\Programmi\*******!\Messenger\bak\*******M~1.EXE | C:\Programmi\*******!\Messenger\*******M~1.EXE
C:\WINDOWS\ehome\bak\ehtray.exe | C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\ISTHTB.EXE | C:\WINDOWS\system32\ISTHTB.EXE
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
F:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | F:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
F:\Programmi\Analog Devices\SoundMAX\bak\SMax4PNP.exe | F:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
F:\Programmi\Analog Devices\SoundMAX\bak\bak\Smax4.exe | F:\Programmi\Analog Devices\SoundMAX\Smax4.exe
F:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe | F:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | F:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe | F:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
F:\Programmi\File comuni\LogiShrd\LComMgr\bak\Communications_Helper.exe | F:\Programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe
F:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe | F:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe
F:\Programmi\Google\Google Talk\bak\googletalk.exe | F:\Programmi\Google\Google Talk\googletalk.exe
F:\Programmi\Hewlett-Packard\Toolbox2.0\bak\hpbpsttp.exe | F:\Programmi\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
F:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\bak\StatusClient.exe | F:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
F:\Programmi\iTunes\bak\iTunesHelper.exe | F:\Programmi\iTunes\iTunesHelper.exe
F:\Programmi\Logitech\QuickCam\bak\Quickcam.exe | F:\Programmi\Logitech\QuickCam\Quickcam.exe
F:\Programmi\Logitech\QuickCam10\bak\QuickCam10.exe | F:\Programmi\Logitech\QuickCam10\QuickCam10.exe
F:\Programmi\Microsoft ActiveSync\bak\wcescomm.exe | F:\Programmi\Microsoft ActiveSync\wcescomm.exe
F:\Programmi\QuickTime\bak\qttask.exe | F:\Programmi\QuickTime\qttask.exe
F:\Programmi\ScanSoft\PDF Converter 2.0 Professional\PDFConv\bak\RegistryController.exe | F:\Programmi\ScanSoft\PDF Converter 2.0 Professional\PDFConv\RegistryController.exe
F:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\bak\CnxDslTb.exe | F:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe
F:\Programmi\*******!\Messenger\bak\*******M~1.EXE | F:\Programmi\*******!\Messenger\*******M~1.EXE
F:\WINDOWS\ehome\bak\ehtray.exe | F:\WINDOWS\ehome\ehtray.exe
F:\WINDOWS\system32\bak\ctfmon.exe | F:\WINDOWS\system32\ctfmon.exe
F:\WINDOWS\system32\bak\ISTHTB.EXE | F:\WINDOWS\system32\ISTHTB.EXE
F:\WINDOWS\system32\bak\NeroCheck.exe | F:\WINDOWS\system32\NeroCheck.exe
folders to delete:
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak
C:\Programmi\Analog Devices\SoundMAX\bak
C:\Programmi\ATI Technologies\ATI Control Panel\bak
C:\Programmi\CyberLink\PowerDVD\bak
C:\Programmi\File comuni\LogiShrd\LComMgr\bak
C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\bak
C:\Programmi\Google\Google Talk\bak
C:\Programmi\Hewlett-Packard\Toolbox2.0\bak
C:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\bak
C:\Programmi\iTunes\bak
C:\Programmi\Logitech\QuickCam\bak
C:\Programmi\Logitech\QuickCam10\bak
C:\Programmi\Microsoft ActiveSync\bak
C:\Programmi\QuickTime\bak
C:\Programmi\ScanSoft\PDF Converter 2.0 Professional\PDFConv\bak
C:\Programmi\*******!\Messenger\bak
C:\WINDOWS\ehome\bak
C:\WINDOWS\system32\bak
F:\Programmi\Adobe\Acrobat 7.0\Reader\bak
F:\Programmi\Analog Devices\SoundMAX\bak
F:\Programmi\AntiVir PersonalEdition Classic\bak
F:\Programmi\ATI Technologies\ATI Control Panel\bak
F:\Programmi\CyberLink\PowerDVD\bak
F:\Programmi\File comuni\LogiShrd\LComMgr\bak
F:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\bak
F:\Programmi\Google\Google Talk\bak
F:\Programmi\Hewlett-Packard\Toolbox2.0\bak
F:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\bak
F:\Programmi\iTunes\bak
F:\Programmi\Logitech\QuickCam\bak
F:\Programmi\Logitech\QuickCam10\bak
F:\Programmi\Microsoft ActiveSync\bak
F:\Programmi\QuickTime\bak
F:\Programmi\ScanSoft\PDF Converter 2.0 Professional\PDFConv\bak
F:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\bak
F:\Programmi\*******!\Messenger\bak
F:\WINDOWS\ehome\bak
F:\WINDOWS\system32\bak
registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit | ntos
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7EB54066-AE06-4CF2-8626-2BC987890CEE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winhdn32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Fcm78.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_Fcm78.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_Fcm78.SYS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fcm78.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Fcm78.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Fcm78.sys
drivers to disable:
Fcm78
drivers to delete:
Fcm78
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte). Vai su scheda Registro, trova problemi e ripara selezionati
Attendo i logs di malwarebytes e kaspersky! |
Modificato da - Leleago in data 27/05/2008 17:24:57 |
|
|
|
old_boy
Senior Member
Città: città
158 Messaggi |
Inserito il - 22/05/2008 : 09:32:08
|
ecco il log di malwarebytes htt*://[www].freefilehosting.net/download/3he6m
ho dovuto interrompere la scansione con kaspersky che inizio ora.
grazie |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/05/2008 : 09:35:36
|
| Asp prima di eseguire lo script di avenger che finisco di correggerlo! |
|
|
|
old_boy
Senior Member
Città: città
158 Messaggi |
Inserito il - 22/05/2008 : 09:37:59
|
| ok grazie |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/05/2008 : 09:55:25
|
| Finito lo script! Esegui avenger dopo aver terminato la scansione con kaspersky! Mi raccomando Copia e incolla lo script cm l'ho scritto io altrimenti ti dà errore! Basta che selezioni tutto il testo che ho scritto da "files to delete a drivers to delete: Fcm78". Clicchi col tasto destro su copia. Vai su Avenger e lo incolli nella finestra dello script! |
|
|
|
old_boy
Senior Member
Città: città
158 Messaggi |
Inserito il - 22/05/2008 : 09:58:38
|
ok grazie. Allora prima la scansione con kaspersky e poi avenger ... pensavo il contrario.
Si il sistema del copia incolla è il migliore per non commettere errori |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/05/2008 : 10:04:01
|
1 Esatto prima fa finire la scansione cn kaspersky
2 Salvi il report di kaspersky e lo posti sul forum
3 Esegui avenger inserendo lo script che ti ho scritto
4 Posta log di avenger contenuto in c:\  |
|
|
|
old_boy
Senior Member
Città: città
158 Messaggi |
Inserito il - 22/05/2008 : 15:57:48
|
Allora eccomi qui di nuovo.
La scansione con kaspersky ha evidenziato 3 virus ed 8 file sospetti 
il report è questo htt*://[www].freefilehosting.net/download/3hefl
ora proseguo con le tue indicazioni e, magari, ulteriori operazioni da fare.
Grazie |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/05/2008 : 16:14:14
|
Esegui ora avenger con lo script che ti ho scritto sopra facendo il copia incolla cm ti ho spiegato! al termine posta il log contenuto in c:\
Elimina la cartella Qoobox contenuta in c:\ |
|
|
|
old_boy
Senior Member
Città: città
158 Messaggi |
Inserito il - 22/05/2008 : 16:24:34
|
eseguito avenger e questo è il log contenuto in c:\ htt*://[www].freefilehosting.net/download/3heh9
penso sia lo stesso che ho salvato sul desktop alla riaccensione del computer e cioè questo htt*://[www].freefilehosting.net/download/3heha
ho anche eliminato la cartella Qoobox contenuta in c:\
Ho finito?
non finirò mai di ringraziarti e, come detto ieri, il problema (almeno quello) si è risolto |
|
|
|
Discussione |
|
windows has detected spyware infection 2
Forum Bloccato
