| Autore |
 Discussione  |
|
old_boy
Senior Member
Cittā: cittā
158 Messaggi |
Inserito il - 29/05/2008 : 13:30:17
|
trovato combofix ecco il log htt*://[www].sendmefile[.com]/00630950
se posso approfittare della tua gentilezza e competenza avrei due domande (se č meglio apro altro argomento):
1) č possibile capire DOVE prendo questi virus (ovviamente intendo su quali siti)?;
2) il problema che si sta verificando č che si disconnette windows firewall. Quando provo a riattivarlo compare questo messaggio: "impossibile visualizzare impostazioni. il relativo servizio non č avviato. Avviare il servizio windows firewall / condivisione connessione internet (ICS)?" per il momento clicco NO 
|
 |
|
|
old_boy
Senior Member
Cittā: cittā
158 Messaggi |
Inserito il - 29/05/2008 : 13:33:45
|
il mistero si infittisce: panda antivirus mi ha "disinfettato" combofix  |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 29/05/2008 : 14:06:28
|
Probabilmente te l'ha disinfettato perchč nella cartella Qoobox c'erano dei file di malware in quarantena che combofix ti ha eliminato  |
|
|
|
old_boy
Senior Member
Cittā: cittā
158 Messaggi |
Inserito il - 29/05/2008 : 14:20:27
|
Grande combofix ed anche panda
quindi starei a posto? per non sapere nč leggere nč scrivere ... ho lanciato un'altro scan con kaspersky  |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 29/05/2008 : 14:53:58
|
Scarica Avenger (htt*://swandog46.geekstogo[.com]/avenger.zip)
Disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"
O2 - BHO: Microsoft copyright - {ffffffff-bbbb-4146-86fd-a722e8ab3489} - sockins32.dll (file missing)
O4 - HKLM\..\Run: [advap32] c:\xdkqjc.exe/r
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto:
files to delete:
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\TF2J120W\1[1].exe
C:\kqfw.exe
C:\xdkqjc.exe
F:\vecchio hardisk\Disco locale (F)\entratel\ricezione\Varie\mirc616.exe
C:\WINDOWS\index.html
C:\d1.exe
C:\WINDOWS\system32\ksnhtr.sys
C:\WINDOWS\system32\2252089830.dat
C:\it.exe
C:\Documents and Settings\User\svchosts.exe
C:\sockins32.dll
C:\WINDOWS\sockins32.dll
C:\WINDOWS\system32\sockins32.dll
folders to delete:
C:\1624913469
registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | {66186F05-BBBB-4a39-864F-72D84615C679}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft OfficeTool | svchosts
registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ffffffff-bbbb-4146-86fd-a722e8ab3489}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32
HKLM\SOFTWARE\TSoft
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{66186F05-BBBB-4a39-864F-72D84615C679}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LOH15.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_LOH15.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_LOH15.SYS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LOH15.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\LOH15.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\LOH15.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ksnhtr.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ksnhtr.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ksnhtr.SYS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ksnhtr.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ksnhtr.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ksnhtr.sys
drivers to disable:
LOH15
ksnhtr
drivers to delete:
LOH15
ksnhtr
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se cosė non fosse riavvialo manualmente
Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte). Vai su scheda Registro, trova problemi e ripara selezionati
Svuota la cartella Prefetch contenuta in c:\windows
Verifica che C:\WINDOWS\iun507.exe sia dell'Indingo Rose Corporation (vedi nelle proprieta'). Vedi, se sono presenti, altri dati.
Vai in start, esegui e digita: regedit
Elimina le chiavi:
{66186F05-BBBB-4a39-864F-72D84615C679}
{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}
contenute in HKEY CLASSES ROOT\CLSID
{56999cec-3c1d-11db-a335-806d6172696f}
{6dd31b68-fe5a-11db-9fd3-806d6172696f}
contenute in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Vai su htt*://[www].virustotal[.com]/ e controlla:
C:\WINDOWS\system32\activedsi.sys
C:\WINDOWS\system32\1054n.dll
Dimmi se vengono riconosciuti cm virus!
Posta log di avenger contenuto in c:\ e posta i log di Malwarebytes (dopo aver scansionato il pc, previo aggiornamento)!
|
|
|
|
old_boy
Senior Member
Cittā: cittā
158 Messaggi |
Inserito il - 29/05/2008 : 15:26:41
|
Ciao Leleago
ho provato a fare questo:
Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"
O2 - BHO: Microsoft copyright - {ffffffff-bbbb-4146-86fd-a722e8ab3489} - sockins32.dll (file missing)
O4 - HKLM\..\Run: [advap32] c:\xdkqjc.exe/r
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)
ma non ne ho trovato nessuno.
questo č il contenuto di Hijackthis Do a system scan only htt*://[www].sendmefile[.com]/00630965 |
|
|
|
old_boy
Senior Member
Cittā: cittā
158 Messaggi |
Inserito il - 29/05/2008 : 18:40:47
|
Allora ho rifatto la scansione con kaspersky e questo č il log htt*://[www].sendmefile[.com]/00630994
ho eseguito di nuovo Hijackthis con questo log htt*://[www].sendmefile[.com]/00630995
ed, infine, ho comunque avviato il file avenger.exe copiando/incollando quanto da te scritto sopra e questo č l'ultimo log htt*://[www].sendmefile[.com]/00630997
Prima di suicidarmi aspetto la tua autorizzazione
ciao
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 29/05/2008 : 19:20:55
|
Posta log di MalwareBytes e fammi sapere riguardo i 2 file analizzati su virus total!
ps: hai eliminato le chiavi del registro di sistema che ti ho detto?
Elimina anche la cartella Qoobox contenuta in c:\ e il file 1624913469 contenuto in c:\ |
|
|
|
old_boy
Senior Member
Cittā: cittā
158 Messaggi |
Inserito il - 29/05/2008 : 19:28:42
|
 non ero sicuro di doverlo fare ed ho aspettato la tua risposta
ora provvedo |
|
|
|
old_boy
Senior Member
Cittā: cittā
158 Messaggi |
Inserito il - 29/05/2008 : 20:30:41
|
Stavolta č stato un semi fallimento ma andiamo con ordine:
Eseguito CCleaner
Svuotata la cartella Prefetch contenuta in c:\windows
Verificato che C:\WINDOWS\iun507.exe sia dell'Indingo Rose Corporation (vedi nelle proprieta'). Non sono presenti, altri dati.
andato in start, esegui e digita: regedit
ma non ho trovato le chiavi:
{66186F05-BBBB-4a39-864F-72D84615C679}
{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}
contenute in HKEY CLASSES ROOT\CLSID
{56999cec-3c1d-11db-a335-806d6172696f}
{6dd31b68-fe5a-11db-9fd3-806d6172696f}
contenute in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Vai su htt*://[www].virustotal[.com]/ e controlla:
C:\WINDOWS\system32\activedsi.sys NON trovato (c'č solo activedsi (manca il .sys)
C:\WINDOWS\system32\1054n.dll NON trovato
Dimmi se vengono riconosciuti cm virus!
Posta log di avenger contenuto in c:\ e posta i log di Malwarebytes (dopo aver scansionato il pc, previo aggiornamento)!
sto facendo la scansione (cosa intendi per aggiornamento? ho riavviato in computer prima di partire con la scansione e la versione malwarebytes č la stessa che ho scaricato pochi giorni fa)
scusa e grazie
|
|
|
|
old_boy
Senior Member
Cittā: cittā
158 Messaggi |
Inserito il - 29/05/2008 : 21:48:59
|
Eliminata la cartella Qoobox contenuta in c:\ e il file 1624913469 contenuto in c:
questo č il (primo) log malwarebytes htt*://[www].sendmefile[.com]/00631031
e questo č il secondo (dopo aver cancellato l'unico file infetto come richiesto al termine della scansione) htt*://[www].sendmefile[.com]/00631032
ed infine questo č il log di avenger htt*://[www].sendmefile[.com]/00631033
Grazie infinite |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 30/05/2008 : 09:43:17
|
| Ripeti la procedura di virus total! Si va bene inserisci il file activedsi anche se nn ha l'estensione .sys! Abilita la visualizzazione di file e cartelle nascoste e vedi cerca la libreria 1054n.dll contenuta in c:\windows\system32. Se c'č analizzala su virus total fammi sapere |
|
|
|
old_boy
Senior Member
Cittā: cittā
158 Messaggi |
Inserito il - 30/05/2008 : 10:04:58
|
se ho ben capito (e se ho fatto bene l'analisi) activedsi dovrebbe essere ok ho salvato il risultato che č il seguente htt*://[www].sendmefile[.com]/00631099
di 1054n.dll nessuna traccia |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 30/05/2008 : 10:28:01
|
Ok allora riavvia avenger e metti cm script:
files to delete:
c:\windows\system32\1054n.dll
Clicca su Execute
Fammi sapere se hai ancora problemi cn quei virus.. |
|
|
|
old_boy
Senior Member
Cittā: cittā
158 Messaggi |
Inserito il - 30/05/2008 : 10:40:42
|
 ma hai sempre ragione?
eseguito avenger ed il log htt*://[www].sendmefile[.com]/00631112 conferma la cancellazione di 1054n.dll
Sei un genio
certo che ti faccio sapere ... ma spero di non doverti dire nulla
Ultima domanda (per il momento ) esiste un modo per capire da quali siti becco i virus?
un saluto |
|
|
|
Discussione |
|
windows has detected spyware infection 2
Forum Bloccato
