| Autore |
 Discussione  |
|
|
piero123
Junior Member
66 Messaggi |
 Inserito il - 21/05/2008 : 17:30:37
|
Questo è il log
htt*://[www].freefilehosting.net/download/3hdm2
secondo me c'è qualche voce sospetta
Attendo un vostro parere. 
Grazie
Piero
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 21/05/2008 : 18:04:34
|
Scarica CCleaner (htt*://[www].filehippo[.com]/download_ccleaner/), Avenger (htt*://swandog46.geekstogo[.com]/avenger.zip)
Disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\byXNefCU.dll
O2 - BHO: (no name) - {CDC0F665-0BDE-4FAB-B418-DC6AFABCA09C} - C:\WINDOWS\system32\byXnMcBq.dll
O4 - HKLM\..\Run: [2878d143] rundll32.exe "C:\WINDOWS\system32\jdhsxqjo.dll",b
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto:
files to delete:
C:\WINDOWS\system32\byXNefCU.dll
C:\WINDOWS\system32\byXnMcBq.dll
C:\WINDOWS\system32\jdhsxqjo.dll
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte). Vai su scheda Registro, trova problemi e ripara selezionati
Scarica questo software:
htt*://[www].download[.com]/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm lo aggiorni e scegli la modalità scansione completa. Alla fine vai nella scheda file di log, apri il file di testo e lo posti secondo le regole del forum
1.Scarica il file - htt*://subs.geekstogo[.com]/ComboFix.exe
2. Doppio click su combofix.exe & e segui le istruzioni
3. Quando avrà finito, creerà log ....
Posta i log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt |
 |
|
|
piero123
Junior Member
66 Messaggi |
Inserito il - 22/05/2008 : 10:06:17
|
htt*://[www].freefilehosting.net/download/3he7b
HIJACKTHIS
htt*://[www].freefilehosting.net/download/3he7c
MALWAREBYTES ANTI MALWARE
htt*://[www].freefilehosting.net/download/3he7d
COMBOFIX
Non è stato generato questo file
COMBOFIX QUARANTINE
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/05/2008 : 10:23:25
|
Ridisattiva ripristino config di sistema che si è riattivato quando hai usato combofix!
apri hjiack e fixa:
O20 - Winlogon Notify: byXNefCU - byXNefCU.dll (file missing)
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto:
files to delete:
C:\WINDOWS\system32\ytsbmvqm.dll
C:\WINDOWS\system32\mqvmbsty.ini
C:\WINDOWS\system32\pmlmtjhr.dll
registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXNefCU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws
HKEY_CURRENT_USER\Software\Microsoft\affri
HKEY_CURRENT_USER\Software\Microsoft\affltid
HKEY_CURRENT_USER\Software\Microsoft\rdfa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP
registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | BM2b4be2df
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte). Vai su scheda Registro, trova problemi e ripara selezionati
Elimina la cartella Qoobox contenuta in c:\
Posta log di avenger contenuto in c:\ |
Modificato da - Leleago in data 22/05/2008 10:26:51 |
|
|
|
piero123
Junior Member
66 Messaggi |
Inserito il - 22/05/2008 : 10:51:18
|
... c'era un errore nel tuo script 
comunque l'avevo già fatto.
questo è il log
htt*://[www].freefilehosting.net/download/3he8g
grazie comunque per il tuo aiuto ... non è la prima volta che mi soccorri
Volevo però chiederti:
come posso avere ripreso questo c...o di VUNDO ?
- non ho nessun programma peer to peer installato su questa macchina
- non fatto installazioni di recente
- utilizzo questa macchina solo per grafica
- leggo la posta solo da web
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 22/05/2008 : 11:53:18
|
si ho visto..cmq tutti gli oggetti dello script nn esistono quindi dovrebbero essere stati eliminati. Per sicurezza vai su start, esegui e digita regedit.
Segui i percorsi che ti ho indicato nello script:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify. Se vedi questa chiave byXNefCU la elimini cliccando sopra col tasto destro e selezioni elimina
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks. Se vedi questa chiave {6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} la elimina cliccando sopra col tasto destro e selezioni elimina
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects. Se vedi questa chiave chiava {6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} la elimini cliccando sopra col tasto destro e selezioni elimina.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Se vedi questa chiave aoprndtws la elimini cliccando sopra col tasto destro e selezioni elimina.
HKEY_CURRENT_USER\Software\Microsoft Se vedi questa chiave affri la elimini cliccando sopra col tasto destro e selezioni elimina.
HKEY_CURRENT_USER\Software\Microsoft Se vedi questa chiave affltid la elimini cliccando sopra col tasto destro e selezioni elimina.
HKEY_CURRENT_USER\Software\Microsoft Se vedi questa chiave rdfa la elimini cliccando sopra col tasto destro e selezioni elimina.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Se vedi questa chiave affltid la elimini cliccando sopra col tasto destro e selezioni elimina.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Se vevi questa chiave affri la elimini cliccando sopra col tasto destro e selezioni elimina.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Se vedi questa chiave MS Juan la elimini cliccando sopra col tasto destro e selezioni elimina.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Se vedi questa chiave FCOVM la elimini cliccando sopra col tasto destro e selezioni elimina.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Se vedi questa chiave RemoveRP la elimini cliccando sopra col tasto destro e selezioni elimina.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Se vedi il valore BM2b4be2df.exe lo elimi cliccando sopra col tasto destro e selezioni elimina.
Chiudi l'editor registro del sistema.
Forse l'hai preso visitando un sito che conteneva un exploit che ha trovato nel tuo pc una vulnerabilità e si è installato automaticamente! Visita il sito htt*://[www].windowsupdate[.com]/ e cerca aggiornamenti di windows! |
Modificato da - Leleago in data 22/05/2008 11:55:49 |
|
|
| |
Discussione |
|
dubbio su questo LOG ... mi date una controllata ?
Forum Bloccato
