| Autore |
 Discussione  |
|
maenz72
New Member
Città: foggia
49 Messaggi |
 Inserito il - 30/05/2008 : 16:02:39
|
Ciao a tutti, avrei necessità di un aiuto, poichè da ieri ho un problema. Molti siti, quando stanno finendo di caricarsi, mi danno il messaggio/finestra di sistema: Impossibile aprire il sito internet. Premo di nuovo e la pagina si carica, anche se poi la navigazione nel sito diventa impossibile
Premetto che ho Windows 2000 ho provato a fare una scansione online con trend micro House che non ha individuato nulla. Ho provato con panda online e mi ha individuato un file sospetto dal nome SCF.dll
Non sono riuscito ad eliminarlo ne a rinominarlo, neanche da modalità provvisoria.
Ho provato a fare una scansione con spy bot e non rileva nulla.
Ho provato a fare una scansione con Spyware doctor e mi rileva alcuni virus, il cui percorso è il seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME, Next Instance
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000, Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000, Legacy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000,ConfigFlags
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000,Class
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000,ClassGuid
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000,Device Desc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000, Capabilities
Anche questi files sono ineliminabili anche da modalità provvisoria
Sempre Spyware Doctor, oltre a rilevare questi virus, mi rileva un valore di registro da riparare il cui percorso è:
HKEY_LOCAL_MACHINE\SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon,SFCDisable
Sapete dirmi qualcosa?
Posso aggiungere, ma non so se ha rilevanza, che il tutto si è verificato dopo che ho fatto un aggiornamento di Skype. Infatti stavo scrivendo un documento con Word. Ho fatto una pausa e ho aggiornato Skype, poi sono tornato a scrivere. Quando ho terminato e ho iniziato la navigazione (ho fastweb senza limiti) mi sono reso conto di avere questo problema. Grazie anticipatamente Emiliano
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 30/05/2008 : 18:00:49
|
Fai una scansione con kaspersky:
htt*://[www].kaspersky[.com]/service?chapter=161739400
1.Clicca su Kaspersky Online Scanner
2.Scarica un componente ActiveX da Kaspersky, Clicca su "Yes."
3.Attendi la fine del download
4.Clicca su "Next"
5.Clicca su "Scan Settings"
6.Assicurati che siano spuntate le seguenti voci
Scan using the following Anti-Virus database:
Extended
spunta le voci di "Scan options"
Scan Archives
Scan Mail Bases
7.Clicca su "OK"
8.Scegli "My computer"
Attendi la fine della scansione salva il rapporto cliccando su "Save as Text" e postalo caricandolo su [www].sendmefile[.com]
1.Scarica il file - htt*://subs.geekstogo[.com]/ComboFix.exe
2. Doppio click su combofix.exe & e segui le istruzioni
3. Quando avrà finito, creerà log ....
Posta i log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt caricandoli su [www].sendmefile[.com]
scarica questo software:
htt*://[www].malwarebytes.org/mbam/program/mbam-setup.exe lo aggiorni e scegli la modalità scansione completa. Elimina le minacce che ti trova. Alla fine vai nella scheda file di log, apri il file di testo e lo posti secondo le regole del forum
Dopo che avrai postato i 3 log ti scriverò la procedura  |
Modificato da - Leleago in data 30/05/2008 18:09:53 |
 |
|
|
maenz72
New Member
Città: foggia
49 Messaggi |
Inserito il - 30/05/2008 : 23:06:30
|
Ciao, grazie per la dettagliata descrizione dei passaggi. Stavo facendo la scansione con avast che non ha rilevato nulla. Ho fatto la scansione con kasper,questo è il link: htt*://[www].sendmefile[.com]/00631196.
Ho scaricato combofix che però al termine mi ha segnalato con una finestra con la scrita Editor del Registro di sistema questo messaggio: "Impossibile importare tempo00.dat non tutti i dati sono stati scritti correttamente sul registro. Alcune chiavi sono utilizzate dal sistema o da altri processi". Penso che combofix mi abbia eliminato l'antivirus Avast, poichè credo che gli oggetti che rilevava come infetti, fossero virus messi nel cestino di avast.
Ad ogni modo questo è il report di combofix:htt*://[www].sendmefile[.com]/00631197 Non è presente, invece, C:\ComboFix-quarantined-files.txt come mi hai richiesto di postare. |
|
|
|
maenz72
New Member
Città: foggia
49 Messaggi |
Inserito il - 30/05/2008 : 23:59:17
|
| Mentre il risultato del software che ho scaricato non riesco a inviarlo come allegato poichè mi dice funzione non supportatta. Come fare? Grazie |
|
|
|
maenz72
New Member
Città: foggia
49 Messaggi |
Inserito il - 31/05/2008 : 00:19:18
|
| Dimenticavo, con l'ultima scansione fatta con il software scaricato ha rintarccaiato ed eliminato 3 virus. Comunque il problema allo stato persiste. Grazie Emiliano |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 31/05/2008 : 16:17:35
|
Scarica CCleaner (htt*://[www].filehippo[.com]/download_ccleaner/), Avenger (htt*://swandog46.geekstogo[.com]/avenger.zip)
Disattiva il ripristino configurazione di sistema del disco c: (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto:
files to delete:
C:\WINNT\REGLOCS.OLD
C:\WINNT\hp-1003.exe
C:\WINNT\system32\hp-1000.exe
C:\WINNT\system32\hp-1001.exe
C:\WINNT\system32\hp-1003.exe
C:\Programmi\folder.htt
C:\Programmi\desktop.ini
C:\Documents and Settings\Administrator\Dati applicazioni\GDIPFONTCACHEV1.DAT
C:\Documents and Settings\Administrator\.housecall6.6\Quarantine\13187f29-77bfaff3.bac_a01692
C:\Documents and Settings\Administrator\.housecall6.6\Quarantine\5b87a59e-552c290c.bac_a01692
C:\Documents and Settings\Administrator\.housecall6.6\Quarantine\crtdcghcn.jar-6148173-3d7a0a4f.zip.bac_a00876
C:\Documents and Settings\Administrator\.housecall6.6\Quarantine\hp-1001.exe.bac_a00896
C:\Documents and Settings\Administrator\.housecall6.6\Quarantine\hp-1001.exe.bac_a01416
C:\Documents and Settings\Administrator\.housecall6.6\Quarantine\hp-1005.exe.bac_a00896
C:\Documents and Settings\Administrator\.housecall6.6\Quarantine\hp-1009.exe.bac_a00896
C:\Documents and Settings\Administrator\.housecall6.6\Quarantine\statistic.jar-4be98b6c-63a31efb.zip.bac_a01500
folders to delete:
C:\Documents and Settings\Administrator\.housecall6.6\Quarantine\13187f29-77bfaff3.bac_a01692
C:\Documents and Settings\Administrator\.housecall6.6\Quarantine\5b87a59e-552c290c.bac_a01692
C:\Documents and Settings\Administrator\.housecall6.6\Quarantine\crtdcghcn.jar-6148173-3d7a0a4f.zip.bac_a00876
C:\Documents and Settings\Administrator\.housecall6.6\Quarantine\statistic.jar-4be98b6c-63a31efb.zip.bac_a01500
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte). Vai su scheda Registro, trova problemi e ripara selezionati
Elimina la cartella Qoobox contenuta in c:\
Posta log di avenger contenuto in c:\
Scarica hijack da qui: htt*://[www].trendsecure[.com]/portal/en-US/threat_analytics/HJTInstall.exe
Avvia il programma e clicca su "scan"; clicca poi su "save log".
Otterrai un file di testo che dovrai postare secondo queste regole htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255 |
|
|
|
maenz72
New Member
Città: foggia
49 Messaggi |
Inserito il - 31/05/2008 : 18:37:20
|
Ciao e grazie ancora di tutto. Il passaggio relativo al Disattivare il ripristino configurazione di sistema del disco c: (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")non è stato fatto, poichè dopo aver cliccato su sistema, manca una voce "ripristino di configurazione di sistema" ne una simile.
Ho scaricato Avanger, questo è l'esito:htt*://[www].sendmefile[.com]/00631389
Ho eliminato la cartella Qoobox.
Ho fatto la scansione con hijack, questo è il log, ricopiato su un file word, perchè non riuscivo ad inserirlo così come salvato su sendmefile:htt*://[www].sendmefile[.com]/00631398
Ti dovevo infine l'esito della scansione fatta ieri con l'antimalware, qui trovi il risultato: htt*://[www].sendmefile[.com]/00631394
Penso di aver fatto tutto, grazie ancora Emiliano
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 01/06/2008 : 08:17:04
|
Si giusto dimenticavo che windows 2000 nn ha il ripristino config di sistema..quindi ok
Elimina i file presenti nella Quarantena di MalwareBytes!
Log di hijack e ok
Fammi sapere se hai ancora problemi con i virus |
|
|
|
maenz72
New Member
Città: foggia
49 Messaggi |
Inserito il - 01/06/2008 : 08:40:46
|
Ciao, purtroppo il problema persiste. Spyware doctor continua a segnalarmi la presenza del virus, sotto le voci: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME, Next Instance
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000, Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000, Legacy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000,ConfigFlags
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000,Class
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000,ClassGuid
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000,Device Desc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet/Enum/Root/LEGACY_CATCHME/0000, Capabilities
In più da ieri c'è sicuramente un altro virus sul pc. Un trojan che mi evidenzia avast (non durante la scansione ma di tanto in tanto anche se il pc è acceso ma senza nessun vicino)che si chiama Win32 Sd Bot e poi c'è un numero accanto e che anche se elimino si rigenera con un numero differente.
Ma penso che il problema più grande sia il primo. Non resta che da formattare? Grazie Emiliano |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 01/06/2008 : 08:51:18
|
Buon giorno a tutti, prima di formattare che è inutile, scarica questo antivirus - Virit -
htt*://[www].tgsoft.it/italy/index_ita.html
aggiornalo e fai una scansione, il programma ti funzionerà per 30 giorni.
Poi per il futuro utilizza questo antivirus al posto di Avast
- Avira free version -
htt*://[www].free-av.de/de/download/index.html
poi lo setti con questa guida
htt*://[www].p2psin.net/forum/programmi-freeware/17655-avira-antivir-personaledition-classic-7-06-00-270-antivirus-gratuito.html
|
Modificato da - death in data 01/06/2008 08:53:27 |
|
|
|
maenz72
New Member
Città: foggia
49 Messaggi |
Inserito il - 01/06/2008 : 10:53:52
|
Ciao, ho installato ed aggiornato Virit, il quale dopo la scansione non ha rilevato infezioni nel pc.
Al momento ho installato sia avast che virit. Devo eliminare Avast?
Sto scaricando intanto l'altro antivirus awira.
Intanto il problema persiste, soprattutto quando cerco di aprire tramite l'icona c'è posta (per utenti fastweb) la pagina della mia fastmail, ma anche con altri siti, anche se non sempre come con la fastmail. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 01/06/2008 : 10:56:54
|
Buon giorno a tutti, quando hai scaricato Avira, disconnesso da internet, rimuovi avast e installa avira, poi ad ogni avvio disanilita virit, per ora tienlo di emergenza, poi scarica questo programma
Per scaricare Superantispyware Superantispyware
1) installalo
2) aggiornalo
3) lancia la scansione selezionando "Perform complete scan"
Voglio vedere se trova le stesse voci del tuo e le rimuove. |
|
|
|
maenz72
New Member
Città: foggia
49 Messaggi |
Inserito il - 01/06/2008 : 11:17:36
|
Ciao, in questo momento ho disabilitato virit, e scaricato awira, ma non posso disconettermi perchè ho la connessione h24, che faccio, disinstallo ugualmente avast?
Intanto ho installato superantispyware, ed a breve ti faccio sapere come è andata la scansione. |
|
|
|
maenz72
New Member
Città: foggia
49 Messaggi |
Inserito il - 01/06/2008 : 11:45:13
|
Ciao, la scansione con superantispyware non ha rilevato nulla d'infetto. |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 02/06/2008 : 08:28:22
|
| Si disinstalla avast |
|
|
|
maenz72
New Member
Città: foggia
49 Messaggi |
Inserito il - 02/06/2008 : 10:47:08
|
Ciao, ho eliminato avast da modalità provvisoria per non essere collegato in internet, ed installato avira.
L'ho aggiornato ed ho scansionato. Ha trovato 6 virus rimossi, ecco il report: htt*://[www].sendmefile[.com]/00631618
Però il problema persiste: Impossibile aprire il sito internet ..... Operazione terminata.
Che fare? |
|
|
|
Discussione |
|
Impossibile aprire il sito internet: Virus? Aiuto
Forum Bloccato
