| Autore |
 Discussione  |
|
brazen
New Member
45 Messaggi |
 Inserito il - 23/05/2008 : 10:20:09
|
è da un pò di tempo che mi esce questa maledetta connessione internet connection...penso sia un dialer che voglia far connettere il mio pc ad un numero a pagamento...
spero che qualcuno possa aiutarmi ad eliminarlo...
ringrazio anticipatamente chi lo farà...
|
|
|
brazen
New Member
45 Messaggi |
Inserito il - 23/05/2008 : 10:40:26
|
ecco cosa mi dà se effettuo una scansione con findawf
htt*://[www].sendmefile[.com]/00629948
ecco cosa mi dà se effettuo una scansione con hijackthis
hijackthis_1211532297320.log |
Modificato da - brazen in data 23/05/2008 10:45:36 |
 |
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 23/05/2008 : 10:55:01
|
Scarica CCleaner (htt*://[www].filehippo[.com]/download_ccleaner/), Avenger (htt*://swandog46.geekstogo[.com]/avenger.zip)
Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 58.241.191.107:3128
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RavMont] C:\WINDOWS\system32\RavMon .exe
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto:
files to delete:
C:\WINDOWS\system32\RavMon.exe
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte). Vai su scheda Registro, trova problemi e ripara selezionati
a)
Fai una scansione con kaspersky:
htt*://[www].kaspersky[.com]/service?chapter=161739400
1.Clicca su Kaspersky Online Scanner
2.Scarica un componente ActiveX da Kaspersky, Clicca su "Yes."
3.Attendi la fine del download
4.Clicca su "Next"
5.Clicca su "Scan Settings"
6.Assicurati che siano spuntate le seguenti voci
Scan using the following Anti-Virus database:
Extended
spunta le voci di "Scan options"
Scan Archives
Scan Mail Bases
7.Clicca su "OK"
8.Scegli "My computer"
Attendi la fine della scansione salva il rapporto cliccando su "Save as Text" e postalo caricandolo su htt*://freefilehosting.net/
b)
1.Scarica il file - htt*://subs.geekstogo[.com]/ComboFix.exe
2. Doppio click su combofix.exe & e segui le istruzioni
3. Quando avrà finito, creerà log ....
Posta i log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt
|
Modificato da - Leleago in data 23/05/2008 10:56:24 |
|
|
|
brazen
New Member
45 Messaggi |
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 23/05/2008 : 18:14:55
|
Disattiva ripristino config di sistema!
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto:
files to delete:
C:\Documents and Settings\E\Documenti\file installazione\mIRC_ita_SABALand.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r1152432625.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r1158709226.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r1656865207.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r2008411751.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r2724436374.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r295670173.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r3348216379.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r3473897505.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r365485700.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r3908278378.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r3970085038.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r3973085815.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r399403356.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r4011748535.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r4157475022.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r856432884.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r964465038.exe
C:\Documents and Settings\E\NETVISION.exe
C:\Programmi\mIRC edizione SABALand\mirc.exe
C:\WINDOWS\Passepartout.exe
C:\Documents and Settings\E\CFSServ .exe
C:\Documents and Settings\E\NDSTray .exe
C:\Documents and Settings\E\bthprops .exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt .exe
C:\Programmi\Norton Internet Security\UrlLstCk .exe
C:\Programmi\Synaptics\SynTP\SynTPEnh .exe
C:\Programmi\Synaptics\SynTP\SynTPLpr .exe
C:\Programmi\Toshiba\TOSCDSPD\toscdspd .exe
C:\Programmi\Toshiba\TOSHIBA Zooming Utility\SmoothView .exe
C:\Programmi\Toshiba\Touch and Launch\PadExe .exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\NeroCheck .exe
C:\WINDOWS\system32\NeroCheck .exe
C:\WINDOWS\system32\ravmon .exe
C:\WINDOWS\system32\ravmon .exe
C:\WINDOWS\system32\ravmon .exe
C:\WINDOWS\system32\ravmon .exe
C:\WINDOWS\system32\ravmon .exe
C:\WINDOWS\system32\ravmon .exe
C:\WINDOWS\system32\ravmon .exe
C:\WINDOWS\system32\dla\tfswctrl .exe
F:\RavMon.exe
F:\LaunchU3.exe
folders to delete:
C:\Programmi\mIRC edizione SABALand
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Riesegui Ccleaner
Posta log di avenger contenuto in c:\
Vai su start, esegui e digita regedit!
Vai in:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\Elimina la chiave mountpoints2 cliccandoci col tasto destro del mouse e selezioni elimina!
scarica htt*://[www].billsway[.com]/vbspage/ e cerca separatamente, anche con questo strumento,
NETVISION
FASTTRACK
PASSEPARTOUT
dovesse trovare qualcosa, salva e posta i risultati |
Modificato da - Leleago in data 23/05/2008 18:17:21 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 23/05/2008 : 19:20:08
|
x brazen: una volta copiato lo script , inserisci gli spazi indicati in rosso
Citazione:
Messaggio inserito da Leleago
Disattiva ripristino config di sistema!
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto:
files to delete:
C:\Documents and Settings\E\Documenti\file installazione\mIRC_ita_SABALand.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r1152432625.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r1158709226.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r1656865207.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r2008411751.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r2724436374.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r295670173.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r3348216379.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r3473897505.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r365485700.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r3908278378.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r3970085038.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r3973085815.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r399403356.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r4011748535.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r4157475022.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r856432884.exe
C:\Documents and Settings\E\Impostazioni locali\Temp\r964465038.exe
C:\Documents and Settings\E\NETVISION.exe
C:\Programmi\mIRC edizione SABALand\mirc.exe
C:\WINDOWS\Passepartout.exe
C:\Documents and Settings\E\CFSServ .exe
C:\Documents and Settings\E\NDSTray .exe
C:\Documents and Settings\E\bthprops .exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt .exe
C:\Programmi\Norton Internet Security\UrlLstCk .exe
C:\Programmi\Synaptics\SynTP\SynTPEnh .exe
C:\Programmi\Synaptics\SynTP\SynTPLpr .exe
C:\Programmi\Toshiba\TOSCDSPD\toscdspd .exe
C:\Programmi\Toshiba\TOSHIBA Zooming Utility\SmoothView .exe
C:\Programmi\Toshiba\Touch and Launch\PadExe .exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\NeroCheck .exe
C:\WINDOWS\system32\NeroCheck .exe
C:\WINDOWS\system32\ravmon .exe (7 spazi)
C:\WINDOWS\system32\ravmon .exe (6 spazi)
C:\WINDOWS\system32\ravmon .exe (5 spazi)
C:\WINDOWS\system32\ravmon .exe (4 spazi)
C:\WINDOWS\system32\ravmon .exe (3 spazi)
C:\WINDOWS\system32\ravmon .exe (2 spazi)
C:\WINDOWS\system32\ravmon .exe (1 spazi)
C:\WINDOWS\system32\dla\tfswctrl .exe
F:\RavMon.exe
F:\LaunchU3.exe
folders to delete:
C:\Programmi\mIRC edizione SABALand
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Riesegui Ccleaner
Posta log di avenger contenuto in c:\
Vai su start, esegui e digita regedit!
Vai in:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\Elimina la chiave mountpoints2 cliccandoci col tasto destro del mouse e selezioni elimina!
scarica htt*://[www].billsway[.com]/vbspage/ e cerca separatamente, anche con questo strumento,
NETVISION
FASTTRACK
PASSEPARTOUT
dovesse trovare qualcosa, salva e posta i risultati
X Lele: magari si può anche fare... sei certo che la chiave mountpoints2 possa essere eliminata? Non è che non gli riconoscerà più le unità.[.com]presa l'unità CD, no?
Per quel che ne so, HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 detiene le informazioni su ogni dispositivo rimovibile..
magari mi sbaglio..ma è meglio dirlo.. |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 23/05/2008 : 19:36:28
|
Forse è meglio nn eliminare allora quella chiave  |
|
|
|
brazen
New Member
45 Messaggi |
Inserito il - 23/05/2008 : 21:45:32
|
ecco il risultato di avenger
avenger2_1211571511097.txt
questa operazione nn ho capito come farla
scarica htt*://[www].billsway[.com]/vbspage/ e cerca separatamente, anche con questo strumento,
NETVISION
FASTTRACK
PASSEPARTOUT
grazie infinite a tutti coloro che mi stanno aiutando |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 24/05/2008 : 06:28:29
|
Vai in questo sito htt*://[www].billsway[.com]/vbspage/ e scarica Registry Search Tool!
cerca separatamente, con questo strumento,
NETVISION
FASTTRACK
PASSEPARTOUT |
|
|
|
brazen
New Member
45 Messaggi |
Inserito il - 24/05/2008 : 10:11:45
|
Registry Search Tool nn ha trovato nulla...
posso considerarmi ripulito per bene o ancora no...
attendo vostre risposte...
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 24/05/2008 : 11:25:47
|
scarica questo software:
htt*://[www].download[.com]/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm lo aggiorni e scegli la modalità scansione completa. Alla fine vai nella scheda file di log, apri il file di testo e lo posti secondo le regole del forum |
Modificato da - Leleago in data 24/05/2008 15:43:46 |
|
|
|
brazen
New Member
45 Messaggi |
Inserito il - 24/05/2008 : 13:18:05
|
ecco il log di antimalware...
mbam-log-5-24-2008 (12-25-01).txt
ora dovrei essere a posto...
grazie a tutti per l'interesse mostrato e per l'aiuto...
thanks |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/05/2008 : 14:57:57
|
non credo che tu abbia finito... ci sono ancora files che non sono stati eliminati, si vedono anche in combofix.. devi pazientare ancora un po', purtroppo
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 24/05/2008 : 16:41:37
|
seguirò io la discussione.. Ciao Brazen
1) riesegui kaspersky, mi serve x controllo. Carica il rapporto di scansione su Sendmefile e posta il link ottenuto
2) Devi installare avira e, quindi, è opportuno disinstallare il norton. Nel caso non dovessi trovarti bene (lo escluderei.. con tutto quello che avevi nel pc  ) installi nuovamente il norton (a tal proposito, hai il cd di norton?). Qui trovi il programma per disinstallarlo htt*://service1.symantec[.com]/SUPPORT/INTER/tsgeninfointl.nsf/it_docid/20050407160511924
Prima di eseguire la disinstallazione, però, scarica avira da qui: htt*://[www].ilsoftware.it/querydl.asp?ID=489 e poi procedi in questo modo:
- disinstalli norton
- installi avira
- fai l'aggiornamento
- esegui una scansione
- salva e posta il rapporto (caricalo sempre su Sendmefile e posta il link ottenuto)
3) scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Sendmefile e posta il link ottenuto.
---
i tre files non ancora eliminati sono:
C:\WINDOWS\system32\ctfmon.exe1037526454
C:\WINDOWS\system32\nerocheck.exe343848488
e un altro, forse dell'HP, se non ricordo male.
|
Modificato da - Sibilla in data 24/05/2008 16:42:11 |
|
|
|
brazen
New Member
45 Messaggi |
Inserito il - 25/05/2008 : 10:54:26
|
ciao sibilla...
mi affido a te...
sto facendo la scansione con kaspersky...
cmq nn ho il cd di norton...
cosa faccio?
scarico avira? |
|
|
|
brazen
New Member
45 Messaggi |
Inserito il - 25/05/2008 : 11:04:51
|
ecco il risultato di kaspersky...
htt*://[www].sendmefile[.com]/00630234 |
|
|
|
Discussione |
|
eliminare internet connection
Forum Bloccato
