| Autore |
 Discussione  |
|
|
Kerberos
New Member
44 Messaggi |
 Inserito il - 16/10/2008 : 01:17:38
|
ciao a tutti,
mi sono beccato un virus ( o più), ho provato con Malwerbytes ma non riesce a toglierlo anche se lui mi dice che lo toglie, dopo poco ricompare con i nomi in oggetto.
ho letto una guida su Hijack ma preferisco consultarmi con voi prima di cancellare qualcosa.
Ho notato nel log questo file sospetto ( tra l'altro ha l'orario dell'infezione) ---> fcdglc.dll
Posto il link al log di HJKTHIS
htt*://[www].sendmefile[.com]/00651778
Aspetto un Vs. aiuto
Vi ringrazio in anticipo
ciao
|
|
|
Kerberos
New Member
44 Messaggi |
Inserito il - 16/10/2008 : 19:57:07
|
| nessuno in grado di aiutarmi ? |
 |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/10/2008 : 20:07:56
|
Buona sera a tutti, visto che non mi dici il nome del virus andiamo a manina, segui questa procedura:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
Posta il report seguendo questa scaletta:
1) andare sul sito htt*://[www].savefile[.com]/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ] |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 16/10/2008 : 20:40:59
|
kerberos ascolta i consigli di death dammi retta
e' il top |
|
|
|
Kerberos
New Member
44 Messaggi |
Inserito il - 16/10/2008 : 21:25:23
|
ok adesso provo quello che mi hai detto
comunque i nomi dei visrus sono nel subject del thread
da quello che sò ho un virus morph ( in passato avevo già preso Vundo/Virtumonde) ma l'avevo debellato, questa versione però è più forte
aspetta, arrivo ..con i dati richiesti.
Grazie per l'aiuto |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/10/2008 : 21:28:50
|
Tranquillo, avevo visto che era il mio amico vundo, ma ormai sono abituato che mi scrivono anche la variante e il cognome di chi l'ha creato...aspetto il report.
Dimenticavo..shang io non sono il top, quella che rappresentava il top non è più qui e il trio che si era formato a cacciare virus è morto per sempre.
|
Modificato da - death in data 16/10/2008 21:30:18 |
|
|
|
Kerberos
New Member
44 Messaggi |
Inserito il - 17/10/2008 : 08:47:28
|
ho provato a far girare il tool ma quando arriva ai moduli di win si blocca ... è rimasto fermo tutta la notte al 100% di CPU ( ho un E8400 ...)
hai altri suggerimenti?
perchè non proviamo a partire dal file che ti ho detto nel primo messaggio ... è difficle che mi sbagli, per c.ca 10 anni ho eliminato i virus a mano senza mai sbagliare, purtroppo queste ultime varianti colpiscono windows talmente a fondo che allo stato attuale non ho abbastanza conoscenze per una valutazione precisa. Capisco che il tuo sistema è quello corretto poichè ti permette di conoscere il tuo nemico prima di affrontarlo però e meglio che troviamo una alternativa ..
Death fammi saper cosa proponi ?
grazie ancora :)
ciao |
|
|
|
Kerberos
New Member
44 Messaggi |
Inserito il - 17/10/2008 : 08:49:56
|
| scusa aggiungo che l'effetto del virus è quello di aprire pagine Internet random per cui si avvalora l'ipotesi che l'infezione sia nel BHO ( anche se bisognerebbe capire da dove parte effettivamente l'attacco del virus...) |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 17/10/2008 : 10:27:29
|
Fai un systemscan ridotto, in questo modo
Riesegui systemscan e lascia il flag o segno di spunta solo su "Recent files" e su "Registry run keys" e su "include hijackthis log" dovrebbe farcela, mi dovrebbe bastare questo, da hijackthis non puoi fare nulla, appena riavvii le dll cambiano nome e si ricomincia, mi spiace per te ma questo non è un virus da rimuovere con hijackthis, se non riusciamo così facciamo un'altra procedura ma non mi piace per nulla usarla. |
|
|
|
Kerberos
New Member
44 Messaggi |
Inserito il - 17/10/2008 : 22:01:20
|
| grazie death, buona idea, riproviamo come dici tu. |
|
|
|
Kerberos
New Member
44 Messaggi |
Inserito il - 17/10/2008 : 22:25:42
|
ecco il link al report
htt*://[www].savefile[.com]/files/1844748
Death aspetto una tua analisi, incrocio le dita |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 18/10/2008 : 07:21:44
|
Buon giorno a tutti, segui le istruzioni:
Apri il blocco note di windows, copia al suo interno questo testo come lo vedi
Citazione:
Windows Registry Editor Version 5.00
[-HKCR\CLSID\{b0888676-6a71-4ef5-8195-47a963a63594}]
ci deve essere una riga vuota dopo l'ultima scritta, dopo ] dai un invio
salvalo in c:\ e chiamalo fix.reg (lo devi salvare come "tipo file - tutti i file") l'icona deve diventare un quadrato con 2 quadratini nello spigolo
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutta la citazione:
Citazione:
files to delete:
C:\WINDOWS\system32\fcdglc.dll
C:\WINDOWS\system32\hpcyplax.dll
C:\WINDOWS\system32\abb30b55-.txt
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b0888676-6a71-4ef5-8195-47a963a63594}
registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
programs to launch on reboot:
c:\fix.reg
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Poi vai su questo sito htt*://[www].virustotal[.com]/it/ clicca su sfoglia e cerca questo file nel tuo computer C:\WINDOWS\emsf.exe clicca su invia file, il sito scansionerà il file e ti rilascerà un report, salvalo in formato testo fino alla riga md5 compresa e postalo sul forum.
Riesegui una scansione con malewarebytes, rimuovi tutto quello che trova, riesegui un nuovo systemscan come il precedente.
Posta i report di avenger, malewarebytes e systemscan e la scansione del file su virustotal come hai fatto per il precedente.
|
Modificato da - death in data 18/10/2008 07:23:06 |
|
|
|
Kerberos
New Member
44 Messaggi |
Inserito il - 18/10/2008 : 12:05:31
|
ecco il log di avenger
htt*://savefile[.com]/files/1845503
ecco quello di malawerebyte
htt*://[www].savefile[.com]/files/1845507
quello di systemscan
htt*://[www].savefile[.com]/files/1845515
e quello di virus total
htt*://[www].savefile[.com]/files/1845518
Al primo check con MalwareByte dava sempre i due virus, poi dopo averli rimossi, sembra che non ci siano più. Ecco un secondo log sgombro dai virus
htt*://[www].savefile[.com]/files/1845522
Forse siamo a posto. Dammi conferma.
Non ho capito cosa abbiamo fatto su Virus Total e che cosa era quell'eseguibile ...
grazie ancora |
|
|
|
Kerberos
New Member
44 Messaggi |
Inserito il - 18/10/2008 : 12:10:25
|
| non dirmi che era l'eseguibile del virus....l'ho trovato in una lista di file infetti su Internet |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 18/10/2008 : 12:22:31
|
Buon giorno a tutti, che quel file fosse pericoloso l'avevo intuito quindi vai in modalità provvisoria ed elimina C:\WINDOWS\emsf.exe , per il resto, malewarebytes ha schiodato le chiavi di registro rimanenti visto che le altre le abbiamo rimosse a manina, (vedi avenger andato a buon fine), il tuo problema era la chiave HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs che ad ogni avvio richiamava la dll, che a sua volta ne chiamava un'altra, per questo ti dissi che hijackthis non serviva, ora segui questa procedura:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1) seleziona la casella Select All
2) clicca sul pulsante Empty selected
3) aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta) - (se usi opera o firefox,spunta anche le loro sezioni)
poi
scansione on line con Kaspersky
1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.
La scansione richiede il java della sun e l'accettazione del controllo activex
Per effettuare la scansione, portati sulla pagina di kaspersky, devi avere solo quella pagina aperta, disattiva il tuo antivirus, lancia la scansione, dopo che avrà caricato tutti i files del database e comincerà a scansionare puoi anche disconnettere il pc da internet e lasciarlo lavorare.
Posta il report di kaspersky come i precedenti. |
|
|
| |
Discussione |
|
MS Juan e Vundo
Forum Bloccato
