| Autore |
 Discussione  |
|
fomalhout
Senior Member
144 Messaggi |
 Inserito il - 23/02/2009 : 08:02:24
|
Buongiorno, ciao a tutti e complimenti per il forum.
Ho win xp sp3 con nod32, e da qualche giorno ho contratto la seguente infezione: quando mi connetto ad intenet, dopo pochi secondi ecco il report di nod32
Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
22/02/2009 21.57.47 AMON file C:\WINDOWS\TEMP\BN7.tmp variante modificata di Win32/Wigon.IN cavallo di * posto in quarantena. - cancellato NT AUTHORITY\SYSTEM Evento occorso su un file modificato dall'applicazione: C:\WINDOWS\system32\services.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.
il file infetto puo' essere BN6.tmp o BN7.tmp od altri numeri.
Con sdfix in modalita' provvisoria il computer si arresta (errore grave, schermo blu), e non sevono Avenger o Norman.
Grazie
Max
|
Modificato da - in Data
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 23/02/2009 : 08:30:49
|
Buon giorno e benvenuto su Notrace, segui questa procedura:
scarica Hijackthis
1) crea una cartella dedicata e scompattalo al suo interno
2) lancia il programma
3) nel menu' di destra clicca su "do a system scan and save a log file"
4) il programma ti rilascerà un file di report in formato txt, salvalo e postalo sul forum secondo il regolamento
poi
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
poi
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
per postare i report segui questa scaletta:
a) andare sul sito htt*://[www].savefile[.com]/
b) clicca su Upload My file
c) clicca su upload oppure registrarsi per avere più opzioni
d) clicca su browser e scegli il file di log, txt ecc dal tuo computer
e) compila i restanti campi e clicca su Upload File
f) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file:]
g) oppure utilizza questo servizio: htt*://[www].wikisend[.com] |
 |
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 23/02/2009 : 12:18:36
|
Grazie, oggi pomeriggio procedo!
Max |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 23/02/2009 : 15:10:14
|
Fatto tutto, ecco qui sotto i links ai 3 logs.
Grazie mille!!
Max
htt*://wikisend[.com]/download/479664/hijackthis.log
htt*://wikisend[.com]/download/177486/lopR.txt
htt*://wikisend[.com]/download/104148/mbam-log-2009-02-23 (14-43-18).txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 23/02/2009 : 15:14:38
|
| Buon giorno, rifai la scansione con malwarebytes e rimuovi tutto, appena ho tempo controllo il report di lopsd poi procediamo. |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 23/02/2009 : 15:48:35
|
ok, ho fatto come hai detto, ho rimosso i 3 files che avevi anche tu sul log.
max |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 23/02/2009 : 19:15:44
|
ah, intanto ho riavviato la macchina, ma alla connessione su intenet nod32 trova sempre BN6.tmp in c:\windows\temp.
Adesso la scansione con Malwarebytes AntiMalvare trova tutto pulito.
Grazie in anticipo!
max |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 23/02/2009 : 20:43:05
|
Buona sera, segui la procedura:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 24/02/2009 : 12:17:04
|
Ok, grazie, oggi pomeriggio procedo!
Max |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 24/02/2009 : 18:50:58
|
Ecco il risultato: htt*://wikisend[.com]/download/473550/report sys29437.txt
Grazie
Max |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/02/2009 : 20:00:05
|
| Buona sera, spero di domani di poterti rispondere. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/02/2009 : 08:57:46
|
Buon giorno, segui la procedura:
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\system32\37.tmp
C:\WINDOWS\system32\26.tmp
files to move:
C:\WINDOWS\ime\IMJP8_1\bak\IMJPMIG.EXE | C:\WINDOWS\ime\IMJP8_1\IMJPMIG.EXE
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE | C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger. |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 25/02/2009 : 12:46:24
|
ok, stasera provo!
max |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 26/02/2009 : 00:38:48
|
Ciao!
Allora: il computer si riavvia, al login subito compare il messaggio: "Exception Processing Message C0000013 Parameters 75b1bf7c475s1bf7c75b1bf7c", e poi il log: htt*://wikisend[.com]/download/533332/avenger.txt Poi il sistema mi avverte che il firewall è disattivato.
Dopodichè il solito messaggio di Nod 32 di infezione.
Grazie, ciao!
Max |
Modificato da - fomalhout in data 26/02/2009 00:40:14 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/02/2009 : 10:30:00
|
| Buon giorno, avenger è andato a buon fine, quel messaggio di errore ti è comparso una volta sola dopo il riavvio di avenger o permane ad ogni riavvio? Rieseguimi un nuovo systemscan per cortesia. |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 26/02/2009 : 13:31:26
|
Buona giornata.
No, è comparso solo la prima volta. Questa mattina, appena connesso ad internet il solito messaggio di Nod 32:
" 26/02/2009 12.43.50 AMON file C:\WINDOWS\TEMP\BN59.tmp variante modificata di Win32/Wigon.IN cavallo di * posto in quarantena. - cancellato NT AUTHORITY\SYSTEM Evento occorso su un file modificato dall'applicazione: C:\WINDOWS\system32\services.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra."
Ho fatto quanto mi hai chiesto ed ecco il log: htt*://[www].savefile[.com]/files/2018008
Ciao, grazie
max
|
|
|
|
Discussione |
|
BN6.tmp
Forum Bloccato
