| Autore |
 Discussione  |
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 26/02/2009 : 20:52:31
|
Buona sera, da systemscan non vedo nulla, segui questa procedura:
scarica ComboFix
Riavvia il computer in modalità provvisoria (segui lo specchietto)
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe (o nome nuovo) e segui le istruzioni passo a passo, ricordati di dare invio se richiesto dopo i vari passaggi
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware
Disconnetti il pc da internet
NON toccare mouse e tastiera mentre combofix lavora |
 |
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 27/02/2009 : 17:30:39
|
Ciao.
Allora: fatto tutto quello che hai detto, ma il programma avverte che lo scanning di NOD32 è sempre in funzione, nonostante lo abbia arrestato anche dal pannello di controllo mediante "services"
Questo è il log: htt*://wikisend[.com]/download/891286/ComboFix.txt
Al riavvio della connessione NOD32 avverte dell' ennesimo virus: 27/02/2009 17.11.51 AMON file C:\WINDOWS\TEMP\BNB2.tmp variante modificata di Win32/Wigon.IN cavallo di * posto in quarantena. - cancellato NT AUTHORITY\SYSTEM Evento occorso su un file modificato dall'applicazione: C:\WINDOWS\system32\services.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.
Ho come il sospetto che c'entri proprio NOD32....che dici?
Max |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 27/02/2009 : 17:35:03
|
altra cosa: cosa sono tutti quei files "sqmdata" e "sqmnoopt" nascosti in c:\ ?
Si possono cancellare?
E' prudente e giusto che durante tutte queste prove tenga disattivato il ripristino di sistema?
Grazie
Max |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/02/2009 : 18:28:58
|
Buona sera, combofix ha cancellato 1 files sospetto e nulla altro, nessun file sospetto in c:\windows\temp, sto seriamente pensando che nod fermi qualcosa che ritiene solo lui sospetto, appena ho un attimo eseguo un controllo.
EDIT: mi è venuto un dubbio, su quel pc utilizzi msn, o altri programmi di messaggistica immediata? |
Modificato da - death in data 27/02/2009 19:58:24 |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 27/02/2009 : 21:04:44
|
si: msn e C6
max |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 28/02/2009 : 11:01:26
|
Buon giorno, segui questa procedura, voglio solo verificare una cosa:
scarica MSNfix
Installa MSNFIX:
scompatta il file Zip, che hai, precedentemente posizionato sul Desktop (verrà creata una cartella)
lancia MSNFix File batch
digita I per impostare la lingua, e, premi invio
digita R per cercare il malware
digita N per eliminare ciò che trova
digita A per creare il log da pubblicare
digita R per ripulire il registro ed uscire
digita Q per terminare MSNFix
Il log che verrà creato, ti confermerà, o meno l’avvenuta rimozione.
MSNFix, creerà, inoltre un file Zip (lo trovi, assieme al log, all’interno della cartella posizionata sul Desktop), contenente i file infetti rimossi: cestinalo, e ripulisci il cestino.
Terminata la scansione con MSNFIX, riavvia il sistema
Posta il log della scansione. |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 28/02/2009 : 11:25:19
|
ho fatto come hai detto, ma scaricando msnfix altrove, perchè dal link nod32 lo segnalava come virus.
ecco il risultato htt*://wikisend[.com]/download/570020/28022009_11.20.3559.txt
ciao e grazie
max |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 28/02/2009 : 11:29:38
|
ho riavviato e....ancora BN&.tmp
ciao |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 28/02/2009 : 12:40:01
|
| Buon giorno, ha trovato 2 files infetti che non vedevo, mi riesegui un systemscan e nella casellina di giorni invece di 60 scrivi 120. |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 01/03/2009 : 01:11:13
|
Ecco fatto: htt*://[www].savefile[.com]/files/2021152
ciao |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 01/03/2009 : 08:50:21
|
Buon giorno, il report è pulito, ti faccio rimuovere le vecchie cartelle bak vuote e poi vediamo di eseguire una serie di pulizie e una scansione on-line:
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\temp\exp3CA.tmp
C:\WINDOWS\temp\expB6.tmp
folders to delete:
C:\WINDOWS\ime\IMJP8_1\bak
C:\WINDOWS\system32\bak
C:\WINDOWS\system32\IME\TINTLGNT\bak
C:\QooBox
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
disinstalla combofix da start >>> esegui >>> digita ComboFix /u (c'e' uno spazio dopo combofix) >>> ok
poi
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
4) NON utilizzare la sezione dedicata alla pulizia del registro
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata
poi esegui questa scansione on-line
scansione on line con Kaspersky
1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.
La scansione richiede il java della sun e l'accettazione del controllo activex
Per effettuare la scansione, portati sulla pagina di kaspersky, devi avere solo quella pagina aperta, disattiva il tuo antivirus, lancia la scansione, dopo che avrà caricato tutti i files del database e comincerà a scansionare puoi anche disconnettere il pc da internet e lasciarlo lavorare.
Dimenticavo, riattiva immediatamente i punti di ripristino, mi ero scordato di dirtelo, poi vorrei sapere per quale motivo li hai disattivati...ogni tanto certe cose mi sfuggono |
Modificato da - death in data 01/03/2009 08:53:27 |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 02/03/2009 : 18:06:32
|
Fatto.
Ecco: htt*://[www].savefile[.com]/files/2023478
htt*://[www].savefile[.com]/files/2023479
A presto |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/03/2009 : 19:51:43
|
Buona sera come immaginavo nessuna traccia di files tmp infetti, esegui ancora avenger, rimuoviamo l'ultimo rimasuglio:
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\system32\secupdat.dat
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Io non vedo altro e non so veramente più cosa farti fare, o cambi anti virus e vedi se i problemi continuano o non so cosa consigliarti.
|
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 02/03/2009 : 21:53:28
|
Come da te previsto, nod 32 continua a segnalare la presenza di virus:
"02/03/2009 21.45.03 AMON file C:\WINDOWS\TEMP\BN6.tmp variante modificata di Win32/Wigon.IN cavallo di * posto in quarantena. - cancellato NT AUTHORITY\SYSTEM Evento occorso su un file modificato dall'applicazione: C:\WINDOWS\system32\services.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra."
Questo è il log di avenger ed indica che anche secupdat è stato rimosso : htt*://[www].savefile[.com]/files/2023868
Che sia colpa di Nod32 ? Strano, lo conoscevo per un antivirus affidabile...ne conosci un' altro altrettanto buono e non pesante come norton?
Non so che fare....
Grazie comunque...
Max |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/03/2009 : 08:29:05
|
Buon giorno, la prima cosa da fare sarebbe quella di rimuovere msn e reinstallarlo pulito (se lo fai rimuovi il segno di spunta dalla casellina "aiuta gli amici a migliorare...") su diverse discussioni sul web il tuo problema viene associato a msn, infatti se ben ricordi msnfix aveva rimosso 2 files, oppure facciamo la prova opposta, proviamo a installare avira, qui il link:
htt*://[www].free-av.de/de/download/1/download_avira_antivir_personal__free_antivirus.html
ti scarichi il file di setup, ti disconnetti da internet, rimuovi il nod, riavvii il pc e poi procedi all'installazione di avira. |
|
|
|
Discussione |
|
BN6.tmp
Forum Bloccato
