| Autore |
 Discussione  |
|
superdavid
Average Member
.jpg)
75 Messaggi |
 Inserito il - 23/04/2011 : 13:59:44
|
Buongiorno a tutti, credo di avere qualche virus poichè spesso firefox mi si blocca, non risponde e devo attendere qualche minuto per poter utilizzare nuovamente il browser oppure lo devo chiudere con il task manager; anche la scansione di malwarebytes si blocca (anche in modalità provvisoria). Precedentemente utilizzavo Avira, ora sono senza antivirus (ci penserò quando il pc non avrà piu problemi). è importante che il pc funzioni correttamente in quanto sto lavorando alla tesina per la maturità e non posso permettermi di perdere tutto il lavoro.
questo è il mio log di hijackthis: htt*://[www].freefilehosting.net/hijackthis_135
grazie per l'attenzione!
|
Modificato da - in Data
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 23/04/2011 : 14:54:43
|
Disinstalla Skype Toolbars e Google Toolbar.
Rilancia HijackThis:
#9679; clicca sul pulsante Do a system scan only
#9679; metti la spunta accanto a queste voci:
O4 - HKLM\..\Run: [RemoteControl9] "C:\Program Files (x86)\Cyberlink\PowerDVD9\PDVD9Serv.exe"
O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files (x86)\Cyberlink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\Cyberlink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
O4 - HKLM\..\Run: [UpdateLBPShortCut] "C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"
O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [HControlUser] C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe" -osboot
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Syncables] C:\Program Files (x86)\syncables\syncables desktop\Syncables.exe
O4 - HKCU\..\Run: [L09IXLRD_12416244] "D:\Encarta\Microsoft Encarta 2009 - Premium + Student DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [Boxoft Tools] "C:\ProgramData\Boxtools\Boxofttoolbox.exe" -autorun
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: SRS Premium Sound.lnk = ?
#9679; chiudi tutte le finestre di Internet aperte, i programmi in esecuzione
#9679; clicca sul bottone Fix checked
#9679; una volta terminate le operazioni, chiudi il programma
Nota: per lanciare HijackThis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di HijackThis e, dal menù contestuale, scegli la voce Esegui come amministratore: conferma quindi la richiesta che ti viene proposta.
Poi:
Scarica ComboFix: htt*://download.bleepingcomputer[.com]/sUBs/ComboFix.exe
#9679; posiziona il file scaricato sul Desktop
#9679; disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
#9679; disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
Eseguiti i passaggi indicati sopra:
#9679; lancia ComboFix con un doppio click
#9679; segui le istruzioni che verranno rilasciate per eseguire la scansione
#9679; verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
#9679; senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro
Note - durante la scansione:
#9679; potrebbero comparire alcuni file sul Desktop, e poi eliminati
#9679; spariranno, per un attimo, tutte le icone presenti sul Desktop
#9679; potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
#9679; il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
#9679; potrebbe apparire sul Desktop l'icona di Internet Explorer
Quando ComboFix avrà concluso l'operazione di scansione:
#9679; il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
#9679; vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo
Nota - riguardo al programma:
#9679; per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
|
 |
|
|
superdavid
Average Member
75 Messaggi |
Inserito il - 23/04/2011 : 16:56:54
|
| grazie per i consigli! ho seguito tutti i punti e questo è il file di testo di combofix: htt*://[www].freefilehosting.net/combofix_22 |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 23/04/2011 : 18:13:27
|
Ciao superdavid.
Click destro in un punto vuoto del Desktop:
#9679; scegli la voce Nuovo
#9679; clicca su Documento di testo
#9679; nello spazio bianco, copia ed incolla queste righe:
DirLook::
c:\users\Davide\AppData\Local\{437DE870-B217-42CF-952C-938F4B2D7640}
c:\users\Davide\AppData\Local\{F29817AC-A3F7-4854-8430-0CC572553882}
c:\users\Davide\AppData\Local\{323A9CC5-07C1-4349-8F64-0179BDD67CD8}
c:\users\Davide\AppData\Local\{58B6E59B-6249-49C8-8A42-5D6E7ECD06AC}
c:\users\Davide\AppData\Local\{E9EEDE8E-0AD2-4B61-A02B-EAC1F2A1C4EE}
c:\users\Davide\AppData\Local\{ED927FB9-C6A5-4675-94B1-437245AA5167}
c:\users\Davide\AppData\Local\{24475BD8-40C8-4FD9-A611-8D2069572A37}
c:\users\Davide\AppData\Local\{B74E1EF6-9735-4FCC-A215-E28BD16E5EB4}
c:\users\Davide\AppData\Local\{52A1AA0A-08B9-4D57-8A9B-280354BB84B0}
c:\users\Davide\AppData\Local\{A8B4BC32-5419-4EAD-835E-7EF50B4662C4}
c:\users\Davide\AppData\Local\{541387F0-8D09-4E1D-A9D6-EAEF8D8ECD1B}
c:\users\Davide\AppData\Local\{403F360B-75D2-4F55-B893-8965DD05E849}
c:\users\Davide\AppData\Local\{F42DC778-E89C-429B-A10B-CDB05092C4FE}
c:\users\Davide\AppData\Local\{7B2C307A-14C5-4216-9280-AC9C0248B4F0}
c:\users\Davide\AppData\Local\{7BE409F6-4482-4B3D-8528-E921905EF012}
c:\users\Davide\AppData\Local\ElevatedDiagnostics
Folder::
c:\users\Default\AppData\Local\temp
c:\programdata\Kaspersky Lab
c:\programdata\Kaspersky Lab Setup Files
File::
c:\windows\system32\dnsrslvr.dll
Una volta eseguiti i passaggi indicati sopra:
#9679; salva il documento di testo: chiamalo CFScript.txt
#9679; con il tasto sinistro del mouse, trascina CFScript.txt sull'icona di ComboFix : parte la scansione del programma atta ad eliminare ulteriori infezioni o rimasugli delle stesse
#9679; senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro
#9679; il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
#9679; vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo
|
|
|
|
superdavid
Average Member
75 Messaggi |
Inserito il - 23/04/2011 : 19:15:45
|
| grazie FDAC, ecco qui il nuovo report di combofix: htt*://[www].freefilehosting.net/combofix_23 |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 23/04/2011 : 21:04:12
|
Ora:
Click destro in un punto vuoto del Desktop:
scegli la voce Nuovo
clicca su Documento di testo
nello spazio bianco, copia ed incolla queste righe:
Folder::
c:\users\Davide\AppData\Local\{437DE870-B217-42CF-952C-938F4B2D7640}
c:\users\Davide\AppData\Local\{F29817AC-A3F7-4854-8430-0CC572553882}
c:\users\Davide\AppData\Local\{323A9CC5-07C1-4349-8F64-0179BDD67CD8}
c:\users\Davide\AppData\Local\{58B6E59B-6249-49C8-8A42-5D6E7ECD06AC}
c:\users\Davide\AppData\Local\{E9EEDE8E-0AD2-4B61-A02B-EAC1F2A1C4EE}
c:\users\Davide\AppData\Local\{ED927FB9-C6A5-4675-94B1-437245AA5167}
c:\users\Davide\AppData\Local\{24475BD8-40C8-4FD9-A611-8D2069572A37}
c:\users\Davide\AppData\Local\{B74E1EF6-9735-4FCC-A215-E28BD16E5EB4}
c:\users\Davide\AppData\Local\{52A1AA0A-08B9-4D57-8A9B-280354BB84B0}
c:\users\Davide\AppData\Local\{A8B4BC32-5419-4EAD-835E-7EF50B4662C4}
c:\users\Davide\AppData\Local\{541387F0-8D09-4E1D-A9D6-EAEF8D8ECD1B}
c:\users\Davide\AppData\Local\{403F360B-75D2-4F55-B893-8965DD05E849}
c:\users\Davide\AppData\Local\{F42DC778-E89C-429B-A10B-CDB05092C4FE}
c:\users\Davide\AppData\Local\{7B2C307A-14C5-4216-9280-AC9C0248B4F0}
c:\users\Davide\AppData\Local\{7BE409F6-4482-4B3D-8528-E921905EF012}
c:\users\Davide\AppData\Local\ElevatedDiagnostics
c:\windows\Tasks
c:\windows\Temp
c:\windows\SoftwareDistribution\Download
Una volta eseguiti i passaggi indicati sopra:
salva il documento di testo: chiamalo CFScript.txt
con il tasto sinistro del mouse, trascina CFScript.txt sull'icona di ComboFix : parte la scansione del programma atta ad eliminare ulteriori infezioni o rimasugli delle stesse
senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro
il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo |
|
|
|
superdavid
Average Member
75 Messaggi |
Inserito il - 24/04/2011 : 20:27:36
|
ecco qui l'ultimo report: htt*://[www].freefilehosting.net/combofix_24
solo una domanda: hai trovato qualche infezione o queste operazioni servono per individuare eventuali problemi? |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 24/04/2011 : 21:46:24
|
Ciao. Con questa ultima operazione, abbiamo eliminato delle cartelle molto sospette, con valori di chiavi di registro (cosa assai insolita).
L'infezione purtroppo si è rigenerata: prova a cancellare a mano questo file:
c:\windows\system32\dnsrslvr.dll
Se non riesci a visualizzarlo, devi Abilitare la Visualizzazione delle cartelle e dei files nascosti
Procedura per Windows XP:
#9679; clicca su Start - Pannello di controllo - Opzioni cartella
#9679; clicca sulla scheda Visualizzazione
#9679; in Impostazioni Avanzate cerca la casella Visualizza cartelle e file nascosti e spunta la voce
Procedura per Windows Vista e Seven:
#9679; clicca su Start - Computer
#9679; premi ora il tasto ALT per la visualizzazione della Barra dei Menù
#9679; clicca su Strumenti - Opzioni cartella - Tab Visualizzazione
#9679; spunta la voce a Visualizza cartelle e file nascosti
|
|
|
|
superdavid
Average Member
75 Messaggi |
Inserito il - 24/04/2011 : 23:10:21
|
ciao; grazie per le delucidazioni. il file è visibile, ma quando cerco di eliminarlo mi dice: per eseguire l'operazione è necessaria l'autorizzazione. per modificare il file è necessaria l'autorizzazione da TrustedInstaller.
ci sono solo i tasti Riprova(inutile) e Annulla, quindi non riesco a eliminarlo. |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 25/04/2011 : 19:19:29
|
Ci sono dei pareri molto contrastanti sul web riguardo quel file: per ora lascialo stare li.
Il PC a parte questo come va? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 25/04/2011 : 19:47:57
|
| FDAC la cosa piu' logica e' far analizzare quel file |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 25/04/2011 : 20:10:42
|
Questo processo è considerato sicuro. È probabile che determini un danno al sistema.
È probabile che determini un danno al sistema. ...? E' un controsenso. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 25/04/2011 : 20:16:59
|
FDAC prima di dare assistenza assicurati di cio' che fai eliminare
nel mio pc quel file e' presente e pesa ben 45 kb
fallo analizzare e controlla dalle prorieta' a quale societa' appartiene |
|
|
|
superdavid
Average Member
75 Messaggi |
Inserito il - 25/04/2011 : 20:54:45
|
| beh, anch'io ho controllato sul web e mi sembra sicuro, ma ovviamente ho fiducia in voi (non fatemi cancellare la cartella system32, vi prego XD). comunque il file è ancora presente ma quando faccio la scansione online (virustotal e kaspersky) non si trova e non capisco perchè. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 25/04/2011 : 21:11:05
|
| prova a controllare le proprieta' del file e attendi i consigli di Death che saluto |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/04/2011 : 07:29:30
|
|
Buon giorno, esegui il controllo che viene fatto su questo link htt*://[www].tuttotech[.com]/archives/4455/modificare-e-cancellare-i-file-protetti-da-trustedinstaller-in-windows-7 - verifica che il file sia protetto da trusted e ovviamente non eliminare il file, come sempre ci sono pareri discordanti sulla bontà o meno del file stesso e questo è il solito problema che ricompare ogni volta che siamo davanti ad un sistema operativo nuovo, in questo caso seven, è quindi molto facile trovare informazioni del tutto errate sulla posizione e sulla dimensione dei files. |
|
|
|
Discussione |
|
possibile virus
Forum Bloccato
