| Autore |
 Discussione  |
|
spybot
Senior Member
Città: palermo
101 Messaggi |
 Inserito il - 15/07/2007 : 13:42:00
|
allora ho finalmente finito la procedura di bonifica con il seguente risultato.questo è il log di bitdefender :htt*://freefilehosting.net/download/MTY4Nw==
questo è quello di panda :htt*://freefilehosting.net/download/MTY5MA==
su questo ho un dubbio, e cioè killbill mi aveva proposto di sostituire il mio avast con avg, ed allora prima di fare la scansione con il panda ho scaricato questo anivirus dal link che mi ha dato ma non lo ho istallato. faccio partire la scansione e alla fine mi ritrovo come file imputato proprio questo . che significa?
sono andato avanti con hijact.. ed ecco il log:htt*://freefilehosting.net/download/MTY5NA==
e poi i due log di gmer :htt*://freefilehosting.net/download/MTY5NQ==
htt*://freefilehosting.net/download/MTY5Nw==
aspetto con ansia vostre nuove
una domanda c'è qualche documento che spiega come comprendere il log di gmer? ciao a presto. |
 |
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 15/07/2007 : 15:38:29
|
Una guidina per Gmer: htt ://[www].pcalsicuro[.com]/main/guida-a-gmer/
La positività di AVS (kaspersky free) alla scansione Panda rilevato come adware è dovuta al fatto che è un software free offerto da AOL (American On Line) in collaborazione con la kaspersky htt ://it.wikipedia.org/wiki/Adware.
Nel tuo log di HJT c'è qualcosa che non quadra.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
Sono elementi disattavati e si possono fixare.
I due codici 09 appartengono all'Uninstall BitDefender Online Scanner v8.
Il codice 02 è sospetto e non identificabile.
StranezzE
C:\VEXPLITE\MONLITE.EXE
C:\VEXPLITE\viritsvc.exe
E' un programma di Virit e di solito si trova in C:\Programmi\
Verificalo se non hai deciso tu d'installarlo in radice di C:\
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
Browseui.dll è un file di sistema di XP, verficane la correttezza di Produttore e versione selezionandolo e poi mouse tasto dx proprietà, perchè è connesso al file Hosts che non riesci ad aprire.
Nel caso dovessi ripristinarlo perchè è un virus che ha sostituito il file originale del sistema operativo ci sono 2 modi:
1)htt*://support.microsoft[.com]/kb/914222/it
2)con il CD del SO inserito da Esegui digiti sfc /scannow per verificare l'integrità dei file di Windows, ovviamente devi usare un CD con XPSP2 come risulta installato ora.
O24 - Desktop Component 0: (no name) - htt ://[www].babbonatale.biz/img/labirinto4.gif
Hai personalizzato il tuo Desktop con una immagine d'una pagina web on line senza farla risiedere sul tuo pc?
Insisto, perchè non ti fai il Disco di Emergenza (un wizard automatico) con la suite Kaspersky (KIS) + BurtPE, poi scanni il pc dal CD di boot che si produce con quell'utility? |
Modificato da - killbill in data 16/07/2007 01:43:28 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 15/07/2007 : 19:14:29
|
Il tuo Pc è a posto, ora fai questa procedura per la modifica del file Host:
-Andare in C:\Windows\System32\drivers\etc\Hosts ed aprire il file hosts con blocco note; il file dovrebbe risultare così:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme[.com] # server origine
# 38.25.63.10 x.acme[.com] # client host x
127.0.0.1 localhost
-Alla fine delle righe contrassegnate da # deve esserci solo questo:
127.0.0.1 localhost
Eliminate altri siti eventualmente presenti, salvate e uscite
|
|
|
|
bond
Average Member
78 Messaggi |
Inserito il - 15/07/2007 : 20:06:11
|
Scusate l'intromissione verificando il mio file Host ho notato questo.
# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme[.com] # source server
# 38.25.63.10 x.acme[.com] # x client host
127.0.0.1 localhost
::1 localhost
Devo cancellare l'ultima riga? (::1 localhost)
Grazie.
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 15/07/2007 : 20:48:29
|
| se non ricordo male ::1 localhost dovrebbe appartenere al loopack del nuovo IPv6, dovrebbe essere legittimo ma servono più info sul sistema operativo che usi( Vista?),il pc appartiene ad una Lan?. |
|
|
|
bond
Average Member
78 Messaggi |
Inserito il - 15/07/2007 : 21:00:21
|
Corretto SO Svista .
Niente Lan. (per il momento)
|
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 15/07/2007 : 23:29:47
|
| allora lascia tutto com'è |
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 16/07/2007 : 00:22:37
|
Citazione:
Messaggio inserito da michal
allora lascia tutto com'è
Mi dai 1 info?
Dov'è che c'è una Lan con implementato il solo protocollo IPv6? |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 16/07/2007 : 00:26:18
|
| nella mia |
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 16/07/2007 : 00:32:12
|
E' l'unica risposta inconfutabile fino a verifica sulla macchina. 
Wikipedia htt ://it.wikipedia.org/wiki/Ipv6
Exctract
Il 20 luglio 2004 l'ICANN ha annunciato[1] che i root server DNS erano stati modificati per supportare sia il protocollo IPv6 che IPv4. Si pensa che il protocollo IPv4 verrà utilizzato fino al 2025 circa, per dare il tempo necessario a correggere gli eventuali errori.
... .
|
|
|
|
spybot
Senior Member
Città: palermo
101 Messaggi |
Inserito il - 16/07/2007 : 01:07:03
|
Citazione:
Messaggio inserito da killbill
Una guidina per Gmer: htt ://[www].pcalsicuro[.com]/main/guida-a-gmer/
La positività di AVS (kaspersky free) alla scansione Panda rilevato come adware è dovuta al fatto che è un software free offerto da AOL (American On Line) in collaborazione con la kaspersky htt ://it.wikipedia.org/wiki/Adware.
Nel tuo log di HJT c'è qualcosa che non quadra.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
Sono elementi disattavati e si possono fixare.
I due codici 09 appartengono all'Uninstall BitDefender Online Scanner v8.
Il codice 02 è sospetto e non identificabile.
StranezzE
C:\VEXPLITE\MONLITE.EXE
C:\VEXPLITE\viritsvc.exe
E' un programma di Virit e di solito si trova in C:\Programmi\
Verificalo se non hai deciso tu d'installarlo in radice di C:\
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
Browseui.dll è un file di sistema di XP, verficane la correttezza di Produttore e versione selezionandolo e poi mouse tasto dx proprietà, perchè è connesso al file Hosts che non riesci ad aprire.
Nel caso dovessi ripristinarlo perchè è un virus che ha sostituito il file originale del sistema operativo ci sono 2 modi:
1)htt*://support.microsoft[.com]/kb/914222/it
2)con il CD del SO inserito da Esegui digiti sfc /scannow per verificare l'integrità dei file di Windows, ovviamente devi usare un CD con XPSP2 come risulta installato ora.
O24 - Desktop Component 0: (no name) - htt*://[www].babbonatale.biz/img/labirinto4.
Hai personalizzato il tuo Desktop con una immagine d'una pagina web on line senza farla risiedere sul tuo pc?
Insisto, perchè non ti fai il Disco di Emergenza (un wizard automatico) con la suite Kaspersky (KIS) + BurtPE, poi scanni il pc dal CD di boot che si produce con quell'utility?
ciao non ti nascondo di essere un po' perplesso, in quanto tu mi dici che ho dei problemi nel log di hjt.., e francamente l'ho potuto riscontrare anch'io facendolo controllare in linea e praticamente si riscontrano le stesse cose che tu mi hai scritto.per quanto riguarda il programma virit io l'ho scaricato nel disco d e l'ho fatto partire da lì per quanto riguarda le altre cose, per me sono un po' difficili, in quanto sto' cercando di imparare ma ancora ho grosse lacune, avrei di bisogno di qualche documento che mi guidi passo passo e di conseguenza capire cio' che sto' facendo senza fare qualcose di meccanico .
per quanto riguarda michal: ho provato come del resto anche sin dall'inizio a fare quesllo che tu mi hai scritto, ma il risultato è sempre lo stesso e cioè non mi fa' modificare il file.
|
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 16/07/2007 : 01:19:53
|
Ovvio, hai ancora LO attivo.
Stavo solo aspettando che tu lo scrivessi per non avere polemica da parte terzi.
Senti Spybot la soluzione + rapida te l'ho scritta già 2 volte in modo esteso e non faccio 3.
Brevemente.
Pc pulito, KIS6, BurtPE, li installi, lanci il wizard del KIS6 per la creazione del disco di emergenza, lo masterizzi con lo stesso wizard che lo produce e pulisci la tua macchina infetta con quel CD di boot.
Quando disinfetto pc terzi arrivo col mio bel CD BurtPE-Kaspersky ed in meno di 1 ora è tutto finito e risolto.
Non m'hai detto se hai come immagine desktop quella immagine web htt ://[www].babbonatale.biz/img/labirinto4.gif che si trova al valore 024 del log di HJT.
Per i log di HJT il sito ufficiale indica cosa sono le varie voci e per imparare "tutto" ci vuole un botto di tempo.
L'inglese è necessario ed ammetto platealmente che lo odio sebbene quello tencico sia + facile del discorsivo.
Sii pragmatico ora, hai un problema, risolvilo, poi casomai lo utilizzi come caso di studio per approfondire le tue conoscenze, tanto i log di HJT, GMER, etc. li hai tutti.
EDIT
Dimenticavo... in onore del tuo nick hai provato a cancellare le stringhe abusive in hosts utilizzando proprio spybot?
Apri spybot, vai sul menù in alto --> Modalità, flagghi Avanzata.
Appaiono 3 sezioni in basso a sx, scegli Utilità, flagghi file Hosts, lo clicchi due volte e si dovrebbe aprire il file Hosts dentro a spybot e non con il notepad.
Se si apre con spybot visualizza il contenuto del file e così puoi provare a levare le stringhe abusive col suo menù di rimozione che trovi in alto previa selezione delle stringhe da eliminare. |
Modificato da - killbill in data 16/07/2007 03:36:05 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 16/07/2007 : 13:54:23
|
Killbill mi deve spiegare da dove rileva LO nel sistema, ma questa è un'altra storia.
visti gli eventi e l'impossibilità di modificare il file host, pur non rilevando nessun maleware dai log che hai postato prova ad utilizzare questo software per l'unico trojan segnalato da bit defender(sconosciuto al mondo):
htt*://research.sunbelt-software[.com]/threatdisplay.aspx?name=Trojan-Agent.AAP&threatid=89784
se non ottieni nessun risultato secondo me non hai nessun maleware da debellare.
qui c'è il programma per la gestione del file host:
htt*://[www].funkytoad[.com]/content/view/13/31/ |
|
|
|
killbill
Senior Member
Nota:
106 Messaggi |
Inserito il - 16/07/2007 : 13:57:18
|
Semplice, dalla serie di errori che ha avuto nell'eseguire i vari software per eliminare rootkit.
Dal blocco reiterato del gile hosts tutt'ora bloccato.
Mi devi spiegare perchè se non ha niente gli rifili altri link per software che eliminano virus.
Una palese contraddizione nevvero? |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 16/07/2007 : 14:03:30
|
il mio è un parere personale, la procedura l'ho consigliata per togliere eventuali dubbi.
IL file non modificabile potrebbe dipendere da tanti fattori, se sai leggere i log di HJt, e Gmer puoi verificare che sono puliti. |
|
|
|
Discussione |
|
problema con il file host
Forum Bloccato
