Win32 aiuto - Sicurezza Informatica - NoTrace Security Forum

NoTrace Security Forum

Nome Utente:	Password:
Salva Password
Password Dimenticata?

Tutti i Forum

Virus

Virus News

Win32 aiuto

Forum Bloccato

Versione Stampabile

Aggiungi Segnalibro

Autore

Discussione

limba864
Senior Member

217 Messaggi

Inserito il - 14/10/2007 : 10:12:26

Ho fatto la scansione con avast che mi ha rilevato il seguente virus Win32:obfuscated-BML[try] nel seguente file C:Windows\Sistem32\tsglcupg.bak[upx]. Lo riconosce ma non mi consente di ripararlo o eliminarlo. Cosa posso fare? Non sono un esperto di pc. Vi ringrazio per l'aiuto.

michal
Moderatore

Città: Conversano

2403 Messaggi

Inserito il - 14/10/2007 : 10:29:59

fai una scansione con Virit da provvisoria disconnesso da internet e Avast disattivato
htt*://[www].tgsoft.it/italy/index_ita.html
poi
posta un log di Hijackthis htt*://[www].trendsecure[.com]/portal/en-US/threat_analytics/hijackthis.php#
metti il programma in un cartella dedicata in c:\programmi\Hijackthis
lancia,clic su Main menù e poi sul tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare
secondo le regole che trovi nella mia firma

limba864
Senior Member

217 Messaggi

Inserito il - 15/10/2007 : 10:43:21

hijackthis243.log
Questo è il log che ho postato. speriamo di aver fatto bene. ti ringrazio per la risposta.

Leleago
Advanced Member

Tanto impegno, buona volonta ma capacità di analisi malware da migliorare.

1918 Messaggi

Inserito il - 15/10/2007 : 12:54:34

disattiva ripristino configurazione di sistema
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok

apri hijack e spunta:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [mbxvs] "C:\DOCUME~1\Antonio\IMPOST~1\Temp\1270437.exe"
O4 - HKCU\..\Run: [mbxvs] "C:\DOCUME~1\Antonio\IMPOST~1\Temp\1270437.exe"

clicca su FIX CHECKED

scaricare Ccleaner htt*://[www].ccleaner[.com]/download/
Lanciare il programma, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore, eseguire l’operazione “analizza-->avvia” due volte.
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato

limba864
Senior Member

217 Messaggi

Inserito il - 15/10/2007 : 15:30:47

Siete dei grandi. Grazie. adesso però qundo avvio Windows Xp si apre sempre la cartella dei "documenti". come posso fare per evitare ciò?. Grazie per la risposta.

michal
Moderatore

Città: Conversano

2403 Messaggi

Inserito il - 15/10/2007 : 20:42:10

non è risolto c'è questa da pulire

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\siemens-driver.ex e",userinit.exe

start/esegui/regedit ok
aiutandoti con il segno + portati su questa chiave:
HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \
trova la voce Userinit ci sarà scitto:
c:\windows\system32\siemens-driver.exe"
devi modificarla (click tasto destro modifica) e scriverci:
c:\windows\system32\userinit.exe, (virgola compresa)
Presta attenzione nel fare questa operazione perchè se sbagli il pc non riparte più.
trova l'eseguibile siemens-driver.exe ed elimina.
Riposta un nuovo log.

Leleago
Advanced Member

1918 Messaggi

Inserito il - 16/10/2007 : 07:01:04

dopo aver fatto quello che ti ha detto michal fixa anche questa voce:
R3 - Default URLSearchHook is missing

p.s. l'eseguibile siemens-driver.exe lo trovi in c:\windows\system32

Ricordati prima di cercarlo di abilitare la funzione visualizza file e cartelle nascosti (htt*://[www].megalab.it/articoli.php?id=89).
Una volta eliminato quel file disattiva la visualizzazione di file e cartelle nascoste.

Modificato da - Leleago in data 16/10/2007 07:04:57

limba864
Senior Member

217 Messaggi

Inserito il - 16/10/2007 : 08:25:37

Adesso sembra che tutto vada bene.vi ringrazio tanto.ecco l'indirizzohijackthis249.log

aris73
Advanced Member