| Autore |
 Discussione  |
|
pinki
Senior Member
150 Messaggi |
Inserito il - 01/08/2008 : 23:30:31
|
|
Ora provo. |
 |
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 02/08/2008 : 00:39:21
|
posto il link dove si trova il log di system scan, in modalità provvisoria è andato...
htt*://[www].sendmefile[.com]/00642801
Attendo risposte, grazie infinite. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
 Inserito il - 02/08/2008 : 02:44:31
|
Scarica Avenger e CCleaner
Apri il blocco note e nella pagina copia/incolla:
Citazione:
Windows Registry Editor Version 5.00
[HKey_Current_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lphcj3jj0eg6e"=-
salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file
Crea una nuova cartella in c:\ e chiamala pippo
Esegui avenger e nella finestra copia/incolla tutta la citazione:
Citazione:
files to delete:
C:\0xf9.exe
C:\WINDOWS\system32\lphcj3jj0eg6e.exe
C:\WINDOWS\system32\blphcj3jj0eg6e.scr
C:\WINDOWS\temp\updateop.xml
C:\DOCUME~1\Utente\IMPOST~1\Temp\.tt134.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\.tt16.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\.tt21.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\.tt27.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\.tt17.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\.tt19.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\.tt3F.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\.tt23.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\.tt13.tmp
C:\DOCUME~1\Utente\IMPOST~1\Temp\.tt1F.tmp
folders to delete:
C:\Programmi\rhcn3jj0eg6e
C:\Documents and Settings\Utente\Dati applicazioni\rhcn3jj0eg6e
files to move:
C:\WINDOWS\system32\bdod.bin | c:\pippo\bdod.bin
C:\Bug.txt | C:\pippo\Bug.txt
registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lphcj3jj0eg6e
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcn3jj0eg6e
programs to launch on reboot:
c:\fix.reg
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).
Svuota C:\WINDOWS\Prefetch
Posta un nuovo systemscan e il rapporto di avenger
non toccare i files nella cartella pippo.. "oggi" ti dico cosa fare.
ciao
edit: nel file di testo, ho scritto per esteso "HKey_Current_User"
|
Modificato da - Sibilla in data 02/08/2008 11:46:57 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/08/2008 : 12:17:34
|
Buon giorno a tutti..messaggio fuori tema...Sibilla prima o poi la disney ci chiede i danni... |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 02/08/2008 : 12:39:29
|
[OT]
dede,
pippo, pluto... sono sempre loro...
si accettano suggerimenti per altri nomi ...
|
|
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 02/08/2008 : 16:26:06
|
Sibilla, grazie mille.
Ma quello che mi dici di copiare e incollare, semplicemente lo incollo in un blocco note che creo io da zero, vero?
Non ti riferisci ad un blocco note in particolare di qualcosa? ho capito bene?
scusa anche questa domanda: quando dici "Esegui avenger e nella finestra copia/incolla tutta la citazione"
Parli di una finestra di AVENGER? non conoscendo il programma....
Grazie ancora... |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/08/2008 : 16:27:58
|
| Buona sera a tutti, il testo lo incolli in un file del blocco note di windows, apri un nuovo file e fai copia e incolla, in quanto ad avenger quando lo lanci e si apre vedi la finestra bianca con lo spazio per incollare lo script, sembra difficile ma non lo è. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 02/08/2008 : 17:11:44
|
ok.
continuo con le indicazioni che non ho scritto stanotte
vai su Virustotal e analizza il file c:\pippo\bdod.bin. Posta i risultati caricandoli su Savefile. Posta il link
NOTA: se non lo trovi, cercalo in C:\WINDOWS\system32\bdod.bin
Da systemscan risulta che hai eseguito combofix 2 giorni fa. Carica anche questo rapporto, cortesemente (lo trovi in c:\)
--- ... ---
poi, carica su savefile il file C:\pippo\Bug.txt e inviami il link con un messagguio privato (mi raccomando)
NOTA: se non lo trovi, cercalo in C:\Bug.txt.
|
|
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 02/08/2008 : 18:08:58
|
Ora faccio tutto...ma io due giorni fa ho solo provato a far partire combo fix, diceva hce la versione era scaduta e che dovevo scaricarne un'altra, cosa che non ho fatto per via del virus che mi blocca la connessione a internet.
|
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 02/08/2008 : 19:39:53
|
capito..
avevo visto un rapporto, per questo te lo chiedevo
|
|
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 02/08/2008 : 23:36:24
|
Allora Sibilla,
eccoti i link dove trovi i logi di avenger e system scan
htt*://[www].sendmefile[.com]/00642916
htt*://[www].sendmefile[.com]/00642917
per quanto riguarda COMBOFIX ti ho già risposto in un post prima di questo...eventualmente la scarico adesso e la trasferisco tramite disco sul pc infetto...poi ti metto il log...
per VIRUSTOTAL invece, non saprei come fare...dal pc infetto non accedo a internet e non so se è prudente trasferire la cartella PIPPO su cd e metterla nel mio laptop...dimmi tu...
Grazie mille di nuovo. |
|
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 02/08/2008 : 23:58:11
|
Ti metto il link del log di ComboFix che ho appena ottenuto
htt*://[www].sendmefile[.com]/00642919 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 03/08/2008 : 00:15:57
|
pinki... non ti ho mai detto di eseguire combofix, però..
... vediamo cosa esce..
edit: systemscan è pulito
combofix ha eliminato... C:\InfoSat.txt
da hijackthis fixa: O8 -: &Search - ?p=ZN
Riguardo la rete,
Citazione:
~~~~~~~~~~~ TCP/IP network configuration ~~~~~~~~~~~
Si è verificato un errore interno: Richiesta non supportata.
Contattare il Servizio supporto tecnico Microsoft per ulteriori informazioni.
Informazioni aggiuntive: impossibile recuperare i parametri DHCP.
-----HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
\{0B001A17-2AEB-4958-87D5-8BB98A64A57D} NameServer= 85.37.17.15,85.38.28.74
\{1E17D5F0-5BE4-47A6-A5B3-5CE06B47F993} NameServer= 212.216.112.112,212.216.172.62
\{43034A3D-E981-49DD-810C-61B53230A8D9} NameServer= 212.216.112.112
e qui viene il bello..
cerca tcpip.sys nel pc e postami i percorsi (devi solo cercarlo) |
Modificato da - Sibilla in data 03/08/2008 00:49:05 |
|
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 03/08/2008 : 10:37:39
|
Scusami, per Combo Fix pensavo di fare una cosa giusta....
Ho già messo in ricerca quel file che mi chiedi....speriamo lo trovi...
|
|
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 03/08/2008 : 10:43:30
|
|
C:\Documents and Settings\Utente\Documenti\Vecchio Pc\Da copiare\Docu\Dati\WINDOWS\SYSTEM32\DRIVERS |
|
|
|
Discussione |
|
VIRUS "ANTIVIRUS XP"
Forum Bloccato
