| Autore |
 Discussione  |
|
|
gio1977
Senior Member
138 Messaggi |
 Inserito il - 17/09/2008 : 00:22:55
|
ragazi ho preso un malware bds/frauder.fk34, o meglio avira l'ha segnalato ed e' uascita una schermata di avviso virus, che pero' credo sia del malware.
comunque la scansione di avira mi ha dato il seguente esito:
log-avira-gio1977
ps= mi scuso con i moderatori se l'ho inserito in tal modo, ma sono straagitato e non so cosa devo fare x rimuovere tale malware con le conseguenti installazini di virus.
avira li ha messi quarantena , pero' io ho ancora il pc acceso e non ho riavviato.
cosa faccio? chi mi aiuta a rimuoverli senza dover formattare al riavvio del pc e senza aver problemi? inoltre sapreste dirmi come ho fatto a prenderli??
grazie
|
Modificato da - Yves in Data 17/09/2008 06:02:18
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 17/09/2008 : 01:03:47
|
con hijackthis ho fatto la scansione mentre sono infetto e mi ha trovato questo:
log-hijackthis-gio1977
come vedete ho 4 proposte da eliminare, anche svchost.exe. li posso eliminare tranquillamente e riavviare?? o rischio di non riaccendere + il pc??
scusate se posto tutto con copia /incolla ma sono fermo e non so cosa fare..
aiutatemi please..
[edit] Postate i log come suggerito nel regolamento, cioè caricandoli su siti appositi e postando solo il link ad essi qui. In oltre postate il log come vi fornisce Hijackthis, non il risultato della scansione su [www].hijackthis.de , più complicato da interpretare visto che ha già commenti inseriti. [/edit]
|
Modificato da - Yves in data 17/09/2008 05:58:50 |
 |
|
|
erjvvj
Advanced Member
265 Messaggi |
Inserito il - 17/09/2008 : 03:59:04
|
Però non c è male.. Scherzo
Innanzitutto scarica Sophos e Regseeker da questa ottima guida fornita da Admin htt*://[www].notrace.it/guida-sicurezza-informatica.htm.
Entra in modalità provvisoria,disattiva temporaneamente gli anivirus ed esegui una prima pulizia del registro con Regseeker.
Riavvia in modalità normale installa sophos ed eseguilo facendo scansione.
Da qui scarica Stinger htt*://vil.nai[.com]/VIL/stinger/ ( ottimo tool per eliminare trojan e backdoor )ed esegui la scansione salvando il report.
Fai una scansione on line con Kaspersky htt*://[www].kaspersky[.com]/virusscanner e scarica Combofix e jv 16 power tools htt*://[www].macecraft[.com]/
Riavvia il sistema in modalità provvisoria e perfeziona la pulizia del registro con jv 16 ( sono tutti software free e di facile utilizzo ).
Terminata questa avvia Combofix ( ti chiederà se voui pulire il registro e risponderai j ) e salva il LOG.
Riavvia il sistema , esegui pulizia con CCleaner htt*://[www].ccleaner[.com]/, scansione con Hijack e posta i log:
1.Stinger
2[.com]bofix
3.Hijack This secondo norme su htt*://[www].sendmefile[.com]/
|
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 17/09/2008 : 09:26:46
|
Ciao Yves.
grazie x le dritte
ascolta il primo link, ch mi hai dato non e' attivo, mi da che la pagina di no trace non esiste +..
inoltre volevo chiederti se prima di riavviare, devo per caso Fixare le 4 voci che HiJackthis mi ha trovato con la x rossa, le fixo prima di riavviare in modalita' provvisoria?
o no?
le 4 voci sono:
-C:\WINDOWS\system32\drivers\svchost.exe
-C:\DOCUME~1\G&B\IMPOST~1\Temp\ofqbkfdg.exe
-O4 - HKLM\..\Run: [inrhc3n9j0ev6v] C:\Documents and Settings\G&B\Impostazioni locali\Temp\.ttC.tmp.exe /CR=5F8C0875B49BA02BB503A8EC828A17BC831CA57E6F666FA7F28A52DCFFE3BD738BF19DE1C7E5 CCC329ED0B9B4D40280034D2CEE5A85A0D72E8163C2259D5BFC6614F82E0480CA5FB654E9A30FE9E A8CAA5 Forse sospetto (2.75 / 5.00)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
-O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
le devo fixare e poi fare riavvia e alla partenza fare F8 e partire in provvisoria??
inokltre questi file malware e trojan, li ha presi avira e li ho in quarantine.
pero vedo che ogni tanto avira mi blocca dei filr AKR11.tmp, AKR12.tmp...che sono??
attendo tue info se devo fixare o no, non vorrei che non parta + i pc oppure devo fixarli e fare la scansione cn i programm che mi hai dto in modalita' provvisoria dopo che ho fixato le 4 voci??
ciao e grazie
|
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 17/09/2008 : 09:31:16
|
Yves ma una domanda, e' possibile che in un mese l'ho prso 2 volte sto virus o malware che si chiami, e sempre dopo che mia moglie ha guardato le se email circa 15 minuti prima?? quando lo becco mi avvisa e mi esce anche una schermaa rossa centrale(penso fasulla dovuta al malware) con scritto:Warning spyware detected in your computer: 2 virus DANGER e sotto una barra con scritto please active your antivirus software clean, ma io la barra non la clicco e la finestra cosi come descritta mi rimane li al centro del desktop e il desktop e' di sfondo bianco.
come mai ho bevcato la stessa cosa in 1 mese?? e' dovuto a mia moglie che giura di non aver scaricato nulla, oppure lo prndo da qualche altra parte???
sai darmi delucidazioni anche su questo?
ciaoooo |
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 17/09/2008 : 12:25:48
|
ciao
ho fatto tutte le scansioni possibili con i programmi suddetti, tranne sophos, in provvisoria e mi ha trovato un trojan backdorr in wndows/system32/svchost.exe e l'ho rimosso.
poi ho fatto la pulizia del registro
poi ho preso hijackthis e fatt il log, e mi sembrerebbe a posto, analizzandolo le 4 x pericolose sono sparite. voi cosa dite? guardate qui sotto.
ps= mi scuso ancora ma non sono riuscito con il sito send me a postare il mio file.txt.cosa sbaglio?, allora lo metto ancora per l'ultima vola come C/I.
RISLULTATO LOG DOPO RIAVVIO:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.18.20, on 17/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\NOTEPAD.EXE
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].tgcom.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*://go.microsoft[.com]/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://go.microsoft[.com]/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - htt*://gfx2.hotmail[.com]/mail/w3/pr01/resources/MSNPUpld .cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
cosa ne dite? posso stare tranquillo?
ma sto malware dove l'ho preso??? x curiosita'... |
|
|
|
druso
Advanced Member
Città: Roma
497 Messaggi |
Inserito il - 17/09/2008 : 12:50:49
|
Ciao Gio, il log sembra pulito. Per quanto riguarda il virus, si tratta di un Backdoor Server non molto pericoloso. Come l'hai preso...beh è un pò difficile dirlo  |
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 17/09/2008 : 22:34:04
|
ciao druso.
ho riacceso stasera il notebook e sembra tutto ok.
ho rifatto il log con hithis e mi sembra corretto, nessuna voce pericolosa.
potresti in parole povere dirmi dove ho pescato questo malware, 2 volte in 1 mese?
potrebbe essere mia moglie con le email? o io con il m**o o con msn??
ti sarei grato se mi spiegassi...
ciao gio |
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 17/09/2008 : 22:46:48
|
druso...ho pero' delle sensazioni strane.
ossia, se provo a entrare in hotmail, per vedere la mia posta, mi rimane li in fase di caricamento..pero' dopo mi ecse pagina nulla.
se poi vado su pagine come kapersky online x provare a fare scansione online, mi da errore di pagina
ed anche se vado nei siti dove scaricare programmi tipo sophos o altri spyeware, dove c'e' il link de download, mi si interrompe e non mi parte il download.
che strano..mi sembra che mi blocchi molte cose durante la navigazine.
secondo te cosa puo' essere??? come mai non riesco a vedere la mia posta in hotmail?? e poi continui blocchi di pagine internete download??
ciao gio |
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 17/09/2008 : 23:18:23
|
druso..sai cosa ho notato, che oltre a bloccarmi alcuni siti o download e non riesco ad entrare nella mia casella di posta hotmail, se vado su google e faccio una ricerca di qcosa e lui dopo mi mostra i vari link trovati, se clicco su uno qualsiasi, anziche aprirsi quello li descritto su google, mi si aprono alcune pagine di varie pubblicita' o argomenti che non so dove arrivino. come mai???
PER ESEMPIO:
se provo ad andare qui:
MSN Hotmail - Contattare Hotmail
... puoi segnalare il problema utilizzando il modulo per la richiesta di supporto. Risponderemo entro 24 ore. Altre opzioni per contattare MSN Hotmail: ...
[www].hotmail.msn[.com]/cgi-bin/dasp/ua_info.asp?lc=1040 - 15k - Copia cache - Pagine simili
sai cosa mi da?:prima go.google[.com] e poi sbito mi porta ad una pagina: htt*://[www].blinkx[.com]/category/sports?adid=02-107-222-300-404-x-541&p=1
ma che cavoli succede???
inoltre mi sembra che i caratteri delle varie pagine che apro non siano mai della stessa grandezza e poi avevo il desktop sfondo blu, ho provato a rimettere la mia foto come sfondo, ma non me lo lascia fare...:-O
come mai?
eppure se scasniono con haickthis o spyware terminator non trova nulla. e anche con avira antivirus.
aiutatemi per favore a chi mi puo' spiegare cosa ho ancora che mi rogna nel pc. |
|
|
| |
Discussione |
|
cosa faccio?? aiuto please...
Forum Bloccato
