| Autore |
 Discussione  |
|
pcolino
Average Member
78 Messaggi |
 Inserito il - 16/11/2008 : 12:46:15
|
Salve a tutti.. Pc formattato da poco (xp sp2)
A parte il fatto che sia firefox che IE MI APROno parecchi advertise..
ho fatto una scansione con malwarebites che mi ha rimosso parecchie cose.. vedi foto..
ora pero' seprovo ad aprire c: o k:(un mio hd esterno)
mi da l'errore scritto in oggetto.
che posso fare??
vedo che in malvarebites c'e' questo resycled\boot[.com]
help per favore.. grazie mille
htt*://i37.tinypic[.com]/20u7i3p.jpg
|
Modificato da - death in Data 18/11/2008 09:25:27
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/11/2008 : 12:48:41
|
Buon giorno, facciamo un controllo veloce, esegui questa procedura:
scarica Hijackthis
1) crea una cartella dedicata e scompattalo al suo interno
2) lancia il programma
3) nel menu' di destra clicca su "do a system scan and save a log file"
4) il programma ti rilascerà un file di report in formato txt, salvalo e postalo sul forum come quello di malewarebytes
|
 |
|
|
pcolino
Average Member
78 Messaggi |
Inserito il - 16/11/2008 : 13:00:44
|
death.. grazie mille.. vedo che su internet cisono diverse pagine su questo problema..
htt*://rapidshare.de/files/40921628/hijackthis.log.html
strano che rompa anche ad uno dei 2 hard disk esterni, in uello dove ci sono solo file .flv di youtube
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/11/2008 : 13:11:57
|
Ho dato uno sguardo, un file nella directory temp in esecuzione e un exe che non esiste in esecuzione, il tuo problema è noto sul web, hai ragione, solo che bisogna rinuoverlo a manina, quindi esegui questa procedura:
scansione on line con Kaspersky
1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.
La scansione richiede il java della sun e l'accettazione del controllo activex
Per effettuare la scansione, portati sulla pagina di kaspersky, devi avere solo quella pagina aperta, disattiva il tuo antivirus, lancia la scansione, dopo che avrà caricato tutti i files del database e comincerà a scansionare puoi anche disconnettere il pc da internet e lasciarlo lavorare.
poi
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
Per postare i report, cortesemnte utilizza questa scaletta:
Altra alternativa
1) andare sul sito htt*://[www].savefile[.com]/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file:]
oppure utilizza questo servizio
htt*://[www].wikisend[.com]/
|
|
|
|
pcolino
Average Member
78 Messaggi |
Inserito il - 16/11/2008 : 16:34:55
|
kaspersky
htt*://[www].savefile[.com]/files/1889051
suspect file
htt*://[www].savefile[.com]/files/1889053 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/11/2008 : 17:47:56
|
Buona sera, segui la procedura con calma e con l'hard disk esterno collegato:
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\autorun.inf
K:\autorun.inf
C:\WINDOWS\Temp\tmp2F.tmp
C:\WINDOWS\Temp\tmp3EE.tmp
C:\WINDOWS\Temp\tmp3F.tmp
folders to delete:
C:\resycled
K:\resycled
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Visualizza i files nascosti
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
Poi vai su questo sito htt*://[www].virustotal[.com]/it/ clicca su sfoglia e cerca questi files nel tuo computer (vedi sotto) clicca su invia file, il sito scansionerà il file e ti rilascerà un report, salvalo in formato testo fino alla riga md5 compresa e postalo sul forum.
C:\WINDOWS\system32\kdeoz.exe
C:\WINDOWS\Temp\tempo-6E5.tmp
C:\WINDOWS\temp\tempo-C23.tmp
Conosci questo dominio o indirizzo ip?
HKLM\System\CCS\Services\Tcpip\..\{377FCC6C-D19F-421A-A5DE-260A876B9464}: NameServer = 85.255.112.166;85.255.112.185
Riesegui systemscan e lascia il flag o segno di spunta solo su "Recent files" e su "Registry run keys"
Posta il report come quello precedente
Presumo che i files sull'hard disk esterno dovremo rimuoverli a mano, io li ho lasciati in avenger comunque. |
Modificato da - death in data 16/11/2008 17:50:54 |
|
|
|
pcolino
Average Member
78 Messaggi |
Inserito il - 16/11/2008 : 18:00:05
|
intanto prima news. fatto avenger e su c:// oa nn da piu errore.. rimane su K (hd esterno)
continuo quello che mi hai detto di fare.
quanto alla quarantena di malwarebites, ma quelli che significa in quarantena che sono gia eliminati o li toglie lui dopo 40 giorni?  |
|
|
|
pcolino
Average Member
78 Messaggi |
Inserito il - 16/11/2008 : 18:15:58
|
allora gia detto di avenger..
i file in questione nn ci sono.. l'exe gia avevo provato a cercarlo
prima e nn c'era.
i 2 temp neanche ci sono (nn so se nel frattempo li ho eliminati con cc cleaner)
suspect file 2 htt*://[www].savefile[.com]/files/1889151
l'ip nn mi dicenulla.. cercato su un sito mi da questo , ma nn so se e' attendibile
IP Address Information
IP Address: 85.255.112.166
Hostname:
Obfuscated IP Address: 1442803878
IP Reverse:
Remote Port: 3292
IP Location Information
Country: Ukraine (UA)
State or Province: 07
City or Town: Kharkiv
Latitude: 50
Longitude: 36.25
Internet Service Provider: Inhoster hosting company
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/11/2008 : 18:28:21
|
| Allora, su k:\ fai la procedura manuale e rimuovili a mano, poi verifichiamo che non siano più presenti in c:\, per quell'indirizzo ip, te lo fixo in avvio, deve essere il regalo di qualche ospite che avevi sul pc. Dopo ti posto la procedura. |
|
|
|
pcolino
Average Member
78 Messaggi |
Inserito il - 16/11/2008 : 19:20:06
|
CIAO.
ho provato a fare a manoi su K: con un semplice canc di autorun.inf e della cartell resycled. ma poi se vado a cliccare su k: mi dice stavolt che nn trova il boot[.com]
eppure avenger nn ha ftto un semplice delete x c: ??
come devo fare per k ?
a dopo
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/11/2008 : 22:27:37
|
Allora, qui la situazione è un poco complessa, nel senso che ogni volta che colleghi l'unità esterna rischi di infettare c:\, facciamo questo tentativo, collega l'unità esterna e tieni premuto il tasto SHIFT, in questo modo non partirà l'autoplay, poi da Start>>> esegui >>> digita
del K:\autorun.inf
del K:\resycled
una istruzione alla volta ovviamente, poi stacca l'unità esterna, riesegui il mio avenger, poi riprova sempre con lo SHIFT premuto a ricollegare l'unità esterna.
Nota: se fosse possibile, evitare di scrivere in post usando abbreviazioni o scrivere in stile sms te ne sarei enormemente grato, già è difficile per noi lavorare su pc a distanza se poi ancora dobbiamo interpretare i vostri post diventa un'impresa senza fine.
Ti ricordo inoltre che ai senti dell'art 4 punto 15 del regolamento è vietato scrivere in stile sms o abbreviato.
|
Modificato da - death in data 16/11/2008 22:47:29 |
|
|
|
pcolino
Average Member
78 Messaggi |
Inserito il - 17/11/2008 : 17:33:56
|
ciao. ti chiedo scusa. a parte k e c le unita' di volume, non ho scritto abbreviato.. si mangia qualche carattere la tastiera. ma cerchero' di porre piu'attenzione
da esegui se faccio "del" mi dice impossibile trovare il file del.
se li cancello a mano da K , si cancellano, ma poi andando aprire K , mi dice che non trova piu' boot[.com] come ti avevo scritto.
noto invece che ho ancora un dnschanger nel registro (lo trova spybot) e anche se lo correggo da li mi riappare. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 17/11/2008 : 17:48:01
|
Buona sera, forse mi sono espresso male, collega l'hard disk esterno tenendo premuto il tasto SHIFT poi da start >> esegui devi scrivere uno alla volta:
del K:\autorun.inf poi dai invio
del K:\resycled poi dai invio
Il dns changer lo so che è presente, è quell'indirizzo ip che ti ho chiesto se conoscevi.
Rifai una scansione con malewarebytes con l'unità esterna collegata e posta il report. |
Modificato da - death in data 17/11/2008 17:59:53 |
|
|
|
pcolino
Average Member
78 Messaggi |
Inserito il - 17/11/2008 : 18:27:14
|
hijackthis attuale
htt*://[www].savefile[.com]/files/1890563
il dnschanger e' kdtuo.exe nn so se quello e' il responsabile di tutti gli advertisement di pubbicita' che si aprono.
per hard disk K invece sono fermo come prima. |
|
|
|
pcolino
Average Member
78 Messaggi |
Inserito il - 17/11/2008 : 18:29:12
|
no ti sei spiegato bene credo.
e'solo che da start esegui digitando del k:/ecc.ecc. dice che non esiste il file del.
htt*://[www].savefile[.com]/files/1890575
htt*://[www].savefile[.com]/files/1890576
faccio malwarebites intanto. |
Modificato da - pcolino in data 17/11/2008 18:45:23 |
|
|
|
pcolino
Average Member
78 Messaggi |
Inserito il - 17/11/2008 : 19:06:09
|
malwarebites
htt*://[www].savefile[.com]/files/1890609 |
|
|
|
Discussione |
|
Zlob.DNS Changer - Resycled\boot[.com] - autorun.inf
Forum Bloccato
