| Autore |
 Discussione  |
|
|
reveal83
Junior Member
61 Messaggi |
 Inserito il - 20/11/2008 : 20:34:05
|
Salve a tutti...ho un bel problemone con il pc.
Facendo una scansione con avast risulta un virus C:\WINDOWS\System32\AMVO.EXE.
Avast mi chiede se eliminarlo o ignorarlo...io, per paura di compromettere il funzionamento del pc, ho scelto di ignorarlo.
come posso debellarlo?
Grazie a tutti
|
Modificato da - death in Data 21/11/2008 08:17:57
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/11/2008 : 20:38:05
|
Buona sera, era secoli che non lo vedevo il tuo cliente, eliminiamo le cose piu' grosse poi vediamo come procedere, segui questa procedura:
scarica Hijackthis
1) crea una cartella dedicata e scompattalo al suo interno
2) lancia il programma
3) nel menu' di destra clicca su "do a system scan and save a log file"
4) il programma ti rilascerà un file di report in formato txt, salvalo e postalo sul forum secondo il regolamento
poi
scarica Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
per postare i report segui questa scaletta:
1) andare sul sito htt*://[www].savefile[.com]/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]
oppure utilizza questo servizio htt*://[www].wikisend[.com]/
|
 |
|
|
reveal83
Junior Member
61 Messaggi |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 21/11/2008 : 07:34:45
|
Buon giorno, ho controllato velocemente il report, questa sera vedrò di verificare anche hijackthis, per ora ripeti malewarebytes, e rimuovi tutto tranne questa voce:
Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Questa chiave è stata modificata dall'infezione e ti ha disabilitato la visualizzazione dei files nascosti, questo problema te lo sistemo io ripristinando i valori corretti.
EDIT:ho verificato il log di hijackthis..devo dirti che non ho mai visto un log simile, segui queste istruzioni, disconnesso da internet:
Dopo aver fatto le pulizie con malewarebytes e riavviato il pc, apri il blocco note di windows copia/incolla il testo in rosso:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
;
salvalo in C:\ come modifica.reg
tipo di file: tutti i file
chiudi il file, poi doppio click per eseguirlo, accetta le modifiche e riavvia il pc, poi segui questa procedura:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
poi scarica questo file zip,
htt*://[www].mvps.org/winhelp2002/hosts.zip disconnetti di nuovo il pc, estrai sul desktop dal file zip solo il file Hosts, selezionalo, tasto destro del mouse, copia, poi apri la cartella C:\Windows\System32\drivers\etc\ in un punto libero fai incolla, accetta la sostituzione del file hosts esistente, potrebbe darti errori non preoccuparti, riavvia il pc.
Poi esegui queste pulizie:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1) seleziona la casella Select All
2) clicca sul pulsante Empty selected
3) aspetta l'avviso Done Cleaning.
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata.
Riavvia il pc.
Posta un nuovo log di hijackthis. |
Modificato da - death in data 21/11/2008 09:28:01 |
|
|
|
reveal83
Junior Member
61 Messaggi |
Inserito il - 21/11/2008 : 17:24:10
|
Come al solito sei stato di una chiarezza pazzesca.
Ho seguito alla lettera tutte le tue istruzioni e questa è la situazione attuale che mi dà Hijackthis:
htt ://[www].savefile[.com]/files/1897379
Dimmi un pò che te ne pare
PS:
Il software Malwarebytes è alternativo a ad-aware? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 21/11/2008 : 17:42:11
|
Buona sera, vedo finalmente un log di hijackthis umano, avevi tanti di quei permessi a siti poco raccomandabili che sembrava un colabrodo il tuo pc, se non ti scoccia visto che avevi una serie di clienti ostici, vorrei fare una scansione on-line se non risulta nulla dovremmo aver finito, segui questa procedura:
scansione on line con Kaspersky
1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.
La scansione richiede il java della sun e l'accettazione del controllo activex
Per effettuare la scansione, portati sulla pagina di kaspersky, devi avere solo quella pagina aperta, disattiva il tuo antivirus, lancia la scansione, dopo che avrà caricato tutti i files del database e comincerà a scansionare puoi anche disconnettere il pc da internet e lasciarlo lavorare.
Per quanto concerne la tua domanda, malewarebytes così come l'hai utilizzato tu è un programma di rimozione, è ovviamente più potente di ad-aware, se vuoi la protezione in real time devi acquistare la licenza. |
|
|
|
reveal83
Junior Member
61 Messaggi |
Inserito il - 22/11/2008 : 00:02:46
|
Purtroppo non ci sono per nulla buone notizie.
Questo il risultato della scansione con kaspersky:
htt ://[www].savefile[.com]/files/1897807
Illuminami su come agire.
PS: Piccola domanda...avast continua a chiedermi se devo cancellare il file infetto avmo.exe. Lo posso cancellare tranquillamente o rischierei di compromettere il funzionamento del pc? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 22/11/2008 : 00:09:31
|
| Buona sera, per ora non toccare nulla, appena ho un attimo ti posto la procedura, ero sicuro che avesse dei fratellini. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 22/11/2008 : 07:14:53
|
Buon giorno, segui questa procedura:
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\ceb6eu98.bat
C:\ln9.exe
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\kav320.dll
C:\WINDOWS\system32\kav321.dll
D:\ceb6eu98.bat
D:\ln9.exe
E:\ceb6eu98.bat
E:\ln9.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Nota bene: se d:\ e e:\ sono unità esterne i files dovremo rimuoverli a mano. |
|
|
|
reveal83
Junior Member
61 Messaggi |
Inserito il - 22/11/2008 : 10:33:32
|
Premetto subiro che D: e E: sono due partizioni dell'hard disk da me create.
Dopo aver cancellato quei file infetti con Avenger mi si è riavviato il pc; dopo il riavvio mi si è aperto un file di testo che ti posto qui di seguito: htt ://[www].savefile[.com]/files/1898433
Poi ho tentato di entrare nella cartella c:\avenger, ma niente da fare...non riesco piu' ad entrare su nessuna partizione (c:, d:, e:).
Ad es. se provo ad aprire c: mi appare la finestra "Apri con" e mi chiede di scegliere il programma da utlizzare.
Sono nel panico...Che fare?
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 22/11/2008 : 12:32:50
|
Buon giorno, è normale che hai quei problemi, vediamo se riusciamo a risolverli, mi serve che tu faccia una scansione, segui queste istruzioni:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
|
|
|
|
reveal83
Junior Member
61 Messaggi |
Inserito il - 22/11/2008 : 13:21:19
|
Adesso faccio tutto ciò che mi hai detto.
Intanto ho cancellato in tutte le partizioni il file nascosto autorun.inf e finalmente riesco ad entrare tranquillamemnte in c: d: ed e:
Altro problema è che le mie due chavette usb risultano infette...e quindi ho paura che inserendole nel pc lo infettino...mi hanno consigliato di togliere l'autoplay delle periferiche esterne e poi di formattarle...sommo maestro sottoscrivi il consiglio? |
Modificato da - reveal83 in data 22/11/2008 13:41:39 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 22/11/2008 : 17:25:52
|
Buona sera, vedo che ti sei messo avanti, ti chiedo scusa, ma oggi è impossibile restare connessi, le condizioni meteo non lo consentono, per le tue pendrive, collega le pendrive tenendo premuto il tasto SHIFT, evitarai la funzione dell'autoplay, nel caso ci fossero file inf non verranno avviati, poi esegui questa scansione on-line:
htt*://[www].bitdefender[.com]/scan8/ie.html
Elimina tutto quello che il programma ti segnala e posta il report, alcuni file purtroppo non possono essere eliminati, la scansione eseguila sul pc completo. |
|
|
| |
Discussione |
|
Amvo.exe
Forum Bloccato
