| Autore |
 Discussione  |
|
apanteri
New Member
48 Messaggi |
 Inserito il - 09/12/2008 : 14:21:24
|
come mi ha detto death ho scaricato i programmi ed eseguito le procedure.questi sono i logfiles
htt*://[www].savefile[.com]/files/1922447 FILE HIJACK
htt*://[www].savefile[.com]/files/1922451 file LopSD
htt*://[www].savefile[.com]/files/1922454 malwarebites log
grazie anticipatamente per l'interesse
questa era la discussione originale htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=12703 si continua su questa, devi cliccare su "rispondi e non su nuova"
|
Modificato da - death in Data 09/12/2008 14:26:14
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/12/2008 : 14:28:19
|
| Buon giorno, ho sistemato le discussioni, rifai la scansione con malwarebytes e rimuovi tutto, poi nel tardo pomeriggio ti do' le altre istruzioni. |
 |
|
|
apanteri
New Member
48 Messaggi |
Inserito il - 09/12/2008 : 19:05:49
|
fatta scansione e rimosso tutto
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/12/2008 : 19:48:09
|
Buona sera, esegui questo tool htt*://[www].symantec[.com]/security_response/writeup.jsp?docid=2006-092316-4153-99
esegui questo secondo tool htt*://[www].prevx[.com]/gromozon.asp
poi segui questa procedura:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata
riavvia il pc e fai una scansione con questo programma:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
|
Modificato da - death in data 10/12/2008 12:39:36 |
|
|
|
apanteri
New Member
48 Messaggi |
Inserito il - 10/12/2008 : 14:04:04
|
| non riesco ad eseguire il tool FixLinkopt..mi dice: must be executed from SAVE boot mode only. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 10/12/2008 : 14:18:04
|
Buon giorno, devi eseguirlo in modalità provvisoria, per andare in modalità provvisoria, segui lo specchietto:
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
EDIT: malwarebytes ti ha rimosso una chiave di registro infetta, per evitare problemi te la ricreo io, segui le istruzioni:
apri il blocco note di windows, copia/incolla il testo in blu
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"StartMenuLogOff"=dword:00000000
;
salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file
chiudi il file, doppio click per eseguirlo, accetta le modifiche al registro e riavvia il pc. |
Modificato da - death in data 10/12/2008 17:22:04 |
|
|
|
apanteri
New Member
48 Messaggi |
Inserito il - 11/12/2008 : 07:32:01
|
bongiorno.ho fatto tutto,ecco il report.grazie.
htt*://[www].savefile[.com]/files/1925309 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 11/12/2008 : 08:09:45
|
Buon giorno, appena ho un attimo ti controllo il report, poi cortesemente mi fai sapere se i 2 tool hanno rilevato qualcosa.
EDIT:
1) il report di systemscan non è completo, quando lanci il programma ci devono essere lu spunte su tutte le caselline, rieseguilo per cortesia
2) questo user è tuo ingIdHkiH ?
3) postami questo log C:\gromozon_removal.log |
Modificato da - death in data 11/12/2008 08:19:19 |
|
|
|
apanteri
New Member
48 Messaggi |
Inserito il - 11/12/2008 : 13:09:37
|
| allora..systemscan l'ho mandato stanotte,ora lo rifaccio.il secondo tool mi riavvia il computer ma non mi fa un report,probabilmente non l'ho fatto funzionare..(il primo tool mi ha detto che non c'è un linkoptimizer nel mio computer).quell'user non lo conosco,e quel log non te lo posso postare perchè è vuoto.. |
|
|
|
apanteri
New Member
48 Messaggi |
Inserito il - 11/12/2008 : 13:21:42
|
| il fatto che questo computer è in una rete lan(con sever aziendale) può far sì che ci possa essere quell'user? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 11/12/2008 : 13:24:58
|
Potrebbe essere una valida spiegazione della presenza dello user, te l'ho chiesto perchè linkoptimizer solitamente crea uno user nuovo con nomi random formati da lettere, in ogni caso controllo su systemscan la data di creazione e le eventuali cartelle che ha, se non c'e' nulla di infetto, lo lasciamo li dove si trova.
Per renderti edotto:
23/06/2008 16.30.08 (DIR) 0 byte 170 days old -- ingIdHkiH
è del 23 giugno, quindi presumo sia dell'amministratore di rete, a meno che tu avessi già l'infezione a giugno. |
Modificato da - death in data 11/12/2008 13:27:12 |
|
|
|
apanteri
New Member
48 Messaggi |
Inserito il - 11/12/2008 : 18:27:45
|
| purtroppo non riuscirò a finire fino a lunedì..una domanda,come mi comporto con gli aggiornamenti automatici di windows?li ha scaricati e nell'installazione personalizzata mi dice che ci sono problemi di protezione causa utenti remoti non autenticati e codici arbitrari.ha a che fare con le procedure che ho messo in atto?li devo eseguire o annullare? grazie inoltre per tutto il resto. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 11/12/2008 : 19:47:46
|
| Buona sera, la prima cosa da fare, dovresti sentire chi si occupa dei pc aziendali e capire se l'account è dell'amministratore di rete, dall'errore che mi dici, direi che l'errore è provocato dall'infezione, considerando il nome che ha, e ovviamente sta infastidendo le normali procedure di aggiornamento, vedi se riesci a reperire queste informazioni, non posso farti eliminare uno user senza informazioni, magari altri lo farebbero, io non mi sento di farti fare una procedura simile senza dati certi, in ogni caso ci è rimasta la soluzione combofix per vedere se sono rimasti problemi, aspetto systemscan poi ci aggiorniamo. |
|
|
|
apanteri
New Member
48 Messaggi |
Inserito il - 15/12/2008 : 13:52:20
|
| niente da fare,systemscan si blocca al punto 9(loaded modules)..... ho gia provato diverse volte ma si ferma sempre li.. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/12/2008 : 13:56:56
|
Buon giorno, rifai systemscan e togli la spunta al passaggio 9, se si ripianta, elimina la spunta ai passaggi che danno problemi, quando posti il report scrivimi cosa non hai eseguito così evito di spulciare l'elenco.
EDIT: dopo le pulizie con malwarebytes hai ancora avuto segnalazioni dell'infezione oppure il pc funziona correttamente?
|
Modificato da - death in data 15/12/2008 14:11:33 |
|
|
|
apanteri
New Member
48 Messaggi |
Inserito il - 15/12/2008 : 17:45:41
|
grazie.
no dopo malwarebytes è tornato tutto normale.. |
|
|
|
Discussione |
|
linkoptimizer 2
Forum Bloccato
