| Autore |
 Discussione  |
|
teschio
Advanced Member
301 Messaggi |
 Inserito il - 15/12/2008 : 09:31:55
|
Ragazzi ciao, il mio pc ci è cascato ancora...virus acchiappato!
Premetto che non funziona più AVG, non riesco a fare scan online con bitdefender e con kaspersky, l'unica cosa è questo log che vi posto!
si aprono parecchi pop-up mentre navigo.
grazie
htt*://freefilehosting.net/download/432fc
|
Modificato da - death in Data 16/12/2008 13:35:09
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/12/2008 : 09:56:31
|
Buon giorno, prova a seguire questa procedura:
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
poi
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt |
 |
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 15/12/2008 : 12:53:24
|
con Malwarebytes a metà scansione mi si spegne il pc, non so come mai!!!
ecco il log LopSD
htt*://freefilehosting.net/download/432i5
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 15/12/2008 : 13:04:32
|
Buon giorno, fai la scansione con malwarebytes in modalità provvisoria, seleziona modalità provvisoria semplice non quella con rete.
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Edit: mi serve malwarebytes per eliminare queste 3 simpatiche voci:
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAF7C47E-AD12-4CB7-999B-D05D4E92F1A9}: NameServer = xxxxxxxxxxxxxxxxxxxxxxxxx
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = xxxxxxxxxxxxxxxxxxxxxxxxxx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = xxxxxxxxxxxxxxxxxxxxxxxxxx
Se non funziona neppure in provvisoria appena arrivo a casa ti posto una procedura con un tools apposito, trovo solo strano che siano queste voci a farti spegnere il pc.
|
Modificato da - death in data 15/12/2008 13:15:03 |
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 16/12/2008 : 13:12:19
|
Son riuscito, ecco il log.
htt*://freefilehosting.net/download/433f7
cmq,queste voci
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAF7C47E-AD12-4CB7-999B-D05D4E92F1A9}: NameServer = xxxxxxxxxxxxxxxxxxxxxxxxx
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = xxxxxxxxxxxxxxxxxxxxxxxxxx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = xxxxxxxxxxxxxxxxxxxxxxxxxx
sei sicuro che son da eliminare, le "x" le ho messe io per nascondere l'indirizzo IP del pc! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 16/12/2008 : 13:28:12
|
Se fossi stato sicuro te le avrei fatte rimuovere prima, la prossima volta sei pregato di avvisarmi prima di simili modifiche, se per caso non aspettavo e ti facevo usare combofix vedi la tua bella connessione che fine faceva 
Riesegui la scansione ed elimina tutto, hai un dns changer, poi bisogna che facciamo delle verifiche accurate sui supporti removibili, hard disk esterni, pen drive ecc ecc.
Finita la scansione e rimosse le voci dell'infezione, segui questa procedura:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
|
Modificato da - death in data 16/12/2008 13:31:19 |
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 17/12/2008 : 12:53:18
|
Fatto, ecco il report
htt*://freefilehosting.net/download/43426 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 17/12/2008 : 13:08:15
|
Buon giorno, dovresti fare 3 cose:
1) zippami il file C:\autorun.inf e caricamelo sul web e posta il link, non dare il doppio click su quel file
2) apri il blocco note di windows fai copia/incolla del testo in blu
[No-Spam]echo off (al posto di no-spam ci vuole la chiocciola senza parentesi quadre)
dir "C:\recupero">C:\recu.txt
del pluto.bat
salvalo sul desktop come "tipo file" tutti i file con il nome pluto.bat, chiudi il file, doppio click per eseguirlo, durerà un secondo e troverai il file c:\recu.txt , caricalo sul web e postami il link.
3) da system scan non la vedo quindi non dovrebbe essere presente, verifica non ci sia la cartella c:\resycled , nota bene con la s
Se hai problemi a visualizzare i files segui questo specchietto:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
|
Modificato da - death in data 17/12/2008 16:21:36 |
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 17/12/2008 : 18:25:08
|
Questo file C:\autorun.inf non ce l'ho!
questo invece è l'esito di pluto.bat:
" Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A4B1-CD56
Directory di C:\" |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 17/12/2008 : 19:33:19
|
Buona sera, questo deve essere il computer dei misteri, capisco il file autorun che non lo vedi neppure con i files nascosti disabilitati ma che non ci sia neppure la cartella, per favore mi ripeti con calma la ricerca di:
C:\autorun.inf
C:\recupero
non posso eliminarti file e cartella senza sapere cosa sono, se non trovi nulla usiamo combofix anche se non mi piace, alla cieca non elimino nulla.
|
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 17/12/2008 : 19:54:46
|
Caspita C:\autorun.inf non esiste!
c:\recupero era una cartella creata da me tempo fa, ora completamente vuota!
Dove lo posso prendere quel file? tra l'altro i pop-up continuano ad uscire!
Nell'attesa ti ringrazio tanto come sempre per l'aiuto! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 17/12/2008 : 20:04:07
|
| Buona sera, mi rifai una scansione con malwarebytes per cortesia, non dovresti avere nessun problema di pop-up al massimo problemi di apertura dei dischi fissi, non vorrei si fosse ricreato qualcosa o c'e' qualcosa che con systemscan non vedo o non sono capace di vedere, se la scansione è pulita passiamo a combofix e vediamo cosa succede. |
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 18/12/2008 : 12:13:30
|
Ecco qui
htt*://freefilehosting.net/download/434gf
questi 4 file mi dice che li eliminerà al riavvio, ma non riesce ad eliminarli!
Se ti può essere d'aiuto, in google scrivo qualcosa, quando vado sui vari link, in automatico o mi torna la home di google oppure mi indirizza in altri siti che non c'entrano nulla...è questo il virus giusto! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 18/12/2008 : 20:02:17
|
| Buona sera, rifai la scansione con malwarebytes, ma prima stacca il cavetto del modem/router, finita la scansione rimuovi tutto, se non funziona proviamo a rimuovere le voci a mano, sprando si "stacchino". |
Modificato da - death in data 18/12/2008 20:02:31 |
|
|
|
teschio
Advanced Member
301 Messaggi |
Inserito il - 23/12/2008 : 11:54:44
|
Ho staccato il cavetto e rifatto la scansione, ma non è cambiato nulla 
Ecco il risultato
htt*://freefilehosting.net/download/438lc |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 23/12/2008 : 13:11:27
|
|
Buon giorno, in serata appena ho un attimo ti posto la procedura per rimuovere quei dns. |
|
|
|
Discussione |
|
Trojan DNS Changer
Forum Bloccato
