| Autore |
 Discussione  |
|
SilviaG
Average Member
75 Messaggi |
 Inserito il - 24/01/2009 : 14:55:11
|
Buon pomeriggio
Avenger non riesco a scaricarlo, chiude browser
"Paperino" ha rilasciato questo:
hijackthis_1232808671299_109.log
c:\winnt\system32\nokiautility.exe non si cancella neanche se lo termino da task manager
Aspetto tue news!
grazie |
 |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/01/2009 : 17:17:14
|
Buona sera, dunque spiego per punti:
per prima cosa disattiva spybot search & destroy per ora serve solo ad infastidire, segui lo specchietto:
Citazione:
Apri spybot, clicca su "mode" e seleziona "advanced mode" , dai yes nella finestrella che si aprirà, clicca sul tastino "tools" in basso a sinistra, nel menù che si apre clicca su "resident" , nel tabellino resident (quello con lo scudo) troverai "resident protection status" rimuovi i flag o segni di spunta da "resident sdhelper" e da "teatimer" , ti si aprirà una finestra di avviso dove ti verranno notificate le modifiche che hai appena fatto, clicca su "allow change" chiudi tutti i menù e chiudi spybot, la stessa operazione dovrai rieseguirla per attivare nuovamente la protezione in tempo reale quando avremo finito.
1) scarica questo tool htt*://[www].sophos[.com]/support/cleaners/rbotgui[.com] ed eseguilo, se ti chiede di farlo, riavvia il pc
2) rifai la procedura sul registro
3) per quanto concerne il simpatico file, vediamo di rimuoverlo con combofix, segui la procedura:
apri il blocco note di windows copia/incolla il testo in rosso:
KILLALL::
File::
c:\winnt\system32\nokiautility.exe
Salva il file sul Desktop come CFScript.txt
Riavvia il pc in modalità provvisoria, poi trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix , lascialo lavorare senza toccare ne mouse ne tastiera.
Posta il report di combofix e del tool di sophos se viene rilasciato.
|
|
|
|
SilviaG
Average Member
75 Messaggi |
Inserito il - 24/01/2009 : 18:00:57
|
Buon pomeriggio
1 e 2 fatto.
Panda nel frattempo mi ha cancellato Combo_fix, ho provato a scaricarlo nuovamente rinominandolo ma lo cancella subito.
C'è una configurazione in Panda x comunicargli che lo decio io se cancellare o no |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/01/2009 : 18:05:06
|
Quando fai il download di combofix, tieni aperta solo una pagina di internet explorer e disattiva panda, scarichi combofix e lo rinomini poi vai subito in modalità provvisoria perlomeno Panda non te lo cancella....anche panda ci si mette ora  |
|
|
|
SilviaG
Average Member
75 Messaggi |
Inserito il - 24/01/2009 : 19:10:22
|
Buonasera sera,
anche il passaggio 3 è andato
log1_1232823906382_145.txt
questo è il log di combo.
Anche se disattivato Panda ha cancellato il programma Combofix rinominato, ed è sparito anche CFScript.txt  |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/01/2009 : 20:04:50
|
Buona sera, sei riuscita a farmi sorridere...paperone ha fatto il suo bel lavoretto nel mentre dopo le varie cose che abbiamo solleticato ha eliminato anche 2 cartelle infette, ora con tutto disattivato, spybot e panda, prova systemscan, se non funziona eseguilo in provvisoria, secondo me su quel pc ci sono altre sorprese.
EDIT: dimenticavo grazie per la poesia, hai scelto quella che mi rappresenta meglio  |
|
|
|
SilviaG
Average Member
75 Messaggi |
Inserito il - 26/01/2009 : 16:40:09
|
Buonpomeriggio e benritrovato...da altro computer!!
Week-end da esaurimento con il mio portatile che continua a riavviarsi.
sto nuovamente scaricando combofix e sustemscan ( che sono stati cancellati da panda forse, anche CSFscript.txt-->eliminato) su una chiavetta, ti viene in mente altri programmi o tool da portare sul mio x lavorarci stasera?
grazie
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/01/2009 : 16:46:09
|
| Buona sera e benritrovata, scaricati un hijackthis pulito e avenger, poi visto che non sei connessa su quel pc, mentre lavoriamo, disattiva il panda malefico, ci aggiorniamo più tardi. |
|
|
|
SilviaG
Average Member
75 Messaggi |
Inserito il - 31/01/2009 : 12:47:04
|
Benritrovato,sono riuscita tra infiti "blocco del sistema" a fare log:
hijackthisSERA.txt
ho scaricato da altra pc avenger, come posso procedere?
grazie |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 31/01/2009 : 13:01:33
|
Buon giorno e ben ritrovata, mi mancava la mia utente poeta  , vedi se avenger funziona ed esegui lo script che ti avevo postato alcuni messaggi fà, il report di hijackthis è pulito, poi se ci riesci, rieseguimi un systemscan, così questa sera dopo cena per digerire ho qualcosa da leggere, systemscan se non riesci ad eseguirlo in modalità normale va bene anche in provvisoria. Ci aggiorniamo per le 16, sono in fase di distacco internet causa scansione anti-virus. |
|
|
|
SilviaG
Average Member
75 Messaggi |
Inserito il - 01/02/2009 : 00:28:07
|
Buonanotte,
a quest'ora spero x te avrai digerito!
avenger_1233447789732_723.txt
quando cerco di scaricare system scan mi da sempre file non trovato. ? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 01/02/2009 : 08:34:31
|
| Buon giorno, il server di suspectfile ha dei problemi, ti ho caricato il mio, lo trovi a questo link htt*://wikisend[.com]/download/654734/sys49799.exe , aspetto la scansione. |
|
|
|
SilviaG
Average Member
75 Messaggi |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 01/02/2009 : 15:52:11
|
| Buona sera, appena ho un attimo mi metto a controllare il tuo report, ci aggiorniamo in serata, mi serve almeno un'ora a spulciarlo. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 01/02/2009 : 17:36:17
|
Buona sera, dunque, da systemscan non si vede nulla, a parte una montagna di file job vecchi che ti rimuovo, in compenso ho ricontrollato il primo report di combofix e ho trovato una cosa che mi era sfuggita, considerando che utilizzi win2000 non ci avevo dato peso, ora proviamo ad eliminare un file che non vedo, se il file è presente rieseguiremo un altro avenger per rimuovere le chiavi di registro, segui la procedura:
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\file8.txt
C:\file7.txt
C:\file1.txt
C:\file4.txt
C:\file6.txt
C:\file2.txt
C:\file5.txt
c:\winnt\system32\manmuwfz.exe
C:\WINNT\tasks\wfz.job
C:\WINNT\tasks\whzbtv.job
C:\WINNT\tasks\lkmqwc.job
C:\WINNT\tasks\xywymz.job
C:\WINNT\tasks\dzbbz.job
C:\WINNT\tasks\krqon.job
C:\WINNT\tasks\oybl.job
C:\WINNT\tasks\cajyvnp.job
C:\WINNT\tasks\vklf.job
C:\WINNT\tasks\gzun.job
C:\WINNT\tasks\spujtkhv.job
C:\WINNT\tasks\dqakjja.job
C:\WINNT\tasks\bovq.job
C:\WINNT\tasks\yimik.job
C:\WINNT\tasks\ecgfisdg.job
C:\WINNT\tasks\itwf.job
C:\WINNT\tasks\lwt.job
C:\WINNT\tasks\yfwpelw.job
C:\WINNT\tasks\jwei.job
C:\WINNT\tasks\wbtfcxlk.job
C:\WINNT\tasks\edc.job
C:\WINNT\tasks\ewvunk.job
C:\WINNT\tasks\kwoe.job
C:\WINNT\tasks\wovca.job
C:\WINNT\tasks\bpjuamw.job
C:\WINNT\tasks\zzfwtd.job
C:\WINNT\tasks\plnsytil.job
C:\WINNT\tasks\mtu.job
C:\WINNT\tasks\ohdbzby.job
C:\WINNT\tasks\dsxmsbyx.job
C:\WINNT\tasks\gwt.job
C:\WINNT\tasks\jgozlrz.job
C:\WINNT\tasks\djf.job
C:\WINNT\tasks\abuvmf.job
C:\WINNT\tasks\koj.job
C:\WINNT\tasks\vckrrd.job
C:\WINNT\tasks\fooex.job
C:\WINNT\tasks\prclrpyn.job
C:\WINNT\tasks\rliv.job
C:\WINNT\system32\drivers\sysdrv32.sys
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
poi per sicurezza, scarica questo tool htt*://[www].sophos[.com]/support/cleaners/ntskygui[.com] ed eseguilo. |
|
|
|
Discussione |
|
services.exe - ms sys security - mswin.pif
Forum Bloccato
