| Autore |
 Discussione  |
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 09/02/2009 : 10:30:41
|
Buon giorno, per prima cosa, riesegui avenger, copia/incolla il testo in rosso:
files to delete:
C:\WINDOWS\system32\drivers\aipkqdmrpjdtvs.sys
poi
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
Per postare il report segui questa scaletta:
a) andare sul sito htt*://[www].savefile[.com]/
b) clicca su Upload My file
c) clicca su upload oppure registrarsi per avere più opzioni
d) clicca su browser e scegli il file di log, txt ecc dal tuo computer
e) compila i restanti campi e clicca su Upload File
f) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file:]
g) oppure utilizza questo servizio: htt*://[www].wikisend[.com]
Dovrai trasferirti il report dal pc infetto a quello connesso, è molto lungo.
|
 |
|
|
majo71
Average Member
78 Messaggi |
Inserito il - 09/02/2009 : 11:39:37
|
eccoti il report di systemscan, non ho riscontrato particolari lungagini... il malato nel frattempo non mi apre il task manager se ti puo'interessare..grazie ancora per il tempo dedicatomi.
[URL=htt*://wikisend[.com]/download/932762/systemreport.txt]systemreport.txt[/URL] |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/02/2009 : 12:41:04
|
Buon giorno, cominciamo a fare un poco di pulito, segui la procedura:
ho visto che hai utilizzato combofix, quindi
Riavvia il computer in modalità provvisoria (segui lo specchietto)
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe (o nome nuovo) e segui le istruzioni passo a passo, ricordati di dare invio dopo i vari passaggi
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware (dovrebbe già essere disattivato visto che sei in modalità provvisoria)
Disconnetti il pc da internet
Riesegui un nuovo systemscan.
|
|
|
|
majo71
Average Member
78 Messaggi |
Inserito il - 09/02/2009 : 13:43:48
|
mi sa che nod32 rimane attivo in modalita' provvisoria, e combofix me l'ha detto subito,
[URL=htt*://wikisend[.com]/download/562008/ComboFix.txt]ComboFix.txt[/URL]
[URL=htt*://wikisend[.com]/download/723766/systemscan2.txt]systemscan2.txt[/URL] |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/02/2009 : 13:48:59
|
Buon giorno di nuovo, bene ha eliminato le cose piu' salienti, devi darmi tempo fino a questa sera, hai un macello su quel pc e mi serviranno 2 ore per prepararti avenger, nel mentre non connettere quel pc a internet..in relazione a nod32..ti comunico che il file in esecuzione è infetto  quello sano è in una cartella bak creata dal virus. |
|
|
|
majo71
Average Member
78 Messaggi |
Inserito il - 09/02/2009 : 13:55:36
|
grazie 1000, aspetto tue nuove.
sospettavo che attaccasse gli antivirus e tutto quello che di nuovo installavo,
cercavo il Mago e l'ho trovato |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/02/2009 : 19:32:10
|
| Buona sera, sono in enorme ritardo, sbrigo le faccende domestiche e mi dedico al tuo report. |
|
|
|
majo71
Average Member
78 Messaggi |
Inserito il - 09/02/2009 : 19:36:30
|
| e che problema c'e'? fai con comodo |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/02/2009 : 20:41:42
|
Buona sera, cominciamo le pulizie, ti premetto una cosa, ho messo in eliminazione dei files che venivano dati per infetti e ora su molti siti sono dati in revisione, mi sono basato sul fattore temporale, questi files sono stati scaricati alla stessa identica ora di alcuni files infetti, segui la procedura e vediamo cosa succede, non basterà questo giro, te lo anticipo già da ora:
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\adobe.bat
C:\WINDOWS\_id.dat
C:\WINDOWS\SWREG.exe
C:\WINDOWS\zip.exe
C:\WINDOWS\SWSC.exe
C:\WINDOWS\SWXCACLS.exe
C:\WINDOWS\fdsv.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\NIRCMD.exe
C:\WINDOWS\system32\F6.tmp
C:\WINDOWS\system32\2C.tmp
C:\WINDOWS\system32\27.tmp
C:\WINDOWS\system32\58.tmp
C:\WINDOWS\system32\57.tmp
C:\WINDOWS\system32\25.tmp
C:\WINDOWS\system32\secupdat.dat
C:\WINDOWS\system32\53.tmp
C:\WINDOWS\system32\ia64kd.exe
C:\WINDOWS\system32\2D.tmp
C:\WINDOWS\system32\24.tmp
C:\WINDOWS\system32\2B.tmp
C:\WINDOWS\system32\2A.tmp
C:\WINDOWS\system32\26.tmp
C:\WINDOWS\system32\19.tmp
C:\WINDOWS\system32\23.tmp
C:\WINDOWS\system32\21.tmp
C:\WINDOWS\system32\22.tmp
C:\WINDOWS\system32\_at.dll
C:\WINDOWS\system32\hhupd.exe
C:\WINDOWS\system32\1F.tmp
C:\WINDOWS\system32\1E.tmp
C:\WINDOWS\system32\14.tmp
C:\WINDOWS\system32\1C.tmp
C:\WINDOWS\system32\1A.tmp
C:\WINDOWS\system32\18.tmp
C:\WINDOWS\system32\17.tmp
C:\WINDOWS\system32\16.tmp
C:\WINDOWS\system32\15.tmp
C:\WINDOWS\system32\1D.tmp
C:\WINDOWS\system32\88F.tmp
C:\WINDOWS\system32\1BD.tmp
C:\WINDOWS\system32\13.tmp
C:\WINDOWS\system32\12.tmp
C:\WINDOWS\system32\116.tmp
C:\WINDOWS\system32\11.tmp
C:\WINDOWS\system32\10.tmp
C:\WINDOWS\system32\20.tmp
C:\WINDOWS\system32\1B.tmp
C:\WINDOWS\system32\532.tmp
C:\WINDOWS\system32\winlogon2.exe
C:\WINDOWS\system32\chert13-303374.exe
files to move:
C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe | C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe | C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\bak\egui.exe | C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programmi\Web Accelerator\bak\slipcore.exe | C:\Programmi\Web Accelerator\slipcore.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Posta il report di avenger e una nuova scansione di systemscan.
|
Modificato da - death in data 09/02/2009 20:42:47 |
|
|
|
majo71
Average Member
78 Messaggi |
Inserito il - 09/02/2009 : 21:53:12
|
buona serata, vediamo cosa succede
[URL=htt*://wikisend[.com]/download/482964/systemscan2.txt]systemscan2.txt[/URL][URL=htt*://wikisend[.com]/download/610706/avenger report.txt]avenger report.txt[/URL]
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/02/2009 : 21:55:18
|
| Buona sera, mi hai caricato 2 systemscan, mi carichi avenger per cortesia. Grazie |
|
|
|
majo71
Average Member
78 Messaggi |
Inserito il - 09/02/2009 : 22:07:20
|
[URL=htt*://wikisend[.com]/download/475026/avenger report.txt]avenger report.txt[/URL]
scusa ma sono un po' cotto |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/02/2009 : 22:12:34
|
Hemmm mi hai ricaricato systemscan devi caricare c:avenger.txt , sono cotto pure io, carica il report, domattina lo controllo poi continuiamo, ti lascio le pulizie da fare, queste sono importanti:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata |
|
|
|
majo71
Average Member
78 Messaggi |
Inserito il - 09/02/2009 : 22:20:34
|
[URL=htt*://wikisend[.com]/download/929652/avenger.txt]avenger.txt[/URL]
e' lui? ho fatto un minestrone di report.
a domani allora |
|
|
|
majo71
Average Member
78 Messaggi |
Inserito il - 09/02/2009 : 22:21:46
|
scusa ps
vado sempre in modalita' provvisoria? |
|
|
|
Discussione |
|
Trojan Bdoor-ASH e infezioni varie
Forum Bloccato
