NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Virus News
 virus su tunderbird?		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'č:
Autore Discussione Precedente Discussione Discussione Successiva  

tandem
Senior Member



135 Messaggi

Inserito il - 07/06/2010 : 13:47:10  Mostra Profilo
ciao a tutti, questa mattina per due volte il pc si č spento dasolo.
la seconda volta č partito lo scandisk e ho visto questo messaggio:
...tunderbird\ck87ttni.defoult\virtualfolder.dat a windows caricato ho lanciato il programma e:
sono spariti tutti gli account
e si č apera una pagina web tale: teesoft.info

l'analisi su Hijackthis č pulita

ho un virus?
Modificato da - in Data

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 07/06/2010 : 14:22:49  Mostra Profilo
ciao e benvenuto nel forum

controlliamo il sistema piu' a fondo, anche se avresti dovuto postare il log di hijackthis


disatttiva l'antivirus


scarica combofix sul desktop

(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

regolamento
Modificato da - shang in data 07/06/2010 14:23:55
Torna all'inizio della Pagina

tandem
Senior Member



135 Messaggi
Inserito il - 08/06/2010 : 15:19:01  Mostra Profilo
fatto
lo trovi qui:
htt ://[www].sendspace[.com]/file/r9asml


non č necessario quotare le istruzioni ricevute. death
Modificato da - death in data 08/06/2010 16:20:40
Torna all'inizio della Pagina

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 08/06/2010 : 18:39:20  Mostra Profilo


vai sul sito di virus total e analizza questo file

c:\windows\system32\iimhl.dll

poi vai col tasto destro su di esso scegli ''proprieta''' e dammi tutte le informazioni possibili(societa'...ecc...ecc...)
Torna all'inizio della Pagina

tandem
Senior Member



135 Messaggi
Inserito il - 09/06/2010 : 11:37:13  Mostra Profilo
il file da te indicato non c'č in sistem32
(ho la funzione visualizza tutti i file e cartelle nascoste)

ho fatto una ricerca con regidit e il file l'ho trovato in:
HKEY_CURRENT_USER\software\microsoft\searchassistant\acmru\5603
HKEY_USER\S-1-521.....(alcuni numeri)\software\microsoft\searchassistant\acmru\5603
Torna all'inizio della Pagina

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 09/06/2010 : 12:12:57  Mostra Profilo


apri una pagina del blocco note e copia incolla quanto segue:


Citazione:
File::
c:\windows\system32\iimhl.dll


Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ymzia]



NetSvcs::
ymzia


Driver::
ymzia


salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine e riposta il suo log
Modificato da - shang in data 09/06/2010 12:13:49
Torna all'inizio della Pagina

tandem
Senior Member



135 Messaggi
Inserito il - 09/06/2010 : 19:58:37  Mostra Profilo
ho fatto come mi hai detto.
ti allego il log che č uscito

htt ://[www].sendspace[.com]/file/idwwul
Torna all'inizio della Pagina

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 09/06/2010 : 20:23:09  Mostra Profilo
lo script non ha funzionato

apri un file di testo da blocco note e incolla questo testo col punto e virgola compresi, altrimenti non funziona

Citazione:
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ymzia]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ymzia]
;



salvalo sul desktop come fix.reg >>>tutti i file

doppio clic sul file .reg e accetta le modifiche

apri il registro >>>start\esegui\regedit segui il percorso di questa chiave, per verificare la presenza di questo servizio

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ymzia

Se e' presente il servizio indicato in blue clicca col destro->elimina.


poi

vai in C:\ ed elimina il file di testo ComboFix.txt

ripeti la scansione con combofix e posta il nuovo rapporto
Torna all'inizio della Pagina
  Discussione Precedente Discussione Discussione Successiva  

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,17 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000