| Autore |
 Discussione  |
|
|
Skintek-Skintek
Senior Member
Città: Basso Varesotto
210 Messaggi |
 Inserito il - 19/11/2014 : 15:47:46
|
Ciao a tutti.
è molto tempo che non scrivo più, ma vi leggo sempre.
Premetto che il PC è utilizzato da altre 2 persone e non riesco ad appurare cosa abbiano "combinato".
Problema sorto 2 giorni fa.
Ho un files .exe posizionato in windows/system32 che, anche se cancellato, si riproduce con un nome diverso.
Scansionato con AVG 2015, Malwarebytes e SuperAntivirus (con ultimi aggiornamenti) ma senza avvisi di rilevamenti.
Passato con Virustotal mi propone 3 rilevamenti su 55.
vedi: htt*s://[www].virustotal[.com]/it/file/4c05df91fe81383c610342a3d3ff82b1f0772c6cc0f62b0d1996d6352a43e7f3/analysis/1416401233/
Ho un dubbio di interpretazione della pagina "informazioni comportamentali" con TCP connections 50.7.143.42:80.Che dice???
Se brutalmente cancellato si riproduce con un nome diverso.
Anche se disabilitato/delettato con la funzione "gestione esecuzioni automatiche" di Glary Utility ritorna con altro nome.
Dove posso allegare la scansione con Hijackthis che lo rileva in:
O4 - HKLM\..\Run: [hgCKQNZ] C:\WINDOWS\system32\WwYNcyl.exe
Provato a fixarlo ma allo scan successivo ricompare.
Grazie a tutti.
Eros
P4, 1GB mem, XP SP3 con ultimi aggiornamenti
Aggiornamento: Ho scoperto che è "lsass.exe" (di microsoft) che impegna il TCP 50.7.143.42
|
Modificato da - Skintek-Skintek in Data 19/11/2014 17:47:43
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/11/2014 : 12:03:17
|
Buon giorno, per cortesia mi posti un log di hijackthis aggiornato e nel mentre segui queste istruzioni senza eseguire il programma
scarica sul desktop ComboFix
Riavvia il computer in modalità provvisoria (segui lo specchietto)
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe (o nome nuovo) e segui le istruzioni passo a passo, non installare la recovery console, ricordati di dare invio se richiesto dopo i vari passaggi
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso acconsenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware
Disconnetti il pc da internet
NON TOCCARE mouse e tastiera mentre combofix lavora |
 |
|
|
Skintek-Skintek
Senior Member
Città: Basso Varesotto
210 Messaggi |
Inserito il - 20/11/2014 : 13:57:17
|
Grazie Death per il supporto. Penso di avere, in nottata, risolto il problema. Di seguito illustrerò come ho fatto. Se ritieni che la procedura sia "troppo" difficoltosa cancellala pure.
Ciao a tutti.
RISOLTO (spero!!!)
ATTENZIONE si va a modificare il registro di sistema. Chi seguirà questa procedura lo farà
a suo rischio e pericolo. NON MI ASSUMO RESPONSABILITA'in caso di "disastro".
Per vedere se siete affetti da questo malfunzionamento, usate hijackthis.
se trovate una voce simile a questa
O4 - HKLM\..\Run: [hgCKQNZ] C:\WINDOWS\system32\WwYNcyl.exe allora siete stati infettati.
Per risolvere ho usato questa procedura.
-Posizionarsi su windows/system32. Da visualizza --> disponi icone per --> tipo.
Appuntarsi tutti i file .exe che sono con 7 lettere (no numeri) senza senso e di dimensione 66496 byte.
Controllare le proprietà dei files trascritti e tenere appuntati solo quelli che su "firme digitali" riportano "ltd Grandtreid"
-Fare un nuovo punto di ripristino
-Salvare (file-->salva con nome) il registro.
Per aprire il registro andare su start --> esegui e digitare regedit
-Riavviare in modalità provvisoria.
-Aprire il registro e, con trova, cancellare tutte le voci che contengono i nomi dei file che vi
sono rimasti appuntati. Es. nel mio caso wwyncyl, wwyncnn, lhqoqmg.
-Ripetere la procedura trova/cancella più volte (fino a quando non trova più nulla).
-Aprire "Utiltà Configurazione Sistema" --> Avvio e cancellare le voci che avete appuntato.
Io ho utilizzato, per comodità, Glary Utility (ver.2.56 portatile e gratuita) in moduli --> ottimizza
e migliora --> gestione esecuzioni automatiche.
-Posizionarsi su windows/system32 e cancellare o meglio rinominare i files appuntati (così da poter ritornare indietro).
-Riavviare in modalità normale.
A questo punto se hijackthis non presenta più voci simili a O4 - HKLM\..\Run: [hgCKQNZ] C:\WINDOWS\system32\WwYNcyl.exe allora avete risolto.
Controllare che non ci siano altri file che si ri-generano su windows/system32.
Nel caso ripetere la procedura.
ripeto:
ATTENZIONE si va a modificare il registro di sistema. Chi seguirà questa procedura lo farà
a suo rischio e pericolo. NON MI ASSUMO RESPONSABILITA'in caso di "disastro".
Ciao a tutti.
eros
|
Modificato da - Skintek-Skintek in data 20/11/2014 14:03:37 |
|
|
| |
Discussione |
|
|
|
File in system32 che cambia nome. Virus???
Forum Bloccato
