| Autore |
 Discussione  |
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
 Inserito il - 06/09/2006 : 13:21:39
|
Citazione:
Messaggio inserito da grienne278
Ciao, acnh'io mi sono ritrovata con questo virus.
Il mio log è htt*://freefilehosting.net/?id=rdn9kqrd/A==
Cosa devo fare? Grazie
Ho aperto una nuova discussione per non accavallare i problemi
|
Modificato da - ori in Data 06/09/2006 14:47:53
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 06/09/2006 : 22:51:10
|
Per grienne, ti premetto che sarà dura rimettere in sesto la situazione comunque proviamoci.
Lancia hijackthis,clic su "open the misc tool section" clic "open process mamager"indivisua nei processi queste voci, cliccaci su e killprocess:
C:\WINDOWS\svchost.exe
C:\WINDOWS\service32.exe
C:\WINDOWS\system32\spoolsvc.exe
poi tasto back e scan, dall'elenco spunta la casella relativa a queste linee e fix cheked:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {14D1A72D-8705-11D8-B120-0040F46CB696} - (no file)
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [Udjigqs] C:\Program Files\Ebhx\Bxnzthw.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\spoolsvc.exe
O4 - HKLM\..\Run: [deol1.exe] C:\WINDOWS\TEMP\deol1.exe
O15 - Trusted Zone: *.aflashcounter[.com]
O23 - Service: LogZui - Unknown owner - \\?\C:\Programmi\File comuni\System\com9.exe (file missing)
O23 - Service: NetVvq - Unknown owner - \\?\C:\Programmi\File comuni\System\com2.exe (file missing)
O23 - Service: SecBnz - Unknown owner - \\?\C:\Programmi\File comuni\Services\lpt1.exe (file missing)
O23 - Service: UpdIad - Unknown owner - \\?\C:\Programmi\File comuni\System\com6.exe (file missing)
O23 - Service: WebGxt - Unknown owner - \\?\C:\Programmi\File comuni\System\clock$.exe (file missing)
O23 - Service: WebKbr - Unknown owner - \\?\C:\Programmi\File comuni\System\lpt3.exe (file missing)
O23 - Service: WinChn - Unknown owner - \\?\C:\Programmi\File comuni\System\nul.exe (file missing)
Trova ed elimina, seguendo il percorso:
C:\WINDOWS\TEMP\deol1.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\service32.exe
C:\WINDOWS\system32\spoolsvc.exe
se hai difficoltà utilizza il programma Unloker(sezione dowload del forun)
Tutta l'operazione va effettuata disattivando il ripristino configurazione sistema(start\pannello di controllo\sistema\ripristino config\spunta la casella disattiva ok) ed in modalità provvisoria(start\esegui\ apri msconfig ok\boot.ini\spunta casella SAFEBOOT\applica ( per ritornare in mod. normale stesso percorso e togliere la spunta)
Scansione finale con virit(lo trovi qui:htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=6729)
Credo sia tutto.
Ciao.
|
 |
|
|
Virgilio76
New Member
41 Messaggi |
Inserito il - 06/09/2006 : 23:05:38
|
| Nuova discussione: htt*://[www].notrace.it/Forum2/topic.asp?TOPIC_ID=6814 |
Modificato da - ori in data 07/09/2006 09:07:03 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 07/09/2006 : 10:25:42
|
Citazione:
Messaggio inserito da michal
Per grienne, ti premetto che sarà dura rimettere in sesto la situazione comunque proviamoci.
Lancia hijackthis,clic su "open the misc tool section" clic "open process mamager"indivisua nei processi queste voci, cliccaci su e killprocess:
C:\WINDOWS\svchost.exe
C:\WINDOWS\service32.exe
C:\WINDOWS\system32\spoolsvc.exe
poi tasto back e scan, dall'elenco spunta la casella relativa a queste linee e fix cheked:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {14D1A72D-8705-11D8-B120-0040F46CB696} - (no file)
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [Udjigqs] C:\Program Files\Ebhx\Bxnzthw.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\spoolsvc.exe
O4 - HKLM\..\Run: [deol1.exe] C:\WINDOWS\TEMP\deol1.exe
O15 - Trusted Zone: *.aflashcounter[.com]
O23 - Service: LogZui - Unknown owner - \\?\C:\Programmi\File comuni\System\com9.exe (file missing)
O23 - Service: NetVvq - Unknown owner - \\?\C:\Programmi\File comuni\System\com2.exe (file missing)
O23 - Service: SecBnz - Unknown owner - \\?\C:\Programmi\File comuni\Services\lpt1.exe (file missing)
O23 - Service: UpdIad - Unknown owner - \\?\C:\Programmi\File comuni\System\com6.exe (file missing)
O23 - Service: WebGxt - Unknown owner - \\?\C:\Programmi\File comuni\System\clock$.exe (file missing)
O23 - Service: WebKbr - Unknown owner - \\?\C:\Programmi\File comuni\System\lpt3.exe (file missing)
O23 - Service: WinChn - Unknown owner - \\?\C:\Programmi\File comuni\System\nul.exe (file missing)
Trova ed elimina, seguendo il percorso:
C:\WINDOWS\TEMP\deol1.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\service32.exe
C:\WINDOWS\system32\spoolsvc.exe
se hai difficoltà utilizza il programma Unloker(sezione dowload del forun)
Tutta l'operazione va effettuata disattivando il ripristino configurazione sistema(start\pannello di controllo\sistema\ripristino config\spunta la casella disattiva ok) ed in modalità provvisoria(start\esegui\ apri msconfig ok\boot.ini\spunta casella SAFEBOOT\applica ( per ritornare in mod. normale stesso percorso e togliere la spunta)
Scansione finale con virit(lo trovi qui:htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=6729)
Credo sia tutto.
Ciao.
 dopodiché riavvii e pulisci il tutto con ccleaner e regseeker (leggi guida)li trovi anche nel link postato da michal... |
|
|
|
grienne278
New Member
37 Messaggi |
Inserito il - 07/09/2006 : 13:35:05
|
| Ciao, grazie mille per le risposte. Sono riuscita ad eliminare i primi 3. Ora provo a riavviare il computer e vedo se anche l'ultimo verrà eliminato. |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 07/09/2006 : 19:41:04
|
| ricordati di ripulire tutto, alla fine... |
|
|
|
Bartoloni Davy
Senior Member
Città: Cuneo
Nota:
92 Messaggi |
Inserito il - 27/12/2006 : 14:29:45
|
Ciao , raga, ho trovato anche io oggi, in un pc di uan cliente i fiel COMXX e LPTXX, oltre ad averli isolati dai servizi, e dall'esecuzione automatica, e tutto il resto, ho visto che ne con il Preinstallation Environment, ne con la console di ripristino, e' possibile rinominarli e spostarli.. capita anche a voi?
in caso di spostamento viene comunicato che il esiste gia' un file nella posizione in cui deve essere spostato...
tempo addietro mi era gia' capitato su un altro pc, e non ricordo piu' che cosa avevo fatto... ah si, per **** il tpo usava la fat32 e li avevo cancellati direttamente da un floppy di avvio dos...
in questo caso sono NTFS, qualcuno ha idee? capita anche a voi?
volevo inserire anche dei nomi da associare a queti file COM e PRN o LPT.. o CLOCK. .. per cui al momento, li riconsoce, ma non li associa ancora a qualcosa...
Ciao raga!
htt*://img343.imageshack.us/img343/5315/davybartoloninu5.jpg
|
Modificato da - pedrus in data 27/12/2006 14:53:13 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 28/12/2006 : 00:17:54
|
| apri una nuova discussione, quei file sono relativi a linkoptimizer e non sono facili da eliminare |
|
|
|
Bartoloni Davy
Senior Member
Città: Cuneo
Nota:
92 Messaggi |
Inserito il - 29/12/2006 : 11:28:51
|
OK, ho inziato a modificare il tecnico di emergenza, entro domani potra' identificare Rootkit e LinkOptimizer ovunque sull' harddisk, cosi' ci si toglie lo stress di cercarli seguendo le tracce dell'hijack.. :)
|
|
|
| |
Discussione |
|
Un altro log su service32.exe/syshost.dll
Forum Bloccato
