| Autore |
 Discussione  |
|
marius
Average Member
Città: sansepolcro (ar)
87 Messaggi |
 Inserito il - 23/07/2007 : 18:20:17
|
Ho seguito la procedura delle 9 mosse x aver un pc quasi pulito ma mi sa che ho bisogno del vostro aiuto.
Ho scannerizzato in modalità provvisoria
Poi ho lanciato virit che mi ha trovato:
c:\documents and setting\mario\dati applicazioni\tmp2.tmp.exe
infetto da win 95.Marburg contattare il supp.tecnico tg soft
c:\documents and setting\mario\dati applicazioni\tmp22 tmp.exe
infetto da win 95.Marburg contattare il supp.tecnico tg soft
c:\programmi\avi2dvd\programs\besplit.exe possibile variante da trojan. Win 32 agent.iu.
c:\windows\sistem32\ceebywu.dll infetto da trojan win 32.vundo.br rimosso.
la scnsione on-line con spyware doctor ha trovato i seguenti:
trojan downloader con hook 2 infezioni
affiliated with browser hiiachers 3 infezioni
trojan agent aoy 35 infezioni
adware sex video pro dialer 2 infezioni
" nav helper 9 infezioni
" caishow 5 "
" netvision dialer 6 infezioni
" matrix dialer 5 "
" infotel 6 "
Vi allego il log di hijachkthis e quello di gmer vi prego aiutatemi
grazie.
|
Modificato da - michal in Data 24/07/2007 00:47:10
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 24/07/2007 : 00:53:16
|
tutti i log vanno postati secondo le regole del forum:
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
inoltre con titolo più significativo agevoleresti altri utenti,con problemi simili, quando utilizzano la funzione cerca.
Ciao. |
 |
|
|
marius
Average Member
Città: sansepolcro (ar)
87 Messaggi |
Inserito il - 24/07/2007 : 18:56:21
|
ecco il mio log di hijackthis e di gmer e scusatemi: htt*://freefilehosting.net/download/NDM5OQ==
htt*://freefilehosting.net/download/NDQwMw== |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 25/07/2007 : 00:18:07
|
Scarica il tool da qui htt*://[www].atribune.org/ccount/click.php?id=4
doppio click su VundoFix.exe
Metti la spunta nella casella "Run VundoFix as a task"
Adesso riceverai un messaggio che Vundo Fix si chiuderà e aprirà(da solo)in un minuto o anche meno clicca su OK
Una volta che si è riaperto clicca su "Scan for Vundo" finita la scansione clicca su "Remove Vundo"
Riceverai il messaggio se vuoi eliminare i files clicca su Yes
Il desktop scomparirà o diventerà bianco è normale
Finito ti chiederà di riavviare clicca su OK
Apri Hijackthis ed elimina queste voci:
O2 - BHO: (no name) - {938A8A03-A938-4019-B764-03FF8D167D79} - C:\WINDOWS\system32\tmp3.tmp.dll
O20 - AppInit_DLLs: c:\windows\system32\geebaaw.dll
O20 - Winlogon Notify: msacmsp - C:\WINDOWS\SYSTEM32\msacmsp.dll
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qwerty12.exe
riposta un nuovo log.
|
|
|
|
marius
Average Member
Città: sansepolcro (ar)
87 Messaggi |
Inserito il - 25/07/2007 : 01:31:43
|
non ho trovato tutte le voci cmq ecco il nuovo log. spesso mi appare la finestra di segnalazione errori di microsoft
htt*://freefilehosting.net/download/NDQzMw== ciao e grazie |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 25/07/2007 : 13:15:53
|
non hai detto che cosa ha trovato vundofix
fixa:
O2 - BHO: (no name) - {7a8b0651-9e8f-4c4c-80e3-5aeca079c196} - C:\WINDOWS\SYSTEM32\FM2spl.dll
O4 - HKLM\..\Run: [MemoryManager] rundll32.exe "C:\WINDOWS\bywtus.dll",forkonce
O20 - AppInit_DLLs: c:\windows\system32\geebaaw.dll
O20 - Winlogon Notify: FM2spl - C:\WINDOWS\SYSTEM32\FM2spl.dll
da modalità provvissoria cancella:
C:\WINDOWS\SYSTEM32\FM2spl.dll
c:\windows\system32\geebaaw.dll
C:\WINDOWS\bywtus.dll",forkonce
|
|
|
|
marius
Average Member
Città: sansepolcro (ar)
87 Messaggi |
Inserito il - 25/07/2007 : 20:04:08
|
ho fatto ciò che mi hai detto ma non riesco a fixare O20 - Winlogon Notify: FM2spl - C:\WINDOWS\SYSTEM32\FM2spl.dll. Mentre per questi:C:\WINDOWS\SYSTEM32\FM2spl.dll
c:\windows\system32\geebaaw.dll
C:\WINDOWS\bywtus.dll",forkonce
i primi due mi apre una finestra dicendomi che non posso cancellarli perchè sono in uso. l'ultimo invece arrivo a trovare bywtus.dll" ma non riesco ad aprirlo perche mi dice di aprirlo con il programma che è stato creato, ho provato ad aprirlo con word ma è un cifrario incomprensibile. Infine mentre navigo esce una finestra: rilevato errore. ciao aspetto tuoi suggerimenti.
|
Modificato da - marius in data 25/07/2007 20:06:08 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 25/07/2007 : 20:59:52
|
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
Files to delete:
C:\WINDOWS\SYSTEM32\FM2spl.dll
c:\windows\system32\geebaaw.dll
C:\WINDOWS\bywtus.dll",forkonce
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
|
|
|
|
marius
Average Member
Città: sansepolcro (ar)
87 Messaggi |
Inserito il - 25/07/2007 : 22:21:04
|
htt*://freefilehosting.net/download/NDc3Nw==
questo è il log di avenger comeè andata? |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 26/07/2007 : 01:19:28
|
| è andata bene, posta un nuovo log di HJT. |
|
|
|
marius
Average Member
Città: sansepolcro (ar)
87 Messaggi |
Inserito il - 26/07/2007 : 17:31:44
|
| htt*://freefilehosting.net/download/NDk5MQ== ecco il mio nuovo log di Hijackthis poi ho fatto una scan on line con on care e mi ha trovato questo:trojan win 32/Virtumonde.o c:\windows\mlmnno.dll |
Modificato da - marius in data 26/07/2007 18:30:03 |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 26/07/2007 : 19:09:47
|
Fixa queste voci rimaste:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*://go.microsoft[.com]/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://go.microsoft[.com]/fwlink/?LinkId=69157
O2 - BHO: (no name) - {7a8b0651-9e8f-4c4c-80e3-5aeca079c196} - C:\WINDOWS\SYSTEM32\FM2spl.dll (file missing)
O20 - Winlogon Notify: FM2spl - FM2spl.dll (file missing)
Posta un log di controllo, comunque dovresti essere pulito 
|
Modificato da - Floatman in data 26/07/2007 19:12:02 |
|
|
|
marius
Average Member
Città: sansepolcro (ar)
87 Messaggi |
Inserito il - 26/07/2007 : 20:25:54
|
htt*://freefilehosting.net/download/NTA1NA== ecco il nuvo log
e grazie infinitamente |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 27/07/2007 : 00:02:55
|
sarò pignolo ma la voce:
O20 - AppInit_DLLs: c:\windows\system32\geebaaw.dll
si è riformata sempre con la dll cancellata da avenger
questa libreria appartiene a Vundo percio rifai una scansione con Vundo fix. |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 27/07/2007 : 01:07:33
|
Maledetto  Avevo il sospetto che potesse rimanere...
La voce è decisamente di Vundo; magari postaci il log di Vundofix |
|
|
|
marius
Average Member
Città: sansepolcro (ar)
87 Messaggi |
Inserito il - 27/07/2007 : 18:12:53
|
vundo fix mi dice:done serching for files.
No infected file were found. |
|
|
|
Discussione |
|
chi mi aiuta?
Forum Bloccato
