| Autore |
 Discussione  |
|
marci.fiori
New Member
49 Messaggi |
 Inserito il - 31/08/2007 : 11:25:01
|
Aiuttttisssssimo!!! E soprattutto Ciao!! Sono nuova del forum e anche abbastanza poco pratica di ...sverminamenti!!! Mi potete aiutare?? Non riesco a liberarmi di questo worm: l'antivirus e ben 2 su 3 spyware installati (Superantispyware e Spyware fighter) non lo trovano, Spybot sì, sembra anche che lo rimuova e invece no!! Ad ogni avvio del pc il maledetto è là a rallentarmi l'esistenza!!!! Fra l'altro non sono neanche riuscita a trovare un granché di notizie sul web...
Non mi resta che lanciare un piccolo SOS....
Grazie!!
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 31/08/2007 : 18:56:33
|
Benvenuta nel forum
posta un log di Hijackthis htt*://[www].trendsecure[.com]/portal/en-US/threat_analytics/hijackthis.php#
metti il programma in un cartella dedicata in c:\programmi\Hijackthis
lancia,clic su Main menù e poi sul tasto"do a system scan and save a log file, otterrai un file di testo(LOG) che dovrai postare secondo le regole che trovi nella mia firma |
 |
|
|
marci.fiori
New Member
49 Messaggi |
Inserito il - 01/09/2007 : 10:45:18
|
Grazie Michal per il benvenuto e per avermi risposto, ci proverò al più presto, appena impegni di lavoro e famliari mi lasceranno il tempo pr concentrarmi e...imparare!!!Grazie ancora!! |
|
|
|
marci.fiori
New Member
49 Messaggi |
Inserito il - 03/09/2007 : 17:35:45
|
| Allora, ecco il link per accedere al file..hijackthis12.txt, spero di avere capito tutto e sopratutto fatto tutto. Grazie ancora per l'aiuto! |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 03/09/2007 : 20:49:16
|
disabilita il ripristino di configurazione di sistema
start/pannello di controllo/sistema/ripristino config spuntare la casella disattiva/ applica/ok
Fixa:
O2 - BHO: (no name) - {EB870508-E2B7-4169-8120-760F69703776} - (no file)
O2 - BHO: (no name) - {FB47056B-B34D-410E-819A-E8A51CC8E2EB} - (no file)
scollegato da internet e con il tuo antivirus disattivato
fai una scansione con Virit:
htt*://[www].tgsoft.it/italy/index_ita.html
scaricati Ccleaner htt*://[www].ccleaner[.com]/download/
Lanciare il programma, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore, eseguire l’operazione “analizza-->avvia” due volte.
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
riposta un nuovo log.
|
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 03/09/2007 : 21:05:47
|
Scarica questo tool htt*://spambot.cleaner.nod32.it/ per la rimozione del malware, decomprimi l'archivio, avvia il tool (SPBCLEAN.exe), premi Start per far iniziare la scansione.
Quando ha finito tutto quello che ha trovato di infetto faglielo pulire con il pulsante Clean.
Controlla che ti abbia almeno trovato questi 3 file mouseges.dll, WebMons.dll, soundlib.exe.
Se uno di questi non l'ha trovato cancellalo tu manualmente, se non riesci perchè è in uso Riavvia il pc in Modalità Provvisoria (quando ti fa il calcolo della memoria, ti segna gli hd collegati ecc premi continuamente F8 finchè non appare un menu, da lì scegli con le freccie la modalità) e cancellalo da lì.
con questo procedura dovresti riuscire  |
|
|
|
marci.fiori
New Member
49 Messaggi |
Inserito il - 04/09/2007 : 18:14:48
|
Citazione:
Messaggio inserito da michal
disabilita il ripristino di configurazione di sistema
start/pannello di controllo/sistema/ripristino config spuntare la casella disattiva/ applica/ok
Fixa:
O2 - BHO: (no name) - {EB870508-E2B7-4169-8120-760F69703776} - (no file)
O2 - BHO: (no name) - {FB47056B-B34D-410E-819A-E8A51CC8E2EB} - (no file)
scollegato da internet e con il tuo antivirus disattivato
fai una scansione con Virit:
htt*://[www].tgsoft.it/italy/index_ita.html
scaricati Ccleaner htt*://[www].ccleaner[.com]/download/
Lanciare il programma, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore, eseguire l’operazione “analizza-->avvia” due volte.
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
riposta un nuovo log.
 Allora ho fatto tutto (Virit mi ha trovato vari schifi in due riprese diverse) e questo è il link per il nuovo log htt*://[www].freefilehosting.net/download/MTg2NzE= Mi manca un particolare però, adesso posso o devo riabilitare il ripristino della configurazione di sistema?? Graziegraziegrazie!!!! |
|
|
|
marci.fiori
New Member
49 Messaggi |
Inserito il - 04/09/2007 : 19:13:46
|
| Ahi!!! Ho riavviato il computer e la scansione automatica di Virit mi ha ritrovato l'ultimo file che aveva eliminato: 3B177BCE-B599-4ABD-BECE-B57EE18187FA Trojan.Win32.Resurrector.A e il ripristino della config di sistema è sempre disattivato.. Il puzzone si rigenererà ancora e ancora? |
Modificato da - marci.fiori in data 04/09/2007 19:15:07 |
|
|
|
marci.fiori
New Member
49 Messaggi |
Inserito il - 04/09/2007 : 19:20:57
|
Citazione:
Messaggio inserito da aris73
Scarica questo tool htt*://spambot.cleaner.nod32.it/ per la rimozione del malware, decomprimi l'archivio, avvia il tool (SPBCLEAN.exe), premi Start per far iniziare la scansione.
Quando ha finito tutto quello che ha trovato di infetto faglielo pulire con il pulsante Clean.
Controlla che ti abbia almeno trovato questi 3 file mouseges.dll, WebMons.dll, soundlib.exe.
Se uno di questi non l'ha trovato cancellalo tu manualmente, se non riesci perchè è in uso Riavvia il pc in Modalità Provvisoria (quando ti fa il calcolo della memoria, ti segna gli hd collegati ecc premi continuamente F8 finchè non appare un menu, da lì scegli con le freccie la modalità) e cancellalo da lì.
con questo procedura dovresti riuscire
Questo tool non mi trova nulla?!Ho fatto la scansione prima di seguire la procedura che mi ha suggerito Michal, ma non mi trovava assolutamente nessun file infetto..Virit me ne ha trovato 4...E non so cancellare i files manualmente...da dove??
 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 04/09/2007 : 19:45:13
|
ciao,
forse puoi fare una cosa (attendi che qualcuno ti dia l'ok, però):
puoi cancellare quelle chiavi dal registro.
Se apri regedit e vai su "trova" => 3B177BCE-B599-4ABD-BECE-B57EE18187FA te le comincia a trovare una ad una.
La prima chiave la visualizzi subito, le successive le trovi premendo ogni volta F3 ed eliminare i valori.
Eventualmente, puoi importare una copia del registro :) nel caso dovesse servire.
Funzionerebbe così? |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 05/09/2007 : 00:03:41
|
Virit riconosce questo trojan, riprova e se non funge bisognerà fare una rimozione manuale.
fai una copia del file di registro:
start/ esegui /regedit/ok file esporta e dagli un nome a scelta
Una volta eseguito il backup riparti in modalità provvisoria:
- cliccando sui + portati in
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
cerca la cartellina gialla
Resurrector
cliccaci su di dx seleziona "Elimina"
- portati in
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
apri la cartellina
CLSID
cerca ed elimina (fai attenzione ai valori che siano uguali) il valore
{3B177BCE-B599-4ABD-BECE-B57EE18187FA}
- portati in
[HKEY_USERS\S-1-5-21-448539723-1202660629-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached]
"{3B177BCE-B599-4ABD-BECE-B57EE18187FA} {000214E8-0000-0000-C000-000000000046} 0x401"=hex:01,\
apri
Cached
ed elimina
"{3B177BCE-B599-4ABD-BECE-B57EE18187FA} {000214E8-0000-0000-C000-000000000046} 0x401"=hex:01,\
chiudi il registro.
Riavvia in modalità normale. esegui una scansione con VirIT.
Prova ad usare il pc, se riscontri problemi puoi sempre ripristinare il registro di configurazione
se tutto funge poi riattivare il ripristino.
PS. stampa questo messaggio, ti aiuterà durante le operazioni. |
Modificato da - michal in data 05/09/2007 00:05:08 |
|
|
|
marci.fiori
New Member
49 Messaggi |
Inserito il - 06/09/2007 : 00:12:21
|
| Ci puoi giurare che stampo tutto!!! Anche perché mi si è impuntato il cervello solo a scorrere il testo!!! Ci proverò domani mattina a mente più fresca visto che ho riprovato tante volte con virit e non funge purtroppo...Grazie mille per l'aiuto e speriamo di risolvere..non ne posso più di scansioni....Grazie di nuovo!!! |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 06/09/2007 : 00:53:30
|
puoi anche utilizzare la soluzione "intelligente" di Sibilla:
usa in sequenza la funzione trova del registro di XP immettendo quel codice ed eliminando le chiavi che evidenzia.
La soluzione è intelligente perche ci sono variabili del maleware che posizionano il codice in altre chiavi.
Fai la procedura che ti senti di fare e se hai dubbi riposta. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 06/09/2007 : 01:09:25
|
Citazione:
Messaggio inserito da michal
...soluzione "intelligente"
le virgolette ci stanno che è un amore :)
E' la soluzione di chi non conosceva la collocazione delle chiavi.
(a male estremo..estrema inventiva)
|
|
|
|
marci.fiori
New Member
49 Messaggi |
Inserito il - 06/09/2007 : 23:16:39
|
Ce l'ho fatta!!! Grazie al vostro aiuto è andato!!! In realtà non avevo neanche la mente tanto fresca, non avendo dormito che tre ore perché intrippata a leggere un romanzo di Follet.. Comunque stamattina ho applicato la procedura di Michal perché mi guidava passo passo, non avevo mai aperto il registro in vita mia e non sapevo neanche cosa fosse regedit!!! Non è stata necessaria l'intera procedura poi perché in HKEY_USERS etc non c'era un numero -1-5-21-44 etc. e mi sono fermata ai passaggi precedenti.
Poi ho anche capito la semplicità della soluzione di Sibilla e la terrò a mente per il futuro. Il computer non mi dà problemi e grazie a voi mi sento un genio dell'informatica!! (Caspita so leggere e seguire delle istruzioni!!)
Mi resta una domanda: cosa ne devo fare del backup del file di registro che ho effettuato all'inizio??
Con sempiterna, immensa gratitudine.....
P.S. Siete dei veri GENI!! |
Modificato da - marci.fiori in data 06/09/2007 23:22:22 |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 07/09/2007 : 00:22:03
|
Di Ken Follet ricordo con piacere "Un luogo chiamato libertà"... molto avvincente. Comunque veniamo al sodo
Il backup del registro contiene la chiave incriminata, quindi di per sè lo potresti cestinare.
Il mio consiglio nel nome della sicurezza è quello di fare una copia ulteriore del registro adesso per tenerla buona e buttare via l'altra tra qualche giorno, quando sarai sicura che tutto funzioni correttamente
Bye |
|
|
|
Discussione |
|
Dannato Win32.Bomka.r!!!
Forum Bloccato
