| Autore |
 Discussione  |
|
diavolofurioso
Senior Member
Città: Napoli
162 Messaggi |
 Inserito il - 03/09/2007 : 10:16:27
|
Salve a tutti!! spero che mi siate di aiuto, perchè questa mattina avviando normalmente il pc, avast mi trova un cavallo di *, un win 32, ora hosto uno stamp in modo da farvi capire bene la situazione. htt*://img382.imageshack.us/my.php?image=virusaz1.jpg come potete vedere esso ha intaccato un file di windows e prima di metterci le mani volevo un vostro parere, inoltre ogni volta che lo elimino con avast il virus si rigenera, comprendo sempre, quindii l'ho dovuto per forza spostare nel cestino. Se vi puo essere d'aiuto qui c'è anche un log postato. Sitema operatico windows xp sp 2
win.log
Grazie per l'ascolto, spero d'esser stato chiaro
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 03/09/2007 : 14:18:49
|
segui procedura (htt*://[www].notrace.it/eliminare-malware.html) e poi posta un nuovo log di hijack
|
 |
|
|
diavolofurioso
Senior Member
Città: Napoli
162 Messaggi |
Inserito il - 04/09/2007 : 13:38:55
|
Salve, ho eseguito solo una piccolissima parte di ciò che è scritto nella guida. Cmq aavviando il pc in modalità provvisoria, ho scansionato con avast, e mi ha cancellato un bel po di file, il rapporo è qui htt*://img241.imageshack.us/img241/1483/avastfz4.jpg ma poi facendo tornare il pc in modalità normale per inserire gli altri programmi all'avvio mi è stato dato un errore, qui lo troverete htt*://img241.imageshack.us/img241/6332/errorkc5.jpg sapete per caso dirmi se mi potrà causare problemi? e di che genere? intanto sto eseguendo le altre operazioni della guida.
Grazie ancora. |
|
|
|
diavolofurioso
Senior Member
Città: Napoli
162 Messaggi |
Inserito il - 04/09/2007 : 21:24:10
|
htt*://img128.imageshack.us/img128/3775/virgg7.jpg questo è ciò che mi ha trovato vir. dategli un'occhiata.
Come vedete sono tutti win, datemi una mano, oltretutto anche la voce nel regisro si rigenera, sono pieno di infezione, uffy |
Modificato da - diavolofurioso in data 04/09/2007 21:36:55 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 04/09/2007 : 23:31:19
|
| finita la procedura usa i tool rimozione linkoptimizer, probabilmente è un rootkit. |
|
|
|
diavolofurioso
Senior Member
Città: Napoli
162 Messaggi |
Inserito il - 07/09/2007 : 16:57:23
|
ummmm bene, bene, ho finito tutte le scansioni, ora mi restano solo quelle on line, ed il resto ovviamente, intanto posto ciò che mi hanno trovato ed eliminato superantispyware e spyware terminator
rispettivamente:
htt*://img399.imageshack.us/img399/5396/freeit5.jpg
htt*://img399.imageshack.us/img399/7537/spywarecq7.jpg
cmq la scansione on line con panda software, avast mi impedisce di farla, perchè mi chiude la connessione avvisandomi che mi prendo un bel win 32, ora provo l'altra, cmq non mi pare normale, che dite? disattivo avast?
|
|
|
|
diavolofurioso
Senior Member
Città: Napoli
162 Messaggi |
Inserito il - 07/09/2007 : 17:06:38
|
| mmmmm, lo fa anche con l'altro on line, che ne dite? è il caso di disattivarlo? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 07/09/2007 : 17:15:38
|
si è meglio!
scansiona il pc anche con questi due anti rootkit:
1) Rootkitbuster (htt*://[www].trendmicro[.com]/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip)
Se rootkitbuster ti trova problemi li selezioni e clicchi su remove selected items
2) Panda antirootkit (htt*://research.pandasoftware[.com]/blogs/images/AntiRootkit.zip) |
|
|
|
diavolofurioso
Senior Member
Città: Napoli
162 Messaggi |
Inserito il - 07/09/2007 : 17:54:40
|
| bene, bene, nessun rootkit, con nessuno dei due tools, ora procedo con le scansioni oline disattivando l'antivirus |
|
|
|
diavolofurioso
Senior Member
Città: Napoli
162 Messaggi |
Inserito il - 07/09/2007 : 20:13:17
|
| finite le scansioni on line, ora posto il log!!! |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 07/09/2007 : 20:51:24
|
| prima di postare il log ricordati di ripulire tutto con ccleaner |
|
|
|
diavolofurioso
Senior Member
Città: Napoli
162 Messaggi |
Inserito il - 07/09/2007 : 20:55:34
|
| htt*://[www].freefilehosting.net/download/MTk0MzY= woooooollllllllaaaaaaaaa ecco il log |
|
|
|
Floatman
Advanced Member
Città: Atlantide
1242 Messaggi |
Inserito il - 07/09/2007 : 23:26:42
|
Emhhhh... il tuo log mi pone qualche problema 
1) Non ho idea di cosa sia questa "cosa" all'avvio:
O4 - HKLM\..\Run: [ctfxfwkk] "c:\windows\system32\ctfxfwkk.exe"
Quindi ti direi di fixarla ed eliminare il file, però aspetta altri pareri
2) Ma questi siamo noi?
C:\Documents and Settings\user\Desktop\postare i logd.exe
Mi sento ignorante  |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 08/09/2007 : 00:21:15
|
se sbaglio non mi dite niente.. penso di aver capito cos'è
O4 - HKLM\..\Run: [ctfxfwkk] "c:\windows\system32\ctfxfwkk.exe"
il trojan.win32.agent.auf cambia i nomi, non è facile da identificarlo sempre.
Sono stata un po' di tempo (probabilmente x capire una cosa pure sbagliata  lo so) ma i file che sono stati identificati sin ora per il win32.agent.auf sono:
C:\WINDOWS\system32\hlpssjop.exe
C:\WINDOWS\system32\hlpdkytb.exe
C:\WINDOWS\system32\dsktgwgv.exe
C:\WINDOWS\system32\dskygeth.exe
C:\WINDOWS\SYSTEM32\dskrmfdt.exe
C:\WINDOWS\system32\mantphtw.exe
c:\windows\system32\ctfcvpbc.exe (quello che ti era stato trovato)
c:\windows\system32\ctfxfwkk.exe (quello che ti ha trovato adesso)
Continuavo a cercare e non avevo visto la probabile soluzione; le radici sono:
C:\WINDOWS\SYSTEM32\dsk*.exe
C:\WINDOWS\SYSTEM32\hlp*.exe
C:\WINDOWS\SYSTEM32\man*.exe
C:\WINDOWS\SYSTEM32\ctf*.exe (no ctfmon.exe)
Usa la funzione "cerca" e prova ad individuare se le hai (8 caratteri.exe)- (ma non cancellarle ancora ohoo :) ) 
Non so se è solo una coincidenza.. non vorrei fosse di qualche programma che hai installato in questi giorni x fare le scansioni.. però in rete non esiste... |
Modificato da - Sibilla in data 08/09/2007 01:11:19 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 08/09/2007 : 01:09:09
|
la voce 04 va fixata ed elminato il file eseguibile(quando l'illustre è.... sconosciuto meglio eliminarlo),
logd.exe è un file legittimo di:
Symantec VPN Firelog file. Found in the C:\Program Files\Symantec\VPNClient directory
fuori posizione, vediamo in seguito.
L'ipotesi di Sibilla è plausibile ma la prendiamo in considerazione dopo che avrai eseguito queste operazioni senza risultati soddisfacenti.
Naturalmente prima disattiva il ripristino configurazione sistema.
|
|
|
|
diavolofurioso
Senior Member
Città: Napoli
162 Messaggi |
Inserito il - 08/09/2007 : 13:02:58
|
mmmm, bene ho eseguito le operazione che mi avete dettato, dunque fixando la voce, e provando ad eliminare il file alla radice, ma quando lo cancello mi dice accesso negato: controllare che il disco non sia pieno o protetto da scrittura e che il file non sia attualemnte in uso.
Ho anche terminato il rocesso dal taskmenager, ma niente!! |
|
|
|
Discussione |
|
infettato da win
Forum Bloccato
