Luke57
Utenti-
Numero contenuti
719 -
Iscritto
-
Ultima visita
Risposte inseriti da Luke57
-
-
Ciao, Zbot è una bestiaccia, scarica sul desktop http://www.suspectfile.com/systemscan aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Inserisci il file .zip su
fornendo il link per poterlo vedere.
Ricordati d'effettuare la scansione senza connessione attiva
NB:ricordati di disattivare l'antivirus prima d'effettuare la scansione e di riattivarlo prima di riconnetterti ad internet.
-
Ciao, malwarebytes è già nel suo computer, per cui aggiornalo ed esegui la scansione completa, allegando il relativo report, Il report di combofix sembra a posto, vediamo l'altro.
-
Ciao, copia e incolla il seguente script in un file di testo;
Folder::
c:\users\dani\AppData\Roaming\xov22nf3rkl2ouvwjejymrf2luqrnwzn2
c:\users\dani\AppData\Roaming\e3pbsjikbawx3dzic2lgdqmxbhhrwsf2
C:\Users\dani\AppData\Local\Temp
File::
C:\Users\dani\AppData\Local\Temp\csrss.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"udvegeeqitfwoaqeequivekyyqxbxzl"=-
mettilo sul desktop salvandolo obbligatoriamente con il nome di CFScript.txt sul pc1
Poi apri hijackthis, premi "do a system scan only", cerca e spunta la voce seguente:
F3 - REG:win.ini: load=C:\Users\dani\AppData\Local\Temp\csrss.exe
premi fix checked e chiudi il programma
Poi, con il puntatore del mouse trascini il file CFScript.txt sull'icona di combofix del pc1. Il programma avvierà una nuova scansione; al termine di essa allega il nuovo report di combofix e un nuovo report di hijackthis.
-
Ciao, ok, è andato a buon fine. Il report pare a posto, adesso.
-
luke 57 scusa devo fare anche il tuo combifix??? o basta quello che ho appena fatto?
Ciao, devi eseguire lo script (l'ho anche modificato). Allega poi il nuovo report.
-
Ciao, se non hai ancora eseguito combofix, fai la scansione in questo modo:
apri un file di testo di windows (start>programmi>acccessori> blocco note) copia e incolla al suo interno il seguente script:
NetSvcs::
dkqqcctv
xkvej
amdhwsxq
Driver::
dkqqcctv
xkvej
amdhwsxq
File::
c:\windows\system32\ztyterfd.dll
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\amdhwsxq]
Salva il file con il nome CFScript.txt sul desktop.
Chiudi programmi e applicazioni, trascinalo con il puntatore del mouse sull'icona di combofix. Il programma eseguirà una nuova scansione. Al termine di essa allega il nuovo report che combofix rilascerà.
-
Ciao, questo valore:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:62283
va eliminato.
Apri hijackthis, con le applicazioni chiuse, premi "do a system scan only", cerca e spunta la voce suddetta.
Premi fix checked.
Se non va ancora, Apri internet explorer>"Strumenti">Opzioni Internet>Connessioni>Impostazioni LAN. Togli la spunta a:Utilizza un server proxy per le connessioni LAN. Clicca OK.
Se non andasse ancora, scarica OTL.exe da qui:
http://oldtimer.geekstogo.com/OTL.exe
Dopo aver eseguito OTL, sui sistemi Windows 7 e Windows Vista si dovrà rispondere in modo affermativo alla comparsa del messaggio di avviso di UAC.)
Metti la spunta nelle caselle:
sotto Outpout spunta "minimal" poispunta:
"Scan all users"
Processes ---->Use safe list
Services ----> Use safe list
Standard Registry ----> All
Lop check
Purity check
Clicca sulla freccettina di File Age e seleziona60 Days
Clicca su Run scan
Finita la scansione che potrebbe impiegare diverso tempo, OTL produrrà due file di log (OTL.txt ed Extras.txt), memorizzati nellamedesima cartella del programma.
Inserisci questi file qui:
(con sfoglia per scegliere il file e poi upoloadper scaricarlo; indica poi, in un prossimo post i link che wikisend ti fornirà per poter vedere i report.
-
Ciao, apri hijackthis, premi "open the misc tools section", poi "open process manager", cerca tra i processi
C:\Users\mattiello andrea\AppData\Local\Temp\csrss.exe
evidenzialo e premi kill process
Torna alla pagina iniziale del programma premendo "back", premi "Scan", cerca e spunta le voci seguenti:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:62283
F3 - REG:win.ini: load=C:\Users\MATTIE~1\AppData\Local\Temp\csrss.exe
premi fix checked
Scarica Ccleaner da qui:
http://www.ccleaner.com/download
ancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Avanzate togli la spunta alla voce Cancella solo file più vecchi di 48 ore
nel menu a sinistra, clicca sulla voce Pulizia e clicca su tasto Avvia pulizia per eseguire la scansione
Poi vai qui:
http://forum.wininiz...ida-illustrata/
guida all'uso di combofix.
Allega il report prodotto dalla scansione.
-
Ciao, scarica DDS
disabilita i software di protezione e mettilo sul desktop
http://download.bleepingcomputer.com/sUBs/dds.scr
avvialo con doppio click, si aprirà una finestra e il programma e inizierà la scansione. E' bene “non toccare” la finestra di DDS altrimenti la scansione potrebbe interrompersi.
Al termine di essa verranno rilasciati due log in formato testo (dds.txt ed attach.txt).
Allegali a un prossimo post
-
Quel file non se ne vuole andare. Sto pensando ad un modo per eliminarlo. Tu intanto, noti ancora malfunzionamenti?
Posta un log aggiornato di Hijackthis.
Ciao, non ti scervellare più per quel file che pare del tutto legittimo
http://www.hwupgrade...d.php?t=2013865
(non sempre i file hiddden sono infezioni)
Comincia anche a valutare il fatto che una lentezza più accentuata del computer possa dipendere anche da altri fattori, non necessariamente da virus, prima di tempestare l'utente con programmi e programmi di disinfezione, molte volte superflui.
-
Ciao, controlla questo file in neretto:
c:\windows\system32\acovcnt.exe
su virustotal
sarà verificato da diversi antivirus, posta il responso.
-
Ciao, il report di combofix è incompleto, sono indicate solo le eliminazioni ma serve vederlo tutto.
-
Ciao, con le ultime eliminazioni il report adesso sembra a posto.
-
Ciao, apri il file CFScript.txt e, salvando le modifiche, sostituisci al testo precedentemente immesso il seguente:
Netsvc::
cxnohuvj
azzym
seurcah
kmmhjmhed
iwulfxfa
Driver::
cxnohuvj
azzym
seurcah
kmmhjmhed
iwulfxfa
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\azzym]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cxnohuvj]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iwulfxfa]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kmmhjmhed]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\seurcah]
File::
c:\windows\system32\mxdfth.dll
con la solita procedura trascinalo sull'icona di combofix per una nuova scansione, al termine di essa allega nuovo report prodotto.
-
Ciao, vai qui:
http://forum.wininizio.it/index.php?/topic/98188-combofix-guida-illustrata/
utilizza combofix per come spiegato nella guida. Al termine della scansione, allega il relativo report (c:\cmbofix.txt)
-
Ciao, il report è a posto.
-
Ciao, il log di combofix sembra a posto.
Per sicurezza, elimina tdsskiller, riscaricalo e fai una nuova scansione, allegando il relativo log.
Installa un antivirus, per una scelta free io mi orienterei su avira o avast 5, molto migliorato, comunque fai come ritieni più opportuno.
-
Ciao, tdsskiller ha individuato anche l'infezione da Sinoval sull'mbr.
Scarica
http://www2.gmer.net/mbr/mbr.exe
- Collocate MBR rootkit detector (mbr.exe) alla radice del disco (Es; C:\mbr.exe)
- Riavviate il Pc in modalità provvisoria
- Andate su Start / Esegui
- digitate C:\mbr.exe e cliccate su OK per avviare il controllo e creare il log.
Postalo.
Inoltre, disistalla avg con il tool apposito.
http://www.avg.com/i.../download-tools
Elimina combofix.exe che hai sul computer e scaricalo nuovamente sul desktop.
Prima di salvarlo rinominalo in abc.exe.
Copia l'eseguibile di inherit sul desktop e trascinaci, con il puntatore del mouse, l'icona di combofix.
Attendi la fine delle operazioni. Poi prova ad avviare combofix.
Se parte attendi la fine delle operazioni senza fare niente e, al termine, allega il report C:\combofix.txt.
-
Ciao, apri un file dal blocco note di windows e copia al suo interno il seguente codice:
Windows Registry Editor Version 5.00 [HKCU\SOFTWARE\Microsoft\windows\currentversion\run] "title grid"=- ;
salvalo sul desktopo con il nome di fix.reg, tipo di file:tutti i file.
Poi avvialo con doppio click e rispondi sì alla richiesta di unione al registro. Non riavviare il computer ma avvia systemscan, clicca sul pulsante sotto a destra "Removal script" ti si apre un box, clicca all'interno in modo da far scomparire le scritte in rosso e, copia e incolla il seguente script:
Files to delete:
C:\DOCUME~1\admin\DATIAP~1\TONSSE~1\BIASMEET.exe
C:\WINDOWS\Temp\_ex-08.exe
Folders to delete:
C:\DOCUME~1\admin\IMPOST~1\Temp
C:\WINDOWS\Temp
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | sniffer
Clicca sul pulsante "proceed with removal" e vedi cosa succede, se funziona e viene richiesto il riavvio, riavvia il pc.
Al riavvio posta il file C:\avenger.txt.
Poi scarica TDSSkiller
http://support.kaspersky.com/downloa...tdsskiller.exe
Scarica TDSS killer e salvalo sul desktop.Estrai il contenuto sul desktop.Doppio click su
TDSSKILLER.exe per avviare l'applicazione e poi su start scan.
Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.
Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Se un riavvio è richiesto, il report si trova in C:\folder in questa forma "TDSSKiller.[Version]_[Date]_[Time]_log.txt"
Allegalo a un post
-
Ciao, per disistallare del tutto Avg devi usare l'apposito tool.
Se hai altri problemi e non sei sicura di avere il computer a posto, puoi eseguire systemscan, come ti ho spiegato nella seconda parte del precedente post, in modo che possa dare un'occhiata al suo report e verificare che non c i siano altri problemi, Per disistallare security tool, prova questo:
-
il procedimento di Luke non funziona...
per quanto riguarda la modalità provvisoria non escono file con soli numeri che dovrebbero rappresentare appunto i due securitytool . L'unico dove ci sono solo ue numeri è ex-0.8 C:Windows temp ex 0.8 o qualcosa di simile
Ciao, ma ti appaiono messaggi mentre i files vengono bloccati?prova a rinominare l'eseguibile di malwarebytes in 123.exe e tentare l'operazione con inherit.
Se non funzionasse, vai qui:
http://www.suspectfile.com/systemscan
scarica systemscan sul desktop.aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Inserisci il file con estensione .zip qui:
fornendo il link per poterlo vedere. Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disattivato salvo poi riattivarlo prima di riconnetterti.SystemScan viene, erroneamente, rilevato da alcuni antivirus come un malware
-
il procedimento di Luke non funziona...
per quanto riguarda la modalità provvisoria non escono file con soli numeri che dovrebbero rappresentare appunto i due securitytool . L'unico dove ci sono solo ue numeri è ex-0.8 C:Windows temp ex 0.8 o qualcosa di simile
Ciao, ma ti appaiono messaggi mentre i files vengono bloccati?prova a rinominare l'eseguibile di malwarebytes in 123.exe e tentare l'operazione con inherit.
Se non funzionasse, vai qui:
http://www.suspectfile.com/systemscan
scarica systemscan sul desktop.aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Inserisci il file con estensione .zip qui:
fornendo il link per poterlo vedere.<br style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; ">Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disattivato salvo poi riattivarlo prima di riconnetterti.SystemScan viene, erroneamente, rilevato da alcuni antivirus come un malware
-
Ciao, scarica questo programma:
http://download.bleepingcomputer.com/sUBs/MiniFixes/Inherit.exe
copialo nella cartella di malwarebytes(C:/programmi/malwarebytes) e poi trascina l'eseguibile malwarebytes.exe in inherit.exe.Aspetta la fine delle operazioni e prova di nuovo malwarebytes. Se funziona, elimina i valori infetti trovati e posta il report dello scan
-
Ciao, apri un file di testo dal blocco note di windows. Al suo interno copia e incolla il seguente testo:
Driver:: UQSJ File:: c:\users\Caterina\AppData\Local\Temp\UQSJ.exe Folder:: c:\users\Caterina\AppData\Local\Temp Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UQSJ]
salva il file con il nome obbliogatorio di CFScript.txt
mettilo sul desktop e trascinalo con il puntatore del mouse sull'icona di combofix. Il programma avvierà una nuova scansione, come la precedente. Al termine di essa, allega il nuovo log prodotto.
in HiJackThis - Posta qui i Log
Inviato
Ciao, copia e incolla il seguente script in un file di testo;
Driver::
tqvpcock
Folder::
c:\documents and settings\Franc\Dati applicazioni\xbi3mvwrkxikhynlokvwupqwrjphvddy2
c:\documents and settings\Franc\Dati applicazioni\hzco23pzjurokuppxedjc1fivxssdaw2
c:\documents and settings\Franc\Dati applicazioni\1sxhxxbopscnqrxmtpimyrsyddgshfr2
c:\documents and settings\Franc\Dati applicazioni\crh2zbwqqvp2u2c3byihjtlehqgcykk2
c:\documents and settings\Franc\Dati applicazioni\kzivhrjrpfmhneaetkz2tk13ariprfi2
c:\documents and settings\Franc\Dati applicazioni\rkwsct2enx3bgmubh3jazplt3taautg2
c:\documents and settings\Franc\Dati applicazioni\xbi3mvwrkxikhynlokvwupqwrjphvddy2
c:\documents and settings\Franc\Dati applicazioni\hzco23pzjurokuppxedjc1fivxssdaw2
c:\documents and settings\Franc\Dati applicazioni\1sxhxxbopscnqrxmtpimyrsyddgshfr2
c:\documents and settings\Franc\Dati applicazioni\crh2zbwqqvp2u2c3byihjtlehqgcykk2
c:\documents and settings\Franc\Dati applicazioni\kzivhrjrpfmhneaetkz2tk13ariprfi2
c:\documents and settings\Franc\Dati applicazioni\rkwsct2enx3bgmubh3jazplt3taautg2
c:\documents and settings\Franc\Dati applicazioni\x1ydqgxzwo2q2sxmo1bmqebfqjxznjp32
c:\documents and settings\Franc\Dati applicazioni\xjdqdixgvxhpgtm2qebwczbpdkvorigc2
c:\documents and settings\Franc\Dati applicazioni\szqxpbmzafofkisq3hk1kfiyaixip3s2
c:\documents and settings\Franc\Dati applicazioni\xhqlbgcpxopsgi3df1ldrxksuwetefay2
c:\documents and settings\Franc\Dati applicazioni\x3zjebfv2wyqlnigygiacf1wxaalrqoa2
c:\documents and settings\Franc\Dati applicazioni\ojpxv2zrpl1hofeiidasprahwbszepk2
c:\documents and settings\Franc\Dati applicazioni\xsm1xaozzc1iuvgauygny3jao1qlz2d32
c:\documents and settings\Franc\Dati applicazioni\3oron3aortza2ghhbhyrhvnzkfcknua2
c:\documents and settings\Franc\Dati applicazioni\xyohmrtdqtskcedfb3obupnvjwhij1jk2
c:\documents and settings\Franc\Dati applicazioni\jyauckc3qdfjimasljxtefmcg3ryrw32
c:\documents and settings\Franc\Dati applicazioni\x2vneijdhcqddnsqlbrnpoea3skplsdj2
c:\documents and settings\Franc\Dati applicazioni\fjw1aqeatkbqegflu2ljoc22qrpmhfr2
c:\documents and settings\Franc\Dati applicazioni\x3e1rcj1bvbyenrqajhwkswvzg1fglcf2
c:\documents and settings\Franc\Dati applicazioni\xt3cpmvhs3motbreolsgphdrcuh3kdjg2
c:\documents and settings\Franc\Dati applicazioni\oythkpu3vfmax1ynqlvujfjrzmevboy2
c:\documents and settings\Franc\Dati applicazioni\cpgvpikgbtwlq13i3owglxunjnwztqm
c:\documents and settings\Franc\Dati applicazioni\x1ydqgxzwo2q2sxmo1bmqebfqjxznjp32
c:\documents and settings\Franc\Dati applicazioni\xjdqdixgvxhpgtm2qebwczbpdkvorigc2
c:\documents and settings\Franc\Dati applicazioni\szqxpbmzafofkisq3hk1kfiyaixip3s2
c:\documents and settings\Franc\Dati applicazioni\xhqlbgcpxopsgi3df1ldrxksuwetefay2
c:\documents and settings\Franc\Dati applicazioni\x3zjebfv2wyqlnigygiacf1wxaalrqoa2
c:\documents and settings\Franc\Dati applicazioni\ojpxv2zrpl1hofeiidasprahwbszepk2
c:\documents and settings\Franc\Dati applicazioni\xsm1xaozzc1iuvgauygny3jao1qlz2d32
c:\documents and settings\Franc\Dati applicazioni\3oron3aortza2ghhbhyrhvnzkfcknua2
c:\documents and settings\Franc\Dati applicazioni\xyohmrtdqtskcedfb3obupnvjwhij1jk2
c:\documents and settings\Franc\Dati applicazioni\jyauckc3qdfjimasljxtefmcg3ryrw32
c:\documents and settings\Franc\Dati applicazioni\x2vneijdhcqddnsqlbrnpoea3skplsdj2
c:\documents and settings\Franc\Dati applicazioni\fjw1aqeatkbqegflu2ljoc22qrpmhfr2
c:\documents and settings\Franc\Dati applicazioni\x3e1rcj1bvbyenrqajhwkswvzg1fglcf2
c:\documents and settings\Franc\Dati applicazioni\xt3cpmvhs3motbreolsgphdrcuh3kdjg2
c:\documents and settings\Franc\Dati applicazioni\oythkpu3vfmax1ynqlvujfjrzmevboy2
c:\documents and settings\Franc\Dati applicazioni\cpgvpikgbtwlq13i3owglxunjnwztqm
File::
c:\windows\system32\drivers\cvbuyo.sys
c:\documents and settings\Franc\Dati applicazioni\Microsoft\gb_3542046.bat
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Documents and Settings\\Franc\\Dati applicazioni\\xbi3mvwrkxikhynlokvwupqwrjphvddy2\\svcnost.exe"=-
mettilo sul desktop salvandolo obbligatoriamente con il nome di CFScript.txt
Poi, con il puntatore del mouse trascini il file CFScript.txt sull'icona di combofix del pc1. Il programma avvierà una nuova scansione; al termine di essa allega il nuovo report di combofix e un nuovo report di hijackthis.