Accedi per seguire   
Seguaci 0
kirkhammett

Applicazione Pianoforte (idd45.tmp.exe) In C:\windows\temp

3 messaggi in questa discussione

Ciao sono ancora io. Ho questo virus e non so come rimuoverlo. Fa partire una connessione a pagamento e cade la linea adsl. Posto il log di hijack,. grazie, a presto

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

ma tu al giorno d'oggi stai senza firewall e senza antivirus ??? :):P

Installa immediatamente Zone Alarm free

e Antivir PE classic

li trovi qui: http://forum.wininizio.it/index.php?s=&amp...st&p=251103

___________________

Scaricati questo e tienilo sul desktop:

ATF cleaner

http://www.atribune.org/ccount/click.php?id=1

Avvia il sistema in Modalità Provvisoria

Avvia ATF Cleaner

(se usi Firefox o Opera, selezionali dal menu in alto)

metti la spunta su "Select All" per ogni browser

e clicca su "Empty Select"

Avvia Hijack e fissa queste voci:

D:\DOCUME~1\Prin\IMPOST~1\Temp\svchost.exe

O4 - HKLM\..\Run: [WindowsServicesStartup] D:\DOCUME~1\Prin\IMPOST~1\Temp\svchost.exe 1

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{13E073C2-B17A-4EDC-8E57-344DFFF9A0B7}: NameServer = 151.99.125.2,151.99.250.2

O20 - Winlogon Notify: winpdc32 - C:\WINDOWS\SYSTEM32\winpdc32.dll

O23 - Service: CCUSNNRZ - Unknown owner - D:\DOCUME~1\Prin\IMPOST~1\Temp\CCUSNNRZ.exe (file missing)

O23 - Service: NKPNUMXRSNJ - Unknown owner - D:\DOCUME~1\Prin\IMPOST~1\Temp\NKPNUMXRSNJ.exe (file missing)

ELIMINA questi files:

C:\WINDOWS\SYSTEM32\winpdc32.dll

Da StART\ESEGUI digita:

sc stop CCUSNNRZ (e dai l'OK)

sc delete CCUSNNRZ (e dai l'OK)

sc stop NKPNUMXRSNJ (e dai l'OK)

sc delete NKPNUMXRSNJ (e dai l'OK)

___________

Collegati per un controllo online ad entrambi questi due siti:

screenshot0044ao.jpg

poi

foto0038se.jpg

Nuovo log (aggiornato) al termine di queste operazioni.. (fatto in modalità normale)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Non so se sia importante, ma ho potuto verificare di persona che TrendMicro (versione aziendale), di questo virus (l'eseguibile aveva lo stesso identico nome, o comunque molto simile) se ne frega altamente... con Virit qualcosa ha tolto, ma riguardo questo file ho dovuto terminare brutalmente il processo da modalità provvisoria (insieme ad un altro processo) e cancellarlo a mano, insieme al contenuto di tutte le cartelle con all'interno file temporanei... spero possa essere d'aiuto...

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0