Accedi per seguire   
Seguaci 0
Dolcepioggia

Log Hijackthis | virus MSN

82 messaggi in questa discussione

Mi dite se ha rilevato Virus?

Un mio contatto di msn mi ha inviato il virus di msn (link facebookphotos...). Ora il mio antivirus mi sta rilevando una marea di virus

Nel frattempo sto facendo una scansione con Kaspersky e con VirIT

Mi aiutate?

Grazie

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao dolcepioggia,

prima di tutto disisntalla questo ProtezioneSoft, perchè è un falso programma di sicurezza

fai girare questa utility

http://forum.wininizio.it/index.php?showto...amp;mode=linear

Scarica MSNCleaner

doppio click su MSNCleaner.exe (è possibile impostare la lingua in italiano)

clicca su Analizar (analizza)

attendi il termine della scansione

ora clicca su Eliminar (elimina)

clicca su report, salva il rapporto e postalo.

Ricordati di mettere Hijackthis.exe in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup

CON TUTTE LE APPLICAZIONI CHIUSE....

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esserci tutte) e clicca su "fix checked"

C:\Programmi\ProtezioneSoft\ucookw.exe

C:\Programmi\ProtezioneSoft\SysRep.exe

O2 - BHO: Her - {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C} - C:\WINDOWS\system32\marwin32.dll

O4 - HKLM\..\Run: [ProtezioneSoft] C:\Programmi\ProtezioneSoft\SysRep.exe

O4 - HKLM\..\Run: [ucookw] "C:\PROGRA~1\PROTEZ~1\ucookw.exe" -start

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://myely.spaces.live.com/PhotoUpload/MsnPUpld.cab

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

Scarica the Avenger

http://swandog46.geekstogo.com/avenger.zip

lo salvi in una cartella, scompatti il file .zip.

individua avenger.exe, lo avvii.

inserisci questo script nel box bianco

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:

C:\WINDOWS\SYSTEM32\WLCtrl32.dll

C:\PROGRA~1\PROTEZ~1\ucookw.exe

C:\WINDOWS\system32\marwin32.dll

C:\Programmi\ProtezioneSoft\SysRep.exe

folders to delete:

C:\WINDOWS\temp

C:\WINDOWS\Tasks

C:\Programmi\ProtezioneSoft

Clicca su Execute

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

allega un nuovo log di Hijackthis

Esegui una scansione online con Kaspersky (su "my computer")ed allega il report in formato HTML

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Se non riesci ad allegare il report,

carica il file su http://www.wikifortio.com/

e poi copia il link per poterlo scaricare

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

non riesco a scaricare msncleaner, puoi indicarmi un altro link?

Grazie

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Il tool è momentaneamente non raggiungibile..prova questi:

NO worm Live Messanger

eseguirlo, selezionare in che driver avete installato Windows (solitamente è C:\)

e cliccare su "Cura il tuo pc dal worm di Live Messenger".

Per sicurezza, dai anche una passata con quest'altro (entrambi sono per la stessa infezione)

MSNFix.zip

  • decomprimi il file, aprila cartella e clicca su MSNFix.bat. (attendi che ci vuole un attimo)
  • Clicca E e premi Invio

  • Poi clicca R e premi Invio
  • Se l'infezione (o parte di essa) [Malware found] viene individuata premi N.
  • Apparirà un rapporto... postarlo se richiesto

Posta il log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ora posso fare la scansione con Kaspersky?

Il mio antivirus mi rileva ancora un virus

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusate ma i files in C:\VolumeInformation li posso cancellare? Cosa devo scrivere in Avenger?

Grazie

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ragazzi ho risolto il problema del virus di Msn, solo che ora tutte le volte che accendo il pc, l'antivirus mi trova il Virus JunkPoly[Cryp]

Come faccio a toglierlo?

Allego il log

Grazie

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

*Disabilita il Ripristino di configurazione su tutte le unità;

http://www.kuma215.it/WI/

(nota che questo ELIMINERà TUTTI i punti di ripristino, ed eventuali virus in esso contenuti..)

Al termine di questa procedura che ti indico riabilitalo almeno sull'unità dove hai installato il sistema operativo (solitamente il disco C:\) e crea un nuovo punto di ripristino pulito.

*CON TUTTE LE APPLICAZIONI CHIUSE....

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esserci tutte) e clicca su "fix checked"

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Elisa\IMPOST~1\Temp\servic es.exe

O4 - HKLM\..\Run: [hgbmhonm] rundll32.exe "C:\DOCUME~1\Elisa\IMPOST~1\Temp\wmaepgnid.drv" WLEntryPoint

O4 - HKLM\..\Policies\Explorer\Run: [tknetgba] rundll32.exe "C:\WINDOWS\system32\ieaepgned.nls" WLEntryPoint

O10 - Unknown file in Winsock LSP: c:\windows\system32\psbihgje.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\psbihgje.dll

O20 - Winlogon Notify: bihkbmpgf - C:\WINDOWS\SYSTEM32\bihkbmpgf.dll

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

*Scarica ed esegui LSPFix, per riparare il Winsock

http://cexx.org/lspfix.htm

*Individua avenger.exe, lo avvii.

inserisci questo script nel box bianco

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:

C:\DOCUME~1\Elisa\IMPOST~1\Temp\servic es.exe

C:\DOCUME~1\Elisa\IMPOST~1\Temp\wmaepgnid.drv

C:\WINDOWS\system32\ieaepgned.nls

c:\windows\system32\psbihgje.dll

C:\WINDOWS\SYSTEM32\bihkbmpgf.dll

C:\Documents and Settings\Elisa\Desktop\catchme.zip/services.exe

C:\Documents and Settings\Elisa\Impostazioni locali\Temporary Internet Files\Content.IE5\MCNNIP89\ddos[1].txt

C:\WINDOWS\system32\atsjepcfmdorml.dll

C:\WINDOWS\system32\cygwn32.dll

C:\WINDOWS\system32\WLCtrl32.dll

C:\WINDOWS\system32\WLCtrl32.dl_

Clicca su Execute

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

*Scarica ATF Cleaner

http://www.atribune.org/ccount/click.php?id=1

Avvia ATF Cleaner.exe con un doppio click

- clicca sul menu main

- seleziona la casella Select All

- clicca sul pulsante Empty selected

- aspetta l'avviso Done Cleaning.

(se non vuoi eliminare le password togli la spunta)

(se usi opera o firefox,spunta anche le loro sezioni)

Posta un nuovo log di Hijackthis.

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Angelique ma dopo aver disabilitato il ripristino di configurazione del sistema, devo entrare in modalità provvisoria?

Grazie

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva "nascondi file protetti di sistema"

e Togli la spunta da: "Nascondi le estensioni dei file per i tipi di file conosciuti"(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Avvia il sistema in Modalità Provvisoria

http://www.wininizio.it/forum/index.php?showtopic=12722

CON TUTTE LE APPLICAZIONI CHIUSE....

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esserci tutte) e clicca su "fix checked"

O4 - HKLM\..\Run: [lptdhltl] rundll32.exe "C:\DOCUME~1\Elisa\IMPOST~1\Temp\mscldhdll.sys" WLEntryPoint

O4 - HKLM\..\Policies\Explorer\Run: [ttpphdhp] rundll32.exe "C:\WINDOWS\system32\msvcldllt.sys" WLEntryPoint

O20 - Winlogon Notify: bihkbmpgf - C:\WINDOWS\SYSTEM32\bihkbmpgf.dll

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

Svuota completamente queste cartelle

C:\Documents and Settings\Elisa\Impostazioni locali\Temp

C:\Documents and Settings\Elisa\Impostazioni locali\Temporary Internet Files\Content.IE5

C:\WINDOWS\TEMP

cerca ed elimina questo file

C:\WINDOWS\system32\msvcldllt.sys

torna in modalità normale

scarica sul desktop GMER: http://www.gmer.net/gmer.zip

scopatta, sempre sul desktop il file gmer.zip.

Esegui gmer.exe

Clicca sul Tab "Rootkit"

Clicca su "Scan"

finita la scansione clicca su "Copy"

Apri il Blocco Note salva il file ed allegalo qui

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

La scansione con Gmer non riesco a farla perché dopo un pò mi si spegne il pc (appare un schermata blu, che mi dice che il computer è stato arrestato per evitare danni al pc

Errore (0XC0000005, OX0074006E, OXB764FCFO, 0X00000000)

Il virus c'è ancora :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Si, sono riuscita a farle...

Ecco il log

Ho fatto la scansione con AVG e mi dice: There were no installed rootkits found on your computer

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scarica

Look2Me Destroyer

ISTRUZIONI:

1. Chiudere tutti i programmi (meglio se usato in Modalità provvisoria)

2. Doppio click su Lok2MeDestryer.exe

3. Selezionare: Run this program as Task

4. Cliccare OK al messaggio --> (Lok2MeDestryer.exe will close and reopen in approximateli 1 minute)

5. Cliccare su : Scan for L2M (le icone del desktop scompariranno... è normale)

6. Al termine cliccare su: Remove L2M

7. Cliccare OK al messaggio "Done Scanning"

8. Al messaggio: Done Removing, Look2Me-Destroyer Spegnerà il Pc" cliccare OK

9. Riavviare il PC

10. il file Lock2Me-Destroyer.txt conterrà le informazioni sui files rimosse

Disabilita il tuo antivirus.

Scaricati Combofix da qui o da qui.

Salvalo sul desktop.

(se il file salvato dal primo link non dovesse funzionare, scaricalo dal secondo link)

1. Doppio click su combofix.exe, comparirà la seguente videata:

combofix01fn6.jpg

2. Digita 1, premi Invio e segui le indicazioni.

3. Al termine, verrà creato un file log chiamato C:\ComboFix.txt.

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Nota: ComboFix non funziona in modalità provvisoria.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Intanto che controllo combofix passaci questo:

Scarica SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

e salvalo sul desktop

- Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix

* Adesso avvia il sistema in modalità provvisoria http://www.kuma215.it/WI/Mod_Provv.html

- Apri la cartella SDFix situata in C:\ e fai un doppio click su RunThis.bat per lanciare lo script

- seleziona Y per avviare la pulizia

- Quando te lo chiederà premi un tasto per riavviare

(il sistema sarà piu lungo nell'avviarsi perchè lo script eseguirà l'eliminazione dei file trovati)

- Quando apparirà il desktop il tool terminerà il suo lavoro e visualizzerà il messaggio "Finished"

- Premi un tasto per terminare lo script e ricaricare le icone del desktop

- Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Angelica ho dovuto annullare tutto perché nel momento in cui ha iniziato a riparare, il programma si è fermato al 75% e per un'ora il livello della percentuale non aumentava..

Ora ho riavviato il pc e l'antivirus non mi ha rilevato il virus...

Sarà stato eliminato?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0