Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » loglogloglogloglog...per favore!!

2 pages: [1] 2
loglogloglogloglog...per favore!! Opzioni
Topic Precedente · Topic Sucessivo
Mozartinik
Inviato: Sunday, July 08, 2007 5:09:39 PM
Rank: Member

Iscritto dal : 4/19/2005
Posts: 2
ecco il log di hijack this.ci ho messo una vita ma ci sono riuscita B)





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.06.02, on 08/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolw.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Francesco Pezzo\Impostazioni locali\Temp\wze5e6\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: PromoClassica - {ef3a466d-69b8-4201-942e-4c34ce11c944} - C:\Programmi\PromoClassica\tbPro1.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File

comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PromoClassica - {ef3a466d-69b8-4201-942e-4c34ce11c944} - C:\Programmi\PromoClassica\tbPro1.dll
O3 - Toolbar: PromoClassica - {ef3a466d-69b8-4201-942e-4c34ce11c944} - C:\Programmi\PromoClassica\tbPro1.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{61EB8D7C-AA83-43B7-A154-174BE6C16CCB}: NameServer = 85.37.17.51 85.38.28.97
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

--
End of file - 4347 bytes






aspetto religiosamente vostre notizie :)
Torna in alto
 
Sponsor
Inviato: Sunday, July 08, 2007 5:09:39 PM

 
Torna in alto
 
pidue
Inviato: Sunday, July 08, 2007 7:16:54 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, stampa la risposta così fai più presto.
Ti sei presa una fetecchia niente male.

Scarica <b>Avenger</b>,
http://swandog46.geekstogo.com/avenger.zip

decomprimilo, lancialo con un doppio clic. Poi esegui la seguente procedura alla lettera:

- Seleziona <b>Input Script Manually</b>;
- Clicca sulla lente di ingrandimento;
- si apre una finestra bianca con scritto in cima <b>View/edit script</b>;
- copia e incolla le seguenti stringhe in rosso <b>così come stanno </b>;

<font color=red>files to delete:
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\PromoClassica\tbPro1.dll
</font id=red>

- clicca sul tasto <b>Done</b>;
- poi clicca sull'icona del semaforo;
- Rispondi Yes;
- ll pc dovrebbe riavviarsi ( se così non fosse, fallo tu - in modalità provvisoria).

Poi fai così;
Chiudi HijackThis in una cartella a lui dedicata (possibilmente non sul desktop), altrimenti perdi i backup;

<b>disattiva il ripristino configurazione del sistema</b>:
tasto destro sull’icona Risorse del computer >> Proprietà >> Ripristino configurazione di sistema: togli la spunta dal quadratino dove c’è scritto :
<i>disattiva ripristino configurazione di sistema su tutte le unità</i>;

<b>avvia il computer in modalità provvisoria</b>:
riavvia il computer prima che si carichi Windows , premi ripetutamente il tasto F8;

<b>rendi visibili le cartelle nascoste in questo modo</b>:
da Risorse del computer:
Strumenti >> Opzioni cartella >> visualizzazione;
metti la spunta su:
<i>Visualizza file e cartelle nascoste</i>;
togli la spunta da:
<i>Nascondi file protetti del sistema(consigliato)</i>


Avvia hijackthis, con tutte le applicazioni chiuse, premi su <b>Do a system scan only</b> , spunta ed elimina <b>(fix checked)</b> le seguente righe:

<font color=red>
R3 - URLSearchHook: PromoClassica - {ef3a466d-69b8-4201-942e-4c34ce11c944} - C:\Programmi\PromoClassica\tbPro1.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PromoClassica - {ef3a466d-69b8-4201-942e-4c34ce11c944} - C:\Programmi\PromoClassica\tbPro1.dll
O3 - Toolbar: PromoClassica - {ef3a466d-69b8-4201-942e-4c34ce11c944} - C:\Programmi\PromoClassica\tbPro1.dll
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
</font id=red>

Da Start >> Esegui, incolla la stringa <b>%temp%</b> ed elimina tutti file della cartella temp;

segui il punto <b>1</b> al seguente link:
http://www.microsoft.com/italy/technet/community/mvp/editoriali/spyware.mspx
svuota il cestino;

riavvia il computer normalmente.


fai un controllo antivirus a questo indirizzo:
http://security.symantec.com/sscv6/default.asp?productid=globalsitesandlangid=itandvenid=sym

<b>Alla fine:</b>

rinascondi le cartelle di sistema;
riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

Posta un log aggiornato.






Edited by - pidue on 07/08/2007 19:41:20
Torna in alto
 
Mozartinik
Inviato: Sunday, July 08, 2007 7:55:15 PM
Rank: Member

Iscritto dal : 4/19/2005
Posts: 2
ma ma ma...quelle stringhe di promoclassica mi toglieranno la mia toolbar!!non si può fare a meno? :(

un altra domanda:il fatto che mi si disconnette il pc e man mano si crea connessioni tutte sue (che però non sono efficaci perchè ho l adsl),è dovuto a questo?

grazie per la risposta
Torna in alto
 
pidue
Inviato: Sunday, July 08, 2007 8:16:59 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Le tool bar sarebbe meglio evitarle, oppure usare quelle più sicure (Google, Yohoo tanto par fare due nomi). Quella libreria che ti ho fatto eliminare potrebbe essere dannosa, ma non è quella la causa dei tuoi mali, bensì i due file <font color=red>spoolw.exe</font id=red> e <font color=red>igfxsvc.exe</font id=red>.
Ciao.
Torna in alto
 
Mozartinik
Inviato: Sunday, July 08, 2007 9:23:46 PM
Rank: Member

Iscritto dal : 4/19/2005
Posts: 2
io ho fatto tutto quello che stava scritto,ma...
l unica cosa che non ha funzionato è stato l'antivirus on line finale,che era impedito da certi controlli ActiveX...bbooooh!!
e poi le stringhe trusted zone non me le portava per cancellarle nella modalità provvisoria...














Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.14.04, on 08/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Francesco Pezzo\Impostazioni locali\Temp\wz9b94\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: PromoClassica - {ef3a466d-69b8-4201-942e-4c34ce11c944} - C:\Programmi\PromoClassica\tbPro1.dll (file missing)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PromoClassica - {ef3a466d-69b8-4201-942e-4c34ce11c944} - C:\Programmi\PromoClassica\tbPro1.dll (file missing)
O3 - Toolbar: PromoClassica - {ef3a466d-69b8-4201-942e-4c34ce11c944} - C:\Programmi\PromoClassica\tbPro1.dll (file missing)
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{61EB8D7C-AA83-43B7-A154-174BE6C16CCB}: NameServer = 85.37.17.51 85.38.28.97
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

--
End of file - 4318 bytes
Torna in alto
 
pidue
Inviato: Sunday, July 08, 2007 9:31:51 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, sembra che tu non abbia fatto nulla. Il log è uguale al precedente. Per il momento lascia stare la scansione on-line, quella se ti rileva virus, non te li toglie. Hai usato Avenger come ti ho indicato?
Torna in alto
 
Mozartinik
Inviato: Sunday, July 08, 2007 10:03:53 PM
Rank: Member

Iscritto dal : 4/19/2005
Posts: 2
si,l ho usato.ho fatto tutto come mi hai detto,tranne per quelle cose che ti ho scritto sopra. :o
Torna in alto
 
pidue
Inviato: Sunday, July 08, 2007 10:25:39 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
E' assurdo,devo solo supporre che hai avuto difficoltà con Avenger. Ma ormai mi hai tirato in ballo....Adesso ti suggerisco un metodo più semplice, così vedrò se il sospetto che ho dopo aver visionato il secondo log, peggiore, del primo, è solo un sospetto.

Scarica <b>VirIt</b> dal link sotto, installalo e aggiornalo. No dà conflitti col tuo antivirus residente. Fai due scansioni in modalità provvisoria.

http://www.tgsoft.it/files/vnlt6157.exe

Poi scarica questi due tool:

http://www.prevx.com/gromozon.asp
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Prima di lanciarli, pulisci il pc con CCleaner;
chiudi tutti i programmi in esecuzione, disconnettiti da Internet, lancia il primo tool, premendo su Scan;
poi rispondi YES alla richiesta di riavvio.
Al riavvio il tool terminerà la procedura e rilascerà un log in <b>C:\gromozon_removal.txt</b>;


Per eseguire il secondo tool riavvia in Modalità Provvisoria;
poi lancia il file <b>FixLinkopt.exe</b>, accetta il contratto di licenza, clicca su Start per avviare l'analisi.

Alla fine di queste procedure, pubblica un report di VirIt e dei due tool indicati. In base alle riposte vedremo come continuare.
Torna in alto
 
giza
Inviato: Monday, July 09, 2007 9:35:14 AM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,590
N.b. in avenger scrivere correttamente così.


Files to delete:
C:\xxxxxxxxxxxxxxxxxxxxxxx ecc.
Files to move:
C:\xxxxxxxxxxxbakxxxx | C:\xxxxxxxxxxxxxxx
Torna in alto
 
pidue
Inviato: Monday, July 09, 2007 1:59:53 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, giza,
il modo da te suggerito non risulta. Mi riferisco alla stringa "Files to move"<img src=icon_smile_wink.gif border=0 align=middle><img src=icon_smile.gif border=0 align=middle>

http://www.pc-facile.com/forum/viewtopic.php?p=365939
(scorri il thread verso il basso)

Io Avenger l'ho provato , l'optimum sarebbe di scrivere uno script alla volta.
Torna in alto
 
Mozartinik
Inviato: Monday, July 09, 2007 2:26:52 PM
Rank: Member

Iscritto dal : 4/19/2005
Posts: 2
pidue,ho usato virit ieri notte.
ho salvato il log in modalità provvisoria,ma non lo trovo in modalità normale.cmq non mi da errori,tranne ora quando l'ho acceso,e mi ha presentato una schermata segnalando il famoso SPOOLW.EXE come un programma sospetto.
dice che il registro dei programmi in esecuzione automatica è stato modificato,e quel file è ora in esecuzione automatica,e potrebbe essere un virus,backdoor,trojan ecc istallato in automatico.
dunque cancello e ti faccio sapere
grazie
Torna in alto
 
Mozartinik
Inviato: Monday, July 09, 2007 2:53:15 PM
Rank: Member

Iscritto dal : 4/19/2005
Posts: 2
IGFXSVC.EXE e W32DBG.EXE
anche per questi file mi presenta la stessa schermata.che faccio?ps,mi si econlaccento sballata pure la tastiera.non trovo piu le lettere accentate,e i segni di punteggiatura sono tutti falsati...AIUTOOOOO
Torna in alto
 
Mozartinik
Inviato: Monday, July 09, 2007 2:56:17 PM
Rank: Member

Iscritto dal : 4/19/2005
Posts: 2
sempre peggio...mi segnala come improprio anche IEXPLOREtrattinobasso32.EXE .non dovrebbe essere il browser explorer??????
Torna in alto
 
Mozartinik
Inviato: Monday, July 09, 2007 3:35:04 PM
Rank: Member

Iscritto dal : 4/19/2005
Posts: 2
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.






questo è il log del primo tool.
Torna in alto
 
giza
Inviato: Monday, July 09, 2007 4:37:27 PM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,590
quel fetecchione crea file doppi che vanno individuati con FindAWF. exe e poi con avenger eliminati e sostituiti con i file bak ecco perchè ho m4esso delete e move.
(l'importante però è mettere i due punti dopo delete o move)
Torna in alto
 
pidue
Inviato: Monday, July 09, 2007 5:41:28 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, dovresti postarmi il report di VirIt. Lo trovi in C:\gromozon. E' un file di testo e si chiama <b>removal.txt</b>, altrimenti non posso fare il punto della situazione.

Riguardo ad Avenger, rifai la procedura che ti ho descritto, questa volta incolla una stringa alla volta. Se Avenger fallisce, ti rilascia un messaggio e su questo non mi hai detto niente.
Torna in alto
 
pidue
Inviato: Monday, July 09, 2007 6:36:26 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, questa procedura dovrebbe risolvere, ma devi eseguire alla lettera. Stampati la risposta:

1. <b>BACKUP DEL REGISTRO</b>
Apri il registro:
<i>Start --- > esegui</i>
Scrivi --- > <i>regedit</i> e poi dai l'OK;
vai sopra in alto a sinistra, clicca col destro su <b>Risorse del computer</b> e poi clicca su <b>Esporta</b>. Salva il registro da qualche parte.

2. <b>RICERCA DELLE CHIAVI INFETTE</b>
clicca su <b>Modifica</b> e poi su <b>Trova</b>, inserisci le voci in rosso, sotto di te, <b>una alla volta</b> e poi clicca su <b>Trova successivo</b>. Dovrai quindi fare la ricerca quattro volte:

<font color=red>
spoolw.exe
igfxsvc.exe
iexplore_32.exe
w32dbg.exe</font id=red> (di solito è associato a <font color=red>iexplore_32.exe</font id=red>)

quando hai trovato i fetenti, vai nel <b>pannello di destra</b>, cliccaci col destro e poi su <b>Elimina</b>

3. <b>USO DI AVENGER</b>
Lancia Avenger, segui tutta la procedura suggerita nel post sopra, questa volta incolla queste stringhe:

<font color=red>
files to delete:
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\iexplore_32.exe
C:\WINDOWS\w32dbg.exe
</font id=red>

Incrocia le dita, perchè se non ce la fai, dovrai formattare.

Rifai una scansione con HJT, in modalità normale e posta un log aggiornato.

Buona fortuna.




Edited by - pidue on 07/09/2007 18:48:52
Torna in alto
 
Mozartinik
Inviato: Tuesday, July 10, 2007 2:18:52 PM
Rank: Member

Iscritto dal : 4/19/2005
Posts: 2
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Ciao, dovresti postarmi il report di VirIt. Lo trovi in C:\gromozon. E' un file di testo e si chiama <b>removal.txt</b>, altrimenti non posso fare il punto della situazione.

Riguardo ad Avenger, rifai la procedura che ti ho descritto, questa volta incolla una stringa alla volta. Se Avenger fallisce, ti rilascia un messaggio e su questo non mi hai detto niente.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.




questo è il report di virit.ora faccio quello che hai detto nell ultimo messaggio ;)
Torna in alto
 
Mozartinik
Inviato: Tuesday, July 10, 2007 2:31:34 PM
Rank: Member

Iscritto dal : 4/19/2005
Posts: 2
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Ciao, questa procedura dovrebbe risolvere, ma devi eseguire alla lettera. Stampati la risposta:

1. <b>BACKUP DEL REGISTRO</b>
Apri il registro:
<i>Start --- > esegui</i>
Scrivi --- > <i>regedit</i> e poi dai l'OK;
vai sopra in alto a sinistra, clicca col destro su <b>Risorse del computer</b> e poi clicca su <b>Esporta</b>. Salva il registro da qualche parte.

2. <b>RICERCA DELLE CHIAVI INFETTE</b>
clicca su <b>Modifica</b> e poi su <b>Trova</b>, inserisci le voci in rosso, sotto di te, <b>una alla volta</b> e poi clicca su <b>Trova successivo</b>. Dovrai quindi fare la ricerca quattro volte:

<font color=red>
spoolw.exe
igfxsvc.exe
iexplore_32.exe
w32dbg.exe</font id=red> (di solito è associato a <font color=red>iexplore_32.exe</font id=red>)

[...]

<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>


fino a qui ci sono.per le prime 2 cose,mi dava 2 risultati,e li ho cancellati tutti e 4.per il terzo,solo 1,e per l ultimo nessuno.

vado avanti
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » loglogloglogloglog...per favore!!


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.