PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: virus e ripristino di configurazione....

Altre pagine della discussione:




Lindsay83
Principiante Principiante
Lindsay83
Principiante Principiante
Lindsay83
Principiante
Principiante

Avatar generico


Iscritto dal : 03/Marzo/2008
Da: United Kingdom
Status: Offline
Posts: 10
Riporta il testo di: Lindsay83 Rispondibullet Topic: Post n° 79.824 - Postato: 03/Marzo/2008 alle 15:48


ora vado al lavoro, ti posto tutto stasera se ci sei Wink


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 79.832 - Postato: 03/Marzo/2008 alle 21:27


Ok! ...Però ricorda che le operazioni di eliminazione... (fix con hijackthis... e avenger...)
vanno fatte tutte in una volta... ;) (senza riavvii intermedi... se non
quello che fa Avenger in automatico per eseguire lo script...)
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Lindsay83
Principiante Principiante
Lindsay83
Principiante Principiante
Lindsay83
Principiante
Principiante

Avatar generico


Iscritto dal : 03/Marzo/2008
Da: United Kingdom
Status: Offline
Posts: 10
Riporta il testo di: Lindsay83 Rispondibullet Topic: Post n° 79.841 - Postato: 04/Marzo/2008 alle 01:28


allora, eccomi qua.... ho fatto le scansioni...
con il mio antivirus, Avast, che mi diceva di aver trovato un trojan horse, ma scusate la mia ignoranza ma non so come salvarvi i risultati della scansione di avast... (l'ho fatta in modalita' provvisoria..)
scansione con ad-aware (questa e' lunghissima, sscusatemiiiiiii :( )

Ad-Aware 2007 Build
Log File Created on: 2008-03-03 23:47:32
Using Definitions File: C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware 2007\core.aawdef
Computer name: YOUR-8472CE3B5D

*** Log editato... rimangono solo i dettagli ***

Scan detailed statistics
===========================
Type                  Critical    Total
Process Scan....:        0        0
Registry Scan...:        0        0
Registry PE Scan:        0        0
Hosts File Scan.:        0        0
File Scan.......:        0        0
Folder Scan.....:        0        0
LSP Scan........:        0        0
ADS Scan........:        0        0
Cookie Scan.....:        1        1
File Hash Scan..:        0        0

Infections Found
===========================
Family Id: 725  Name: Tracking Cookie  Category: DataMiner  TAI:3
  Item Id: 600000179  Value: Browser: Internet Explorer Cookie: C:\Documents and Settings\Mar\Cookies\index.dat atdmt.com AA002 /

*** log editato... trovato solo un cookies tracciante... ***

Cleaned Infections
===========================
Browser: Internet Explorer Cookie: C:\Documents and Settings\Mar\Cookies\index.dat atdmt.com AA002 /, Belonging to Tracking Cookie

End of Cleaned Infections
===========================

e ultima scansione con hijackthis:

Running processes:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Mar\LOCALS~1\Temp\services.exe

*** Log editato... ho lasciato solo la voce infetta ***


che ne dite..?



Modificato da prgn - 22/Gennaio/2009 alle 13:12


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 79.842 - Postato: 04/Marzo/2008 alle 02:07


Va beh... ma hai fatto tutto?
Avenger... è andato a buon fine?
E i tools per Vundo?
Hai fatto la pulizia con ccleaner... con la correzione dei problemi nel registro...?

C'è ancora la seguente voce nel log di hijackthis...:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Mar\LOCALS~1\Temp\services.exe

Che va rimossa... vai in modalità provvisoria... e prova a fixarla da la...
se non dovesse eliminarla... vai nel menù di windows Start -> Esegui...
e digita regedit e premi invio per fare accettare...
una volta aperto regedit nella parte di sinistra... come se ti stessi muovendo
in cartelle... scorri seguendo il seguente percorso...:

HKEY_LOCAL_MACHINE
                     \Software
                              \Microsoft
                                       \Windows NT
                                                  \CurrentVersion
                                                              \Winlogon

Seleziona la voce Winlogon nella sezione di sinistra... e vedrai i vari
valori che ti appaiono (relativi a Winlogon) nella sezione di destra...

Cerca il valore Userinit e facci doppio clic sopra... dopo di che ti si aprirà
una finestra per modificare la stringa...
In pratica...  della seguente stringa... devi eliminare la parte che ti indico
in rosso... e lasciare la parte che ti indico in blu:

C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Mar\LOCALS~1\Temp\services.exe

Una volta modificata la stringa... clicca su OK... per fare accettare la modifica...

A questo punto... la stringa dovrebbe essere la seguente:

C:\WINDOWS\system32\userinit.exe,

Non commettere errori... la stringa di Userinit deve essere esattamente
(virgola finale compresa) quella che ti ho indicato in blu...

Dopo aver fatto questo... riavvia... e rifai il log di Hijackthis... per vedere
se viene ancora indicata la riga F2...

Per i log... non ti preoccupare... li pulisco io dopo che abbiamo finito
ed eliminato definitivamente il problema...

Ciao


Modificato da prgn - 04/Marzo/2008 alle 02:11



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Lindsay83
Principiante Principiante
Lindsay83
Principiante Principiante
Lindsay83
Principiante
Principiante

Avatar generico


Iscritto dal : 03/Marzo/2008
Da: United Kingdom
Status: Offline
Posts: 10
Riporta il testo di: Lindsay83 Rispondibullet Topic: Post n° 79.843 - Postato: 04/Marzo/2008 alle 02:15


ti ringrazio davvero molto! si avevo fatto tutto, avenger aveva funzionato, ho usato i tolls e ho fatto la pulizia con CCleaner... ora riavvio e poi ti posto la scansione di hijackthis


Lindsay83
Principiante Principiante
Lindsay83
Principiante Principiante
Lindsay83
Principiante
Principiante

Avatar generico


Iscritto dal : 03/Marzo/2008
Da: United Kingdom
Status: Offline
Posts: 10
Riporta il testo di: Lindsay83 Rispondibullet Topic: Post n° 79.844 - Postato: 04/Marzo/2008 alle 02:19


log di hijackthis:
Running processes:

*** Log editato.. nessuna voce infetta *** 

Modificato da prgn - 22/Gennaio/2009 alle 13:07


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 79.845 - Postato: 04/Marzo/2008 alle 02:41


Va bene... sembra che del nostro amico non ci sia traccia...
Elimina la copia di backup che ha fatto Avenger (dovrebbe averla
nella cartella che hai creato per lui) in quanto c'è il backup della cartella
eliminata con il file infetto...
Adesso dobbiamo provare ad eliminare il problema relativo al firewall...
i cui file non ci sono... ma i servizi risultano attivi...
Prova a disinstallarlo ancora... ed ad installarlo di nuovo... e vedi se
la cosa funziona...
Altrimenti c'è da cercare di eliminare i vari riferimenti al firewall... (cartelle
e servizi...) fare una pulita... e ritentare ad installare...
Comunque... prova a fare così:
vai in modalità provvisori e fixa la seguente voce con hijackthis...

O23 - Service: Comodo Application Agent (CmdAgent) - Unknown owner - C:\Program Files\Comodo\Firewall\cmdagent.exe (file missing)

Fai riavviare in modalità normale... e prova ad installare Comodo...
Se non dovessi riuscire ad eliminare il servizio... ci sono altri modi...
Io adesso vado... facci sapere come va...
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Lindsay83
Principiante Principiante
Lindsay83
Principiante Principiante
Lindsay83
Principiante
Principiante

Avatar generico


Iscritto dal : 03/Marzo/2008
Da: United Kingdom
Status: Offline
Posts: 10
Riporta il testo di: Lindsay83 Rispondibullet Topic: Post n° 79.846 - Postato: 04/Marzo/2008 alle 02:46


ok grazie mille!vi faro' sapere! a domani :P


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,043 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni