PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page


  Topic AttiviTopic Attivi  Visualizza lista dei Membri del ForumLista Membri  CalendarioCalendario  Ricerca nel ForumCerca  AiutoAiuto    RegistratiRegistrati  LoginLogin

Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: internet si blocca
Altre pagine della discussione:




froufrou
Principiante Principiante
froufrou
Principiante Principiante
froufrou
Principiante
Principiante

Avatar


Iscritto dal : 10/Giugno/2007
Da: Italy
Status: Offline
Posts: 14
Riporta il testo di: froufrou Rispondibullet Topic: Post n° 69.357 - Postato: 10/Giugno/2007 alle 20:21


ho fatto la prima parte ora ho postato quello che mi hai detto aspetto la seconda parte grazie



froufrou
Principiante Principiante
froufrou
Principiante Principiante
froufrou
Principiante
Principiante

Avatar


Iscritto dal : 10/Giugno/2007
Da: Italy
Status: Offline
Posts: 14
Riporta il testo di: froufrou Rispondibullet Topic: Post n° 69.358 - Postato: 10/Giugno/2007 alle 20:43


Duplicate files of bak directory contents

~~~~~~~~~~~~~~~~~~~~~~~

23568 1 Jun 2007 H:\PROGRA~1\AHEAD\NEROBA~1\NBJ.EXE

1961984 14 Jul 2005 H:\PROGRA~1\AHEAD\NEROBA~1\BAK\NBJ.EXE

75392 30 Apr 2007 H:\PROGRA~1\ALWILS~1\AVAST4\ASHDISP.EXE

75392 30 Apr 2007 H:\PROGRA~1\ALWILS~1\AVAST4\BAK\ASHDISP.EXE

23568 1 Jun 2007 H:\PROGRA~1\ELABOR~1\CLONEDVD\ELBYCH~1.EXE

45056 2 Nov 2002 H:\PROGRA~1\ELABOR~1\CLONEDVD\BAK\ELBYCH~1.EXE

23568 1 Jun 2007 H:\PROGRA~1\INCRED~1\BIN\INCMAIL.EXE

204843 7 Dec 2006 H:\PROGRA~1\INCRED~1\BIN\BAK\INCMAIL.EXE

23568 1 Jun 2007 H:\PROGRA~1\ADOBE\ACROBA~1.0\READER\ADOBEU~1.EXE

313472 30 Mar 2006 H:\PROGRA~1\ADOBE\ACROBA~1.0\READER\BAK\ADOBEU~1.EXE

52272 7 Feb 2007 H:\PROGRA~1\GOOGLE\GOOGLE~1.EXE

138168 7 Feb 2007 H:\PROGRA~1\GOOGLE\COMMON\GOOGLE~1\GOOGLE~1.EXE

23568 1 Jun 2007 H:\PROGRA~1\GOOGLE\GOOGLE~2\121128~1.546\GOOGLE~1.EXE

171448 7 Feb 2007 H:\PROGRA~1\GOOGLE\GOOGLE~2\121128~1.546\BAK\GOOGLE~1.EXE

 

end of report

ecco fatto aspetto rix ciaoooo



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 69.360 - Postato: 10/Giugno/2007 alle 22:33


Allora, poichè ci sono stati degli errori,
e hai cancellato delle cartelle bak...
proviamo a fare in questo modo... se riusciamo, bene...
altrimenti eliminiamo anche altre cose...
Apri hijackthis e clicca su "Do a system scan only" e fixa :

O4 - HKLM\..\Run: [CARPService] carpserv.exe

fai partire Avenger, seleziona "Input script manually",
clicca sulla lente di ingrandimento...
nella finesta che si è aperta incolla il seguente
script (per incollare, seleziona lo script, ctrl+c
e per incollarlo clicca nella finestra che si è
aperta e premi ctrl+v):

Files to delete:
H:\PROGRA~1\AHEAD\NEROBA~1\NBJ.EXE
H:\PROGRA~1\ALWILS~1\AVAST4\ASHDISP.EXE
H:\PROGRA~1\ELABOR~1\CLONEDVD\ELBYCH~1.EXE
H:\PROGRA~1\INCRED~1\BIN\INCMAIL.EXE
H:\PROGRA~1\ADOBE\ACROBA~1.0\READER\ADOBEU~1.EXE
H:\PROGRA~1\GOOGLE\GOOGLE~2\121128~1.546\GOOGLE~1.EXE
H:\windows\system32\carpserv.exe

Files to move:
H:\PROGRA~1\AHEAD\NEROBA~1\BAK\NBJ.EXE | H:\PROGRA~1\AHEAD\NEROBA~1\NBJ.EXE
H:\PROGRA~1\ALWILS~1\AVAST4\BAK\ASHDISP.EXE | H:\PROGRA~1\ALWILS~1\AVAST4\ASHDISP.EXE
H:\PROGRA~1\ELABOR~1\CLONEDVD\BAK\ELBYCH~1.EXE | H:\PROGRA~1\ELABOR~1\CLONEDVD\ELBYCH~1.EXE
H:\PROGRA~1\INCRED~1\BIN\BAK\INCMAIL.EXE | H:\PROGRA~1\INCRED~1\BIN\INCMAIL.EXE
H:\PROGRA~1\ADOBE\ACROBA~1.0\READER\BAK\ADOBEU~1.EXE | H:\PROGRA~1\ADOBE\ACROBA~1.0\READER\ADOBEU~1.EXE
H:\PROGRA~1\GOOGLE\GOOGLE~2\121128~1.546\BAK\GOOGLE~1.EXE | H:\PROGRA~1\GOOGLE\GOOGLE~2\121128~1.546\GOOGLE~1.EXE


Adesso, incollato lo script (...scritto in rosso, mi
raccomando non fare errori...) nella finestra,
premi done, clicca sul semaforo, premi si alle
richieste...
il pc si riavvierà, e cancellerà e ripristinerà i files...
I files infetti verranno spostati nella cartella
 H:\avenger (nel tuo caso è H...) che puoi cancellare...
Adesso cerca di nuovo il file abc123.pid, cancellalo
e fai ripartire... se dopo averlo riavviato, trovi
ancora il file abc123.pid, significa che ci è scappato
qualche eseguibile e il virus ancora non è stato eliminato
altrimenti, il più è fatto...
Si devono definire altri dettagli...



Modificato da prgn - 10/Giugno/2007 alle 23:00



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



froufrou
Principiante Principiante
froufrou
Principiante Principiante
froufrou
Principiante
Principiante

Avatar


Iscritto dal : 10/Giugno/2007
Da: Italy
Status: Offline
Posts: 14
Riporta il testo di: froufrou Rispondibullet Topic: Post n° 69.361 - Postato: 10/Giugno/2007 alle 23:08


ho fatto tutto quanto, ma quando si riavvia il pc trovo ancora nella funzione "cerca" il malefico abc123 che si trova tutte le volte in impostazioni locali temp....ci sentiamo domani e mi dici cosa ancora devo fare grazie...a proposito mi funziona di nuovo incredimail Pig.....buonanotte



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 69.362 - Postato: 11/Giugno/2007 alle 09:17


Purtroppo quando hai cancellato le cartelle bak e poi le hai ripristinate...
non le hai ripristinate tutte... quindi FindAWF non ha avuto modo di individuare
alcuni eseguibili duplicati...
Adesso, comunque, eliminiamo un po' di superfluo e controlliamo i programmi
che si trovano in auto esecuzione...
Ciao. Smile



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 69.389 - Postato: 11/Giugno/2007 alle 20:46


Allora, ...siamo riusciti ad eliminare il virus...
Infatti a seguito della involontaria cancellazione delle cartelle bak
alcune di esse non si sono potute ripristinare (erano state cancellate
definitivamente... e non è stato possibile trovarle nemmeno con un software
per il ripristino...), il problema era che praticamente, un'applicazione
sostituita... era stata da me individuata... (perchè Froufrou mi ha suggerito
la cartella dove stava la cartella bak, ...system32) l'altra... ci è sfuggita (H:\WINDOWS\twain_32\c5twain\bak\ScanTo.exe) quindi l'operazione con
Avenger non ha eliminato tutte le copie del virus e abbiamo poi dovuto
fixare i riferimenti nel registro di sistema a ScanTo.exe, terminarlo come
processo e cancellarlo manualmente dall'HDD...
Adesso ci sono altre cose da fare...
In primo luogo, dobbiamo ripristinare la trusted zone
Vai a questa discussione link... vai al quinto post
e segui quello che è indicato al punto 1)... (...solo il punto 1))
Devi inoltre cercare se nel registro di sistema al seguente percorso:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Trovi il seguente valore:

"Lexmark_X79-55" = "%System%\lsasss.exe"

Che rappresenta spesso una brutta sorpresa che si accompagnava a
Zonebac... (se la trovi cancellala, altrimenti meglio così...).
Se sai utilizzarlo, utilizza Regedit (devi cancellare la parte in rosso),
altrimenti ti consiglio di utilizzare RegSeeker (lo scarichi, fai partire l'applicazione,
scegli la lingua in alto a destra, clicca su cerca voci inutili, e nella casella cerca scrivi
lsasss.exe  (mi raccomando lsasss.exe senza commettere errori di battitura, fai
bene se lo copi da qui e lo incolli nella casella cerca).
Se la ricerca ti trova la chiave che ti ho indicato io, la selezioni e la cancelli...
Adesso ti converrebbe far fare una scansione con un antivirus aggiornato
(magari un antivirus on line... hai gia il link) e un antispyware, e dopo ciò
dovresti reinstallare (disinstalla e poi installa) quel software che abbiamo
eliminato manualmente, ScanTo.exe... nella posizione:
 
  H:\WINDOWS\twain_32\c5twain\ScanTo.exe

Vedi che dovrebbe essere il software di uno scanner ma non ti so dire di
preciso... (comunque è da reinstallare).
Se non sono stato chiaro... chiedi pure...
E facci sapere come è andata...
Ciao. Smile



Modificato da prgn - 11/Giugno/2007 alle 21:04



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 69.400 - Postato: 12/Giugno/2007 alle 10:16


Ciao, ...volevo aggiungere che questo malware aggiunge anche un'altra chiave
al file di registro...:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\me

In cui imposta l'IP 88.80.5.21 come sito appartenente alla zone 2 (cioè... siti
non dannosi per il computer...)... e dopo aver scaricato i/il malware, provvede alla
eliminazione della su detta... (...la chiave viene creata ed eliminata all'occorrenza... più volte...).


Modificato da prgn - 12/Giugno/2007 alle 10:18



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



lu_lu
Apprendista Apprendista
lu_lu
Apprendista Apprendista
lu_lu
Apprendista
Apprendista

Avatar


Iscritto dal : 02/Aprile/2005
Da: Italy
Status: Offline
Posts: 275
Riporta il testo di: lu_lu Rispondibullet Topic: Post n° 69.413 - Postato: 12/Giugno/2007 alle 15:49


ciao allora come è andata a finire.....sono curiosa di sapere anche perchè con i tempi che corrono nn si sà a mai capitasse anche a me un virus del genere...Stern%20Smile......ciaooooo!!!!!







froufrou
Principiante Principiante
froufrou
Principiante Principiante
froufrou
Principiante
Principiante

Avatar


Iscritto dal : 10/Giugno/2007
Da: Italy
Status: Offline
Posts: 14
Riporta il testo di: froufrou Rispondibullet Topic: Post n° 69.419 - Postato: 12/Giugno/2007 alle 19:52


Thumbs%20Upè andato tutto bene, ho seguito tutte le varie istruzioni.... ho fatto le ulteriori scansioni con i vari spybot e antivirus, non sono stati rilevati nessun tipo di problema e il pc ora è più veloce.
grazie



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 69.420 - Postato: 12/Giugno/2007 alle 20:25


...Figurati, è stato un piacere averti aiutato...Smile
Ciao! Smile



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Altre pagine della discussione:




Rispondi con Editor completo Nuova Discussione

Versione stampabile Versione stampabile


TI E' PIACIUTO QUESTO CONTENUTO ?
Suggerisci questa pagina
Suggerisci questa pagina
Supporta il nostro lavoro
Supporta il nostro lavoro
<b>Non perderti nessuno dei nostri contenuti!</b><br><br>Iscriviti alle Newsletters di aggiornamento periodico.
Iscriviti ora alla newsletter!


Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,066 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni