PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio RISOLTO!

Topic: [RISOLTO] virus maledetto, bagle

(Topic Chiuso Topic Chiuso)
Altre pagine della discussione:




prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 71.395 - Postato: 23/Agosto/2007 alle 16:05


Allora, ripigliamo d'accapo la questione...
segui le indicazioni che trovi a questo link...
Per la scansione online...
Potresti provare con Ewido... scaricando il programmino che trovi alla pagina...
oppure con Trend Micro...
dopo aver seguito le info... ed indicato tutte le cose rilevate... (naturalmente
dei log... si dovrebbero indicare solo le info salienti..., ti spiego... se rilevi un
virus... indica solo il virus e la posizione e file... contagiato... se invece non
rivela niente... non indicare niente... postare il log... sarebbe spazio occupato
inutilmente...)
Dopo di che... fai una scansione con Hijackthis... scaricalo da qui... link
lo metti in una cartella sul disco e lo avvii... fai fare la scansione con log... e incolli il
log nel post.
Ciao.

PS: un'altra cosa... scarica questo software... link... il software si chiama gmer
Lo scarichi lo scompatti in una cartella... e lo fai partire... appena ti si apre...
controlla che siano messi i segni di spunta nelle caselle di destra...
fai fare lo scan... quando ha finito... vai nella sezione rootkit... e controlla se ci siano voci indicate in rosso...
(puoi cliccare anche sul tasto copy, nella sezione rootkit, e aprire blocco note
ed incollare la il log... e magari indicarmi i valori rilevati in rosso...)



Modificato da prgn - 23/Agosto/2007 alle 16:17



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Charly7821
Principiante Principiante
Charly7821
Principiante Principiante
Charly7821
Principiante
Principiante

Avatar


Iscritto dal : 20/Marzo/2006
Status: Offline
Posts: 179
bullet Topic: Post n° 71.400 - Postato: 23/Agosto/2007 alle 21:25


questo spyware:
  Oggetti critici : 4
 
    Procedura per la Rimozione:
 
  Preparazione delle strutture
  Creazione del punto di ripristino
  Rimuovi Trojan/Toosrrr.SRR
  Registry eliminato : HKCU\Software\FirstRRRun
  Rimuovi Invalid Startup Items
  Registry eliminato : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
  Registry eliminato : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SDTray="C:\Programmi\Spyware Doctor\SDTrayApp.exe"
  Registry eliminato : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avgnt="C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
  Chiusura del punto di ripristino
poi GMEr alla fine della scansione mi ha fatto uscire una finestra con scritto:
warning!!!
GMER has found system modification caused by ROOTKIT activity
purtroppo c'erano due righe in rosso è le ho cancellate!!!!!!
resoconto di Ewido:
C:\WINDOWS\system32\actskn45.ocx -> Downloader.IstBar : No action taken.
C:\Documents and Settings\Ray\Desktop\mio\EliBaglA.exe -> Heuristic.Win32.AVKiller : No action taken.
C:\Documents and Settings\Ray\Cookies\ray@ads.adbrite[2].txt -> TrackingCookie.Adbrite : No action taken.
il pc cmq è sempre nelle stesse condizioni.....



uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 71.401 - Postato: 23/Agosto/2007 alle 21:35


Postato originariamente da Charly7821


...purtroppo c'erano due righe in rosso è le ho cancellate!!!!!!

Perché cancelli senza dirmi cosa cancelli? Big%20smile



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Charly7821
Principiante Principiante
Charly7821
Principiante Principiante
Charly7821
Principiante
Principiante

Avatar


Iscritto dal : 20/Marzo/2006
Status: Offline
Posts: 179
bullet Topic: Post n° 71.402 - Postato: 23/Agosto/2007 alle 21:43


scusami!hai perfettamente ragione....pensavo essendo in rosso fossero critici cmq mi ricordo era sulla cartella sistem32>drivers ed il file era sr.rosi.sys è l'altro era una chiave di registro che non ricordo...scusami .......



uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 71.403 - Postato: 23/Agosto/2007 alle 21:51


Il fatto è che sarebbe stato molto utile sapere di quei file... comunque... adesso
fai fare la scansione con hijackthis... e posta il log.
Ciao.



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Charly7821
Principiante Principiante
Charly7821
Principiante Principiante
Charly7821
Principiante
Principiante

Avatar


Iscritto dal : 20/Marzo/2006
Status: Offline
Posts: 179
bullet Topic: Post n° 71.404 - Postato: 23/Agosto/2007 alle 21:55


eccolo:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.38.48, on 23/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\Programmi\cFosSpeed\spd.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\AlienGUIse\wbload.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\Wireless Console 2\wcourier.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ASUS\Asus ChkMail\ChkMail.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programmi\AlienGUIse\AlienwareDock\ObjectDock.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\PROGRA~1\SPEEDB~1\VideoAccelerator.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
 
O1 - Hosts: 212.150.54.250 dv-networks.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
 
////CANCELLATO IL RESTO POICHE' SUPERFLUO...mantenute solo le voci considerate fa fixare //////


Modificato da RAVEN - 24/Agosto/2007 alle 20:13



uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 71.405 - Postato: 24/Agosto/2007 alle 00:34


Ciao, fixa queste voci...

R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)

O1 - Hosts: 212.150.54.250 dv-networks.com     <- non conosco i siti... quindi fixa

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE 
  relativa a Realtek... (riconosciuta con funzioni spy...)

Poi, ...sei sicuro che il processo sp_rsser.exe ti blocca l'installazione dell'antivirus...?
Se fosse così... deve essere spyware terminator... che è stato impostato a
non accettar modifiche...
quindi... ti conviene a provar a disabilitare... il programma in avvio... e provare
a installare avast...
Ciao.

PS: le voci che hai fixato... non risolvono il problema... dell'antivirus....


Modificato da prgn - 24/Agosto/2007 alle 00:49



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Charly7821
Principiante Principiante
Charly7821
Principiante Principiante
Charly7821
Principiante
Principiante

Avatar


Iscritto dal : 20/Marzo/2006
Status: Offline
Posts: 179
bullet Topic: Post n° 71.406 - Postato: 24/Agosto/2007 alle 00:50


Scusa cosa vuol dire "Fixa"? inoltre non sono sicuro che il processo sp_rsser.exe blocchi l'installazione.....ma tipo quando provo ad installare anche antivir, mi dice che non trova il file con estensione .exe!poi son riuscito a fare la scansione online tramite I.E con panda ecco il resoconto:
Virus:Trj/Passtealer.EK                                                         Disinfettato                  C:\WINDOWS\EXEFQD\212640.EXE                                                                                                                                                                                                                                    
Adware:Adware/ActiveSearch                                                      Non Disinfettato              C:\Programmi\Toolbar\TBHELPER.DLL                                                                                                                                                           



uno disse:<< La maggior parte dei problemi sta tra il computer e la sedia...>>



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 71.408 - Postato: 24/Agosto/2007 alle 01:11


Per fixa intendo di far partire HiJackthis e di far fare lo scan senza log...
cerchi poi le voci che ti ho indicato... metti il segno di spunta e clicchi su fix...
Per quanto riguarda C:\WINDOWS\EXEFQD\212640.EXE  mi sembra relativo a
bagle... quindi proveremo a toglierlo almeno manualmente... o con qualche
altro tool...
Ciao.



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 71.409 - Postato: 24/Agosto/2007 alle 01:50


Scusa, mi dimenticavo... cosi non si perde altro tempo... scarica questo programma...
link... (alcuni antivirus lo considerano un virus ma non lo è...)
fallo partire... e mettendo tutti i segni di spunta... fagli fare lo scan...
dopo di che, cerca il file in report.txt (dovrebbe stare in c:/suspectfile)
vai sul sito www.sendmefile.com e tramite prima sfoglia e poi upload...
mettilo su sendmefile, dopo di che metti il link diretto al file all'interno di un
post... (...il log è praticamente enorme... e sarebbe difficoltoso inserirlo direttamente
nel post senza creare problemi...) quindi dobbiamo servirci di un servizio di file hosting...
se non riesci... fammi sapere che ti dico io come fare...
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,055 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni