PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Disconnessione e riconnessione automatica

Altre pagine della discussione:




juventino
Principiante Principiante
juventino
Principiante Principiante
juventino
Principiante
Principiante

Avatar generico


Iscritto dal : 13/Settembre/2007
Da: Italy
Status: Offline
Posts: 15
Riporta il testo di: juventino Rispondibullet Topic: Post n° 71.882 - Postato: 15/Settembre/2007 alle 01:09


15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
     15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
     24592 12 Sep 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
     75128 28 Jul 2007 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.


juventino
Principiante Principiante
juventino
Principiante Principiante
juventino
Principiante
Principiante

Avatar generico


Iscritto dal : 13/Settembre/2007
Da: Italy
Status: Offline
Posts: 15
Riporta il testo di: juventino Rispondibullet Topic: Post n° 71.883 - Postato: 15/Settembre/2007 alle 07:54


15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
     15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
     24592 15 Sep 2007 "C:\WINDOWS\Temp\zzrfaa.exe"
     63488 19 Aug 2004 "C:\WINDOWS\Temp\bak\zzrfaa.exe"
     24592 15 Sep 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
     75128 28 Jul 2007 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"
     24592 15 Sep 2007 "C:\Documents and Settings\lorenzo\Impostazioni locali\Temp\nfjpja.exe"
     24592 12 Sep 2007 "C:\Documents and Settings\lorenzo\Impostazioni locali\Temp\bak\nfjpja.exe"


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 71.888 - Postato: 15/Settembre/2007 alle 15:27


Ciao... sicuro che sia tutto...
Hai controllato quel fai che ti ho detto di controllare?
Il secondo è quello completo?



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



juventino
Principiante Principiante
juventino
Principiante Principiante
juventino
Principiante
Principiante

Avatar generico


Iscritto dal : 13/Settembre/2007
Da: Italy
Status: Offline
Posts: 15
Riporta il testo di: juventino Rispondibullet Topic: Post n° 71.890 - Postato: 15/Settembre/2007 alle 16:33


è tutto! ho controllato il file che mi hai detto di controllare ed ecco coa è risultato:

Antivirus     Versione     Ultimo aggiornamento                                        
                                              Risultato
AhnLab-V3     2007.9.14.0     2007.09.14     -
AntiVir             7.6.0.10     2007.09.14     -
Authentium     4.93.8           2007.09.14     -
Avast          4.7.1043.0           2007.09.14     -
AVG     7.5.0.485     2007.09.14     Potentially harmful program Dialer.FBZ
BitDefender     7.2     2007.09.14     -
CAT-QuickHeal     9.00     2007.09.14     PornDialer.Agent.aw (Not a Virus)
ClamAV     0.91.2     2007.09.14     -
DrWeb     4.33     2007.09.14     Dialer.Bute
eSafe     7.0.15.0     2007.09.13     suspicious Trojan/Worm
eTrust-Vet     31.1.5136     2007.09.14     -
Ewido     4.0     2007.09.14     -
FileAdvisor     1     2007.09.15     -
Fortinet     3.11.0.0     2007.09.14     Dial/Agent
F-Prot     4.3.2.48     2007.09.13     -
F-Secure     6.70.13030.0     2007.09.15     W32/Dialer.BGUH
Ikarus     T3.1.1.12     2007.09.14     not-a-virus:Porn-Dialer.Win32.Agent.aw
Kaspersky     4.0.2.24     2007.09.15     not-a-virus:Porn-Dialer.Win32.Agent.aw
McAfee     5120     2007.09.14     -
Microsoft     1.2803     2007.09.15     -
NOD32v2     2530     2007.09.14     a variant of Win32/Dialer.RU
Norman     5.80.02     2007.09.14     W32/Dialer.BGUH
Panda     9.0.0.4     2007.09.14     Dialer.KGW
Prevx1     V2     2007.09.15     -
Rising     19.40.42.00     2007.09.14     Trojan.Win32.Small.jk
Sophos     4.21.0     2007.09.14     -
Sunbelt     2.2.907.0     2007.09.15     -
Symantec     10     2007.09.14     Trojan.Linkoptimizer.B
TheHacker     6.2.5.060     2007.09.14     Trojan/Dialer.Agent.aw
VBA32     3.12.2.4     2007.09.14     Porn-Dialer.Win32.Agent.aw
VirusBuster     4.3.26:9     2007.09.14     -
Webwasher-Gateway     6.0.1     2007.09.14     Win32.ModifiedUPX.gen!90 (suspicious)
Informazioni addizionali
File size: 63488 bytes
MD5: caddc5c7231733fbac7028fe8e79b197
SHA1: a5eeaf56fd01b151f4f3de0f40fcd9a63cb9c40b
packers: UPX
packers: UPX
packers: UPX

il secondo elenco è quello completo



juventino
Principiante Principiante
juventino
Principiante Principiante
juventino
Principiante
Principiante

Avatar generico


Iscritto dal : 13/Settembre/2007
Da: Italy
Status: Offline
Posts: 15
Riporta il testo di: juventino Rispondibullet Topic: Post n° 71.894 - Postato: 15/Settembre/2007 alle 21:11


ciao, è pronto lo script per pulire il pc?


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 71.895 - Postato: 15/Settembre/2007 alle 21:13


Big%20smile E' in forno... lo sto facendo rosolare... LOL



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 71.897 - Postato: 15/Settembre/2007 alle 21:55


Ciao... penso che avrai scaricato anche Avenger... (ti ho dato il link prima...)
fai queste cose...

- disattiva il ripristino di configurazione di sistema...
    (start->pannello di c.->prestazioni e m.->sistema... e in ripristino conf. di
    sistema
... metti il segno di spunta in disattiva il ripr. conf. di sist. su tutte
    le unità
... e applica;

- scarica il programma Avenger, è un file compresso... .zip, lo decomprimi
    e lo inserisci in una cartella...;

- Scarica questo file: DelDomains.inf, Una volta scaricato... e quindi salvato
   sul pc... cliccaci con il tasto destro del mouse e dal menù che ti appare
   scegli installa...

(Questo serve a cancellare e a ricreare tutti i valori e le chiavi relative ai
siti con restrizioni e senza restrizioni... (visto che il trojan... modifica questi valori...
Ah... ci siamo dimenticati di dire che si trattava di Zonebac di fondo...))


-   fai partire Avenger, e quando ti si è aperto... seleziona Input Script Manually
    dopo di che... clicca sulla lente di ingrandimento sul pulsante...
    e incolla il seguente script (che ti ho indicato in rosso) nella finestra
    che ti si è aperta: (per incollarlo... selezionalo, premi CTRL+C e clicca nella
    finestra che ti si è aperta e premi CTRL+V
)
Segue del testo riportato...


Files to delete:
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Temp\zzrfaa.exe
C:\Programmi\Alwil Software\Avast4\ashDisp.exe
C:\Documents and Settings\lorenzo\Impostazioni locali\Temp\nfjpja.exe
C:\WINDOWS\TEMP\zepoka.exe

Folders to delete:
C:\WINDOWS\Temp\bak
C:\Documents and Settings\lorenzo\Impostazioni locali\Temp\bak

Files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe | C:\Programmi\Alwil Software\Avast4\ashDisp.exe

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | zepoka.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | nfjpja.exe



Fine testo riportato...

    dopo averlo incollato... clicca sul tasto done e la finestra ti si chiuderà...
    clicca adesso sul semaforo e il pc dovrebbe ripartire e al riavvio eseguire
    lo script...
    Dopo che ha eseguito lo script... produce un log... controlla che abbia
    fatto le cose indicate nello script... e se ti dice che non ha fatto qualcosa...
    comunicalo... se non riesci a leggere il log... puoi postarlo... e chiederò
    io a qualche moderatore di cancellarlo se fosse inutile... (in quanto tutto
    è andato a buon fine...;

- adesso... scarica Ccleaner e fai fare una pulizia dei temporanei e in avanzate
    seleziona anche i file di prefetch...(solo) e avvia la pulizia...;


Dicci come è andata che ti do altre info... Ciao.



Modificato da prgn - 15/Settembre/2007 alle 21:57



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



juventino
Principiante Principiante
juventino
Principiante Principiante
juventino
Principiante
Principiante

Avatar generico


Iscritto dal : 13/Settembre/2007
Da: Italy
Status: Offline
Posts: 15
Riporta il testo di: juventino Rispondibullet Topic: Post n° 71.898 - Postato: 15/Settembre/2007 alle 23:08


tutto ok ( spero)! come posso fare per sapere se il virus è stato rimosso! grazie per l' aiuto


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 71.899 - Postato: 15/Settembre/2007 alle 23:58


Spero che hai fatto tutto come ti ho indicato... compreso la pulizia
con Ccleaner...
Fai ripartire... fai lo scan con HiJackThis e verifica che non ci siano
quelle voci che ti ho indicato prima... cioè le O4 e le O15...
Inoltre vai in start -> esegui e digita %temp% e premi invio per far accettare...
Ti si aprirà una cartella... di temporanei... controlla che non ci sia un file
di nome abc123.pid  ... se si fosse ricreato... significa che il virus è ancora
attivo in qualche file eseguibile...
Ti consiglio di fare anche uno scan online gratuito... (i link li trovi nella
discussione... link, in fondo...) per quanto riguarda il ripristino configurazione
di sistema... che hai disattivato... ti conviene riattivarlo...  (se è una funzionalità
che usi...)
Ho visto che il trojan si è addirittura auto duplicato... e questo... molto probabilmente...
perché lo hai ripigliato da un sito che visiti spesso...  quindi stai attento
a quale sito potrebbe essere...
Ciao.


Modificato da prgn - 16/Settembre/2007 alle 00:00



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



juventino
Principiante Principiante
juventino
Principiante Principiante
juventino
Principiante
Principiante

Avatar generico


Iscritto dal : 13/Settembre/2007
Da: Italy
Status: Offline
Posts: 15
Riporta il testo di: juventino Rispondibullet Topic: Post n° 71.901 - Postato: 16/Settembre/2007 alle 00:34


della 04 compaiono solo queste non c' è la voce che mia indicato nel post precedente

O4 - HKLM\..\Run: [zzrfaa.exe] C:\WINDOWS\TEMP\zzrfaa.exe
 
****** LOG FILE PARZIALE DELLE SOLE VOCI DA FIXARE *******
Il log file è stato analizzato ed abbiamo mantenuto soltanto le voci
sospette e/o da eliminare
****************************************************

della 015 non c' è nulla


Modificato da RAVEN - 16/Settembre/2007 alle 22:38


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,051 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni