PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page


  Topic AttiviTopic Attivi  Visualizza lista dei Membri del ForumLista Membri  CalendarioCalendario  Ricerca nel ForumCerca  AiutoAiuto    RegistratiRegistrati  LoginLogin

Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Virus o trojan da MSN parte 2
Altre pagine della discussione:




Spfx
Apprendista Apprendista
Spfx
Apprendista Apprendista
Spfx
Apprendista
Apprendista

Avatar


Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729
Riporta il testo di: Spfx Rispondibullet Topic: Post n° 76.410 - Postato: 05/Gennaio/2008 alle 12:47


Allora... come vedi, il file "logoseek.exe" che abbiamo cercato di eliminare sembra ancora presente dentro la cartella "C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\"
Sembra inoltre che Panda rilevi altri adware in quella cartella ...

Conviene controllare con VirusTotal questi 4 file:

C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\BeepHeartFirstSecond.exe                                                                                                                                                                       

C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\debug mode ping.exe                                                                                                                                                                            

C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\logoseek.exe                                                                                                                                                                                   

C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\spxqwvsv.exe


Poi, come mi faceva notare Notwen, se non conosci il programma a cui corrisponde la cartella "infomp3site" o cmq non sei sicuro, conviene disinstallarla.
Se riesci a disinstallarla fai un'altra correzione Registri+Pulizia con CCleaner e poi posta il LOG di HiJackThis

Se non trovi il programma di disinstallazione dovremmo procedere manualmente.


Facci sapere i risultati.



Ciao.


PS
A proposito ... non vedo più il file infetto "Toolbar.dll", hai eliminato manualmente la cartella "Macrogamming" ?


Spfx
Apprendista Apprendista
Spfx
Apprendista Apprendista
Spfx
Apprendista
Apprendista

Avatar


Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729
Riporta il testo di: Spfx Rispondibullet Topic: Post n° 76.411 - Postato: 05/Gennaio/2008 alle 12:56


Un' altra cosa, controlla con VirusTotal anche questa riga ...

C:\Documents and Settings\All Users\Dati applicazioni\Software rule flag owns\Type Frag.exe

.... se è presente, è probabile che venga indicato come virus.
Non ti preoccupare, anche se c'è non è in memoria.

Notwen ti aveva fatto eliminare all'inizio l'esecuzione di questo programma.

Però, se presente, bisogna cancellarlo manualmente....

.... l' importante è che non lo esegui.


arsagit
Apprendista Apprendista
arsagit
Apprendista Apprendista
arsagit
Apprendista
Apprendista

Avatar generico


Iscritto dal : 23/Dicembre/2007
Status: Offline
Posts: 137
Riporta il testo di: arsagit Rispondibullet Topic: Post n° 76.437 - Postato: 05/Gennaio/2008 alle 21:18



Ho preferito tagliar corto ed eliminare la cartella
Infomp3site. Per quanto riguarda l'altro file da controllare il risultato è stato 4 su 32.
Ecco il log di HiJackThis:


O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe

O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)

***LOG ELIMINATO: sono state lasciate solo le voci sospette***

Non ho eliminato il file "Toolbar.dll". Se non
c'è più sarà magari stato eliminato da uno
degli antivirus.

Ringraziando per l'attenzione resto in attesa di nuove
istruzioni: a risentirci alla prossima puntata!

Modificato da prisca85 - 14/Gennaio/2008 alle 04:53


Spfx
Apprendista Apprendista
Spfx
Apprendista Apprendista
Spfx
Apprendista
Apprendista

Avatar


Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729
Riporta il testo di: Spfx Rispondibullet Topic: Post n° 76.442 - Postato: 05/Gennaio/2008 alle 21:48


Dai che ci siamo arsagit,  un' ultimo sforzo .... Wink


Riavvia in modalità provvisoria

Verifica che sia disattivato il "Ripristino di Configurazione del Sistema"

Fixa le seguenti voci con HiJackThis


O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe

O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)


Apri l'esplora risorse e verifica che non sia presente la cartella "Macrogaming" in :

C:\Programmi\Macrogaming

... se la trovi selezionala e premi Shift+Canc per cancellarla definitivamente


Poi cerca la cartella "Software rule flag owns" in :

C:\Documents and Settings\All Users\Dati applicazioni\Software rule flag owns

... se la trovi selezionala e premi Shift+Canc per cancellarla definitivamente



Esegui CCleaner correzione registro + Pulizia


Riavvia e lancia il log di HijackThis.


Ciao.


PS La cartella "Infomp3site" l'hai cancellata definitivamente (Shift+Canc) oppure hai svuotato il cestino dopo , vero ?


arsagit
Apprendista Apprendista
arsagit
Apprendista Apprendista
arsagit
Apprendista
Apprendista

Avatar generico


Iscritto dal : 23/Dicembre/2007
Status: Offline
Posts: 137
Riporta il testo di: arsagit Rispondibullet Topic: Post n° 76.458 - Postato: 05/Gennaio/2008 alle 23:48


Ho proceduto come da istruzioni.
fixata voce 023
voce 04 non presente in modalità provvisoria
Noto inoltre che nel log che allego la voce 023
è ancora presente.
Cartella Macrogaming non trovata
Cancellata cartella "software rule..."
Allego log di HiJackThis:


O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)

***LOG ELIMINATO: sono state lasciate solo le voci sospette***

Come sempre attendo ulteriori suggermenti.Grazie

Modificato da prisca85 - 14/Gennaio/2008 alle 04:54


notwen
Esperto Esperto
notwen
Esperto Esperto
notwen
Esperto
Esperto

Avatar generico


Iscritto dal : 15/Marzo/2005
Da: Italy
Status: Offline
Posts: 2.206
Riporta il testo di: notwen Rispondibullet Topic: Post n° 76.459 - Postato: 05/Gennaio/2008 alle 23:57


Logoseeker sembra essersene andato. Rimane Amdkssesr, ma solo la chiave, il file non c'è, probabilmente cancellato nelle scansioni.
Direi che il problema è stato risolto!
Complimenti Spfx per l'assiduo impegno!
Arsagit, mi raccomando fai scansioni frequenti con antivirus e antimalware tipo Spybot!Clap



Le mie foto su Flickr!!!



Spfx
Apprendista Apprendista
Spfx
Apprendista Apprendista
Spfx
Apprendista
Apprendista

Avatar


Iscritto dal : 17/Novembre/2007
Da: Italy
Status: Offline
Posts: 729
Riporta il testo di: Spfx Rispondibullet Topic: Post n° 76.460 - Postato: 06/Gennaio/2008 alle 00:08


Ben fatto arsagit ... il merito è anche tuo che non hai "mollato". Wink

Ti consiglio un' ultima scansione con Panda Online come verifica finale.

Ciao. Smile


arsagit
Apprendista Apprendista
arsagit
Apprendista Apprendista
arsagit
Apprendista
Apprendista

Avatar generico


Iscritto dal : 23/Dicembre/2007
Status: Offline
Posts: 137
Riporta il testo di: arsagit Rispondibullet Topic: Post n° 76.476 - Postato: 06/Gennaio/2008 alle 12:38


Ho fatto la scansione con Panda. Mi sembra ci sia ancora
qualcosa da eliminare. Ma come?
Allego report:


Incident                                                                       Status                        Location                                                                                                                                                                                                                                                        

Spyware:Cookie/Doubleclick                                                      Not disinfected               C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[1].txt                                                                                                                                                                                            
Spyware:Cookie/Doubleclick                                                      Not disinfected               C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[2].txt                                                                                                                                                                                            
Spyware:Cookie/Atlas DMT                                                        Not disinfected               C:\Documents and Settings\Osvaldo\Dati applicazioni\Mozilla\Firefox\Profiles\pbipxhlx.default\cookies.txt[.atdmt.com/]                                                                                                                                          
Adware:Adware/SweetBar                                                         Not disinfected               C:\Programmi\Trend Micro\HijackThis\backups\backup-20080102-223545-751.dll                                                                                                                                                                                      
Potentially unwanted tool:Application/CloseApp                                  Not disinfected               C:\WINDOWS\system32\closeapp.exe                                                                                                                                                                                                                                

Se ritenete necessari altri interventi fatemelo sapere.


notwen
Esperto Esperto
notwen
Esperto Esperto
notwen
Esperto
Esperto

Avatar generico


Iscritto dal : 15/Marzo/2005
Da: Italy
Status: Offline
Posts: 2.206
Riporta il testo di: notwen Rispondibullet Topic: Post n° 76.479 - Postato: 06/Gennaio/2008 alle 12:52


questi sono cookie

C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[1].txt                                                                                                                                                                                            
Spyware:Cookie/Doubleclick                                                               C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[2].txt                                                                                                                                                                                            
Spyware:Cookie/Atlas DMT                                                         applicazioni\Mozilla\Firefox\Profiles\pbipxhlx.default\cookies.txt[.atdmt.com/]   

li cancelli tranquillamente facendo una pulizia con spybot.

Poi, disattiva ripristino configurazione (ormai sarai un esperto!!) e in modalità provvisoria cancella questo file:

C:\WINDOWS\system32\closeapp.exe      

subito dopo aver fatto queste operazioni, rifai la scansione con panda, e riportaci il risultato!



Le mie foto su Flickr!!!



Ilsewitch
Esperto Esperto
Ilsewitch
Esperto Esperto
Ilsewitch
Esperto
Esperto

Avatar


Iscritto dal : 31/Maggio/2005
Da: Italy
Status: Offline
Posts: 1.620
Riporta il testo di: Ilsewitch Rispondibullet Topic: Post n° 76.489 - Postato: 06/Gennaio/2008 alle 15:10


Se ha Acrobat potrebbe essere un tool che permette di chiudere automaticamente il programma dalla riga di comando,scusate l'intromissione.




A pensare male si fa peccato, ma spesso ci si azzecca.

Perdona e ricorda.



Altre pagine della discussione:




Rispondi con Editor completo Nuova Discussione

Versione stampabile Versione stampabile


TI E' PIACIUTO QUESTO CONTENUTO ?
Suggerisci questa pagina
Suggerisci questa pagina
Supporta il nostro lavoro
Supporta il nostro lavoro
<b>Non perderti nessuno dei nostri contenuti!</b><br><br>Iscriviti alle Newsletters di aggiornamento periodico.
Iscriviti ora alla newsletter!


Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,164 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni