virus VUNDO sul file ckvo0.dll
Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 28/Aprile/2024 alle 17:36
Topic: virus VUNDO sul file ckvo0.dll Postato da: Krool
Soggetto: virus VUNDO sul file ckvo0.dll
Postato in data: 09/Novembre/2008 alle 17:59
Salve a tutti,
Spero che qualcuno di voi possa darmi una mano. Purtroppo il mio pc è stato infettato dal virus Vundo che sembra essere localizzato nel file C/windows/System32/ckvo0.dll. Ho provato ad utilizzare i vari removal tools indicati per il suddetto virus ma finora non ho avuto alcun successo. Nel momento in cui avvio il pc il mio antivirus (avira Antivir) mi individua il file infetto ma anche se gli chiedo di eliminarlo o metterlo in quarantena, nel momento in cui riavvio il pc si ripresenta puntuale. Ho provato allora ad utilizzare VundoFix, e i tools della Symantec: FxVMonde e FixVundo. Il problema è che se faccio partire la scansione con il mio antivirus attivo, nel momento in cui la scansione raggiunge il file infetto, si blocca e subentra il mio antivirus che mi chiede cosa fare e qualunque cosa io faccia (elimina, metti in quarantena o ignora) la scansione con i tools indicati prosegue ed alla fine non da alcun risultato (nessun file infetto individuato)... se invece disattivo il mio antivirus prima di far partire la scansione con i suddetti tools, la scansione giunge al termine senza individuare alcun file infetto.
Spero che qualcuno di voi sia in grado di darmi una mano. Vi ringrazio in anticipo.
Spero che qualcuno di voi possa darmi una mano. Purtroppo il mio pc è stato infettato dal virus Vundo che sembra essere localizzato nel file C/windows/System32/ckvo0.dll. Ho provato ad utilizzare i vari removal tools indicati per il suddetto virus ma finora non ho avuto alcun successo. Nel momento in cui avvio il pc il mio antivirus (avira Antivir) mi individua il file infetto ma anche se gli chiedo di eliminarlo o metterlo in quarantena, nel momento in cui riavvio il pc si ripresenta puntuale. Ho provato allora ad utilizzare VundoFix, e i tools della Symantec: FxVMonde e FixVundo. Il problema è che se faccio partire la scansione con il mio antivirus attivo, nel momento in cui la scansione raggiunge il file infetto, si blocca e subentra il mio antivirus che mi chiede cosa fare e qualunque cosa io faccia (elimina, metti in quarantena o ignora) la scansione con i tools indicati prosegue ed alla fine non da alcun risultato (nessun file infetto individuato)... se invece disattivo il mio antivirus prima di far partire la scansione con i suddetti tools, la scansione giunge al termine senza individuare alcun file infetto.
Spero che qualcuno di voi sia in grado di darmi una mano. Vi ringrazio in anticipo.
Risposte:
Postato da: RAVEN
Postato in data: 09/Novembre/2008 alle 19:00
Prova a vedere se questo non l'hai già utilizzato
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
http://www.softpedia.com/get/Antivirus/Trojan-Vundo-free-Removal-Tool.shtml - http://www.softpedia.com/get/Antivirus/Trojan-Vundo-free-Removal-Tool.shtml
Altrimenti prova a far passare il tuo antivirus e successivamente il fix con il sistema avviato in modalità provvisoria...
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: Krool
Postato in data: 10/Novembre/2008 alle 00:26
Ciao, grazie per la risposta.
Ho provato a fare quello che mi suggerisci... Con il pc avviato in modalità provvisoria ho fatto partire FixVundo e VundoFix ma nessuno dei due mi ha individuato il trojan. Ho fatto poi partire il mio antivirus e mi ha rilevato ancora una volta il fastidioso trojan nel file indicato chiedendomi cosa fare. Ho provato a cancellarlo ma dice che il file è bloccato e che verrà cancellato solo dopo aver riavviato il pc ma dopo averlo riavviato lo ritrovo sempre li puntualmente. Cosa posso fare? Grazie per l'aiuto.
Ho provato a fare quello che mi suggerisci... Con il pc avviato in modalità provvisoria ho fatto partire FixVundo e VundoFix ma nessuno dei due mi ha individuato il trojan. Ho fatto poi partire il mio antivirus e mi ha rilevato ancora una volta il fastidioso trojan nel file indicato chiedendomi cosa fare. Ho provato a cancellarlo ma dice che il file è bloccato e che verrà cancellato solo dopo aver riavviato il pc ma dopo averlo riavviato lo ritrovo sempre li puntualmente. Cosa posso fare? Grazie per l'aiuto.
Postato da: prgn
Postato in data: 10/Novembre/2008 alle 11:47
I tool non vanno... con questo qui...
fai una scansione con http://www.gmer.net/gmer.zip - gmer e poi con http://www.ilsoftware.it/querydl.asp?ID=754 - hijackthis ... ed incolla i log prodotti...
Per la scansione di gmer... lo fai partire... e poi, senza toccare nulla... (in quanto
già dovrebbe apparirti nella cartella rootkit... pronto alla scansione...) clicca
su scan...
Dicci se ti ha dato avvisi di presenza rootkit... e le eventuali voci indicate in rosso...
per incollare il log..., alla fine della scansione..., clicca sul tasto copy di gmer...
e poi.. clicca in blocco note... ed incolla quello che hai copiato prima...
ed incolla il log in un post di questa discussione...
Adesso scarica http://steven.altervista.org/files/tools.html - combofix e copiati le istruizioni che trovi nella stessa pagina...
e fai riavviare il pc in modalità provvisoria...
(le indicazioni su come fare... le trovi nella seguente discussione:
forum_posts.asp?TID=4407 - REGOLA : LEGGERE Prima di postare un LOG )
Dopo di che... vai in risorse del computer... vai nel menù della finestra...
ed in strumenti vai in opzioni cartella...
In opzioni cartella... vai in visualizzazione... e seleziona la seguente voce:
- Visualizza cartelle e file nascosti;
ed invece... elimina la selezione (la spunta) dalle seguenti voci:
- Nascondi i file protetti di sistema;
- Nascondi le estensioni per i tipi i file conosciuti.
Fatto questo... Ok ed Applica...
Adesso vai in risorse del computer e segui alla lettera le mie indicazioni...
Per ogni disco/partizione... clicca con il tasto destro del mouse... e scegli esplora...
(per via delle impostazioni che abbiamo apportate... vedrai tutto il contenuto)
cerca il file autorun.inf e trascinalo.. (mi raccomando.. non farci doppio click sopra...)
trascinalo in blocco note per vederne il contenuto... ed incolla poi il contenuto
in un post....
Il contenuto sarà tipo:
[Autorun]
open=File_Infetto.exe
shellexecute=File_Infetto.exe
shell\Auto\command=File_Infetto.exe
al posto della voce in rosso vedrai il nome di un file eseguibile... che è un malware
(che di solito si trova nella stessa posizione del file autorun.inf...)
Allora... cerca l'eseguibile in questione... selezionalo e tenendo premuto
il tasto shift (quello delle maiuscole) premi sul tasto canc...
La stessa cosa fai con il file autorun.inf...
E ripeto.. fai le stesse cose per ogni disco/partizione che hai sul tuo pc...
(entrandoci sempre... senza farci doppio click... ma cliccando con il tasto
destro... e scegliendo esplora...)
Ok.. adesso fai la scansione con combofix seguendo le indicazione che trovi nella pagina
che ti ho linkato... ed incolla il log in un post...
Dopo aver fatto questo... fai partire lo scan con avira antivir aggiornato...
apportando le seguenti impostazioni:
- fai doppio click sull'icona dell'ombrellino... in modo che si apra il programma...;
- clicca su Configuration;
- e nella sezione scan... metti il pallino su All files... e clicca su ok e fai partire lo scan...
(in questo modo scansioni tutti i files a prescindere dal tipo...)
Elimina tutti i file considerati malware...
Dopo di questo non è finita ancora... facci sapere come è andata...
e nel frattempo non usare penne usb... hdd esterni... macchinette fotografiche...
lettori mp3... ecc ecc... sul pc infetto..
(e naturalmente.. quelle che hai potrebbero essere infette... e non vanno
messe su altri pc... se non dopo un controllo.. ed eventuale pulizia...)
Altra cosa importante... se giochi con giochi online... questo malware potrebbe
rubarti i dati dell'account...
facci sapere..
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
fai una scansione con http://www.gmer.net/gmer.zip - gmer e poi con http://www.ilsoftware.it/querydl.asp?ID=754 - hijackthis ... ed incolla i log prodotti...
Per la scansione di gmer... lo fai partire... e poi, senza toccare nulla... (in quanto
già dovrebbe apparirti nella cartella rootkit... pronto alla scansione...) clicca
su scan...
Dicci se ti ha dato avvisi di presenza rootkit... e le eventuali voci indicate in rosso...
per incollare il log..., alla fine della scansione..., clicca sul tasto copy di gmer...
e poi.. clicca in blocco note... ed incolla quello che hai copiato prima...
ed incolla il log in un post di questa discussione...
Adesso scarica http://steven.altervista.org/files/tools.html - combofix e copiati le istruizioni che trovi nella stessa pagina...
e fai riavviare il pc in modalità provvisoria...
(le indicazioni su come fare... le trovi nella seguente discussione:
forum_posts.asp?TID=4407 - REGOLA : LEGGERE Prima di postare un LOG )
Dopo di che... vai in risorse del computer... vai nel menù della finestra...
ed in strumenti vai in opzioni cartella...
In opzioni cartella... vai in visualizzazione... e seleziona la seguente voce:
- Visualizza cartelle e file nascosti;
ed invece... elimina la selezione (la spunta) dalle seguenti voci:
- Nascondi i file protetti di sistema;
- Nascondi le estensioni per i tipi i file conosciuti.
Fatto questo... Ok ed Applica...
Adesso vai in risorse del computer e segui alla lettera le mie indicazioni...
Per ogni disco/partizione... clicca con il tasto destro del mouse... e scegli esplora...
(per via delle impostazioni che abbiamo apportate... vedrai tutto il contenuto)
cerca il file autorun.inf e trascinalo.. (mi raccomando.. non farci doppio click sopra...)
trascinalo in blocco note per vederne il contenuto... ed incolla poi il contenuto
in un post....
Il contenuto sarà tipo:
Segue del testo riportato...
[Autorun]
open=File_Infetto.exe
shellexecute=File_Infetto.exe
shell\Auto\command=File_Infetto.exe
Fine testo riportato...
Un file del genere non dovrebbe stare nella root del tuo hdd o partizione... al posto della voce in rosso vedrai il nome di un file eseguibile... che è un malware
(che di solito si trova nella stessa posizione del file autorun.inf...)
Allora... cerca l'eseguibile in questione... selezionalo e tenendo premuto
il tasto shift (quello delle maiuscole) premi sul tasto canc...
La stessa cosa fai con il file autorun.inf...
E ripeto.. fai le stesse cose per ogni disco/partizione che hai sul tuo pc...
(entrandoci sempre... senza farci doppio click... ma cliccando con il tasto
destro... e scegliendo esplora...)
Ok.. adesso fai la scansione con combofix seguendo le indicazione che trovi nella pagina
che ti ho linkato... ed incolla il log in un post...
Dopo aver fatto questo... fai partire lo scan con avira antivir aggiornato...
apportando le seguenti impostazioni:
- fai doppio click sull'icona dell'ombrellino... in modo che si apra il programma...;
- clicca su Configuration;
- e nella sezione scan... metti il pallino su All files... e clicca su ok e fai partire lo scan...
(in questo modo scansioni tutti i files a prescindere dal tipo...)
Elimina tutti i file considerati malware...
Dopo di questo non è finita ancora... facci sapere come è andata...
e nel frattempo non usare penne usb... hdd esterni... macchinette fotografiche...
lettori mp3... ecc ecc... sul pc infetto..
(e naturalmente.. quelle che hai potrebbero essere infette... e non vanno
messe su altri pc... se non dopo un controllo.. ed eventuale pulizia...)
Altra cosa importante... se giochi con giochi online... questo malware potrebbe
rubarti i dati dell'account...
facci sapere..
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Krool
Postato in data: 10/Novembre/2008 alle 15:18
Ok... ora ho capito come ho beccato il virus. L'ho furbescamente portato a casa dall'uffico portando via alcuni documenti sulla mia pen-drive (grazie per il consiglio di evitare di utilizzarla ancora altrimenti avrei infettato anche il portatile).
Wow, la procedura sembra piuttosto complicata, almeno per uno come me totalmente ignorante in materia. Volevo ringraziarti prima di cominciare, nel caso in cui dovessi incasinare tutto. Ti farò sapere come è andata. Ciao e grazie ancora.
Wow, la procedura sembra piuttosto complicata, almeno per uno come me totalmente ignorante in materia. Volevo ringraziarti prima di cominciare, nel caso in cui dovessi incasinare tutto. Ti farò sapere come è andata. Ciao e grazie ancora.
Postato da: prgn
Postato in data: 10/Novembre/2008 alle 15:26
Si.. ma non è tutto... mi son buttato su combofix sperando di tagliargli un po'
le gambe... poi passimo alla pulizia più in particolare.. ;)
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
le gambe... poi passimo alla pulizia più in particolare.. ;)
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Krool
Postato in data: 10/Novembre/2008 alle 17:32
Ok... Dunque.... Ho fatto la scansione con Gmer e Hijakthis e provvedo ad allegare i rispettivi logs...
Gmer
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-10 17:17:22
Windows 5.1.2600 Service Pack 2
***** Log editato... nessu voce sospetta *****
---- EOF - GMER 1.0.14 ----
Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.21.52, on 10/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
***** Log editato... è rimasta solo la voce infetta *****
End of file - 8532 bytes
-------------
Gmer
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-10 17:17:22
Windows 5.1.2600 Service Pack 2
***** Log editato... nessu voce sospetta *****
---- EOF - GMER 1.0.14 ----
Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.21.52, on 10/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
***** Log editato... è rimasta solo la voce infetta *****
End of file - 8532 bytes
-------------
Postato da: Krool
Postato in data: 10/Novembre/2008 alle 17:38
Continuando a seguire le tue istruzioni ho purtroppo scoperto che non riesco a visualizzare i file nascosti. Spuntando la voce "visualizza cartelle e file nascosti" e poi cliccando so applica ed ok non succede assolutamente niente e ritornandovi risulta non spuntato... anche ripetendo più volte la stessa operazione non ottengo altri risultati.
Postato da: prgn
Postato in data: 11/Novembre/2008 alle 12:14
Scusa... pigliamo ancora meglio la mira...
allora.. mi son dimenticato di dirti di eliminare il ripristino configurazione di sistema...
(le indicazioni su come fare le pigli da qua: forum_posts.asp?TID=4407 - REGOLA : LEGGERE Prima di postare un LOG )
Comunque procediamo per gradi...
Allora... elimina il ripristino configurazione di sistema...
Poi.. copia quello che ti indico nella seguente casella:
echo off
cls
echo Indica i file in root ed il contenuto del file autorun.inf
echo Il tutto viene copiato nel file text.txt che viene creato sul desktop
echo Per funzionare correttamente.. questo file deve essere copiato nella root del
echo disco, per esempio.. se si ha solo C, si deve copiare nella posizione C:\
echo Le informazioni lette verranno salvate in text.txt seguendo questo ordine:
echo -
echo - file non nascosti;
echo - file con attributi restrittivi;
echo - contenuto di autorun.inf.
echo -
echo Il file va copiato nella root di ogni disco/partizione che si vuole controllare..
echo le informazioni che vengono salvate in text.txt vengono aggiunte a quelle
echo precedentemente salvate..
echo -
echo Premere Ctrl+C per uscire e non controllare il disco . . .
pause
dir >> "%userprofile%\desktop\text.txt"
dir /ar >> "%userprofile%\desktop\text.txt"
type autorun.inf >> "%userprofile%\desktop\text.txt"
cls
echo *** Operazione conclusa... Informazioni aggiunte in text.txt ***
echo -
echo -
pause
echo on
di testo... (per i più tecnici un file ascii che puoi creare con blocco note)
e salvalo andando nel menù File -> salva con nome... e dandogli un nome
con estensione .bat (e non txt come viene suggerito dal programma)
In pratica il file con questa estensione avrà la seguente icona:
e non quella dei normali file di testo...
Una volta salvato..., copialo in ogni disco/partizione che hai sul tuo pc...
nella posizione root (in pratica... se hai il disco C, il file lo devi copiare nella
posizione C:\) quindi nel disco.. ma fuori da ogni cartella... per intenderci...
Il file si occupa di indicare il contenuto della root del disco... ed il contenuto
dell'eventuale autorun.inf, ed il tutto nel seguente ordine:
- file non nascosti;
- file con attributi restrittivi;
- contenuto file aurorun.ini.
Il tutto viene salvato in un file di testo (text.txt) che viene salvato sul desktop
dell'utente corrente...
Ogni volta che lanci il file... il tutto viene accodato sul file text.txt... senza
cancellare le precedenti rilevazioni...
Quindi.. come ti dicevo... portalo nella root di in ogni disco/partizione... e facci
doppio click sopra...
Alla fine di tutto... apri il file di testo text.txt... e copia il contenuto in un post...
(naturalmente.. per una questione di privacy... cancella il nome dei file
personali che il programma ha rilevato... anche perchè non ci servono...)
ed inviacelo...
Adesso scarica http://swandog46.geekstogo.com/avenger.zip - avenger poi vai a questa pagina: http://mihd.net/dl - http://mihd.net/dl
e clicca su: Request ticket (devi avere gli script attivati.. altrimenti non te lo da...)
e poi su Download per scaricare il file unhide.reg
Scaricalo e tienilo in vista sul desktop.
Fai riavviare in modalità provvisoria... fai doppio clic sul file che hai appena scaricato...
(adesso dovrebbe darti la possibiltà di impostare la visione dei file nascosti
e di sistema)
Fai partire (sempre da modalità provvisoria) hijackthis e fixa la seguente voce:
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
(metti la spunta... e cliccai su Fix...)
Adesso estrai il file di avenger (sempre da modalità provvisoria) dalla cartella
compressa, fallo partire e copia il seguente script:
Files to delete:
C:\windows\system32\ckvo.exe
C:\windows\system32\ckvo0.dll
C:\windows\system32\ckvo1.dll
C:\windows\system32\ckvo2.dll
C:\windows\system32\klif.sys
C:\autorun.inf
Folders to delete:
%temp%
e clicca su execute...
Il pc verrà riavviato... ed i file verranno cancellati e messi in un archivio protetto
da password... (infected)
Posta il log di avenger... ed il contenuto di text.txt... e vediamo se c'è altro da fare...
(di sicuro hai ancora qualche file da cancellare... e da pulire eventuali dischi...
quindi occhio a cliccare sui dischi... ed a inserire memorie esterne per adesso...)
Dopo di questo.. ti dico che altro fare...
Ciao
PS: il tuo sistema è XP Home o Professional?
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
allora.. mi son dimenticato di dirti di eliminare il ripristino configurazione di sistema...
(le indicazioni su come fare le pigli da qua: forum_posts.asp?TID=4407 - REGOLA : LEGGERE Prima di postare un LOG )
Comunque procediamo per gradi...
Allora... elimina il ripristino configurazione di sistema...
Poi.. copia quello che ti indico nella seguente casella:
Segue del testo riportato...
echo off
cls
echo Indica i file in root ed il contenuto del file autorun.inf
echo Il tutto viene copiato nel file text.txt che viene creato sul desktop
echo Per funzionare correttamente.. questo file deve essere copiato nella root del
echo disco, per esempio.. se si ha solo C, si deve copiare nella posizione C:\
echo Le informazioni lette verranno salvate in text.txt seguendo questo ordine:
echo -
echo - file non nascosti;
echo - file con attributi restrittivi;
echo - contenuto di autorun.inf.
echo -
echo Il file va copiato nella root di ogni disco/partizione che si vuole controllare..
echo le informazioni che vengono salvate in text.txt vengono aggiunte a quelle
echo precedentemente salvate..
echo -
echo Premere Ctrl+C per uscire e non controllare il disco . . .
pause
dir >> "%userprofile%\desktop\text.txt"
dir /ar >> "%userprofile%\desktop\text.txt"
type autorun.inf >> "%userprofile%\desktop\text.txt"
cls
echo *** Operazione conclusa... Informazioni aggiunte in text.txt ***
echo -
echo -
pause
echo on
Fine testo riportato...
Dopo aver selezionato e copiato... incolla il tutto in un filedi testo... (per i più tecnici un file ascii che puoi creare con blocco note)
e salvalo andando nel menù File -> salva con nome... e dandogli un nome
con estensione .bat (e non txt come viene suggerito dal programma)
In pratica il file con questa estensione avrà la seguente icona:
e non quella dei normali file di testo...
Una volta salvato..., copialo in ogni disco/partizione che hai sul tuo pc...
nella posizione root (in pratica... se hai il disco C, il file lo devi copiare nella
posizione C:\) quindi nel disco.. ma fuori da ogni cartella... per intenderci...
Il file si occupa di indicare il contenuto della root del disco... ed il contenuto
dell'eventuale autorun.inf, ed il tutto nel seguente ordine:
- file non nascosti;
- file con attributi restrittivi;
- contenuto file aurorun.ini.
Il tutto viene salvato in un file di testo (text.txt) che viene salvato sul desktop
dell'utente corrente...
Ogni volta che lanci il file... il tutto viene accodato sul file text.txt... senza
cancellare le precedenti rilevazioni...
Quindi.. come ti dicevo... portalo nella root di in ogni disco/partizione... e facci
doppio click sopra...
Alla fine di tutto... apri il file di testo text.txt... e copia il contenuto in un post...
(naturalmente.. per una questione di privacy... cancella il nome dei file
personali che il programma ha rilevato... anche perchè non ci servono...)
ed inviacelo...
Adesso scarica http://swandog46.geekstogo.com/avenger.zip - avenger poi vai a questa pagina: http://mihd.net/dl - http://mihd.net/dl
e clicca su: Request ticket (devi avere gli script attivati.. altrimenti non te lo da...)
e poi su Download per scaricare il file unhide.reg
Scaricalo e tienilo in vista sul desktop.
Fai riavviare in modalità provvisoria... fai doppio clic sul file che hai appena scaricato...
(adesso dovrebbe darti la possibiltà di impostare la visione dei file nascosti
e di sistema)
Fai partire (sempre da modalità provvisoria) hijackthis e fixa la seguente voce:
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
(metti la spunta... e cliccai su Fix...)
Adesso estrai il file di avenger (sempre da modalità provvisoria) dalla cartella
compressa, fallo partire e copia il seguente script:
Segue del testo riportato...
Files to delete:
C:\windows\system32\ckvo.exe
C:\windows\system32\ckvo0.dll
C:\windows\system32\ckvo1.dll
C:\windows\system32\ckvo2.dll
C:\windows\system32\klif.sys
C:\autorun.inf
Folders to delete:
%temp%
Fine testo riportato...
... nella casella bianca... della finestra del programma...e clicca su execute...
Il pc verrà riavviato... ed i file verranno cancellati e messi in un archivio protetto
da password... (infected)
Posta il log di avenger... ed il contenuto di text.txt... e vediamo se c'è altro da fare...
(di sicuro hai ancora qualche file da cancellare... e da pulire eventuali dischi...
quindi occhio a cliccare sui dischi... ed a inserire memorie esterne per adesso...)
Dopo di questo.. ti dico che altro fare...
Ciao
PS: il tuo sistema è XP Home o Professional?
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Krool
Postato in data: 11/Novembre/2008 alle 20:28
Ciao...
dunque... ieri sera dopo aver postato il mio ultimo commento ho fatto fare la scansione con combofix e mi ha individuato ed eliminato diversi files (ho provato a postare un nuovo commento per fartelo presente ma la connessione internet era momentaneamente andata). Ha cancellato ckvo0.dll ed anche un ckvo0.exe che tuttavia non avevo mai visto quindi penso che fosse un file nascosto. Dopo la scansione ho fatto ripartire il pc e come mi hai indicato ho fatto fare una nuova scansione con il mio antivirus con la configurazione da te indicatami... mi ha individuato 2 o 3 file infetti (tra cui ancora ckvo0.dll anche se in un altra cartella). Ho eliminato tutto come da te indicatomi. Non so se posso considerare il problema risolto... tuttavia il mio antivirus non mi segnala più la presenza di questo trojan e quindi mi evita il fastidio di vedermelo segnalato ogni volta che apro una nuova cartella, come succedeva precedentemente.
Ho notato che è stata creata una nuova cartella chiamata QooBox... non so se posso eliminarne il contenuto o meno quindi ho preferito aspettara e chiedere.
Pensi che il problema sia risolto? O c'è ancora dell'altro da fare? A proposito... ora mi permette nuovamente di visionare i file nascosti.
Aspetto tue notizie... nel frattempo di ringrazio di cuore per l'aiuto che mi hai dato.
Ciao
dunque... ieri sera dopo aver postato il mio ultimo commento ho fatto fare la scansione con combofix e mi ha individuato ed eliminato diversi files (ho provato a postare un nuovo commento per fartelo presente ma la connessione internet era momentaneamente andata). Ha cancellato ckvo0.dll ed anche un ckvo0.exe che tuttavia non avevo mai visto quindi penso che fosse un file nascosto. Dopo la scansione ho fatto ripartire il pc e come mi hai indicato ho fatto fare una nuova scansione con il mio antivirus con la configurazione da te indicatami... mi ha individuato 2 o 3 file infetti (tra cui ancora ckvo0.dll anche se in un altra cartella). Ho eliminato tutto come da te indicatomi. Non so se posso considerare il problema risolto... tuttavia il mio antivirus non mi segnala più la presenza di questo trojan e quindi mi evita il fastidio di vedermelo segnalato ogni volta che apro una nuova cartella, come succedeva precedentemente.
Ho notato che è stata creata una nuova cartella chiamata QooBox... non so se posso eliminarne il contenuto o meno quindi ho preferito aspettara e chiedere.
Pensi che il problema sia risolto? O c'è ancora dell'altro da fare? A proposito... ora mi permette nuovamente di visionare i file nascosti.
Aspetto tue notizie... nel frattempo di ringrazio di cuore per l'aiuto che mi hai dato.
Ciao
Postato da: Krool
Postato in data: 11/Novembre/2008 alle 20:35
Ps...
scusa la dimenticanza. Il mio sistema è XP Home. Ciao e buona serata
scusa la dimenticanza. Il mio sistema è XP Home. Ciao e buona serata
Postato da: prgn
Postato in data: 12/Novembre/2008 alle 22:06
Si... Immaginavo che Combofix faccesse il suo "sporco" lavoro...
per questo ti ho consigliato di usarlo...
Io spesso sono volutamente ridondante nei miei consigli...
e questo perchè... se da un lato c'è l'impossibilità, per
una questione principalmente di tempo, ad esser dettagliati...
dall'altra mi rendo conto della difficoltà di seguire alla
lettera (sperando non accadano intoppi o fraintendimenti)
ciò che uno consiglia... Tra tutto questo, infine, c'è da
dire che i contagi possono differire da pc a pc... (per
varie ragioni...) Quindi... quello che con un passaggio
non riesco a togliere... spero vada via con un altro...
Puoi comunque seguire anche il mio secondo tentativo di
eliminazione... (non troverà alcune cose... va eliminerà
certamente altre cose...)
Comunque ci sono ancora altre cose da fare... non tanto..
ma alcune cose vanno fatte... e poi dobbiamo pulire la
penna e farlo senza pericolo.... (se la tua penna usb
è infetta... ti basta inserirla per farla andare in
autoplay... e contagiarti ancora...)
Mi interesserebbe vedere il log di combofix... (lo trovi in C:\ ) ed inoltre sapere
cosa ha eliminato avira... e dove lo ha trovato... (oltre a risolvere i nostri
problemi... è utile lasciare riferimenti anche agli altri...)
Riguardo la cartella QooBox la puoi eliminare... di sicuro non ne sentirai la
mancanza (infatti contiene i file cancellati da Combofix).
Poi... dobbiamo ripristinare i valori del registro... e questo lo fai con quello
che ti ho indicato nel post precedente:
vai a questa pagina: http://mihd.net/dl - http://mihd.net/dl
e clicca su: Request ticket (devi avere gli script attivati.. altrimenti non te lo da...)
e poi su Download per scaricare il file unhide.reg
Scaricalo e tienilo in vista sul desktop....
fai doppio clic sul file che hai appena scaricato...
Fai partire ... hijackthis e fixa la seguente voce:
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
(metti la spunta... e cliccai su Fix...)
sul tuo pc... (io avevo predisposto quel file per leggere tutti i file in root...
e il contenuto di autorun.inf... comunque non importa... facciamo manualmente)
Imposta la visualizzazione dei file nascosti e di sistema... vai in risorse del computer
clicca con il tasto destro del mouse su ogni disco o partizione e scegli dal menù
contestuale la voce "Esplora"... una volta entrato sul disco/partizione...
elimina il file autorun.inf (il file in questione va cercato ed eliminato per
ogni disco/partizione... ed eliminato...)
Poi ... abbiamo la cartella temp da pulire... io la cancellerei tutta...
e per farlo.. ti trovi... usa avenger come ti ho indicato nel post precedente...
Adesso scarica http://swandog46.geekstogo.com/avenger.zip - avenger ........
Adesso estrai il file di avenger dalla cartella
compressa, fallo partire e copia il seguente script:
Files to delete:
C:\windows\system32\ckvo.exe
C:\windows\system32\ckvo0.dll
C:\windows\system32\ckvo1.dll
C:\windows\system32\ckvo2.dll
C:\windows\system32\klif.sys
C:\autorun.inf
Folders to delete:
%temp%
e clicca su execute...
Il pc verrà riavviato... ed i file verranno cancellati e messi in un archivio protetto
da password... (infected)
dal post precedente, ed incollando... e poi... melius abundare quam deficere...
(non ci far caso... sono un'ignorante che si diverte...
)
Poi... scarica http://www.ccleaner.com/download - Ccleaner e fagli dare una pulita ai temporanei... impostando
nelle impostazioni... di eliminare anche i file non più vecchi di 48 ore...
Inoltre in avanzate... metti di eliminare i soli file di prefetch...
Dopo aver eliminato i temporanei... risolvi anche i problemi del registro...
Adesso vai in C:\windows\tasks
In questa cartella, ammeno che non hai impostato dei job (delle operazioni pianificate),
non dovresti trovar nulla... tranne la seguente voce:
Aggiungi operazione pianificata
Se ci sono altre voci che tu non conosci... oltre la suddetta...
è convenitene eliminarle...
Adesso passiamo alla pulizia delle chiavi e degli archivi esterni removibili...
Per impostazioni di default... xp (come anche altri sistemi) ha attivato l'autoplay...
in pratica... appena si collega un'unità di massa esterna... il sistema va sopra
l'unità... e cerca di avviare qualcosa...
Quindi... al di la di premere shift nell'inserimento... io ti consiglio di disattivare
(anche solo momentaneamente) l'autoplay... in modo da lavorare più tranquilli...
Il tuo sistema è XP Home... e non ha gpedit.msc (presente su XP professional...)
quindi non possiamo usare questo strumento..., ma possiamo utilizzare 2 modalità
anche esse efficaci...
La prima... consiste nel modificare una chiave di registro... e la seconda consiste
nello scaricare un programma della stessa microsoft... che ci permette di fare
la stessa cosa... ed in sicurezza... (editare il registro di windows.. non è esente
da rischi...)
Quindi... vediamo la seconda...
Vai alla seguente pagina:
http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx - http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx
e scarica Tweak UI (i link li trovi sulla destra...)
Lo installi ... lo fai partire... e scendendo nella sezione di sinistra arrivi a
AutoPlay... ed una volta la... vai in Types...
In Types, nella parte destra..., togli le 2 spunta per eliminare l'autoplay
da tutti i drives del pc... (basterebbe anche solo la seconda... nel tuo caso)
come indicato nella seguente immagine:
e poi clicca su Apply...
Adesso hai disattivato l'autoplay...
Imposta la visione dei files nascosti e di sistema... ed inserici i tuoi drives
esterni nella presa usb o quella firewire se hai drives del genre...
(uno alla volta.. macchinette fotografiche... lettori mp3... memory card... HDD esterni
ecc. ecc.) poi..., dopo l'inserimento, vai in Esplora risorse... e SENZA FARE DOPPIO
CLICK sulla driver inserito..., ma facendo clic con il tasto destro... scegli prima
la scansione con avira (con le impostazioni che ti ho indicato nel'altro post...
e poi..., facendo ancora clic con il tasto destro, scegli esplora... ed una
volta che sei andato sul driver... cerca e cancella il file autorun.inf
Questo lo fai per tutti i drivers... con calma... e senza fare errori...
Hai disattivato il ripristino configurazione di sistema...?
Se si... adesso, se è un'impostazione che ti fa comodo avere..., puoi riattivarla...
e crearti un nuovo punto di ripristino pulito...
Altrimenti la devi disattivare... infatti c'è il rischio di avere qualche punto di
ripristino infetto ancora sul pc...
Dopo disattivata... vale il discorso di poco prima... (se ti serve l'attivi... altrimenti...
desisti...)
Adesso sarai sufficientemente stanco di starmi a sentire.. quindi ti lascio
al da farsi... Ciao...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
per questo ti ho consigliato di usarlo...
Io spesso sono volutamente ridondante nei miei consigli...
e questo perchè... se da un lato c'è l'impossibilità, per
una questione principalmente di tempo, ad esser dettagliati...
dall'altra mi rendo conto della difficoltà di seguire alla
lettera (sperando non accadano intoppi o fraintendimenti)
ciò che uno consiglia... Tra tutto questo, infine, c'è da
dire che i contagi possono differire da pc a pc... (per
varie ragioni...) Quindi... quello che con un passaggio
non riesco a togliere... spero vada via con un altro...
Puoi comunque seguire anche il mio secondo tentativo di
eliminazione... (non troverà alcune cose... va eliminerà
certamente altre cose...)
Comunque ci sono ancora altre cose da fare... non tanto..
ma alcune cose vanno fatte... e poi dobbiamo pulire la
penna e farlo senza pericolo.... (se la tua penna usb
è infetta... ti basta inserirla per farla andare in
autoplay... e contagiarti ancora...)
Mi interesserebbe vedere il log di combofix... (lo trovi in C:\ ) ed inoltre sapere
cosa ha eliminato avira... e dove lo ha trovato... (oltre a risolvere i nostri
problemi... è utile lasciare riferimenti anche agli altri...)
Riguardo la cartella QooBox la puoi eliminare... di sicuro non ne sentirai la
mancanza (infatti contiene i file cancellati da Combofix).
Poi... dobbiamo ripristinare i valori del registro... e questo lo fai con quello
che ti ho indicato nel post precedente:
Segue del testo riportato...
vai a questa pagina: http://mihd.net/dl - http://mihd.net/dl
e clicca su: Request ticket (devi avere gli script attivati.. altrimenti non te lo da...)
e poi su Download per scaricare il file unhide.reg
Scaricalo e tienilo in vista sul desktop....
fai doppio clic sul file che hai appena scaricato...
Fine testo riportato...
Poi... abbiamo da eliminare la chiave che avviava il programma in automatico...
Segue del testo riportato...
Fai partire ... hijackthis e fixa la seguente voce:
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
(metti la spunta... e cliccai su Fix...)
Fine testo riportato...
Poi abbiamo da eliminare il file autorun.inf da ogni disco/partizione che è intallatasul tuo pc... (io avevo predisposto quel file per leggere tutti i file in root...
e il contenuto di autorun.inf... comunque non importa... facciamo manualmente)
Imposta la visualizzazione dei file nascosti e di sistema... vai in risorse del computer
clicca con il tasto destro del mouse su ogni disco o partizione e scegli dal menù
contestuale la voce "Esplora"... una volta entrato sul disco/partizione...
elimina il file autorun.inf (il file in questione va cercato ed eliminato per
ogni disco/partizione... ed eliminato...)
Poi ... abbiamo la cartella temp da pulire... io la cancellerei tutta...
e per farlo.. ti trovi... usa avenger come ti ho indicato nel post precedente...
Segue del testo riportato...
Adesso scarica http://swandog46.geekstogo.com/avenger.zip - avenger ........
Adesso estrai il file di avenger dalla cartella
compressa, fallo partire e copia il seguente script:
Segue del testo riportato...
Files to delete:
C:\windows\system32\ckvo.exe
C:\windows\system32\ckvo0.dll
C:\windows\system32\ckvo1.dll
C:\windows\system32\ckvo2.dll
C:\windows\system32\klif.sys
C:\autorun.inf
Folders to delete:
%temp%
Fine testo riportato...
... incolla nella casella bianca... della finestra del programma...e clicca su execute...
Il pc verrà riavviato... ed i file verranno cancellati e messi in un archivio protetto
da password... (infected)
Fine testo riportato...
Come vedi ci son voci in più ormai inutili nello script... ma sto copiando, dal post precedente, ed incollando... e poi... melius abundare quam deficere...
(non ci far caso... sono un'ignorante che si diverte...
)Poi... scarica http://www.ccleaner.com/download - Ccleaner e fagli dare una pulita ai temporanei... impostando
nelle impostazioni... di eliminare anche i file non più vecchi di 48 ore...
Inoltre in avanzate... metti di eliminare i soli file di prefetch...
Dopo aver eliminato i temporanei... risolvi anche i problemi del registro...
Adesso vai in C:\windows\tasks
In questa cartella, ammeno che non hai impostato dei job (delle operazioni pianificate),
non dovresti trovar nulla... tranne la seguente voce:
Aggiungi operazione pianificata
Se ci sono altre voci che tu non conosci... oltre la suddetta...
è convenitene eliminarle...
Adesso passiamo alla pulizia delle chiavi e degli archivi esterni removibili...
Per impostazioni di default... xp (come anche altri sistemi) ha attivato l'autoplay...
in pratica... appena si collega un'unità di massa esterna... il sistema va sopra
l'unità... e cerca di avviare qualcosa...
Quindi... al di la di premere shift nell'inserimento... io ti consiglio di disattivare
(anche solo momentaneamente) l'autoplay... in modo da lavorare più tranquilli...
Il tuo sistema è XP Home... e non ha gpedit.msc (presente su XP professional...)
quindi non possiamo usare questo strumento..., ma possiamo utilizzare 2 modalità
anche esse efficaci...
La prima... consiste nel modificare una chiave di registro... e la seconda consiste
nello scaricare un programma della stessa microsoft... che ci permette di fare
la stessa cosa... ed in sicurezza... (editare il registro di windows.. non è esente
da rischi...)
Quindi... vediamo la seconda...
Vai alla seguente pagina:
http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx - http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx
e scarica Tweak UI (i link li trovi sulla destra...)
Lo installi ... lo fai partire... e scendendo nella sezione di sinistra arrivi a
AutoPlay... ed una volta la... vai in Types...
In Types, nella parte destra..., togli le 2 spunta per eliminare l'autoplay
da tutti i drives del pc... (basterebbe anche solo la seconda... nel tuo caso)
come indicato nella seguente immagine:
e poi clicca su Apply...
Adesso hai disattivato l'autoplay...
Imposta la visione dei files nascosti e di sistema... ed inserici i tuoi drives
esterni nella presa usb o quella firewire se hai drives del genre...
(uno alla volta.. macchinette fotografiche... lettori mp3... memory card... HDD esterni
ecc. ecc.) poi..., dopo l'inserimento, vai in Esplora risorse... e SENZA FARE DOPPIO
CLICK sulla driver inserito..., ma facendo clic con il tasto destro... scegli prima
la scansione con avira (con le impostazioni che ti ho indicato nel'altro post...
e poi..., facendo ancora clic con il tasto destro, scegli esplora... ed una
volta che sei andato sul driver... cerca e cancella il file autorun.inf
Questo lo fai per tutti i drivers... con calma... e senza fare errori...
Hai disattivato il ripristino configurazione di sistema...?
Se si... adesso, se è un'impostazione che ti fa comodo avere..., puoi riattivarla...
e crearti un nuovo punto di ripristino pulito...
Altrimenti la devi disattivare... infatti c'è il rischio di avere qualche punto di
ripristino infetto ancora sul pc...
Dopo disattivata... vale il discorso di poco prima... (se ti serve l'attivi... altrimenti...
desisti...
)Adesso sarai sufficientemente stanco di starmi a sentire.. quindi ti lascio
al da farsi... Ciao...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 13/Novembre/2008 alle 14:09
Tanto per esser di servizio... diciamo che avira la da per Vundo.. ma tanti altri lo danno per:
TR/Gamania-BW
PWS:Win32/Frethog.D
Generic PWS.ak
Win32.Hack.NsAnti.176128
Trojan-GameThief.Win32.Magania.ajon
Trojan-GameThief.Win32.Magania.ajon [Engine:A]
Trojan-GameThief.Win32.Magania.ajon [AVP]
TR/Vundo.Gen
Trojan.Lineage.DYW
Infostealer.Gampass
Troj/Virtum-Gen
Win32.Packed.Krap.b.3
TSPY_ONLINEG.MCL
W32/Lineage.KDD.worm
Questi sono i risultati di molti antivirus alle definizioni vailide al 07-08/11/2008
E' possibile che alcuni nomi siano stati assegnati in base all'analisi del comportamento
del file infetto... e non in base ad un riconoscimento vero è proprio dovuto alle definizioni...
Krool.. ricorda di controllare bene i tuoi driver removibili... e di cancellare tutti
i file sospetti che non riconosci siano legittimi...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
TR/Gamania-BW
PWS:Win32/Frethog.D
Generic PWS.ak
Win32.Hack.NsAnti.176128
Trojan-GameThief.Win32.Magania.ajon
Trojan-GameThief.Win32.Magania.ajon [Engine:A]
Trojan-GameThief.Win32.Magania.ajon [AVP]
TR/Vundo.Gen
Trojan.Lineage.DYW
Infostealer.Gampass
Troj/Virtum-Gen
Win32.Packed.Krap.b.3
TSPY_ONLINEG.MCL
W32/Lineage.KDD.worm
Questi sono i risultati di molti antivirus alle definizioni vailide al 07-08/11/2008
E' possibile che alcuni nomi siano stati assegnati in base all'analisi del comportamento
del file infetto... e non in base ad un riconoscimento vero è proprio dovuto alle definizioni...
Krool.. ricorda di controllare bene i tuoi driver removibili... e di cancellare tutti
i file sospetti che non riconosci siano legittimi...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Krool
Postato in data: 14/Novembre/2008 alle 00:23
Ciao... scusa per il ritardo. Adesso cerco di rispondere al tuo post.
Purtroppo ad alcune delle tue curiosità non posso rispondere. Non sono in grado di postare il log di Combofix perché non riesco più a trovarlo, penso di averlo inavvertitamente cancellato assieme al log di hijackthis che avevo già postato, mi dispiace. Anche per quanto riguarda i files eliminati da avira non posso darti una risposta precisa (a meno che non ci sia un modo per recuperare tali informazioni, nel qual caso sarei felice di dartele). Ricordo solo che si trattava di ckvo0.dll (anche se trovato in una posizione diversa da system32) e di due altri files trovati in una cartella che purtroppo non ricordo. Mi dispiace davvero per la mia disattenzione.
La cartella QooBox l’ho eliminata come da te suggeritomi….
Ho cercato la chiave che avviava il programma in automatico che avrei dovuto eliminare ma non l’ho trovata (mi riferisco a O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe… credo che sia già stata eliminata altrimenti non saprei cosa dirti).
Ho selezionato la visualizzazione dei files nascosti e di quelli di sistema al fine di eliminare autorun.inf ma non è presente e per essere preciso ricordo che era uno dei files eliminati da combofix.
Cartella temp completamente svuotata.
Ccleaner utilizzato…
In windows\tasks non c’è niente nessuna voce sconosciuta…
La penna Usb l’avevo completamente formattata ma comunque ho fatto la scansione come da te suggeritomi e non è stato individuato nulla… neanche il file autorun.inf. Altri drivers esterni non erano stati connessi dopo che il pc era stato infettato (grazie al tuo suggerimento ho evitato di combinare altri guai) quindi penso di essere a posto da quel punto di vista.
Per quanto riguarda il ripristino configurazione di sistema ho seguito alla lettera le tue indicazioni quindi penso di essere giunto al termine.
Non so se c’è altro… fammi sapere. Ti ringrazio vivamente per tutto il tempo e l'attenzione che mi hai dedicato. Ciao!
Purtroppo ad alcune delle tue curiosità non posso rispondere. Non sono in grado di postare il log di Combofix perché non riesco più a trovarlo, penso di averlo inavvertitamente cancellato assieme al log di hijackthis che avevo già postato, mi dispiace. Anche per quanto riguarda i files eliminati da avira non posso darti una risposta precisa (a meno che non ci sia un modo per recuperare tali informazioni, nel qual caso sarei felice di dartele). Ricordo solo che si trattava di ckvo0.dll (anche se trovato in una posizione diversa da system32) e di due altri files trovati in una cartella che purtroppo non ricordo. Mi dispiace davvero per la mia disattenzione.
La cartella QooBox l’ho eliminata come da te suggeritomi….
Ho cercato la chiave che avviava il programma in automatico che avrei dovuto eliminare ma non l’ho trovata (mi riferisco a O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe… credo che sia già stata eliminata altrimenti non saprei cosa dirti).
Ho selezionato la visualizzazione dei files nascosti e di quelli di sistema al fine di eliminare autorun.inf ma non è presente e per essere preciso ricordo che era uno dei files eliminati da combofix.
Cartella temp completamente svuotata.
Ccleaner utilizzato…
In windows\tasks non c’è niente nessuna voce sconosciuta…
La penna Usb l’avevo completamente formattata ma comunque ho fatto la scansione come da te suggeritomi e non è stato individuato nulla… neanche il file autorun.inf. Altri drivers esterni non erano stati connessi dopo che il pc era stato infettato (grazie al tuo suggerimento ho evitato di combinare altri guai) quindi penso di essere a posto da quel punto di vista.
Per quanto riguarda il ripristino configurazione di sistema ho seguito alla lettera le tue indicazioni quindi penso di essere giunto al termine.
Non so se c’è altro… fammi sapere. Ti ringrazio vivamente per tutto il tempo e l'attenzione che mi hai dedicato. Ciao!
Postato da: prgn
Postato in data: 14/Novembre/2008 alle 18:35
C'è la questione riguardo al file unhide.reg
Che avrebbe dovuto variare le impostazioni di registro apportate dal malware...
per rimanere nascosto...
Comunque.. se adesso riesci a variare le impostazioni sulla visualizzazione
dei file... penso che potesti non farlo...
Se tutto funziona.. e non riscontri altri problemi... possiamo chiudere la discussione..
Fammi sapere...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Che avrebbe dovuto variare le impostazioni di registro apportate dal malware...
per rimanere nascosto...
Comunque.. se adesso riesci a variare le impostazioni sulla visualizzazione
dei file... penso che potesti non farlo...
Se tutto funziona.. e non riscontri altri problemi... possiamo chiudere la discussione..
Fammi sapere...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Krool
Postato in data: 14/Novembre/2008 alle 20:10
Si.... da quando ho effettuato tutti gli interventi che mi hai suggerito non ho più avuto problemi. Se tu credi che possa evitare di effettuare l'altro intervento che mi suggerivi nell'ultimo post preferirei non farlo (se evitabile) visto che, e penso si sia ben capito, sono una frana totale e non vorrei rischiare di incasinare il pc visto che in questo periodo mi serve tantissimo. Però se pensi sia utile farlo io lo faccio visto che cerco di seguire alla lettera i tuoi suggerimenti che si sono rivelati utilissimi anche in passato. Fammi sapere... ciao!
Postato da: prgn
Postato in data: 14/Novembre/2008 alle 21:56
Non ti preoccupare.... non farlo... se tutto funziona correttamente non usare
quel file...
Se nn hai da aggiungere possiamo chiudere..
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
quel file...
Se nn hai da aggiungere possiamo chiudere..
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Krool
Postato in data: 15/Novembre/2008 alle 10:36
Non so come ringraziarti per tutto l'aiuto che mi hai dato. Ti ringrazio di cuore. Ciao e grazie ancora...
Postato da: prgn
Postato in data: 15/Novembre/2008 alle 13:38
Figurati.. felice di esserti stato d'aiuto...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />