View Full Version : backdoor.delf.axb
beppe5646
04-05-2008, 19:45
Non riesco a debellare il suddetto file infetto...
Potrste indicarmi un antivirus che possa cancellarlo del tutto
AGV lo fa , ma ad ogni riavvio si ripresenta
grazie
Ciao beppe5646, ti consiglio di dare un occhiata alle *** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1589984), e poi segui attentamente le indicazioni riportate nella GUIDA alla DISINFEZIONE per INFETTI - obbligatoria la lettura (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ;)
Per ridurre il numero dei files da scansionare utilizza CCleaner come indicato nelle REGOLE di SEZIONE (http://www.hwupgrade.it/forum/showthread.php?t=1589984) al punto 2 della voce "Cosa fare prima di aprire un thread?"
Inoltre, tieni sempre in considerazione anche le modalità di pubblicazione dei log richiesti, per il quale ti riporto lo schema:
MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
- se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
- se superiore a 20 kb, ogni singolo log ed esclusivamente in formato txt, deve essere hostato scegliendo uno qualsiasi dei seguenti server,
http://wikisend.com/
http://fileqube.com/
http://www.mediafire.com/
http://www.zshare.net/
pubblicando quindi nella discussione il link che verrà rilasciato per il download, singolarmente per ogni log, Grazie. :)
beppe5646
04-05-2008, 20:50
Ok ti ringrazio
ho fatto e letto tuuto ciò che mi hai suggerito, però non ho trovato un thread che parli del mio problema...
cosa devo fare?
aggiungo che il malware si è installato sul mio sistem a WinXP in c:\programmi\internet explorer\iexplorer.exe
Segui le indicazioni riportate nella GUIDA alla DISINFEZIONE per INFETTI (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e comincia subito col disabilitare il ripristino di sistema.
Scarica da qui (http://www.ccleaner.com/) ccleaner ed esegui una pulizia di tutti i files temporanei in modo da velocizzare le restanti operazioni.
Poi ti consiglio di procurarti l'ultima versione di hijackthis e di effettuare una scansione; salva il log (con estensione .txt) e hostalo su uno dei server (non copiare ed incollare il log all'interno del messaggio) che ti ho indicato sopra seguendo le modalità di pubblicazione dei log.
Iniziamo così. ;)
beppe5646
04-05-2008, 21:55
http://wikisend.com/download/688554/hijackthis.log
Col ripristino di sistema disattivato, e sempre in mod provvisoria, fixa questa voce con hijackthis:
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\system32\winsyser.exe
Una volta riavviato, ripeti l'esame con hijackthis e ripostaci il log.
beppe5646
04-05-2008, 22:34
http://wikisend.com/download/688208/hijackthis.log
Riavviando non mi si visualizza più la presenza del virus:) !!
Prova a cancellarlo manualmente ora che non dovrebbe + essere attivo,
poi se pensi di essere a posto dai un'occhiata al Trattamento post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
beppe5646
04-05-2008, 22:51
Ti ringrazio , ma come faccio ad eliminarlo manualmente, nella directori di internet non c'è la voce "backdoor.delf.axb"
Spiegami un pò ...grazie
xcdegasp
05-05-2008, 00:26
Ti ringrazio , ma come faccio ad eliminarlo manualmente, nella directori di internet non c'è la voce "backdoor.delf.axb"
Spiegami un pò ...grazie
:mbe:
ovvio che non c'è quella voce essendo la denominazione ce ti ha dato un programma rivolto alla sicurezza del pc (antivirus o antispyware) e non il nome del file :)
beppe5646
05-05-2008, 07:41
:mbe:
ovvio che non c'è quella voce essendo la denominazione ce ti ha dato un programma rivolto alla sicurezza del pc (antivirus o antispyware) e non il nome del file :)
ciao
pertanto, ho lanciato ccleaner nella speranza che pulisca il registro e dopo...?
Comunque un vero Grazie a te, a Wjmat e Franz x l'aiuto che mi avete dato
ciao a tutti, Beppe
vai alla cartella C:\WINDOWS\system32 cerca e cancella il file winsyser.exe
ccleaner lo usi un paio di volta alla settimana per ripulirti da file inutili ed eventualmente dare una ripulita anche al registro
beppe5646
05-05-2008, 13:44
vai alla cartella C:\WINDOWS\system32 cerca e cancella il file winsyser.exe
ccleaner lo usi un paio di volta alla settimana per ripulirti da file inutili ed eventualmente dare una ripulita anche al registro
Ciao
In system32, il file non esiste, da una ricerca su tutta la cartella di Windows
l'ho trovato in C:\Windows\prefect con questa estensione:
Winsyser.exe-15d252a8.pf.
Debbo eliminarlo sicuramente...dammi conferma
inoltre sempre nella catella di Windows ho trovato una nuova?? cartella :
45235788142c44...... .TMP contenente il file Wisecustomcalla.dll
Mi sapresti dire cos'è e se debbo eliminarla?
Grazie ancora
la cartella C:\Windows\prefetch è buona cosa svuotarla spesso, se scarichi ATFCleaner come ti ho indicato nel trattamento te la ripulisce lui.
L'altra cartella non so cosa sia, non avendo fatto tutte le scansioni di rito non so se è infetta... in caso fai analizzare quel file su www.virustotal.com
xcdegasp
05-05-2008, 14:00
Segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)
mi sembra troppo strano che nessuno lo identifichi e comunque avevi pubblicato il solo log di HijackThis che risulta ampiamente insufficente.
beppe5646
05-05-2008, 14:14
ciao
x xcdegasp
Mi è stao solo richiesto il log di Hijackthis e dopo aver fixato il file descrittomi , all'avvio AGV non mi segnalava + la presenza di malware
Pensavo che la cosa si fosse risolta e che bisognava eliminare a mano alcuni
strascichi che il virus si era lasciato dietro.
Se ci sono altri log da inviare sono pronto, basta dirmi quali
Avevo già letto le procedure e le regole di sezione, ..non volevo disturbare + di tanto
grazie
xcdegasp
05-05-2008, 14:19
io vedo che Franz aveva già richiesto di seguire quella guida per ben due volte..
tu hai pubblicato solo quello :p
non è che devi tirare a sorte tra quei programmi elencati, devi semplicemente seguire passo passo quanto è scritto e minuziosamente applicare quanto hai letto, rispettando l'ordine cronologico :)
beppe5646
05-05-2008, 14:20
la cartella C:\Windows\prefetch è buona cosa svuotarla spesso, se scarichi ATFCleaner come ti ho indicato nel trattamento te la ripulisce lui.
L'altra cartella non so cosa sia, non avendo fatto tutte le scansioni di rito non so se è infetta... in caso fai analizzare quel file su www.virustotal.com
L' http://www.virustotal.com/it/analisis/cfe3495d504298b0aa71a9044e5b6d53ho fatto analizzare : il risultato 0/32 :confused:
Vado a rinnovare la patente , a + tardi
ciao
beppe5646
05-05-2008, 14:21
io vedo che Franz aveva già richiesto di seguire quella guida per ben due volte..
tu hai pubblicato solo quello :p
non è che devi tirare a sorte tra quei programmi elencati, devi semplicemente seguire passo passo quanto è scritto e minuziosamente applicare quanto hai letto, rispettando l'ordine cronologico :)
appena rientro mi ricollego con Franz
xcdegasp
05-05-2008, 14:24
basta che clicki sul link che ti ho dato e fai quello che c'è scritto... non serve un tutor :D
beppe5646
05-05-2008, 16:42
http://wikisend.com/download/688208/hijackthis.log
Riavviando non mi si visualizza più la presenza del virus:) !!
http://wikisend.com/download/680194/SysInspector-E2B3C1CA871443D-0http://wikisend.com/download/680182/gmer.log80505-1700.xml
http://wikisend.com/download/680182/gmer.log
f-secure : non trovato virus
prevxCSi mi da (non sono riuscito a salvare la pagina) malware
x c:\windows\system32\winsyser.exe
x c:\windows\system32\cd.exe
c'è ancora qualcosa da postare?
grazie
beppe5646
05-05-2008, 17:05
Ho fatto di nuovo la scansione con kaspersky virus removal e mi ha rimosso il virus in questione: winsyser.exe.
da un'altra scansione con prevxCSI , il virus non c'è + eed è rimasto cd.exe come falso positivo.
Pensi che sia il caso di rivedere tuttto il sistema rivedendo tutti i punti delle regole di sezione?
oppure pensi che la cosa si sia risolta? grazie
robest88
05-05-2008, 21:25
Ciao ragazzi...ho preso lo stesso trojan backdoor sabato....io ho Windows Vista ultimate edition 64 bit....per risolvere il problema (dopo aver inutilmente tentato con spybot, avg, tune up, ccleaner) ho ripristinato la configurazione di sistema a prima di essere "infettato" (il trojan chiedeva di modificare una voce nel registro e di conseguenza spybot apriva una finestra di modifica al registro col nome windows update: io facevo nega modifica e lui dopo pochi secondi mi richiedeva la stessa cosa utilizzando quantità enormi di cpu e memoria). Secondo voi sono cmq stato infettato??? Io credo di no visto che non gli ho mai dato "Consenti Modifica" nella finestra che si apriva...ammetto che la mia soluzione non è valida come quella proposta da voi ma è cmq valida???
@beppe5646
Fai controllare questo file su www.virustotal.com
c:\windows\system32\cd.exe
A fine scansione copia l'indirizzo della pagina e copialo nella discussione
robest88
05-05-2008, 21:48
Io quel file non ce l'ho!!!!
@ robest88
Purtroppo spybot ed avg non sono proprio il massimo della vita quindi io se fossi in te mi farei un check up di controllo.
Segui bene la GUIDA alla DISINFEZIONE per INFETTI (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni nell'ordine indicato.
Dato che le scansioni dovranno essere approfondite, e quindi lunghe, dai prima una bella ripulita al sistema con due semplici programmi. CCleaner e ATF Cleaner
Scarica da qui (http://www.ccleaner.com/download/builds/downloading-slim) la versione slim di CCleaner.
Installalo e lancialo -> Vai su Opzioni -> Impostazioni -> Attiva la voce Cancellazione sicura (lenta) -> Vai su Avanzate -> Togli la spunta alla voce Cancella solo file più vecchi di 48 ore -> Vai su Pulizia -> Metti la spunta su Avanzate -> Premi invio ogni volta che ti mostra l'avviso mentre si attivano automaticamente tutte le voci -> Infine clicca su Avvia pulizia
Scarica da qui (http://www.snapfiles.com/download/dlatfcleaner.html) ATF Cleaner per una velocissima pulizia complementare.
Nella prima schermata -> Select All -> Empty Selected
Se utilizzi Firefox nel menù Firefox -> Select All -> NO -> Empty Selected
Se utilizzi Opera nel menù Opera -> Select All -> NO -> Empty Selected
CARICA CORRETTAMENTE I LOG SECONDO QUESTE REGOLE
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive
Clicca su Gestisci allegati -> Sfoglia -> Carica
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Ricapitolando vogliamo in ordine:
-log HiJackThis (facoltativo)
-log A-squared
-log Prevx v.1.6
-log di un antivirus online oppure Cureit/Virit oppure Kaspersky removal tool scaricato oggi
-log Gmer
-log HiJackThis
Una volta che avrai postato i log potremmo fare delle analisi su come sei messo.
Ciao
robest88
05-05-2008, 21:53
scusa non avevo letto
@beppe5646
sorry....
robest88
05-05-2008, 21:57
ti ringrazio...entro domani sera cercero di fare tutto cio che viene richiesto però non sò se sul vista si puo togliere il punto di ripristino!!!!!
Per disattivare il Ripristino della configurazione con Windows Vista
Pannello di controllo -> Sistema Oppure click destro sull’icona Computer sul desktop
-> Protezione sistema -> togliere le spunte da tutti i dischi -> Click su Disattiva ripristino configurazione di sistema ad ogni richiesta
robest88
05-05-2008, 22:00
ho fatto..nn serve rispondere x la storia del ripristino
beppe5646
05-05-2008, 22:09
@beppe5646
Fai controllare questo file su www.virustotal.com
c:\windows\system32\cd.exe
A fine scansione copia l'indirizzo della pagina e copialo nella discussione
http://www.virustotal.com/it/analisis/8b51f50e24ef1016cfb8a07497a81a86
Ho fatto di nuovo la scansione con kaspersky virus removal e mi ha rimosso il virus in questione: winsyser.exe.
da un'altra scansione con prevxCSI , il virus non c'è + eed è rimasto cd.exe come falso positivo.
Pensi che sia il caso di rivedere tuttto il sistema rivedendo tutti i punti delle regole di sezione?
oppure pensi che la cosa si sia risolta? grazie
Ciao beppe, verifica se nella cartella System32 hai questi files:
serverso.exe
soserver.exe
Inoltre, cerca su tutto il drive di sistema se hai files del genere (tieni presente che al posto dei ? può esserci qualsiasi carattere):
10f8ac80756eb????62f6e5a26009f61.exe
15a5d7935????962e758093783fcd02e.exe
2860b3556968274cb50????9f71e3f05.exe
3800e41????9ba01e035af175aded96f.exe
574e415f????07532207ce426d90beeb.exe
7629c437809afea8????68a0a77e6781.exe
7e3????c6b2774819d5db49e9164398d.exe
de4cc0a8960a3426ad5e????ce3186b3.exe
Facci sapere, ciao. ;)
franz lo seghiamo c:\windows\system32\cd.exe ?
franz lo seghiamo c:\windows\system32\cd.exe ?
Si, sicuramente, io però lo rinominerei. ;)
da cd.exe a cd.pause e poi analizziamo il comportamento della macchina. ;)
E comunque è bastardo nell'intimo.... hai visto quanti pochi lo rilevano?
beppe5646
05-05-2008, 22:37
@ franz
Ciao
Già ieri facendo una ricerca su un sito avevo trovato il virus in questione creava questi file .exe ed ieri come adesso da una ricerca con "trova" non è emerso nulla...
Sai mica di qualche ricerca + approfondita da eseguire?
A parte quel "cd.exe" segnalato da PrevxCSI che dovrebbe essere un falso positivo, ho fatto ancora diversissime scansioni e all'apparenza sembra tutto pulito.
Se mi dai l'ok provvedo al trattamento post infezione
beppe:)
P.S anche visualizzando i files nascosti non riesco a trovare in System32 il file"cd.exe"
prima l'hai caricato su virus total...come fai a non trovarlo??
robest88
05-05-2008, 22:48
ADS Scanner mi da come risultato dello scan solo in windows:
FILE ADS Name ADS Size
C:\Windows\Cursors\arrow_n.cur NEDTA.DAT 6144
C:\
ADS Scanner mi da come risultato dello scan nei drive ntfs:
FILE ADS Name ADS Size
C:\Windows\Cursors\arrow_n.cur NEDTA.DAT 6144
C:\ProgramData\Ciberlink\PowerDVD\001.FCL 001.FCL 16384
C:\ProgramData\Ciberlink\PowerDVD\CLDShowX.ini Update.CL 2560
C:\ProgramData\Temp 05EE1EEF 487
C:\ProgramData\Temp CD060F93 104
C:\ProgramData\Temp D282699C 179
...e sempre in quest'ultima scansione mi rileva in po di file musicali.
Mi devo preoccupare o è normale??
Devo cancellare qualcosa???
(Ho lasciato la spunta su "Ignore safe ADS content").
Io provo a fare tutti i test questa sera(se ci riesco...domani devo andare a lavoro)...al massimo ci sentiamo domani sera se devi andare...cm puoi immaginare ci vuole un po di tempo per i vari scan...
beppe5646
05-05-2008, 22:50
prima l'hai caricato su virus total...come fai a non trovarlo??
Ho digitato il percorso proprioxchè non lo trovavo, ma deve pur essere da qualche parte nascosto,infatti virus total ...l'ha trovato
se vuoi ti faccio uno screenshot di una parte "C" di System 32
è normale che segnali anche delle foto o file comuni, ma selezionandoli non cancelli il file, ma solo gli ads contenuti nel file
robest88
05-05-2008, 22:53
allora non mi devo preoccupare per quello che ho trovato, lascio tutto li e proseguo con i test??
no, selezioni tutto e li cancelli (come ti ho spiegato verranno cancellati solo gli ads contenuti in quei file e non i file stessi)
ciao
beppe5646
05-05-2008, 23:26
prima l'hai caricato su virus total...come fai a non trovarlo??
http://wikisend.com/download/676190/Immaginesystem32.GIF
Dove sarà?
http://wikisend.com/download/676190/Immaginesystem32.GIF
Dove sarà?
Hai due alternative per trovarlo: la funzione cerca dal menu start oppure il comando C:\>dir *cd.exe /s dal prompt dei comandi.
In ogni caso, devi cercarlo su tutto il disco del sistema operativo; e anteponi l'asterisco al file, in questo modo: *cd.exe così che possa trovare qualsiasi file che inizia in un qualsiasi modo ma che comunque comprenda cd.exe. ;)
@robest88: forse era meglio se aprivi un trhead tutto tuo, in questo modo i post siaccavallano e rischiamo di far confusione. ;)
beppe5646
06-05-2008, 08:01
[QUOTE=Franz.;22325191]Hai due alternative per trovarlo: la funzione cerca dal menu start oppure il comando C:\>dir *cd.exe /s dal prompt dei comandi.............
QUOTE]
Ciao
Da "trova" niente--
dal prompt di dos "c:windows\system32\cd.exe" viene fuori una finestra -pubblicità di un cd musicale "Tecnic rip or die" con l'ascolto dell'audio.
Si dedude che il file cd.exe in system32 c'è ma non si riesce ad evidenziarlo.
Non dovrebbe essere "pericoloso"???
Chiedo se c'è un programmino che riesca ad eliminarlo -PrevxCSI lo vede...
un buon antivirus o antibanner potrebbe fare ciò?
Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo -> Clicca Ok -> Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma -> Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.
Files to delete:
c:windows\system32\cd.exe
beppe5646
06-05-2008, 08:18
xxxx
beppe5646
06-05-2008, 08:38
http://wikisend.com/download/671460/avenger.txt
ha funzionato? mi sa tanto di no
Non ha funzionato, poi tu da dos non hai usato il comando che ti ha scritto franz e invece che cercarlo l'hai lanciato e spero che non ti sei reinfettato...
Fai un nuovo log di prevx
Disinstalla la versione 1.9 di prevx e scarica da qui (http://wikisend.com/download/794034/runprevxcsi.exe) la 1.6 che ha l'opzione per il log
Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo -> Clicca Ok -> Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma -> Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.
Files to delete:
c:windows\system32\cd.exe
wjmat hai dimenticato uno slash.... :) questo è il comando corretto:
Files to delete:
c:\windows\system32\cd.exe
azz ho fatto copia incolla dall'unico post sbagliato.... :D
Hai due alternative per trovarlo: la funzione cerca dal menu start oppure il comando C:\>dir *cd.exe /s dal prompt dei comandi.............
Ciao
Da "trova" niente--
dal prompt di dos "c:windows\system32\cd.exe" viene fuori una finestra -pubblicità di un cd musicale "Tecnic rip or die" con l'ascolto dell'audio.
Si dedude che il file cd.exe in system32 c'è ma non si riesce ad evidenziarlo.
Non dovrebbe essere "pericoloso"???
Chiedo se c'è un programmino che riesca ad eliminarlo -PrevxCSI lo vede...
un buon antivirus o antibanner potrebbe fare ciò?
Hai fatto un casino beppe.... :doh:
hai digitato dal prompt c:windows\system32\cd.exe lanciando di fatto il programma, così adesso (se lo stesso è veramente nocivo) ti sei reinfettato nuovamente. :(
E si che per non farti sbagliare te l'avevo pure evidenziato.... :(
beppe5646
06-05-2008, 09:03
http://wikisend.com/download/671274/avenger22.txt
sembra che abbia funzionato !!!
fai una scansione con prevx come ti ho spiegato prima che ricontrolliamo se ti sei reinfettato
Si, ha funzionare ha funzionato, ora il file cd.exe non c'è più, però per buona norma (e prima di passare al 3d per migliorare le tue difese) ripeti le operazioni di verifica come se effettuassi dei controlli.
Meglio ancora, se segui la guida per infetti (che ora ha beneficiato di ulteriori aggiornamenti) così verifichiamo la pulizia del sistema in generale e non solamente nei confronti del trojan.backdoor.delf.axb ;)
beppe5646
06-05-2008, 09:22
http://wikisend.com/download/671202/ImmagineprevxCSI.GIF
sembra che sia a posto
grazie
Devo uscire, magari ci sentiamo + tardi
beppe
Se pensi di essere a posto dai un'occhiata al Trattamento post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
robest88
06-05-2008, 13:04
@ ranz
non ho aperto una discussione nuova per il semplice fatto che il problema è più o meno lo stesso di beppe...ormai direi di continuare qui....che dici?
@tutti
sono arrivato a fare lo scan con F-Secure OnLine che purtroppo non funziona dato che ho 64 bit....adesso provo kaspersky...cmq stasera vi so dire di più perchè ora devo tornare a lavoro.
ciao
xcdegasp
06-05-2008, 13:21
@ ranz
non ho aperto una discussione nuova per il semplice fatto che il problema è più o meno lo stesso di beppe...ormai direi di continuare qui....che dici?
@tutti
sono arrivato a fare lo scan con F-Secure OnLine che purtroppo non funziona dato che ho 64 bit....adesso provo kaspersky...cmq stasera vi so dire di più perchè ora devo tornare a lavoro.
ciao
preparati al bagno di sangue e di sudore allora... :(
i 64bit sono ancora particolarmente ostici per molti programmi :muro:
preparati al bagno di sangue e di sudore allora... :(
i 64bit sono ancora particolarmente ostici per molti programmi :muro:
Ecco, allora dopo gli "auguri" :D :D e la "benedizione" del nostro caro mod, allora vediamo che cosa possiamo fare, ok? ;)
E comunque, i 64bit dovrebbero complicare le cose non solo a noi, ma anche ai viursetti se non erro... :)
beppe5646
06-05-2008, 13:57
Si, ha funzionare ha funzionato, ora il file cd.exe non c'è più, però per buona norma (e prima di passare al 3d per migliorare le tue difese) ripeti le operazioni di verifica come se effettuassi dei controlli.
Meglio ancora, se segui la guida per infetti (che ora ha beneficiato di ulteriori aggiornamenti) così verifichiamo la pulizia del sistema in generale e non solamente nei confronti del trojan.backdoor.delf.axb ;)
http://wikisend.com/download/668214/gmer.log
http://wikisend.com/download/668210/hijackthis.log
http://wikisend.com/download/668198/SysInspector-E2B3C1CA871443D-080506-1236.xml
http://wikisend.com/download/668154/prevxcsi.GIF
tutti gli altri controlli sono negativi.
Posso iniziare la procedura postinfezione?
xcdegasp
06-05-2008, 13:59
non so se i 64bit siano ostici anche con i "striscianti", ma quelli che ho visto sui 64bit erano rootkit massacra balls... :muro:
robest88
06-05-2008, 17:26
ok ragazzi sono tornato...sono costretto a saltare il punto 4 della guida peche nemmeno kaspersky funziona...:cry: :cry: :cry: :cry: passo al punto 5 comunque????
xcdegasp
06-05-2008, 17:29
a forza :(
dopo segnalo quali sono incompatibili con i 64bit così agevoliamo i prossimi sfortunati su questa piattaforma :)
robest88
06-05-2008, 17:31
ok...però dimmi dove segnarli....
robest88
06-05-2008, 17:48
Se volete il log di A-Squared Free ve lo posto già....ditemi voi:confused: :confused: :confused:
robest88
06-05-2008, 18:06
@ wjmat
mi hai detto che spybot e avg non sono il massimo...dato che voi siete esperti di sicurezza rispetto a me cosa mi consigliate di free????
Quando avrai finito dai un'occhiata al Trattamento post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
Li troverai tutte le risposte ;)
http://wikisend.com/download/668214/gmer.log
http://wikisend.com/download/668210/hijackthis.log
http://wikisend.com/download/668198/SysInspector-E2B3C1CA871443D-080506-1236.xml
http://wikisend.com/download/668154/prevxcsi.GIF
tutti gli altri controlli sono negativi.
Posso iniziare la procedura postinfezione?
Penso proprio di si.... ;) ormai mi sembra ben pulito. :)
beppe5646
06-05-2008, 18:48
[QUOTE=Franz.;22335200]Penso proprio di si.... ;) ormai mi sembra ben pulito. :)[/QUOTE
A te Franz e a Wjmat un "Grazie"
Senza di voi un bel formattone sarebbe stata la mia unica soluzione, mi avete evitato tante ore di lavoro.
Beppe
A te Franz e a Wjmat un "Grazie"
Senza di voi un bel formattone sarebbe stata la mia unica soluzione, mi avete evitato tante ore di lavoro.
Beppe
Se non ci fossimo stati noi ce ne sarebbero stati altri beppe, ;) è pieno di gente in gamba qui, anche più di noi. ;)
Ringrazia il forum stesso. :)
prima di ringraziare aspetta di vedere la fattura......:D :D :D :D :D :D :D
robest88
06-05-2008, 20:15
ragazzi sono arrivato a gmer...tra fra un po vi darò i risultati...ma come faccio ad upparli????
ragazzi sono arrivato a gmer...tra fra un po vi darò i risultati...ma come faccio ad upparli????
E' scritto nelle REGOLE di SEZIONE (http://www.hwupgrade.it/forum/showthread.php?t=1589984) ;)
E comunque:
MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
- se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
- se superiore a 20 kb, ogni singolo log ed esclusivamente in formato txt, deve essere hostato scegliendo uno qualsiasi dei seguenti server,
http://wikisend.com/
http://fileqube.com/
http://www.mediafire.com/
http://www.zshare.net/
pubblicando quindi nella discussione il link che verrà rilasciato per il download, singolarmente per ogni log.
robest88
06-05-2008, 20:43
Ecco i risultati...
robest88
06-05-2008, 20:48
http://wikisend.com/download/662608/DrWeb.csv
http://wikisend.com/download/662524/gmer.log
http://wikisend.com/download/662522/hijackthis.log
http://wikisend.com/download/662424/SysInspector-PC-ROBERTO-080506-2058.xml
http://csia0.prevx.com/individualcsiresultsplus.asp?ano=179102138&LICVERIFIER=27249DE7-3C5B-4EAA-A8BA-00D9F54C7765&Opt=S&AGENTPROFILE=CSIPLUS&CMD=LSR
Spero sia tutto
robest88
06-05-2008, 20:54
cmq nella guida dice:
"
a default le impostazioni sono già corrette basta premere "scan" e attendere che si apra un nuovo documento di testo con il log generato per salvarlo nel proprio pc e postarlo nel thread, segnarsi le eventuali voci scritte a rosso nel log all'interno della finestra di Gmer e indicarle nel thread.
A me non è comparsa nessuna finestra ne scritte in rosso all fine dello scan...presumo che sia andato tutto bene ma per sicurezza vi avverto...
xcdegasp
06-05-2008, 22:22
ok...però dimmi dove segnarli....
sempre qui nel thread :)
xcdegasp
06-05-2008, 22:27
dal log di a-squared:
C:\Program Files (x86)\Hard Disk Sentinel\Vista_Status.icd rilevati: Trojan-Downloader.Win32.Banload.eiw
C:\Program Files (x86)\Hard Disk Sentinel\Vista_Statusb.icd rilevati: Trojan-Downloader.Win32.Banload.eiw
C:\Program Files (x86)\Hard Disk Sentinel\Vista_Statusg.icd rilevati: Trojan-Downloader.Win32.Banload.eiw
C:\Program Files (x86)\Hard Disk Sentinel\Vista_Statusn.icd rilevati: Trojan-Downloader.Win32.Banload.eiw
C:\Program Files (x86)\Hard Disk Sentinel\Vista_Statusw.icd rilevati: Trojan-Downloader.Win32.Banload.eiw
C:\Windows\System32\awttqppN.dll rilevati: Adware.Win32.Virtumonde.qpf
C:\Windows\System32\cbXOFVpn.dll rilevati: Adware.Win32.Virtumonde.qpf
C:\Windows\System32\ddcArPHy.dll rilevati: Adware.Win32.Virtumonde.qpf
C:\Windows\System32\mlJyvutR.dll rilevati: Adware.Win32.Virtumonde.qpf
C:\Windows\System32\pmnoMgDs.dll rilevati: Adware.Win32.Virtumonde.qpf
C:\Windows\SysWOW64\awttqppN.dll rilevati: Adware.Win32.Virtumonde.qpf
C:\Windows\SysWOW64\cbXOFVpn.dll rilevati: Adware.Win32.Virtumonde.qpf
C:\Windows\SysWOW64\ddcArPHy.dll rilevati: Adware.Win32.Virtumonde.qpf
C:\Windows\SysWOW64\mlJyvutR.dll rilevati: Adware.Win32.Virtumonde.qpf
C:\Windows\SysWOW64\pmnoMgDs.dll rilevati: Adware.Win32.Virtumonde.qpf
D:\Programmi\Applicazioni\UltraISO Premium Edition V9.1.2 Build 2465\Keygen.exe rilevati: Adware.Win32.Virtumonde.qer
D:\Programmi\SDFix.exe/Process.exe rilevati: Riskware.RiskTool.Win32.Processor.20
D:\System Volume Information\_restore{AC86D5F6-E376-4C11-9889-E3A7BD3AE20E}\RP362\A0267726.exe rilevati: Backdoor.Win32.Iroffer.b
spero tu abbia messo tutti gli oggetti in quarantena!!
Hai il Vundo :muro: evuoi sapere una notizia terribile? i tool disponibili per il vundo non sono compatibili con i 64bit... vojo morì!! :cry: :cry:
in ogni caso ci dobbiamo spsotare nell'altro thread -> http://www.hwupgrade.it/forum/showthread.php?t=1603273
quindi pubblica lì direttamente tutti i log che hai sfornato fino ad ora mettendo dichiarando che provieni da questo thread :)
x xcdegasp
compatibile vista 64 ho trovato questo
http://www.pandasecurity.com/activescan/index/
qui i requisiti
http://www.pandasecurity.com/activescan/help/#3
gli facciamo fare un giro prima di spostarlo nell'altra sezione?
xcdegasp
06-05-2008, 22:43
credo sia istruttivo comunque tenere traccia della sperimentazione 64bit :)
si può eventualmente sempre spostare i mes... :)
vabbbene, solos e fate i bravi però :O
robest88
07-05-2008, 07:56
ok ragazzi...ora sono a lavoro....stasera effettuerò i test....speriamo bene...ma da dove vedete che ho sto trojan???? comunque grazie per l'aiuto fino ad ora...piu o meno sapete dirmi se è grave e cosa fa???
Chill-Out
07-05-2008, 09:27
http://www.eset.com/threat-center/cac.php compatibile con Vista 64
robest88
07-05-2008, 17:38
Da me non funzionavano entrambi i programmi della fantastica "Guida alla disinfezione per Infetti" del punto 4 e cioè:
1)F-Secure OnLine (come già segnalato nella guida)
2)Kaspersky Virus Removal Tool (come già segnalato nella guida)
Invece Gmer mi ha aperto una finestra con indicato un errore però poi il programma funzionava tranquillamente...
robest88
07-05-2008, 17:43
Sto usando il programma postato da Chill Out (dopo userò anche l'altro!!!) e mi chiede se voglio fare uno scan delle applicazioni "unwanted" e/o un remove founds threats (tramite checkbox)...gliele faccio fare entrambe le cose, penso sia meglio visto che il trojan dobbiamo debellarlo...giusto???
Comunque consiglio di usare Explorer per questi 2 programmi adatti al Vista 64 bit perchè Firefox può dare problemi nell'installazione dei plugin/controlli...
robest88
07-05-2008, 17:52
Comunque se volete posso sempre provare i programmi della guida alla rimozione dei vundo....magari qualcuno di quelli funziona sul vista 64 bit (non credo ma è bello sperare:) :) :) )
prova con questo
http://www.pandasecurity.com/activescan/index/
o con questo
http://www.eset.com/onlinescan/index.php
robest88
07-05-2008, 20:04
eset online antivirus ha trovato 2 trojan (un crack non credo fosse quello che cercavamo) e comunque li ha eliminati (se volete faccio lo screenshot e poi lo uppo)....ora pandasecurity sta facendo la scansione...mi sembra gia meglio visto che al 23% ha trovato 35 file infetti (mi sembrano molti però!!!!!!!)...potete dirmi da dove riuscite a vedere il trojan???? è solo una curiosità (io non me intendo di log:cry: :cry: :cry:)
robest88
07-05-2008, 20:07
tra l'altro prevx csi ha trovato un'infezione (una dll) in pandasecurity con la descrizione malicious malware...:confused: :confused: :confused: :confused:
salve ragazzi ho cercato nel sito ma non riesco a trovare quello ke mi serve...sono giorni che sono infetto da un Trojan Backdoor.Win32.IRCBot.ccw che si trova in windows\system32\dllcache\iexplorer.exe...il problema è ke kaspersky non me lo cura e può solamente cancellarlo...se lo cancello faccio un macello vero???? Essendo iexplorer sarò costretto a formattare il pc??? Ke devo fare???? AIUTOOOO!!!!!:mc:
Chill-Out
08-05-2008, 10:57
salve ragazzi ho cercato nel sito ma non riesco a trovare quello ke mi serve...sono giorni che sono infetto da un Trojan Backdoor.Win32.IRCBot.ccw che si trova in windows\system32\dllcache\iexplorer.exe...il problema è ke kaspersky non me lo cura e può solamente cancellarlo...se lo cancello faccio un macello vero???? Essendo iexplorer sarò costretto a formattare il pc??? Ke devo fare???? AIUTOOOO!!!!!:mc:
Apri una nuova discussione nella Sezione Aiuto sono Infetto dopo aver seguito la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione
MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
Ogni singolo log, esclusivamente in formato txt, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download
robest88
08-05-2008, 13:05
ciao ragazzi...dopo aver fatto la scansione con i programmi da voi consigliati ho rifatto la scansione con a-squared dove sono risultati molti meno problemi:
1)perche gli altri oggetti sono in quarantena e di conseguenza non li valuta???
2)oppure perchè è stato tutto eliminato????
comunque vi allego il nuovo log....sappiatemi dire...
robest88
08-05-2008, 20:08
allora....cosa mi dite...fatemi sapere...please
Chill-Out
08-05-2008, 20:15
allora....cosa mi dite...fatemi sapere...please
Se tu avessi allegato i log delle scansioni online sarebbe stato più semplice, in ogni caso A-Squared ha trovato solo dei semplicissimo cookie, nulla di chè.
Fai una scansione con Prevv CSI ed allega il link relativo la risultato.
robest88
08-05-2008, 20:24
ora faro la scansione con prevx...
io pero ho chiesto se asquared ha trovato solo cookie perchè gli altri sono in quarantena (messi lì la prima volta che ho fatto la scansione)oppure perchè è stato tutto eliminato....io se guardo la quarantena di asquared ho ancora i file trovati nella prima scansione!!!!
comunque ti allego solo il log di pandasecurity perchè l'altro non crea log...
Chill-Out
08-05-2008, 20:29
ora faro la scansione con prevx...
io pero ho chiesto se asquared ha trovato solo cookie perchè gli altri sono in quarantena (messi lì la prima volta che ho fatto la scansione)oppure perchè è stato tutto eliminato....io se guardo la quarantena di asquared ho ancora i file trovati nella prima scansione!!!!
comunque ti allego solo il log di pandasecurity perchè l'altro non crea log...
in quarantena non possono più nuocere, potrebbero rimanere li a vita
robest88
08-05-2008, 20:32
ok ora ho capito....grazie
robest88
08-05-2008, 21:12
eccovi qui l'ultimo scan....
http://csia0.prevx.com/individualcsiresultsplus.asp?ano=179102138&LICVERIFIER=27249DE7-3C5B-4EAA-A8BA-00D9F54C7765&Opt=S&AGENTPROFILE=CSIPLUS&CMD=LSR
non ha trovato niente....
Chill-Out
08-05-2008, 21:34
eccovi qui l'ultimo scan....
http://csia0.prevx.com/individualcsiresultsplus.asp?ano=179102138&LICVERIFIER=27249DE7-3C5B-4EAA-A8BA-00D9F54C7765&Opt=S&AGENTPROFILE=CSIPLUS&CMD=LSR
non ha trovato niente....
Bene, allega un log di HijackThis e dimmi come và il PC
robest88
09-05-2008, 17:49
ti metto il link per il log di hijackthis
http://wikisend.com/download/624484/hijackthis.log
il comportamento del pc è normale a parte il fatto che firefox è crashato.
mi dice che non riesce a contattare i server anche se l'ho disinstallato e poi installato di nuovo...proverò a mettere le mani sulle impostazioni (forse si è arrabbiato per tutti gli scan che gli abbiamo fatto)...ho inoltre messo su comodo (prima avevo il firewall di vista) percui (penso che) se il trojan cerca di contattare il server backdoor dovrei riuscire a bloccarlo...forse è proprio comodo la causa dei problemi di firefox (regola sbagliata)...
inoltre vi posso dire di aver fatto uno scan con VundoFix (non ha trovato nulla) e vi dico che su Vista 64 bit funziona...
robest88
09-05-2008, 19:02
Ecco qui il log di vundofix (non ho seguito la procedura descritta nella guida, ho solo provato il programma)...comunque ho disinstallato comodo e ora firefox funziona...percui non vedo nessun problema nel pc....
Chill-Out
09-05-2008, 20:51
Esegui HijackThis clicca si Do a system scan only - metti il segno di spunta nella casella bianca a sx delle sottoindicate voci
O20 - Winlogon Notify: avgwlx64 - C:\Windows\
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
clicca su Fix checkek, al termine allega nuovo log di HijackThis
robest88
09-05-2008, 21:02
il "020" lo fixato ma l'altro non l'ho trovato, forse perchè intanto che attendevo una risposta ho cancellato panda security dal PC (forse ho fatto una c......)
comunque questo è il log nuovo
http://wikisend.com/download/620960/hijackthis.log
Chill-Out
09-05-2008, 21:04
il "020" lo fixato ma l'altro non l'ho trovato, forse perchè intanto che attendevo una risposta ho cancellato panda security dal PC (forse ho fatto una c......)
comunque questo è il log nuovo
http://wikisend.com/download/620960/hijackthis.log
OK, nessun problema a questo punto dai una letta a questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383
robest88
09-05-2008, 21:17
si l'ho gia letta....vi faccio i complimenti per la guida...cmq sempre mentre attendevo ho messo su antivir (tolto avg), reinstallato spybot (ma ora ho anche asquared), reinstallato comodo...ora sto facendo qualche altra scansione con antivir appena installato e settato con l'altra vostra magnifica guida...
questo è il risultato dello scan di antivir
http://wikisend.com/download/620740/AVSCAN-20080509-210653-67009811.LOG
ha trovato un keygen "marcio" e altre warning su spybot (i programmi di controllo sicurezza ho notato che trovano "infezioni" uno nell'altro!!!!!)
se puoi forniscimi solo un'altre 3 informazioni
1)come fai a leggere un log di hijackthis per capire che ho un vundo????
2)come fai a sapere quali voci fixare???
3)la più importante: SONO A POSTO ORA????
Chill-Out
09-05-2008, 21:29
si l'ho gia letta....vi faccio i complimenti per la guida...cmq sempre mentre attendevo ho messo su antivir (tolto avg), reinstallato spybot (ma ora ho anche asquared), reinstallato comodo...ora sto facendo qualche altra scansione con antivir appena installato e settato con l'altra vostra magnifica guida...
A Squared Free lo puoi tenere per le scansioni schedulate
questo è il risultato dello scan di antivir
http://wikisend.com/download/620740/AVSCAN-20080509-210653-67009811.LOG
ha trovato un keygen "marcio" e altre warning su spybot (i programmi di controllo sicurezza ho notato che trovano "infezioni" uno nell'altro!!!!!)
è normale
se puoi forniscimi solo un'altre 3 informazioni
1)come fai a leggere un log di hijackthis per capire che ho un vundo????
2)come fai a sapere quali voci fixare???
Leggi qui:
http://www.hwupgrade.it/forum/showthread.php?t=937676
il resto un pochino di esperienza
3)la più importante: SONO A POSTO ORA????
Sembrerebbe di si, ma Vista 64 è una vera maledizione
robest88
09-05-2008, 21:37
se avro l'occasione il prima possibile passerò a vista 32...credo che per queste cose sia molto meglio...cmq vi ringrazio tantissimo del tempo e dell'aiuto datomi da te e dagli altri....grazie ancora
Chill-Out
09-05-2008, 22:16
Prego ;)
xcdegasp
15-05-2008, 14:35
sono rientrato oggi perchè mercoledì mattina ho fatto un incidente in bici mentre andavo in ufficio..
mi è dispiaciuto non partecipare ulteriormente in questo thread ma solo felice che abbiate risolto :)
per Vista 64bit è essenziale usare sempre account ultralimitato e tutte le protezioni ben attive :)
x xcdegasp
trova nella guida un buco per dirottare i "fortunati" del volo vista64 su
http://www.pandasecurity.com/activescan/index/
http://www.eset.com/onlinescan/index.php
;)
xcdegasp
15-05-2008, 16:27
activescan mi da url non trovata, inserisco quello di eset :)
ho provato ora e funziona....
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.