[win XP] TR/Qhost.AA - Pagina 2

murack83pa · 21-01-2008, 23:19

Quote:

Originariamente inviato da juninho85

più che altro deve sperare di aver selezionato "Quantine before action" considerato che "Action performed: Delete file"

nn avevo visto il log....ero fermo al tuo post

PISOLOMAU · 21-01-2008, 23:25

lascheda quarantine nel pannello di controllo non c'è

La prima volta che ho rilevato l'ho messo in quarantena come è impostato di default avira, la seconda volta l'ho cancellato

juninho85 · 21-01-2008, 23:26

e 'nnamo

PISOLOMAU · 21-01-2008, 23:37

Quote:

Originariamente inviato da juninho85

e 'nnamo

li ho trovati stanno qua

C:\Documents and Settings\All Users\Dati applicazioni\AntiVir PersonalEdition Classic\INFECTED

appena finisco il Virus total scan vi posto il risultato

PISOLOMAU · 21-01-2008, 23:44

questo è il primo

era relativo al TR/QHOST:AA

juninho85 · 21-01-2008, 23:46

prova a ripristinare il file originale dalla quarantena e fai analizzare quello

murack83pa · 21-01-2008, 23:47

io ti suggerisco di fare una scansione online con bitdefender(l'unica che permette anche di rimuovere i virus,insieme a f-secure):
http://www.bitdefender.com/scan8/ie.html

PISOLOMAU · 21-01-2008, 23:56

Quote:

Originariamente inviato da murack83pa

io ti suggerisco di fare una scansione online con bitdefender(l'unica che permette anche di rimuovere i virus,insieme a f-secure):
http://www.bitdefender.com/scan8/ie.html

in effetti dal Virus total scan solo il Bit defender rileva il trojan. Adesso è partita la scansione online...sarà lunga

Intanto non so come ringraziarvi siete veramente impagabili e unici...meravigliosi angeli custodi

grazie e spero di risolvere se non riesco mi rifaccio sentire qua...

xcdegasp · 22-01-2008, 00:33

io non ho ancora i dati sufficenti per classificarlo come malevolo oltretutto non so ancora che oggetto sia

per esempio di virustotal hai opportunamente tralasciato le frasi che riportavano nome e codice md5 e sha1 quindi poter fare una stima è ancora più difficile..

ad occhio se lo rileva solo bit-defender è un falso positivo ma sarei curioso di avere più dati in mano

PISOLOMAU · 22-01-2008, 00:41

Quote:

Originariamente inviato da xcdegasp

io non ho ancora i dati sufficenti per classificarlo come malevolo oltretutto non so ancora che oggetto sia

per esempio di virustotal hai opportunamente tralasciato le frasi che riportavano nome e codice md5 e sha1 quindi poter fare una stima è ancora più difficile..

ad occhio se lo rileva solo bit-defender è un falso positivo ma sarei curioso di avere più dati in mano

eccolo

Riverside · 22-01-2008, 00:51

Screenshot ricavato da cosa?.

PISOLOMAU · 22-01-2008, 00:56

Quote:

Originariamente inviato da Riverside

Screenshot ricavato da cosa?.

dal Virus total scan

http://www.virustotal.com/it/analisi...068dbe8efd6e75

è il dato che mi ha chiesto xcdegasp

Riverside · 22-01-2008, 01:07

Secondo me è una variante di Trojan.ByteVerify

Disabilita il Ripristino configurazione di sistema procedendo in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve rimanere disabilitato fino a quando non sarà risolto il problema esposto

Svuota il contenuto della cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows
● aprila ed, al suo interno, cerca la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno
mi raccomando, non eliminare la cartella

svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

Ripeti una scansione con l'antivirus e dimmi se viene ancora rilevato.

Già che ci sei, allega, anche, una copia del file host.

PISOLOMAU · 22-01-2008, 01:18

Quote:

Originariamente inviato da Riverside

Già che ci sei, allega, anche, una copia del file host.

mi spieghi questa?

lancetta · 22-01-2008, 01:23

Quote:

Originariamente inviato da PISOLOMAU

mi spieghi questa?

con file e cartelle nascosti visualizzati vai in C:\WINDOWS\system32\drivers\etc\ e cerca hosts lo apri con il blocco note e alleghi qui il contenuto

PISOLOMAU · 22-01-2008, 01:28

Quote:

Originariamente inviato da lancetta

con file e cartelle nascosti visualizzati vai in C:\WINDOWS\system32\drivers\etc\ e cerca hosts lo apri con il blocco note e alleghi qui il contenuto

ok

eccolo

lancetta · 22-01-2008, 02:08

serve assolutamente un log di hijackthis con più applicazioni possibili chiuse(msn,emule,bit torrent,word,wmplayer ecc..) scaricalo da QUI LINK è stand alone (senza installazione)mettilo in una sua cartella dedicata, lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati,li alleghi nel prossimo post

un altra cosa..hai messenger plus per caso?

PISOLOMAU · 22-01-2008, 06:18

Quote:

Originariamente inviato da lancetta

serve assolutamente un log di hijackthis con più applicazioni possibili chiuse(msn,emule,bit torrent,word,wmplayer ecc..) scaricalo da QUI LINK è stand alone (senza installazione)mettilo in una sua cartella dedicata, lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati,li alleghi nel prossimo post

un altra cosa..hai messenger plus per caso?

ecco il file, si ho messenger plus installato

durante l'esecuzione di hijackthis, mi si apre anche la schermata di avira che mi informa del virus

All'avvio del PC le schermate di Avira sono queste, in successione da sin verso dex.

PISOLOMAU · 22-01-2008, 08:39

allego anche il report di bitdefender

trova questo infected file che non riesce ad eliminare

C:\WINDOWS\wthsvc.exe

Infected with: Backdoor.IRCBot.ABHQ

C:\WINDOWS\wthsvc.exe

Disinfection failed

C:\WINDOWS\wthsvc.exe

Delete failed

juninho85 · 22-01-2008, 08:44

Quote:

Originariamente inviato da PISOLOMAU

ok

eccolo

si tratta del file host presente ora oppure di quello ripristinato dalla quarantena di avira?

21-01-2008, 23:25	#22
PISOLOMAU Senior Member Iscritto dal: Apr 2005 Città: Bergamo Messaggi: 1682	lascheda quarantine nel pannello di controllo non c'è La prima volta che ho rilevato l'ho messo in quarantena come è impostato di default avira, la seconda volta l'ho cancellato __________________ Il mio Portfolio Mac iMac 27" 5K late 2015 - i5 3,2 GHz, SSD 256 Gb, 32 Gb Ram, AMD Radeon R9 M390 PC: Case Midi Tower Fractal Design Define R5 - Gigabyte GA-Z97X-UD3H - VGA ASUS STRIX-GTX750TI-OC-2GD5 nVidia GTX 750 TI - Seasonic G-550 550W 80+ Gold - RAM DDR3 GSkill ARES F3-2400C11D-2400MHz 16GB CL11 XMP - SSD Samsung 850 PRO 256GB - SSD Crucial MX200 250GB - HGST NAS 3TB 64MB 7200RPM - CPU Intel Core i7-4790k - Dissipatore CPU Noctua NH-U12S - Wireless Edimax EW-7612PIn V2

21-01-2008, 23:44	#25
PISOLOMAU Senior Member Iscritto dal: Apr 2005 Città: Bergamo Messaggi: 1682	questo è il primo era relativo al TR/QHOST:AA __________________ Il mio Portfolio Mac iMac 27" 5K late 2015 - i5 3,2 GHz, SSD 256 Gb, 32 Gb Ram, AMD Radeon R9 M390 PC: Case Midi Tower Fractal Design Define R5 - Gigabyte GA-Z97X-UD3H - VGA ASUS STRIX-GTX750TI-OC-2GD5 nVidia GTX 750 TI - Seasonic G-550 550W 80+ Gold - RAM DDR3 GSkill ARES F3-2400C11D-2400MHz 16GB CL11 XMP - SSD Samsung 850 PRO 256GB - SSD Crucial MX200 250GB - HGST NAS 3TB 64MB 7200RPM - CPU Intel Core i7-4790k - Dissipatore CPU Noctua NH-U12S - Wireless Edimax EW-7612PIn V2

22-01-2008, 00:33	#29
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	io non ho ancora i dati sufficenti per classificarlo come malevolo oltretutto non so ancora che oggetto sia per esempio di virustotal hai opportunamente tralasciato le frasi che riportavano nome e codice md5 e sha1 quindi poter fare una stima è ancora più difficile.. ad occhio se lo rileva solo bit-defender è un falso positivo ma sarei curioso di avere più dati in mano __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

22-01-2008, 01:07	#33
Riverside Bannato Iscritto dal: Jul 2007 Città: Riverside House Messaggi: 3333	Secondo me è una variante di Trojan.ByteVerify Disabilita il Ripristino configurazione di sistema procedendo in questa maniera: ● tasto destro del mouse sull'icona Risorse del Computer ● seleziona la voce Proprietà ● apri la scheda Ripristino configurazione di Sistema ● spunta la voce Disattiva ripristino configurazione di sistema ● conferma, la modifica, con Applica e, poi Ok Il Ripristino configurazione di sistema deve rimanere disabilitato fino a quando non sarà risolto il problema esposto Svuota il contenuto della cartella Prefetch procedendo in questa maniera: ● clicca su Risorse del Computer ● clicca su Disco locale C: ● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows ● aprila ed, al suo interno, cerca la cartella Prefetch ● aprila ed elimina tutte le voci conservate al suo interno mi raccomando, non eliminare la cartella svuota la cache di JAVASUN: ● Start ● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica) ● clicca sulla icona Java per accedere al Pannello di controllo ● clicca sulla scheda Generale ● vai all'ultima sezione File temporanei Internet ● clicca sul pulsante Impostazioni ● clicca sul pulsante Elimina file e poi conferma con OK Ripeti una scansione con l'antivirus e dimmi se viene ancora rilevato. Già che ci sei, allega, anche, una copia del file host. Ultima modifica di Riverside : 22-01-2008 alle 01:11.

22-01-2008, 02:08	#37
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	serve assolutamente un log di hijackthis con più applicazioni possibili chiuse(msn,emule,bit torrent,word,wmplayer ecc..) scaricalo da QUI LINK è stand alone (senza installazione)mettilo in una sua cartella dedicata, lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati,li alleghi nel prossimo post un altra cosa..hai messenger plus per caso? __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...

21-01-2008, 23:26	#23
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28983	e 'nnamo

21-01-2008, 23:46	#26
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28983	prova a ripristinare il file originale dalla quarantena e fai analizzare quello

21-01-2008, 23:47	#27
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	io ti suggerisco di fare una scansione online con bitdefender(l'unica che permette anche di rimuovere i virus,insieme a f-secure): http://www.bitdefender.com/scan8/ie.html

22-01-2008, 00:51	#31
Riverside Bannato Iscritto dal: Jul 2007 Città: Riverside House Messaggi: 3333	Screenshot ricavato da cosa?.

Strumenti
Mostra una versione stampabile Invia questa pagina per email