virus che mi crea file .rar

[alessandro7]

ciao a tutti, stesso problema, vi posto il log di hijackthis. spero mi possiate dare una mano

[Chill-Out]

Quote:

Originariamente inviato da alessandro7

ciao a tutti, stesso problema, vi posto il log di hijackthis. spero mi possiate dare una mano

Se desideri fare un controllo approfondito puoi seguire la Guida alla disinfezione allegando i log prodotti tutti in un'unico post, grazie per la collaborazione.

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Se invece vuoi far solo ed esclusivamente controllare il log di HJT il Thread è questo http://www.hwupgrade.it/forum/showthread.php?t=937676

[alessandro7]

grazie, ora posto direttamente tutto li, ciao

[GiGi(CE)]

ho avuto un problema identico con emule...

mi è bastato fare la scansione con AVG antispyware per risolvere il tutto...

ora ho in quarantena 3 virus backdoor.ircbot.bci:
WinSecure.exe in system32
TEMP1.ZIP e Installer.exe in impostazionilocali/temp


ps:ho anke 2 trojan.agent.ecd
(NTSpool.exe in system32 e temp_01 in implocali)


POSSO CANCELLARLI DEFINITIVAMENTE???

[murack83pa]

Quote:

Originariamente inviato da GiGi(CE)

ho avuto un problema identico con emule...

mi è bastato fare la scansione con AVG antispyware per risolvere il tutto...

ora ho in quarantena 3 virus backdoor.ircbot.bci:
WinSecure.exe in system32
TEMP1.ZIP e Installer.exe in impostazionilocali/temp


ps:ho anke 2 trojan.agent.ecd
(NTSpool.exe in system32 e temp_01 in implocali)


POSSO CANCELLARLI DEFINITIVAMENTE???

tu che dici?

cmq, fai qualke controllo, anche una semplice scansione online con kaspersky...

[GiGi(CE)]

Quote:

Originariamente inviato da murack83pa

tu che dici?
cmq, fai qualke controllo, anche una semplice scansione online con kaspersky...

trovandomi...ho seguito alla lettera la "guida alla disinfezione"...

ho postato il log di hijack nel "suo" thread...

tra l'altro la scansione online con kaspersky non l'ho trovata, ma l'avevo fatta gia cn panda e a-squared (presi da SERVIZI DI SCANSIONE, ANTIVIRUS - ANTISPYWARE, ONLINE GRATUITA di qst forum)

ma se li tengo in quarantena in avg non è ke le altre scansioni non li riconoscono come virus visto ke sono crittografati?

[murack83pa]

Quote:

Originariamente inviato da GiGi(CE)

trovandomi...ho seguito alla lettera la "guida alla disinfezione"...

ho postato il log di hijack nel "suo" thread...

tra l'altro la scansione online con kaspersky non l'ho trovata, ma l'avevo fatta gia cn panda e a-squared (presi da SERVIZI DI SCANSIONE, ANTIVIRUS - ANTISPYWARE, ONLINE GRATUITA di qst forum)

ma se li tengo in quarantena in avg non è ke le altre scansioni non li riconoscono come virus visto ke sono crittografati?

no, cmq svuota la quarantena

ciao

[ipswich]

Quote:

Originariamente inviato da kidd

ciao a tutti! l' altro giorno ho scaricato una "cura" da un programma p2p e prima di scompattarlo e prima di aver mandato in esecuzione il file eseguibile, ho fatto la scansione del file con avast home (aggiornato all' ultima versione e con l' ultima lista virus) e non mi ha rilevato niente. il problema è che ogni volta che vado nella cartella download del programma p2p mi compaiono 1400 file con estensione .rar e ognuno di questi files ha il nome dei più popolari giochi e software. i files sono tutti della stessa dimensione (1 mega e mezzo). ho seguito la guida ma non riesco a liberarmi di sta schifezza!!

Ciao, ragazzi.
Presento in tutto e per tutto quanto citato sopra. Aggiungo che i file .rar si generano all'avvio del sistema nella directory dove vengono conservati i file messi a disposizione per gli altri utenti del progamma p2p. I file .rar sono tutti da 1,9kb e quando vengono cancellati, è presente un file senza estensione chiamato "paramore". Per piacere, consigliatemi su come agire per debellare questo fastidio! Grazie in anticipo!

[murack83pa]

Quote:

Originariamente inviato da ipswich

Ciao, ragazzi.
Presento in tutto e per tutto quanto citato sopra. Aggiungo che i file .rar si generano all'avvio del sistema nella directory dove vengono conservati i file messi a disposizione per gli altri utenti del progamma p2p. I file .rar sono tutti da 1,9kb e quando vengono cancellati, è presente un file senza estensione chiamato "paramore". Per piacere, consigliatemi su come agire per debellare questo fastidio! Grazie in anticipo!

ciao

per caso questo problema ti si è presentato dopo aver scaricato e avviato un crack con emule?

mi posti un log di hijackthis?

[ipswich]

bhè sì. volevo scaricare appunto un anti adware... quando ho aperto quel file .rar è cominciato il fastidio. Ti allego il log dell'hijackthis. ho fatto la scannerizzazione all'avvio del sistema, prima di eliminare quei file che stavano velocemente popolando la directory di condivisione del programma p2p.

[murack83pa]

scarica avenger (forse devi disattivare momentaneamente l'antivirus)
DOWNLOAD
lo scompatti in una sua cartella dedicata,
avvia avenger,
seleziona input script manually,
clicca sulla lente d'ingrandimento,
inserisci il seguente script (tutto quello che è compreso nel quote):

Quote:

Files to delete:
%UserProfile%\Impostazioni Locali\Temp\temp_01.exe
%UserProfile%\Impostazioni Locali\Temp\temp1.zip
%Windir%\system32\NTSpool.exe
%WinDir%\system32\WinSecure.exe

Registry values to delete:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Run | Windows Security Tool
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Run | NTSpool

Cliccare su done, Cliccare sul semaforo, Rispondere sì 2 volte;il pc dovrebbe riavviarsi, casomai lo riavvii manualmente

posta un nuovo log di hijackthis

[ipswich]

pauroso! dopo avere seguito le tue indicazioni all'avvio in quella directory non vi erano file che si generavano! nuovo log di hijackthis... e ancora grazie compà... dimmi se ti sembra pulito... e posso eliminare il backup.rar creato dall'avenger?

[murack83pa]

fixa queste voci:

Quote:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe

riavvia il pc e posta un nuovo log di hijackthis

[ipswich]

ecco

[murack83pa]

Quote:

Originariamente inviato da ipswich

ecco

log pulito

hai una versione nlite di windows?

sinceramente ti consiglio di cambiare antivirus, e passare ad avira antivir (è free) da www.free-av.com

cosa usi come antispyware? ti consiglio superantispyware free oppure asquared free

[ipswich]

Quote:

Originariamente inviato da murack83pa

log pulito

hai una versione nlite di windows?

sinceramente ti consiglio di cambiare antivirus, e passare ad avira antivir (è free) da www.free-av.com

cosa usi come antispyware? ti consiglio superantispyware free oppure asquared free

sì

proverò, uso l'avast ma non mi reputo molto soddisfatto

lo sai che non ti so rispondere? una volta a settimana faccio una bella pulizia con ccleaner e spybot

ti ringrazio ancora per avermi aiutato a risolvere!

[murack83pa]

Quote:

Originariamente inviato da ipswich

sì

proverò, uso l'avast ma non mi reputo molto soddisfatto

lo sai che non ti so rispondere? una volta a settimana faccio una bella pulizia con ccleaner e spybot

ti ringrazio ancora per avermi aiutato a risolvere!

di nulla

notte

[anubi85]

Ragazzi sono disperato, io ho lo stesso problema. In emule, nella cartella incoming si generano, ad ogni avvio del pc, centinaia di file .rar con nomi di vari programmi, giochi, ecc..
Ho scaricato CCleaner ed ho fatto la "pulizia"
Ho scaricato anche avenger, ma non riesco a fare nulla perchè quando incollo quello script che avete indicato all'altro utente che ha lo stesso problema, nella finestra del programma appena lo apro, e clicco su "execute" mi dice: "ivalid script" .. ed inoltre nn c'è nessuna lente e nessun semaforo da cliccare..
Aiutatemi per favore, non so come fare..
GRAZIE
Ho scaricato HiJackThis e ho fatto una scansione, questo è il log: