[win XP] utente molto scarso vs TROJAN.DOS.WIN32.OPDOS+W32.MALWARE.GE+GENERIC.MALWARE

[hgbav]

entra.exe lìho ri cercato anche ora, l'avevo gia' fatto, ed anche ora non me lo trova, sono andato piu' volte nella directory in cui e' segnalato dal log, ma mi risulta vuota, ma, e questo un minimo mi evita la paranoia, LA DIRECTORY CHE MI APPARE VUOTA ANCHE SELEZIONANDO LA VISUALIZZAZIONE DEI FILE NASCOSTI HA, selezionando proprietà, UNA DIMENSIONE DI 942 KB con dentro ben 25 file e 21 cartelle!!! cosa faccio? resetto tutto? Allego anche log di A-SQUARED che dimostra che non ho le traveggole.

Sto finendo una ulteriore scansione con avir dopo suo agfgiornamento, poi ti mandero' log di combo, anche se non capisco cosa ti serva, non dovrebbe essere uguale al precedente?

La seconda cosa che mi chiedi di fare: se ho ben capito dovrei connettermi al sito e controllare il file segnalato, il problema e' CHE ANCHE QUEL FILE NON LO VEDO, COME GLI ALTRI!!! porca paletta.

[Chill-Out]

Se ti chiedo un nuovo log di Combo un motivo ci sarà
Oltre ad abilitare la visualizzazione dei file nascosti togli il segno di spunta da Nascondi i file protetti di sistema e da Nascondi le estensioni per i tipi di file conoscuiti

[hgbav]

sto solo cercando di capire, se possibile vorrei avere la canna e non il pesce...

comunque ti allego il nuovo report del combo, pendo dalle tue labbra...

ho controllato, solo il check delle estensioni non era selezionato, ma anche attivandono non vedo nulla nella dir incriminata.

grazie

[Chill-Out]

Apri il Blocco Note copia e incolla queste righe:

Quote:

File::
C:\Documents and Settings\Giuliano\Desktop\wininit.sys
C:\WINDOWS\system32\EDDB18F4EE.sys

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Quote:

se possibile vorrei avere la canna e non il pesce...

a cosa ti rifersici

[hgbav]

parto dal fondo, canna = pescare, pesce = mangiare una volta, mi piacerebbe capire di + per rendermi + autonomo, non vi erano altri significati ovviamente.

faccio quanto indicato e ti faccio sapere, grazie

[hgbav]

se trascino lo script sopra combofix questo mi fa apparire il messaggio, in spagnolo, che lo script non è scritto in maniera corretta. cosa posso fare? i file citati ti confermo che non riesco a vederli se li cerco, puo' essere questo?

cari chill e lancetta, scusate per la proposta, ma vi sto facendo perdere molto tempo e me ne dispiace, vorrei essere molto pragmatico,
1) se ritiro fuori il bobcat dal garage e:
- cancello tutta la directory downloaded file in cui figurerebbero 21 file che non vedo
- in qualche maniera cancello tutto quanto si trova sul desktop in cui ci sarebbe l'altro file che non vedo, magari dietro vostro consiglio su come fare
faccio molti danni?

2) in alternativa all'uso del bobcat, se invece non faccio nulla ho ancora qualcosa di pericoloso dentro o si tratta solo di pezzi di coda o zampe della bestia da sole non utilizzabili?

3) potrei anche pensare di resettare tutto, in fondo devo sistemare il piccolo problemino sul sw non originale, mi dispiace perdere tutte le impostazioni ed il lavoro svolto, ma vorrei veramente uscire da sto' tunnel

so che si tratta di proposte un poco strampalate, ma ne vorrei veramente uscire per iniziare ad utilizzare il vostro ed il mio tempo in maniera piu' proficua

grazie per la cortese e solità disponibilità

hgbav (giuliano)

[Chill-Out]

Quote:

se trascino lo script sopra combofix questo mi fa apparire il messaggio, in spagnolo, che lo script non è scritto in maniera corretta. cosa posso fare?

sinceramente non lo sò è la prima volta che mi capita, hai ricontrollato i passaggi indicati?

Per il resto decidi tu.

[Nuz]

Commento rimosso, intanto mi leggo le varie pagine così evito di scrivere domande inutili.

[Nuz]

E' molto strano che Avenger abbia segato solo due entra.exe.
Riprovare con un altro script dite che è una perdita di tempo?
Si può provare a rimuoverli alla vecchia maniera col dos. Scarica questo file estrailo sul desktop ed eseguilo.

http://www.fileup.itadib.com/downloa...ZZ3aA1toy2V58z

[hgbav]

Quote:

Originariamente inviato da Chill-Out

sinceramente non lo sò è la prima volta che mi capita, hai ricontrollato i passaggi indicati?

Per il resto decidi tu.

ok, messaggio recepito, ma,per favore, dimmi solo una ultima cosa, è quantomeno normale o comunque non strano che io possa rilevare file che poi non vedo andando nelle directory? questo mi piacerebbe saperlo, per il resto probabilmente provero' a cancellare la directory in cui si trovano i file sospetti e a ricostituirla uguale, non appena provato anche lo script dell'uomo mascherato (fai cross, e su questo abbiamo qualcosa di cui parlare, o è solo una maschera?) qui sopra ed a meno di altri consigli nel frattempo arrivati

a'v salut (in romagnolo, vi saluto)

un utente sempre molto scarso, meno proccupato del passato, ma ancora senza canna...

[Nuz]

Quote:

Originariamente inviato da hgbav

..... lo script dell'uomo mascherato (fai cross, e su questo abbiamo qualcosa di cui parlare, o è solo una maschera?) ....

La persona dell'avatar è The Stig e non ha niente a che fare con il cross.

[Chill-Out]

Quote:

è quantomeno normale o comunque non strano che io possa rilevare file che poi non vedo andando nelle directory?

per come la vedo io IMHO non è normale

ai provato a reinserire lo script indicato qui: http://www.hwupgrade.it/forum/showpo...5&postcount=64

at salut

[lancetta]

ciao Giuliano...non'è raccomandabile cancellare directory onde evitare danni (almeno non credo di aver capito bene cosa tu voglia fare)..ci vuole pazienza..vediamo con lo zip dell'uomo mascherato (ciao nuz) che succede poi se mi posti un nuovo log di combofix..vediamo di risolverla

[hgbav]

ciao luce in fondo al tunnel,
seguiro' consiglio, confido in uomo mascherato e ti faccio riavere stasera i log, pero' per favore dammi uno straccio di risposta sul perche' non vedo i file che dovrei eliminare, mi sembra, passami il parallelo, di essere il personaggio del processo di KAFKA, mi passano tante cose sulla testa e non ne capisco il significato, almeno qualcuna vorrei capirla, magari riesco ad essere anche piu' utile e non solo uno "spacca maroni" che non sempre riesce a fare quello che gli si chiede ...

e l'indirizzo?

[lancetta]

Quote:

Originariamente inviato da hgbav

ciao luce in fondo al tunnel,
seguiro' consiglio, confido in uomo mascherato e ti faccio riavere stasera i log, pero' per favore dammi uno straccio di risposta sul perche' non vedo i file che dovrei eliminare, mi sembra, passami il parallelo, di essere il personaggio del processo di KAFKA, mi passano tante cose sulla testa e non ne capisco il significato, almeno qualcuna vorrei capirla, magari riesco ad essere anche piu' utile e non solo uno "spacca maroni" che non sempre riesce a fare quello che gli si chiede ...

e l'indirizzo?

effettivamente la cosa è un pò kafkiana dai tranquillo....
le spiegazioni sono 2...o c'è qualche passaggio che salti (non me ne volere però da qui e tu lì..cerca di capire )

oppure sono criptati e nel tuo pc non è spuntata la visualizzazione di tali file...cosa che vedremo in seguito

ora Scarica questo toolCombofix
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.
facci sapere dopo naturalmente il comando che ti ha inviato Nuz

Ciao

[hgbav]

ok
per è e' gia piu' di uno straccio di risposta
circa le cause puo' essere vero anche un mio errore, anche se ho rifatto il giro + volte, forse una possibile causa potrebbe essere nel non usare il pc mentre gira script, questa indicazione non sono sicura di averla sempre rispettata, comunque ora ci presto attenzione, eseguo e poi ti faccio sapere.
a presto

giuliano

[Nuz]

Un altro modo per vedere quei file e (forse) rimuoverli è quello di usare WinRar come fosse esplora risorse fino alla cartella C:\Windows\Downloaded....

L'ho provato da me e funziona.

[hgbav]

caro nuz,
lancetta e chill-out ormai l'hanno capito, ma tu sei "giovane", io sono moooolto scarso, per cui dovresti essere così gentile da scrivere come se stessi parlando ad un bambino di due anni, vedi ultimo post di lancetta, in questa maniera riesco a seguirti e a fare tutto, comunque ricapitolando,
1) prima seguo le indicazioni del tuo primo post
2) poi seguo le indicazioni di lancetta

l'ultimo suggerimento, eventualmente tradotto, lo faccio come punto 0 o come punto 3?

grazie

p.s.: mi sembra di essere un malato terminale al cui cospetto vari dottori si alternano per cercare di salvarlo, da un lato e' quasi divertente, ma mi rendo conto che deve essere snervante, abbiate tanta pazienza...

[lancetta]

Quote:

Originariamente inviato da Nuz

Un altro modo per vedere quei file e (forse) rimuoverli è quello di usare WinRar come fosse esplora risorse fino alla cartella C:\Windows\Downloaded....

L'ho provato da me e funziona.

Nuz ..credo ti faccia vedere solo i file e cartelle nascosti..non sò se anche i criptati...però è identico al comportamento di sandboxie quando esplori le risorse del pc..penso che ci tornerà utile nel futuro...

Quote:

Originariamente inviato da hgbav

caro nuz,
lancetta e chill-out ormai l'hanno capito, ma tu sei "giovane", io sono moooolto scarso, per cui dovresti essere così gentile da scrivere come se stessi parlando ad un bambino di due anni, vedi ultimo post di lancetta, in questa maniera riesco a seguirti e a fare tutto, comunque ricapitolando,
1) prima seguo le indicazioni del tuo primo post
2) poi seguo le indicazioni di lancetta

l'ultimo suggerimento, eventualmente tradotto, lo faccio come punto 0 o come punto 3?

grazie

p.s.: mi sembra di essere un malato terminale al cui cospetto vari dottori si alternano per cercare di salvarlo, da un lato e' quasi divertente, ma mi rendo conto che deve essere snervante, abbiate tanta pazienza...

comincia col 1 eppoi 2 ......tranquillo eventualmente vedremo quest'altra situazione in seguito.....

[Chill-Out]

Saresti così gentile da dirmi se lo script da inserire in ComboFix indicato qui http://www.hwupgrade.it/forum/showpo...5&postcount=64 và ancora in errore

Edit: ti chiedo un'altra cosa, solo un controllo clicca su Start - Esegui - digita Regedit - si apre l'Editor del Registro di sistema, naviga fino alla seguente chiave di registro HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
la selezione e mi indichi quali sono i valori contenuti nel pannelo di dx
Thanks