[INFO] Nuova infezione ancora senza nome... - Pagina 5

Bugs Bunny · 18-11-2007, 21:59

è quello vecchio.

dimoraptor · 18-11-2007, 22:04

azz!!! Come faccio a risalvare il rapporto?

Bugs Bunny · 18-11-2007, 22:04

usi di nuovo avenger.

juninho85 · 18-11-2007, 22:05

per me l'infezione nn è soltanto una...sembrerebbe tipo gromozon+win dialer 1060

Nuz · 18-11-2007, 22:05

Allega anche un log di HiJackThis.

Bugs Bunny · 18-11-2007, 22:08

vediamo subito se è rimasto qualcosa di gromozon...
abilita la visualizzazione di files e cartelle nascosti e di sistema e vai in c:\Documents and settings

guarda se ci sono delle cartelle con nomi formati da lettere in ordine casuale(es: HGigUPbnYpYTSdggbIG)

dimoraptor · 18-11-2007, 22:14

x risalvare il rapporto cosa devo scrivere al posto di: Files to Delete........ ??

Allora: qua c'è il log hijackthis.log - 0.01MB

Bugs Bunny · 18-11-2007, 22:15

rifai esattamente quello che hai fatto prima. incolli esattamente quello che hai messo prima

Bugs Bunny · 18-11-2007, 22:17

il log di hijackthis non va per niente bene... c'è qualcosa che non è stato trovato...

Fai così:

abilita la visualizzazione di files e cartelle nascosti e di sistema e vai in c:\Documents and settings

guarda se ci sono delle cartelle con nomi formati da lettere in ordine casuale(es: HGigUPbnYpYTSdggbIG)

dimoraptor · 18-11-2007, 22:18

ok dovrete aspettare un po xkè ora ke mi si riavvia il pc...........

In Document and settings non c'è niente a parte alcuni fle strani formato .tmp

Devo guardare pure nellesottocartelle?

Bugs Bunny · 18-11-2007, 22:19

io ti ho detto di guardare le cartelle non i files

dimoraptor · 18-11-2007, 22:24

cartelle tutto normale:
-"mio nome"
-Administrator
-All Users
-All Users.WINDOWS
-Amministratore
-Default User.WINDOWS

tutto ok, no?ora riavvio

edit: ecco il rapporto avenger

**Chill-Out** · 18-11-2007, 22:42

Da fixare
O4 - HKLM\..\Run: [9456afe4] rundll32.exe "C:\WINDOWS\system32\spdhrbpq.dll",b
O17 - HKLM\System\CCS\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166
O17 - HKLM\System\CS1\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166

nel post successivo allega un nuovo log di HJT

Nuz · 18-11-2007, 22:43

Le avevi fixate queste due?

O17 - HKLM\System\CCS\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166
O17 - HKLM\System\CS1\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166

Comunque ripeti l'operazione e subito dopo proviamo con questo tool:

Fixwareout

Lo lanci e ti chiede di installarlo. Alla fine lo esegui e accetta quello che ti chiede. Alla fine si dovrebbe aprire hijackthis con cui fai un nuovo log. Inoltre in C:\fixwareot\ trovi il report.txt che devi allegare.
Siccome agirà sui DNS alla fine riavvia e fai:

Pannello di controllo -->Connessioni di rete.
Clicca col tasto destro sulla connessione di rete.
Poi su proprietà.
Ora nella nuova finestra vai su Protocollo Internet (TCP/IP)
Clicca su Proprietà. Si apre un'altra finestra.
Seleziona Ottieni DNS Automaticamente.

P.S.

Quote:

FixWareout: Designed to repair the symptoms caused by Wareout, whose main objective is to hijack the DNS system to redirect our search Internet sites predetermined by this infection.

dimoraptor · 18-11-2007, 22:50

Quote:

Originariamente inviato da Nuz

Le avevi fixate queste due?

O17 - HKLM\System\CCS\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166
O17 - HKLM\System\CS1\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166

Comunque ripeti l'operazione e subito dopo proviamo con questo tool:

Fixwareout

Lo lanci e ti chiede di installarlo. Alla fine lo esegui e accetta quello che ti chiede. Alla fine si dovrebbe aprire hijackthis con cui fai un nuovo log. Inoltre in C:\fixwareot\ trovi il report.txt che devi allegare.
Siccome agirà sui DNS alla fine riavvia e fai:

Pannello di controllo -->Connessioni di rete.
Clicca col tasto destro sulla connessione di rete.
Poi su proprietà.
Ora nella nuova finestra vai su Protocollo Internet (TCP/IP)
Clicca su Proprietà. TSi apre un'altra finestra.
Seleziona Ottieni DNS Automaticamente.

li avevo già fixati! Li ho rifixati
il link mi apre una finestrella, faccio salva file, ma poi non succede nulla... riprovo ancora..............ora va........

dimoraptor · 18-11-2007, 23:18

ecco hijackthis.log - 0.01MB

**Chill-Out** · 18-11-2007, 23:21

log di HJT

Nuz · 18-11-2007, 23:31

Ora sei apposto. Devi comunque fixare questa voce relativa al Norton:

O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"

In più ti consiglio di disinstallare Avast e installare Avira Antivir. Qui trovi una dettagliata guida:

Avira Antivirus 7

Puoi anche fixare queste voci superflue:

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

Riverside · 18-11-2007, 23:34

Quote:

Originariamente inviato da dimoraptor

ecco hijackthis.log

installa JAVASUN: clicca qui per il download

Sostituisci Avast (antivirus penoso) con:

ANTIVIR PERSONAL EDITION FREE: clicca qui per il download
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir pubblicata da Juninho (leggi, attentamente, i primi tre post), ed altre cose importanti ed interessanti in relazione ad Antivir.
Se necessiti di informazioni o spiegazioni, posta, in quella discussione.

xcdegasp · 18-11-2007, 23:37

Quote:

Originariamente inviato da Riverside

installa JAVASUN: clicca qui per il download

perchè dovrebbe isntallare la Java?

18-11-2007, 21:59	#81
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	è quello vecchio. __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

18-11-2007, 22:04	#83
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	usi di nuovo avenger. __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

18-11-2007, 22:05	#85
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	Allega anche un log di HiJackThis. __________________ Kaspersky Virus Removal Tool \| Avira AntiVir Rescue System \| Threatfire in Italiano \| Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No.

18-11-2007, 22:08	#86
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	vediamo subito se è rimasto qualcosa di gromozon... abilita la visualizzazione di files e cartelle nascosti e di sistema e vai in c:\Documents and settings guarda se ci sono delle cartelle con nomi formati da lettere in ordine casuale(es: HGigUPbnYpYTSdggbIG) __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

18-11-2007, 22:15	#88
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	rifai esattamente quello che hai fatto prima. incolli esattamente quello che hai messo prima __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

18-11-2007, 22:04	#82
dimoraptor Member Iscritto dal: Nov 2007 Messaggi: 33	azz!!! Come faccio a risalvare il rapporto?

18-11-2007, 22:05	#84
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28983	per me l'infezione nn è soltanto una...sembrerebbe tipo gromozon+win dialer 1060

18-11-2007, 22:14	#87
dimoraptor Member Iscritto dal: Nov 2007 Messaggi: 33	x risalvare il rapporto cosa devo scrivere al posto di: Files to Delete........ ?? Allora: qua c'è il log hijackthis.log - 0.01MB

18-11-2007, 22:17	#89
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	il log di hijackthis non va per niente bene... c'è qualcosa che non è stato trovato... Fai così: abilita la visualizzazione di files e cartelle nascosti e di sistema e vai in c:\Documents and settings guarda se ci sono delle cartelle con nomi formati da lettere in ordine casuale(es: HGigUPbnYpYTSdggbIG) __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

18-11-2007, 22:18	#90
dimoraptor Member Iscritto dal: Nov 2007 Messaggi: 33	ok dovrete aspettare un po xkè ora ke mi si riavvia il pc........... In Document and settings non c'è niente a parte alcuni fle strani formato .tmp Devo guardare pure nellesottocartelle?

18-11-2007, 22:19	#91
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	io ti ho detto di guardare le cartelle non i files __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

18-11-2007, 22:42	#93
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Da fixare O4 - HKLM\..\Run: [9456afe4] rundll32.exe "C:\WINDOWS\system32\spdhrbpq.dll",b O17 - HKLM\System\CCS\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166 O17 - HKLM\System\CS1\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166 nel post successivo allega un nuovo log di HJT __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

18-11-2007, 23:21	#97
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	log di HJT __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

18-11-2007, 23:31	#98
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	Ora sei apposto. Devi comunque fixare questa voce relativa al Norton: O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" In più ti consiglio di disinstallare Avast e installare Avira Antivir. Qui trovi una dettagliata guida: Avira Antivirus 7 Puoi anche fixare queste voci superflue: O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime __________________ Kaspersky Virus Removal Tool \| Avira AntiVir Rescue System \| Threatfire in Italiano \| Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No. Ultima modifica di Nuz : 18-11-2007 alle 23:34.

Strumenti
Mostra una versione stampabile Invia questa pagina per email