[win XP] infostealer.wowcraft - aiuto per favore

[Riverside]

Quote:

Originariamente inviato da Etex

Mi metto subito all'opera.

Ciao Carlo, di nuovo sul piede di guerra vedo ti rilasceremo un abbonamento speciale al forum
Oltre a quello che ti ha già detto Lancetta, ricorda, prima di iniziare, di disabilitare il Ripristino configurazione di sistema e di svuotare la cartella Prefecth.

Già che ci sei, fai un controllo preventivo dei software installati: nel caso disinstalla, subito, quello che ritieni dover disinstallare.

A quel punto esegui la pulizia con CCleaner e subito dopo ne esegui un'altra con questo tool:

DUSTBUSTER (richiede l’installazione)
clicca qui per il download
● esegui il download da uno dei mirror disponibili sul sito
● una volta installato, lancialo:
● Dust Buster provvederà, automaticamente, ad individuare e rimuovere tutti i file inutili ancora presenti sull’hard disk

Dopo procedi come, oramai di norma.

[Etex]

Quote:

Originariamente inviato da Riverside

Ciao Carlo, di nuovo sul piede di guerra vedo ti rilasceremo un abbonamento speciale al forum
Oltre a quello che ti ha già detto Lancetta, ricorda, prima di iniziare, di disabilitare il Ripristino configurazione di sistema e di svuotare la cartella Prefecth.

Già che ci sei, fai un controllo preventivo dei software installati: nel caso disinstalla, subito, quello che ritieni dover disinstallare.

A quel punto esegui la pulizia con CCleaner e subito dopo ne esegui un'altra con questo tool:

DUSTBUSTER (richiede l’installazione)
clicca qui per il download
● esegui il download da uno dei mirror disponibili sul sito
● una volta installato, lancialo:
● Dust Buster provvederà, automaticamente, ad individuare e rimuovere tutti i file inutili ancora presenti sull’hard disk

Dopo procedi come, oramai di norma.

Ciao Riverside, a quanto pare un abbonamento mi farebbe comodo

CCleaner e Dustbuster: ho cercato di fare il bravo alunno e li ho già usati

Per la disinstallazione:
-ho cercato di disinstallare il programma che aveva delle cartelle a cui Elibagla non riusciva ad accedere (acrobat pro). Non ci sono riuscito...
-Ho cercato di cancellare le cartelle del programma manualmente. Alcune le ha cancellate ma per quelle a cui Elibagla non accedeva, non ci sono riuecito...
-Dopo aver nuovamente ripulito con CCLeaner e Dustbuster per cercare di sistemare i casini nel registro causati dalla cancellazione manuale, ho provato con Avenger mettendogli nello script di cancellare le cartelle di cui sopra: le ha cancellate da dove erano e le ha spostate in c:\Avenger\. E lì di nuovo elibagla non vi accede.

Grazie anche a te di essere tornato in mio soccorso

[lancetta]

Quote:

Originariamente inviato da Etex

Ciao Riverside, a quanto pare un abbonamento mi farebbe comodo

CCleaner e Dustbuster: ho cercato di fare il bravo alunno e li ho già usati

Per la disinstallazione:
-ho cercato di disinstallare il programma che aveva delle cartelle a cui Elibagla non riusciva ad accedere (acrobat pro). Non ci sono riuscito...
-Ho cercato di cancellare le cartelle del programma manualmente. Alcune le ha cancellate ma per quelle a cui Elibagla non accedeva, non ci sono riuecito...
-Dopo aver nuovamente ripulito con CCLeaner e Dustbuster per cercare di sistemare i casini nel registro causati dalla cancellazione manuale, ho provato con Avenger mettendogli nello script di cancellare le cartelle di cui sopra: le ha cancellate da dove erano e le ha spostate in c:\Avenger\. E lì di nuovo elibagla non vi accede.

Grazie anche a te di essere tornato in mio soccorso

hem..solo che così si è incasinato ancora di più il registro...la cartella in avenger è quella di back up?

[Etex]

Quote:

Originariamente inviato da lancetta

hem..solo che così si è incasinato ancora di più il registro...la cartella in avenger è quella di back up?

magari era meglio evitare di prendere iniziative...

Sì, la cartella in cui sono finite è quella.

[lancetta]

Quote:

Originariamente inviato da Etex

magari era meglio evitare di prendere iniziative...

Sì, la cartella in cui sono finite è quella.

allora tranquillo è chiuso a chiave puoi anche cestinarla

[Etex]

Quote:

Originariamente inviato da lancetta

allora tranquillo è chiuso a chiave puoi anche cestinarla

verificato meglio:

in "C:\avenger" c'era:

-la cartella "Backup.zip" che ho cestinato

-una cartella "acrobat 8.0" (non zippata) in cui posso entrare ma che non riesco a cancellare

EDIT1: la cartella non l'ho messa lì io: era in c:\programmi\

ci è andata quando ho lanciato avenger

EDIT2: che faccio con PrevX? rischio e mi metto online per effettuare la scansione?

[lancetta]

Quote:

Originariamente inviato da Etex

verificato meglio:

in "C:\avenger" c'era:

-la cartella "Backup.zip" che ho cestinato

-una cartella "acrobat 8.0" (non zippata) in cui posso entrare ma che non riesco a cancellare

EDIT1: la cartella non l'ho messa lì io: era in c:\programmi\

ci è andata quando ho lanciato avenger

EDIT2: che faccio con PrevX? rischio e mi metto online per effettuare la scansione?

Hum...prova a fare così crea una nuova cartella vuota sul desk col nome identico a quella cartella e trascinala C: avenger windows dovrebbe chiederti di sostituirla rispondi si..vedi se riesci
prima di andare on line dovrei vedere i log

[Etex]

Quote:

Originariamente inviato da lancetta

Hum...prova a fare così crea una nuova cartella vuota sul desk col nome identico a quella cartella e trascinala C: avenger windows dovrebbe chiederti di sostituirla rispondi si..vedi se riesci
prima di andare on line dovrei vedere i log

ecco i logs in allegato; purtroppo asquared ci ha messo un paio d'ore

Ci ho aggiunto anche il report della scansione di Superantispyware fatta stamattina : la faccio da giorni e ogni volta trova quel virus che vedi nel log, lo metto in quarantena (una volta l'ho anche rimosso definitivamente ("remove")) e dopo aver riavviato, alla scansione successiva lo ritrovo

[Etex]

mancava il log di Combofix.

questo è di ieri

[Etex]

Quote:

Originariamente inviato da lancetta

Hum...prova a fare così crea una nuova cartella vuota sul desk col nome identico a quella cartella e trascinala C: avenger windows dovrebbe chiederti di sostituirla rispondi si..vedi se riesci
prima di andare on line dovrei vedere i log

ho provato ma avvisa (come fa in qualunque copia incolla) che i file contenuti con lo stesso nome saranno sostituiti, dò l'ok e in effetti non succede nulla perchè si limita ad aggiungere gli eventuali file della cartella che avevo creato sul desktop, che però è vuota.

C'è qualche opzione per sostituire una cartella con un'altra invece che integrarne i contenuti?

[lancetta]

Quote:

Originariamente inviato da Etex

ho provato ma avvisa (come fa in qualunque copia incolla) che i file contenuti con lo stesso nome saranno sostituiti, dò l'ok e in effetti non succede nulla perchè si limita ad aggiungere gli eventuali file della cartella che avevo creato sul desktop, che però è vuota.

C'è qualche opzione per sostituire una cartella con un'altra invece che integrarne i contenuti?

Ci ho provato.... prova in modalità provvisoria a cancellarla

[Etex]

Quote:

Originariamente inviato da lancetta

Ci ho provato.... prova in modalità provvisoria a cancellarla

ci avevo provato ma non funzionava nemmeno con la modalità provvisioria.

Ora riprovo

EDIT: conferma: anche in modalità provvisioria la s@@@@za non si fa cancellare

[lancetta]

Quote:

Originariamente inviato da Etex

ci avevo provato ma non funzionava nemmeno con la modalità provvisioria.

Ora riprovo

scusa Etex posto a pezzettini alla volta ma siete in tanti a cui rispondere

prova anche con avenger stesso che se lo mette nel backup si può cancellare

sai come fare? altrimenti ti metto lo script però mi devi dire il percorso preciso.....

[lancetta]

in pratica la prova di prima sapevo che era solo per i file....infatti si dovrebbero sostituire tutti i file interni alla cartella con altri uguali vuoti ma rinominati con lo stesso nome....

[Etex]

Quote:

Originariamente inviato da lancetta

in pratica la prova di prima sapevo che era solo per i file....infatti si dovrebbero sostituire tutti i file interni alla cartella con altri uguali vuoti ma rinominati con lo stesso nome....

Quote:

Originariamente inviato da lancetta

in pratica la prova di prima sapevo che era solo per i file....infatti si dovrebbero sostituire tutti i file interni alla cartella con altri uguali vuoti ma rinominati con lo stesso nome....

-Provato creando dei files con gli stessi nomi e messi in una cartella uguale e trascinata al posto dell'obiettivo ma non funziona.

-Con avenger questa volta ce l'ho fatta ho cancellato sia i files che la cartella
non so perchè l'altra volta si era limitato a spostarla; si vede che questa volta l'avevamo messa all'angolo

-Mi sai dire qualcosa sui logs?

[lancetta]

Quote:

Originariamente inviato da Etex

-Provato creando dei files con gli stessi nomi e messi in una cartella uguale e trascinata al posto dell'obiettivo ma non funziona.

-Con avenger questa volta ce l'ho fatta ho cancellato sia i files che la cartella
non so perchè l'altra volta si era limitato a spostarla; si vede che questa volta l'avevamo messa all'angolo

-Mi sai dire qualcosa sui logs?

Orbene..finalmente na buona notizia dò un occhiata e ti fò sapere

[lancetta]

e vaff....@@@@!!!!
Hai l'obfuscated su questo pc ma che ca@@o è?! n'epidemia??!!
Va bene non ci perdiamo d'animo...allora:

FINDAWF
scarica QUESTO TOOL lo avvii si aprirà un finestra dos che chiederà di digitare un tasto qualunque,(anche invio)al termine, FindAWF ti proporrà un log aprendo una pagina del block notes,allega qui il risultato.

in hijackthis fixa queste voci

Quote:

O15 - Trusted Zone: *.doginhispen.com
O15 - Trusted Zone: *.whataboutadog.com

e questa che è inutile

Quote:

O4 - HKLM\..\Run: [RNSMST] "C:\Programmi\MFP\Type 103\RNSMST.exe" /HIDEUI

in avenger

Quote:

Files to delete:
C:\WINDOWS\system32\drivers\diayvyboclic.sys


Registry key to delete:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1793d720-a1ae-11dc-a1bd-0011097b3138}
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aa303860-f046-11d9-af31-0011097b3138}

Poi oltre il log di findawf nuovo log di hijackthis

[xcdegasp]

@ Lancetta:
se vedi che il tag QUOTE sfala il loyout del forum è il caso di sostituirlo con il CODE!
prima che evidav82 spezzi le gambine a me io spezzerò le braccine a te
ci fù in un tempo lontano chi definì questo processo "transumanza delle cazzualate"

[lancetta]

Quote:

Originariamente inviato da xcdegasp

@ Lancetta:
se vedi che il tag QUOTE sfala il loyout del forum è il caso di sostituirlo con il CODE!
prima che evidav82 spezzi le gambine a me io spezzerò le braccine a te
ci fù in un tempo lontano chi definì questo processo "transumanza delle cazzualate"

Modificato...va bene così mod? (comunque quanti ne siete? )

non sia mai che il loyout si sfali!!!

[Etex]

Quote:

Originariamente inviato da lancetta

e vaff....@@@@!!!!
Hai l'obfuscated su questo pc ma che ca@@o è?! n'epidemia??!!
Va bene non ci perdiamo d'animo...allora:

FINDAWF
scarica QUESTO TOOL lo avvii si aprirà un finestra dos che chiederà di digitare un tasto qualunque,(anche invio)al termine, FindAWF ti proporrà un log aprendo una pagina del block notes,allega qui il risultato.

in hijackthis fixa queste voci
e questa che è inutile

in avenger



Poi oltre il log di findawf nuovo log di hijackthis

Fatto: lanciato FindAWF - fixato con Hijackthis - lanciato avenger - nuovi log di FindAWF e Hijackthis


-Hijackthis: ho fixato le voci e poi riavviato (usuale richiesta di avenger)

-Dal log, Avenger (mi) pare non aver avuto successo

-Il nuovo log di HijackThis riporta di nuovo quelle due c@@@o di voci

Ti allego i log

Ecco il "PRIMA" (i reports relativi al "dopo" li metto nel post seguente):