|
|
|
|
Strumenti |
27-05-2008, 11:47 | #1 |
Bannato
Iscritto dal: Aug 2005
Messaggi: 961
|
[risolto] Virus alert! accanto orologio
Ciao, purtroppo ho beccato un virus. Sono riuscito ad eliminare qualcosa ma mi rimane la scritta VIRUS ALERT! nella system tray accanto all'orologio ed inoltre quando vado su internet mi si aprono finestre a quantità riguardanti soprattutto casinò online.
Vi prego aiutatemi, ciao a tutti. --------------------- Soluzione: http://www.hwupgrade.it/forum/showpo...4&postcount=53 Ultima modifica di xcdegasp : 29-05-2008 alle 14:05. |
27-05-2008, 12:35 | #2 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Ciao benvenuto nel pronto soccorso di HU.
Leggi bene le regole di sezione e poi segui bene la guida alla disinfezione per infetti ed esegui tutte le scansioni nell'ordine indicato. Ti rielenco brevemente le modalità di pubblicazione dei log Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive. Clicca su Gestisci allegati -> si aprirà una finestra -> Click su Sfoglia -> seleziona il file da caricare -> Click su Carica -> sotto allegati correnti vedrai il tuo log caricato -> Chiudi la finestra Altrimenti caricali su [wikisend.com] o su [mediafire.com]. Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione. Le immagini più grosse (es. nel caso di PrevX) salvale in JPG, essendo più leggere, e caricale su fileqube.com che permette di visualizzarle direttamente online. Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):
In questa maniera, tu avrai un pc già parzialmente ripulito, e noi le informazioni necessarie per i restanti interventi. Ciao
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
27-05-2008, 16:44 | #3 |
Senior Member
Iscritto dal: Sep 2002
Messaggi: 1637
|
Interessante questa discussione mi sono imbattuto anch' io in questo virus ieri
... Spy bot in modalita' provvisoria mi diceva VIRTUMONDE... In piu' mi sono accorto che il servizio aggiornamenti automatici non viene caricato e non solo non si riesce a abilitarlo e a riavviarlo. norman removal tool ogni volta che riavvio indica che winlogon e' infettato da vundo.gen Per ora sto reinstallando dato che ci solo solo 2 programmi e nemmeno l' office: pero' mi interesserebbe sapere dove si doveva "smanettare" nel registro per ucciderlo Ciao
__________________
Prepare for jump to lightspeed! Windows10 "is a service": che servizio del driver di stampa WSD: What a Shit Driver! Ultima modifica di omihalcon : 27-05-2008 alle 16:54. |
27-05-2008, 16:52 | #4 | |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Quote:
Comincia a guardare qui la guida per la rimozione di Vundo e posta in quella discussone tutti i log richiesti secondo le modalità. Modalità pubblicazione log Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive Clicca su Gestisci allegati -> Sfoglia -> Carica Altrimenti caricali su [wikisend.com] o su [mediafire.com]. Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
|
27-05-2008, 17:39 | #5 | |
Bannato
Iscritto dal: Aug 2005
Messaggi: 961
|
Quote:
Ultima modifica di ilpuma82 : 27-05-2008 alle 17:57. |
|
27-05-2008, 17:41 | #6 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
potresti pubblicarli non zippati per favore?
agevolo le cose, per a-squared: Codice:
Value: HKEY_CLASSES_ROOT\AppID\toolbar.DLL --> AppID detected: Trace.Registry.Adware-17Lele Value: HKEY_CLASSES_ROOT\TacOnlyOne --> WinSpywareProtect (ver. 5.1) detected: Trace.Registry.WinSpywareProtect 5.1 manca il log della scansione con F-Secure Online / kaspersky tool / eset online scanner; manca il lodella scansione con dr.web cureIT; dal log HiJackThis: non mi convince questa riga: Codice:
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule Fixa: Codice:
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [2e5f2bcd] rundll32.exe "C:\WINDOWS\system32\nuuahxdd.dll",b O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O21 - SSODL: CDRam - {8c3c7e0e-9f0f-406b-bb61-6a962327ba43} - (no file)
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
Ultima modifica di xcdegasp : 27-05-2008 alle 17:55. |
27-05-2008, 22:18 | #7 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Da fixare
O4 - HKLM\..\Run: [2e5f2bcd] rundll32.exe "C:\WINDOWS\system32\nuuahxdd.dll",b
__________________
Try again and you will be luckier.
|
28-05-2008, 09:50 | #8 |
Bannato
Iscritto dal: Aug 2005
Messaggi: 961
|
dopo una decina di scansioni varie ho risolto... non si aprono più finestre mentre navigo, è scomparsa la scritta virus alert! ed il pc sembra essersi ripreso.
Ringrazio tutti per l'aiuto Si può chiudere, ciao |
28-05-2008, 10:03 | #9 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Potresti allegare un nuovo log di HijackThis, grazie.
__________________
Try again and you will be luckier.
|
28-05-2008, 12:01 | #10 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Dopo aver postato il log come ti ha indicato chill dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
28-05-2008, 23:13 | #11 |
Junior Member
Iscritto dal: May 2008
Messaggi: 27
|
Salve a tutti... anch'io oggi ho preso questo dannato virus... e nonostante tutte le scansioni effettuate, il VIRUS ALERT! accanto all'orologio è ancora lì.
Vi posto tutti i log nella speranza che mi possiate aiutare. A-Squared: http://www.fileqube.com/shared/kRLlwnD32919 F-Secure: http://www.fileqube.com/shared/BdYRskllU32918 Dr Web: http://www.fileqube.com/shared/cqMpgTS32917 SYSInspector: http://www.fileqube.com/shared/NenbjPe32921 HijackThis: http://www.fileqube.com/shared/edOEB32920 Gmer: http://www.fileqube.com/shared/xMKjwVPNb32923 Prevx: http://www.fileqube.com/shared/KFPCHSk32922 Confido in voi! |
28-05-2008, 23:18 | #12 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
all'inizio della guida c'è scritto dove scaricarlo e come usarlo anche se è molto intuitivo
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
28-05-2008, 23:20 | #13 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
degasp lo mandiamo su vundo?
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
28-05-2008, 23:29 | #14 |
Junior Member
Iscritto dal: May 2008
Messaggi: 27
|
L'ho già fatta prima di iniziare tutto... ma farla una secoda volta non farà certo male!
|
28-05-2008, 23:31 | #15 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
per a-squared:
molti cookies per f-secure: Quote:
scarica Avenger, scompattalo in una directory esclusiva (tipo c:\avenger ) ed eseguilo, infine carica questo script: Codice:
Files to delete: C:\windows\system32\ssqPjjHw.DLL C:\windows\system32\JjJYPFUO.dll C:\windows\system32\eqpIIiIr.dll C:\windows\system32\tduvaytj.dll C:\windows\system32\ubjanhou.dll C:\DOCUMENTS AND SETTINGS\UTENTE\DESKTOP\BACKUPS\BACKUP-20080528-174554-263.DLL C:\windows\system32\JTYAVUDT.INI drWeb: Codice:
C:\Documents and Settings\utente\Desktop\SmitfraudFix\Process.exe - spostato C:\Documents and Settings\utente\Desktop\SmitfraudFix\restart.exe - spostato hijackthis: riesegui hijackthis optando per la funzione "Scan Only", a fine scansione il pulsante in fondo a sinistra si chiamerà "Fix Checked", quindi selezionare le voci desiderate e premere questo tasto. Fixa: Codice:
O4 - HKLM\..\Run: [RemoteControl] F:\Programmi\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] F:\Programmi\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "F:\Programmi\Nero\Nero 8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [2c1b0dc0] rundll32.exe "C:\WINDOWS\system32\eqpllilr.dll",b O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
Ultima modifica di xcdegasp : 28-05-2008 alle 23:37. |
|
28-05-2008, 23:33 | #16 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
prima vorrei fargli una pulita a manuale poi lo portiamo nella saletta operatoria
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
28-05-2008, 23:38 | #17 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
avevo dimenticato di scrivere le cose da fixare con hijackthis
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
28-05-2008, 23:42 | #18 | |
Junior Member
Iscritto dal: May 2008
Messaggi: 27
|
Prima di proseguire... Avenger fallisce su alcuni file perché dice che i file non esistono...
Quote:
|
|
28-05-2008, 23:45 | #19 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
prosegui con i fix da eseguire tramite hijackthis
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
28-05-2008, 23:55 | #20 |
Junior Member
Iscritto dal: May 2008
Messaggi: 27
|
O4 - HKLM\..\Run: [2c1b0dc0] rundll32.exe "C:\WINDOWS\system32\eqpllilr.dll",b
Questa linea al nuovo controllo è stata sostituita da una identica, ma con un nome file diverso... in ogni caso io l'ho fixata... ma questo file ora è apparso su Prevx... Hijack: http://www.fileqube.com/shared/rpqQjmi32933 SYS: http://www.fileqube.com/shared/pMafJsw32932 Prevx: http://www.fileqube.com/shared/rpqQjmi32933 |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 22:00.