|
|
|
|
Strumenti |
10-08-2008, 10:34 | #1 |
Member
Iscritto dal: Mar 2008
Messaggi: 185
|
un nuovo bagle^?
in accensione si apre la cartella documenti e ora anche kaspersky.
in questo pc mi sono gia salvato da un bagle(spariti anti virus)usando vostra procedura e sucessivamente da un gromozon)con prevx csi. altre anomalie che riscontro adesso sono avenger non siapre c cleaner neppure non mi fa entrare in alcuni siti compreso il vostro)scrivo da altro pc) se clicco avenger in ricerca mi disconnette qualcuno mi sa dire se e' un nuovo bagle e come eliminarlo Grazie |
10-08-2008, 15:10 | #2 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27478
|
segui questa semplice guida: http://www.hwupgrade.it/forum/showthread.php?t=1562611
questo lo chiudo perevitare doppioni
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
10-08-2008, 18:40 | #3 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27478
|
forse hai altre cose nel pc, segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
11-08-2008, 15:39 | #4 |
Member
Iscritto dal: Mar 2008
Messaggi: 185
|
Codice:
Malwarebytes' Anti-Malware 1.24 Versione del database: 1038 Windows 5.1.2600 Service Pack 3 21.04.53 10/08/2008 mbam-log-8-10-2008 (21-04-01).txt Tipo di scansione: Scansione completa (C:\|D:\|) Elementi scansionati: 159769 Tempo trascorso: 41 minute(s), 0 second(s) Processi delle memoria infetti: 0 Moduli della memoria infetti: 0 Chiavi di registro infette: 4 Valori di registro infetti: 0 Elementi dato del registro infetti: 0 Cartelle infette: 0 File infetti: 3 Processi delle memoria infetti: (Nessun elemento malevolo rilevato) Moduli della memoria infetti: (Nessun elemento malevolo rilevato) Chiavi di registro infette: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Spyware.Sinowal) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} (Adware.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe (Security.Hijack) -> No action taken. Valori di registro infetti: (Nessun elemento malevolo rilevato) fsecure Scanning Report Monday, August 11, 2008 08:11:09 - 10:06:04 Computer name: PCMACO001 Scanning type: Scan system for malware, rootkits Target: C:\ D:\ -------------------------------------------------------------------------------- Result: 2 malware found RemoteAdmin.Win32.WinVNC (spyware) System Tracking Cookie (spyware) System -------------------------------------------------------------------------------- Statistics Scanned: Files: 87208 System: 6307 Not scanned: 10 Actions: Disinfected: 0 Renamed: 0 Deleted: 0 None: 2 Submitted: 0 Files not scanned: C:\PAGEFILE.SYS C:\HIBERFIL.SYS C:\WINDOWS\TEMP\SQLITE_DHFHMKII2A9UPJI C:\WINDOWS\SYSTEM32\CSRRNNKN.EXE C:\WINDOWS\SYSTEM32\DRIVERS\ATAPI.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT C:\WINDOWS\SYSTEM32\CONFIG\SECURITY C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM C:\WINDOWS\SYSTEM32\CONFIG\SAM -------------------------------------------------------------------------------- Options Scanning engines: F-Secure USS: 2.30.0 F-Secure Hydra: 2.8.8110, 2008-08-10 F-Secure AVP: 7.0.171, 2008-08-11 F-Secure Pegasus: 1.20.0, 2008-04-15 F-Secure Blacklight: 1.0.68 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR Use Advanced heuristics Ultima modifica di xcdegasp : 11-08-2008 alle 20:32. |
11-08-2008, 15:52 | #5 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
I log vanno allegati secondo le Regole di sezione grazie per la collaborazione
__________________
Try again and you will be luckier.
|
11-08-2008, 19:54 | #6 |
Member
Iscritto dal: Mar 2008
Messaggi: 185
|
ecco qui tutti i risultati delle scansioni
http://www.fileqube.com/shared/CWtueoR79285
http://www.fileqube.com/shared/aGuWwuWR79286 http://www.fileqube.com/shared/uiuhdRdA79287 http://www.fileqube.com/shared/lFDMlouL79289 http://www.fileqube.com/shared/lodggdVZn79290 http://www.fileqube.com/shared/MhRNZcQ79292 http://www.fileqube.com/shared/kOiquTsz79293 vi ringrazio fin da ora per le risposte |
11-08-2008, 20:38 | #7 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27478
|
rifai la scansione con malwarebytes dando poi l'azione da eseguire "esempio elimina", hai pubblicato il link ad un file "asq.dat" che non si sa cosa sia, manca il log di dr.web cureit...
magari rifalle entrambe (malwarebytes e a-squared) così vediamo se trovano altro riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto. fixa: Codice:
R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Documents and Settings\maco001\Impostazioni locali\Temporary Internet Files\Content.IE5\8JAFAAOW\EE9F3B2[1].exe" -scan O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe" O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
Ultima modifica di xcdegasp : 11-08-2008 alle 20:50. |
11-08-2008, 20:42 | #8 |
Member
Iscritto dal: Mar 2008
Messaggi: 185
|
ciao
asq.dat e quello che mi da a a square che comunque ho postato anche con un jpeg incollandolo l'altro che devo rifare lo riposto ma era chiaro http://www.fileqube.com/shared/xFbfHUaaV79304 Ultima modifica di windandfreedom : 11-08-2008 alle 20:44. |
11-08-2008, 20:54 | #9 |
Member
Iscritto dal: Mar 2008
Messaggi: 185
|
a square non mi fa salvare se non quel file dat.... ho usato lo strtatagemma dell'immagine
malware la sto rifacendo in ogni caso |
11-08-2008, 21:06 | #10 | |
Member
Iscritto dal: Mar 2008
Messaggi: 185
|
Quote:
guarda che e fatto tutto nellordine preciso |
|
11-08-2008, 21:16 | #11 |
Member
Iscritto dal: Mar 2008
Messaggi: 185
|
ricapitolo..
ho seguito l'ordine preciso malware avevo elimiato e postato come da guida )la sto rifacendo a square non mi da il file da salvare )vedi immagine jpeg poi fatto f secure poi dr web)non ha trovato nulla poi inspector poi gmer hjack e prev csi non ha trovato nulla )ti ho inviato ultimi virus trovati) appena rifa malware faccio e rimetto anche l'ultimo hjack |
11-08-2008, 21:38 | #12 |
Member
Iscritto dal: Mar 2008
Messaggi: 185
|
http://www.fileqube.com/shared/FeDarIAT79316 malaware
http://www.fileqube.com/shared/hQLuLHVbs79317 hjackh dopo aver fixato |
11-08-2008, 22:44 | #13 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27478
|
io non vorrei apparire pedante ma nei log che hai pubblicato di HijackThis ci sono inequivocabili tracce di kaspersky-tool in esecuzione e mi attendevo anche delle tracce dello scaner online di f-secure..
fixa: Codice:
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
Ultima modifica di xcdegasp : 11-08-2008 alle 22:49. |
11-08-2008, 22:51 | #14 |
Member
Iscritto dal: Mar 2008
Messaggi: 185
|
scherzi non penso tu sia pedante.
all'apertura del pc si aprono la finestra documenti due di blocco note e kaspersky tool)che sia per quello che lo vedi? io sono stato attento a fare in ordine cio che chiedi. peralro nella guida non viene neanche chiesto kaspersky. se devo rifare qualcosa dimmi pure |
11-08-2008, 22:53 | #15 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27478
|
kaspersky-tool è sostitutivo di f-secure nella guida mavisto che lo possiedi perchè non farne una anche con quello?
ok
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
11-08-2008, 22:57 | #16 |
Member
Iscritto dal: Mar 2008
Messaggi: 185
|
posso rifarle.
dr curei ha fatto scansione per 3 ore ...nulla kaspersky riprovo e anche prevx csi )lo ho installato e non trova nulla . se vuoi o ser aiuta ho l'immagine di quando avenger ha trovato 17 virus in un giorno.. le varie anomali avenger c cleaner e anche alcuni siti come il vostro che vanno in vìcrash persistono |
11-08-2008, 23:00 | #17 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27478
|
dr web puoi fare a meno a sto punto ma degli altri servono i log!
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
11-08-2008, 23:12 | #18 |
Member
Iscritto dal: Mar 2008
Messaggi: 185
|
ok.. se vuoi ho anche panda.. on line ma non ha trovato nulla fatta stasera allego... http://www.fileqube.com/shared/rjRzdDyz79346
|
11-08-2008, 23:18 | #19 |
Member
Iscritto dal: Mar 2008
Messaggi: 185
|
se aiuta.. tempo fa ho avuto unn bagle risolto con la vostra guida...
poi un altroio credo fosse un gromozon mi impediva egualmente di andare su pagine di aiuto.. poi ho acquistato prevx sembrava fosse l'unico assieme a symantec a vederlo e in effetti aveva risolto..a fine mese alla consueta scansione avg ha trovato 17 virus e prev 3 da li ha ricominciato adaver il problema delle cartellle che si aprono e deoi crash quando cerchi soluzioni per debellarlo. sinceramente mi ricorda piu gli edffetti del gromozon che del bagle... ma parlo solo per darvi delle impressioni |
12-08-2008, 08:48 | #20 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Serve come già detto una scansione con Prevx CSI per salvare il log procedi così: terminata la scansione per ottenere il log cliccare su Options - Save a Log File Scansione con Kaspersky Removal Tool Successivamente fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe Doppio click su combofix.exe e segui le istruzioni Allegare il log C:\combofix.txt N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire) ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza Allega tutti e 3 i log
__________________
Try again and you will be luckier.
|
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 21:36.