virus maledetto....subdolo e maligno

iumbe · 12-03-2007, 15:44

ho i seguenti sintomi, presenti nelle due partizioni c: e d:
per fortuna da un disco esterno sono riuscito e debellare il "male"...

se faccio doppio click sull'icona dell'unità, mi viene la finestra "impossibile installare componente aggiuntivo windows", se faccio click col dx la prima opzione, in neretto, è "Auto" e non "Apri"...
altra cosa strana: le unità risultano condivise con il nome c$ e D$, anche se la manina sotto l'unità non appare e se provo a togliere la condivisione, al riavvio successivo la condivisione appare...
terza cosa strana: non riesco a visualizzare i file nascosti.anche se imposto la visualizzazione non succede niente.
Tutto ciò accade anche in modalità provvisoria!

Il disco esterno presentava tutti questi sintomi. messo su un altro pc, sono riuscito ad attivare la visualizzazione dei file nascosti. nella directori principae c'era un "gamesetup.exe" di dubbia provenienza, e in ogni cartella un file "desktop_.ini".
Ripulito da questi files, adesso il disco sembra funzionare bene.

Soluzioni per c e d?
inutile dire che ho già provato tutti gli antivirus e antispyware...

wizard1993 · 12-03-2007, 18:53

complimenti per ( il nome te lo leggi)
http://vil.nai.com/vil/content/v_140915.htm
comunque posta il log di hijacthis, e fai una scansione online con l'f-secure

wizard1993 · 12-03-2007, 19:00

allora disattiva il ripristino di configurazione di sistema,
scaricati avenger
http://www.megalab.it/articoli.php?id=946

e di script inserisci questo script.txt

iumbe · 13-03-2007, 11:28

ho provato ma eseguendo lo script che mi hai postato mi dà errore di sintassi

ecco il tuo script

registry values to delete:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run |FuckJacks
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run |svohost

Files to delete:
%SYSTEM%\setup.inf
%SYSTEM%\setup.exe
%SYSTEM%\GameSetup.exe

grazie di tutto!!!

iumbe · 13-03-2007, 11:47

...e questo e il log di hijacthis...

wizard1993 · 13-03-2007, 16:09

allora di script inserisci

registry values to delete:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run |FuckJacks
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run |svohost

Files to delete:
%windir%\system\setup.inf
%windir%\system\setup.exe
%windir%\system\GameSetup.exe

wizard1993 · 13-03-2007, 16:13

in hijackthis fixa

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\cliconf.exe,

poi vedi se riesci mandarmi un simple del malware

iumbe · 14-03-2007, 15:24

ho fixato F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\cliconf.exe

ma non sembra che sia successo nulla.
cosa intendi per "simple del malware"??scusa l'ignoranza...

wizard1993 · 14-03-2007, 18:00

Quote:

Originariamente inviato da iumbe

ho fixato F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\cliconf.exe

ma non sembra che sia successo nulla.
cosa intendi per "simple del malware"??scusa l'ignoranza...

simple= esemplare, vedi se rieci a mandarmi il file
C:\WINDOWS\system32\cliconf.exe

iumbe · 14-03-2007, 18:03

eccolo!

emco · 17-05-2008, 23:14

ciao a tutti sono infettato da questo worm: gamesetup.exe
chi mi aiuta?
vi posto il log di hijakthis
grazie
ciao

xcdegasp · 18-05-2008, 11:47

Quote:

Originariamente inviato da emco

ciao a tutti sono infettato da questo worm: gamesetup.exe
chi mi aiuta?
vi posto il log di hijakthis
grazie
ciao

apriti un nuovo thread e segui la semplice procedura descritta nella Guida alla Disinfezione per Infetti, rispettando l'ordine nel'esecuzione e pubblicando tutti i log usando uno dei metodi censiti nelle Regole di Sezione.

cmq se avast ha fatto due volte acqua forse è il caso che cambi le difese

12-03-2007, 15:44	#1
iumbe Member Iscritto dal: Jun 2003 Messaggi: 271	virus maledetto....subdolo e maligno ho i seguenti sintomi, presenti nelle due partizioni c: e d: per fortuna da un disco esterno sono riuscito e debellare il "male"... se faccio doppio click sull'icona dell'unità, mi viene la finestra "impossibile installare componente aggiuntivo windows", se faccio click col dx la prima opzione, in neretto, è "Auto" e non "Apri"... altra cosa strana: le unità risultano condivise con il nome c$ e D$, anche se la manina sotto l'unità non appare e se provo a togliere la condivisione, al riavvio successivo la condivisione appare... terza cosa strana: non riesco a visualizzare i file nascosti.anche se imposto la visualizzazione non succede niente. Tutto ciò accade anche in modalità provvisoria! Il disco esterno presentava tutti questi sintomi. messo su un altro pc, sono riuscito ad attivare la visualizzazione dei file nascosti. nella directori principae c'era un "gamesetup.exe" di dubbia provenienza, e in ogni cartella un file "desktop_.ini". Ripulito da questi files, adesso il disco sembra funzionare bene. Soluzioni per c e d? inutile dire che ho già provato tutti gli antivirus e antispyware...

12-03-2007, 18:53	#2
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	complimenti per ( il nome te lo leggi) http://vil.nai.com/vil/content/v_140915.htm comunque posta il log di hijacthis, e fai una scansione online con l'f-secure __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

12-03-2007, 19:00	#3
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	allora disattiva il ripristino di configurazione di sistema, scaricati avenger http://www.megalab.it/articoli.php?id=946 e di script inserisci questo script.txt __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

13-03-2007, 11:28	#4
iumbe Member Iscritto dal: Jun 2003 Messaggi: 271	ho provato ma eseguendo lo script che mi hai postato mi dà errore di sintassi ecco il tuo script registry values to delete: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run \|FuckJacks HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \|svohost Files to delete: %SYSTEM%\setup.inf %SYSTEM%\setup.exe %SYSTEM%\GameSetup.exe grazie di tutto!!! Ultima modifica di iumbe : 13-03-2007 alle 11:49.

13-03-2007, 16:09	#6
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	allora di script inserisci registry values to delete: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run \|FuckJacks HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \|svohost Files to delete: %windir%\system\setup.inf %windir%\system\setup.exe %windir%\system\GameSetup.exe __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

13-03-2007, 16:13	#7
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	in hijackthis fixa F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\cliconf.exe, poi vedi se riesci mandarmi un simple del malware __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

14-03-2007, 15:24	#8
iumbe Member Iscritto dal: Jun 2003 Messaggi: 271	ho fixato F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\cliconf.exe ma non sembra che sia successo nulla. cosa intendi per "simple del malware"??scusa l'ignoranza...

Strumenti
Mostra una versione stampabile Invia questa pagina per email