[win XP] W32/dialer.BYHC

[leonida-king]

Da non credere.....vi ricordate un paio di giorni fà ho seguita la procedura descritta nella guida alla disinfezione dai virus vi ho poststo i log e sembrava tutto a posto.

Ricordate vi segnalai quel virus:

W32/dialer.BYHC

Bene.....lo stronzo mi si è ripresentato 5 min. fà, F-secure lo ha scovato, ma stvolta in una posizione diversa.Infatti prima sto virus si trovava nella cartella impostazioni locali/temp/1481779394, mentre adesso F-secure l'ha beccato nella cartella impostazioni locali/temp/1315891128........

Come mi devo comportare???Ripeto tutto il processo di disinfezione della guida del forum oppure sto tranquillo così visto che l'antivirus lo ha trovato e messo in quarantena???

Ragazzi help me please......

[murack83pa]

di nuovoo??

forse è inutile chiedertelo: ma il ripristino configurazione sistema è rimasto disattivato fin dall'inizio?

posta un nuovo log di hijackthis e una nuova scansione con prevx csi e vediamo

ovviamente: il ripristino disattivalo finchè nn chiariamo la situazione

[leonida-king]

Incredibile allora c'era qualcosa di grave prevx ha trovato dei trojan come è possibile???Avevamo controllato insieme i file.....aiuto!!!

hijackthis:
http://www.fileup.itadib.com/downloa...HksgGfmJNAc2BJ

prevx:
http://www.fileup.itadib.com/downloa...5rkUBxuT6J3SNf

[Chill-Out]

Allega tutti i log anche quelli mancanti in un'unico post dopodichè procediamo

[murack83pa]

Quote:

Originariamente inviato da leonida-king

Incredibile allora c'era qualcosa di grave prevx ha trovato dei trojan come è possibile???Avevamo controllato insieme i file.....aiuto!!!

hijackthis:
http://www.fileup.itadib.com/downloa...HksgGfmJNAc2BJ

prevx:
http://www.fileup.itadib.com/downloa...5rkUBxuT6J3SNf

quasi sicuramente sei infetto da obfuscated

scarica questo tool: DOWNLOAD

una volta scaricato, avvialo, premi invio e lo lasci lavorare

al termine spunterà il report: postalo qui

[Nuz]

Oltre a quanto ti è già stato detto è utile se fai fare una scansione su www.virustotal.com di: C:\MaDE.exe e C:\magma2.exe

[murack83pa]

posto il link del 3d che l'utente aveva già aperto 2 giorni fa x comodità a chi da assistenza:

http://www.hwupgrade.it/forum/showthread.php?t=1662032

[Chill-Out]

Quote:

Originariamente inviato da Nuz

Oltre a quanto ti è già stato detto è utile se fai fare una scansione su www.virustotal.com di: C:\MaDE.exe e C:\magma2.exe

Nuz mi sono già passati per le mani si riferiscono ad un gioco di carte se non vado errato

[leonida-king]

Ecco il rapporto.....mi sa che questa volta dovrò formattare....

[leonida-king]

Quote:

Originariamente inviato da Chill-Out

Nuz mi sono già passati per le mani si riferiscono ad un gioco di carte se non vado errato

Sì è un gioco di carte....

[Chill-Out]

Quote:

Originariamente inviato da leonida-king

Ecco il rapporto.....mi sa che questa volta dovrò formattare....

che te la tiri da solo, vedrai che si risolve, certo che tu hai una bella calamita

[Nuz]

Quote:

Originariamente inviato da Chill-Out

Nuz mi sono già passati per le mani si riferiscono ad un gioco di carte se non vado errato

Ok, a parte il nome avevo notato che Prevx CSI li da come sospetti.

[murack83pa]

Quote:

Originariamente inviato da leonida-king

Sì è un gioco di carte....

ora ti scrivo lo script

lo dico x gli altri: cosi nn siamo in 5 a fare la stessa cosa

ovviamente: poi date un occhiate pure voi

[Chill-Out]

Quote:

Originariamente inviato da murack83pa

ora ti scrivo lo script

lo dico x gli altri: cosi nn siamo in 5 a fare la stessa cosa

scrivi scrivi io mi faccio due @@ con questi script

[murack83pa]

scarica avenger: DOWNLOAD (disattiva momentaneamente l'antivirus)
lo scompatti in una sua cartella dedicata,
avvia avenger,
seleziona input script manually,
clicca sulla lente d'ingrandimento,
inserisci il seguente script (tutto quello che è compreso nel quote):

Quote:

files to move:

F:\WINDOWS\bak\SiSUSBrg.exe | F:\WINDOWS\SiSUSBrg.exe

F:\WINDOWS\bak\vVX1000.exe | F:\WINDOWS\vVX1000.exe

F:\Programmi\Microsoft LifeCam\bak\LifeExp.exe | F:\Programmi\Microsoft LifeCam\LifeExp.exe

F:\Programmi\QuickTime\bak\QTTask.exe | F:\Programmi\QuickTime\QTTask.exe

F:\WINDOWS\system32\bak\ctfmon.exe | F:\WINDOWS\system32\ctfmon.exe

F:\WINDOWS\system32\bak\NeroCheck.exe | F:\WINDOWS\system32\NeroCheck.exe

F:\Programmi\Analog Devices\SoundMAX\bak\SMTray.exe | F:\Programmi\Analog Devices\SoundMAX\SMTray.exe

F:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | F:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

F:\Programmi\F-Secure Internet Security\Common\bak\FSM32.EXE | F:\Programmi\F-Secure Internet Security\Common\FSM32.EXE

F:\Programmi\F-Secure Internet Security\FSGUI\bak\TNBUtil.exe | F:\Programmi\F-Secure Internet Security\FSGUI\TNBUtil.exe

F:\WINDOWS\system32\spool\drivers\w32x86\3\bak\hpztsb06.exe | F:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe

Cliccare su done, Cliccare sul semaforo, Rispondere sì 2 volte;il pc dovrebbe riavviarsi, casomai lo riavvii manualmente

rifai girare findawf e posta qui un nuovo log

poi devi assolutamente aggiornare internet explorer, ma questo c pensiamo dopo

[leonida-king]

Eccoli

[murack83pa]

Quote:

Originariamente inviato da leonida-king

Eccoli

fixa queste voci in hijackthis:

Quote:

F:\DOCUME~1\Giggigno\IMPOST~1\Temp\1789393444.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

è molto importante che fai pulizia,
riavvia il pc poi nuovo log di hijackthis e di prevx csi

[leonida-king]

F:\DOCUME~1\Giggigno\IMPOST~1\Temp\1789393444.exe

non lo trovo questo....

[Chill-Out]

Quote:

Originariamente inviato da leonida-king

F:\DOCUME~1\Giggigno\IMPOST~1\Temp\1789393444.exe

non lo trovo questo....

Avenger

Quote:

Files to delete:
F:\DOCUME~1\Giggigno\IMPOST~1\Temp\1789393444.exe

[leonida-king]

per fissare questi:

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

li spunto e uso il tasto "fix checked"

ma questo: F:\DOCUME~1\Giggigno\IMPOST~1\Temp\1789393444.exe

non ho ben capito dove lo trovo e come lo fisso