olhrwef.exe da sdradicare

katodb · 16-03-2009, 18:04

ho preso questo virus con pendrive inserita. Ho girato un pò di cose Spybots, ad aware e hijiackthis. Adesso il note sembra a posto ma non so se al riavvio si ripresenta.
C'è qualche programmino che lo toglie senza bisogno di operare nel registro? Grazie.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.03.21, on 16/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
log rimosso, leggere le Regole di Sezione

xcdegasp · 16-03-2009, 18:11

per impedire di reinfettare il pc con la chiavetta usb potresti abituarti a usare il pc attraverso un utenza con bassi privilegi (utente limitato), basta che vai in "pannallo di controllo - gestione utenti" e crei un nuvo utente come "utente limitato".

dai una passata con malwarebytes e a-squared che trovi nella guida:
Guida alla Disinfezione per Infetti

katodb · 16-03-2009, 19:13

grazie e scusate per aver postato un log troppo lungo

xcdegasp · 16-03-2009, 23:45

se puoi prediligi il metodo degli upload su wikisend

katodb · 17-03-2009, 06:38

Quote:

Originariamente inviato da xcdegasp

per impedire di reinfettare il pc con la chiavetta usb potresti abituarti a usare il pc attraverso un utenza con bassi privilegi (utente limitato), basta che vai in "pannallo di controllo - gestione utenti" e crei un nuvo utente come "utente limitato".

dai una passata con malwarebytes e a-squared che trovi nella guida:
Guida alla Disinfezione per Infetti

ho passato con i programmi che mi hai indicato, a-squared già l'avevo ma ho notato che dopo aver ripulito tutto in msconfig mi compariva di nuovo l'exe del titolo e il note andava lentissimo fino ad impallarsi. In questo preciso momento avast mi segnala un file sospetto trovato con il metodo euristico. C:\luk1ylq.com. Di solito comincia così e poi sia che ignoro o che elimino il note si "infetta" nuovamente.

katodb · 17-03-2009, 07:16

ecco i log fatti stamattina:

mbam-log-2009-03-17 (07-07-39).txt

a2scan_090317-070850.txt

report_1237274116148_587.txt

hijackthis_1237274176114_588.log

xcdegasp · 17-03-2009, 11:00

malwarebytes hai fatto la scansione rapida:

Quote:

17/03/2009 7.07.39
Tipo di scansione: Scansione rapida

la completa serve per fare pulizia efficacemente perchè controllatutte le directory e tutti i file.

a-squared anche in questo caso hai fatto la scansione veloce anzicchè la deep!
l'oggetto identificato dovresti metetrlo in quarantena inquanto non conosco nessun emule5.0

Quote:

Scientifico: Off
Scansione avviata: 17/03/2009 7.08.50

Value: HKEY_USERS\S-1-5-21-1229272821-1645522239-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Emule --> Order rilevati: Trace.Registry.Emule 5.0!A2

pertanto le devi rifare secondo le direttive date altrimenti è inutile farle.. mancano in ordine f-secure, dr.web, sysinspector, hijackthis, gmer e prevxcsi

katodb · 17-03-2009, 13:19

da notare che una volta fatta una prima rimozione, il note sembra ok, ma dopo un tot di tempo avast mi segnala C:\luk1ylq.com e al successivo riavvio si apre la finestra l'utilità di configurazione sistema dove in avvio ritrovo l'exe dell'oggetto e il note si impalla. Dopo alcuni riavvii riesco a toglierlo dai programmi in esecuzione e il note torna normale e adesso vi sto scrivendo mentre faccio lo scan completo con pendrive inserita.
Volevo capire, la rimozione dunque è solo temporanea, credo che l'unico che mi segnale file sospetti anche dopo la pulizia con gli altri tool è prevcsi.

katodb · 17-03-2009, 14:18

altra domanda: l'avast segnala qualcosa in coincidenza con lo scan dei vari programmi, è una mia impressione o c'è una relazione? Devo disattivarlo mentre faccio la scansione?

bozzato · 17-03-2009, 14:44

http://translate.google.it/translate...%3Dit%26sa%3DG

xcdegasp · 17-03-2009, 15:35

Quote:

Originariamente inviato da katodb

altra domanda: l'avast segnala qualcosa in coincidenza con lo scan dei vari programmi, è una mia impressione o c'è una relazione? Devo disattivarlo mentre faccio la scansione?

avast rileva gli oggetti malevoli che stanno per essere puliti dai vari tool.. si scollega ilk pc dalla rete, disattiva avast e fai la pulizia con i tool

katodb · 17-03-2009, 20:32

mbam-log-2009-03-17 (13-58-18).txt

a2scan_090317-143615.txt

F-Secure Online Scanner 3_3_1 - Scanning Report - Tuesday, March 17, 2009 191035.htm

Dr.Web CureIT non eseguito, all'avvio mi da un errore e si chiude

SysInspector-ALI-5178F0511BB-090317-1925_1237321678583_645.xml

hijackthis_1237321702705_647.log

gmer_1237321724511_648.log

prevxcsi.bmp

Aiutatemi, non voglio formattare!

katodb · 18-03-2009, 06:41

Quote:

Originariamente inviato da bozzato

http://translate.google.it/translate...%3Dit%26sa%3DG

grazie, sarebbero le istruzioni per una rimozione manuale?

katodb · 18-03-2009, 09:30

c'è un tool che lo rimuove in maniera permanente? Oppure sbaglio qualcosa nel procedimento perchè la rimozione avviene ma è solo temporanea.

katodb · 18-03-2009, 09:37

Mi sono accorto di non aver seguito la fase preliminare, disattivazione del ripristino. Quanto a Prevxcsi, non posso disinfettare, non ho la licenza

katodb · 18-03-2009, 12:33

qualcuno ha letto i miei log?

xcdegasp · 18-03-2009, 13:30

Quote:

Originariamente inviato da katodb

mbam-log-2009-03-17 (13-58-18).txt

a2scan_090317-143615.txt

F-Secure Online Scanner 3_3_1 - Scanning Report - Tuesday, March 17, 2009 191035.htm

Dr.Web CureIT non eseguito, all'avvio mi da un errore e si chiude

SysInspector-ALI-5178F0511BB-090317-1925_1237321678583_645.xml

hijackthis_1237321702705_647.log

gmer_1237321724511_648.log

prevxcsi.bmp

Aiutatemi, non voglio formattare!

_ con malwarebytes non si vede se hai svolto l'azione di cancellazione degli oggetti individuati..

_ con a-squared hai fatto la semplice scansione veloce e non la DEEP, infatti ha rimosso 3 oggetti di cui due cookies..

_ f-secure evidenzia ben 6 malware 8uno è un cooky).

_ manca la scansione con Dr.WEB cureIT

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\system32\tsnp2std.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

non hai impostato i dns consigliati in guida

_ il log di gmer non è corretto, verifica che siano attivate tutte le funzioni prima di premere scan

_ di prevx manca il log

riassumendo:
_ aggiorna malwarebytes e rifai la scansione facendo l'azione sugli oggetti individuati

_ aggiorna a-squared e rifai la scansione DEEP mettendo tutto in quarantena

_ fai la scansione con ComboFix -> Download
Rinomina il file appena scaricato con un nuome a tua scelta (esempio Prova.exe) poi fai doppio click su combofix.exe e segui le istruzioni.
Allega il report C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

_ fai la scansione con hijackthis

_ fai la scansione con gmer facendo attenzione che tutte le caselline siano attivate

_ fai las scansione con prevxcsi salvando il log

katodb · 18-03-2009, 16:36

starò più attento ma mi avevi già detto che avevo fatto le scansioni non approfondite ed ero convinto di averle fatte. CureIt non mi funziona appena do avvio mi va in errore con la finestra di windows che chiede di inviare l'errore. Rifaccio tutto compreso la fase preliminare

xcdegasp · 18-03-2009, 17:28

fai solo quelle che ti ho indicato cioè salta cureit per ora e fai:
imposta dns
malwarebytes
asquared
combofix
hijackthis
gmer
prevxcsi

tranne le prime due sono abbastanza veloci, mi raccomando attenzione a combofix, piuttosto leggi 5 volte come devi eseguirlo!

katodb · 19-03-2009, 07:41

Quote:

Originariamente inviato da xcdegasp

fai solo quelle che ti ho indicato cioè salta cureit per ora e fai:
imposta dns
malwarebytes
asquared
combofix
hijackthis
gmer
prevxcsi

tranne le prime due sono abbastanza veloci, mi raccomando attenzione a combofix, piuttosto leggi 5 volte come devi eseguirlo!

ciao ho fatto tutto quello che hai detto. L'unico dubbio è stato riguardo combofix, prima di avviare la scansione mi ha avvertito che non avevo installato la consolle di ripristino del sistema e mi ha chiesto se volevo installarla, ho risposto ok e l'ha scaricata dal sito microsoft, poi mi sono scollegato e l'ho fatto partire.

mbam-log-2009-03-19 (06-48-23).txt

a2scan_090319-064937.txt

combo log.txt

hijackthis_1237448453051_758.log

gmer_1237448477113_759.log

prevxCSI.log

16-03-2009, 18:04	#1
katodb Senior Member Iscritto dal: Mar 2003 Città: Palermo Messaggi: 498	olhrwef.exe da sdradicare ho preso questo virus con pendrive inserita. Ho girato un pò di cose Spybots, ad aware e hijiackthis. Adesso il note sembra a posto ma non so se al riavvio si ripresenta. C'è qualche programmino che lo toglie senza bisogno di operare nel registro? Grazie. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18.03.21, on 16/03/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: log rimosso, leggere le Regole di Sezione Ultima modifica di xcdegasp : 16-03-2009 alle 18:07. Motivo: log rimosso, legegre le regole di sezione !

16-03-2009, 18:11	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	per impedire di reinfettare il pc con la chiavetta usb potresti abituarti a usare il pc attraverso un utenza con bassi privilegi (utente limitato), basta che vai in "pannallo di controllo - gestione utenti" e crei un nuvo utente come "utente limitato". dai una passata con malwarebytes e a-squared che trovi nella guida: Guida alla Disinfezione per Infetti __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

16-03-2009, 23:45	#4
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	se puoi prediligi il metodo degli upload su wikisend __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

18-03-2009, 17:28	#19
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	fai solo quelle che ti ho indicato cioè salta cureit per ora e fai: imposta dns malwarebytes asquared combofix hijackthis gmer prevxcsi tranne le prime due sono abbastanza veloci, mi raccomando attenzione a combofix, piuttosto leggi 5 volte come devi eseguirlo! __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

16-03-2009, 19:13	#3
katodb Senior Member Iscritto dal: Mar 2003 Città: Palermo Messaggi: 498	grazie e scusate per aver postato un log troppo lungo

17-03-2009, 07:16	#6
katodb Senior Member Iscritto dal: Mar 2003 Città: Palermo Messaggi: 498	ecco i log fatti stamattina: mbam-log-2009-03-17 (07-07-39).txt a2scan_090317-070850.txt report_1237274116148_587.txt hijackthis_1237274176114_588.log

17-03-2009, 13:19	#8
katodb Senior Member Iscritto dal: Mar 2003 Città: Palermo Messaggi: 498	da notare che una volta fatta una prima rimozione, il note sembra ok, ma dopo un tot di tempo avast mi segnala C:\luk1ylq.com e al successivo riavvio si apre la finestra l'utilità di configurazione sistema dove in avvio ritrovo l'exe dell'oggetto e il note si impalla. Dopo alcuni riavvii riesco a toglierlo dai programmi in esecuzione e il note torna normale e adesso vi sto scrivendo mentre faccio lo scan completo con pendrive inserita. Volevo capire, la rimozione dunque è solo temporanea, credo che l'unico che mi segnale file sospetti anche dopo la pulizia con gli altri tool è prevcsi.

17-03-2009, 14:18	#9
katodb Senior Member Iscritto dal: Mar 2003 Città: Palermo Messaggi: 498	altra domanda: l'avast segnala qualcosa in coincidenza con lo scan dei vari programmi, è una mia impressione o c'è una relazione? Devo disattivarlo mentre faccio la scansione?

17-03-2009, 14:44	#10
bozzato Senior Member Iscritto dal: Feb 2009 Messaggi: 481	http://translate.google.it/translate...%3Dit%26sa%3DG

17-03-2009, 20:32	#12
katodb Senior Member Iscritto dal: Mar 2003 Città: Palermo Messaggi: 498	mbam-log-2009-03-17 (13-58-18).txt a2scan_090317-143615.txt F-Secure Online Scanner 3_3_1 - Scanning Report - Tuesday, March 17, 2009 191035.htm Dr.Web CureIT non eseguito, all'avvio mi da un errore e si chiude SysInspector-ALI-5178F0511BB-090317-1925_1237321678583_645.xml hijackthis_1237321702705_647.log gmer_1237321724511_648.log prevxcsi.bmp Aiutatemi, non voglio formattare!

18-03-2009, 09:30	#14
katodb Senior Member Iscritto dal: Mar 2003 Città: Palermo Messaggi: 498	c'è un tool che lo rimuove in maniera permanente? Oppure sbaglio qualcosa nel procedimento perchè la rimozione avviene ma è solo temporanea.

18-03-2009, 09:37	#15
katodb Senior Member Iscritto dal: Mar 2003 Città: Palermo Messaggi: 498	Mi sono accorto di non aver seguito la fase preliminare, disattivazione del ripristino. Quanto a Prevxcsi, non posso disinfettare, non ho la licenza

18-03-2009, 12:33	#16
katodb Senior Member Iscritto dal: Mar 2003 Città: Palermo Messaggi: 498	qualcuno ha letto i miei log?

18-03-2009, 16:36	#18
katodb Senior Member Iscritto dal: Mar 2003 Città: Palermo Messaggi: 498	starò più attento ma mi avevi già detto che avevo fatto le scansioni non approfondite ed ero convinto di averle fatte. CureIt non mi funziona appena do avvio mi va in errore con la finestra di windows che chiede di inviare l'errore. Rifaccio tutto compreso la fase preliminare

Strumenti
Mostra una versione stampabile Invia questa pagina per email