www.MegaLab.it

[prik]

purtroppo si perché ha iniziato a aprirsi dall altro giorno anche un sito di donnine e un altro di pubblicità varia oltre ai sopra citati che vogliono darmi a bere di scaricare un programmino per pc. in totale credo siano qualcosa come 4 o 5 siti che si aprono da soli

[ste_95]

Scarica ComboFix ed esegui una scansione, le istruzioni le trovi in fondo a questo articolo.

[prik]

ho scaricato combofix ma se ci clicco sopra mi dice:
C:\Documents and Settings\ds\Desktop\ComboFix.exe non è un applicazione di Win32 valida.
comunque sono andata sull articolo di cui mi avevi detto e ho scaricato vundoFix...e non mi ha trovato nessun file infetto!!!
eppure a me le pagine mi si aprono ancora!

[stex2005]

ho scaricato combofix ma se ci clicco sopra mi dice:
C:\Documents and Settings\ds\Desktop\ComboFix.exe non è un applicazione di Win32 valida.
comunque sono andata sull articolo di cui mi avevi detto e ho scaricato vundoFix...e non mi ha trovato nessun file infetto!!!
eppure a me le pagine mi si aprono ancora!

L'antivirus funziona?? se no hai anche un tu un Bagle...

[prik]

si si, funziona!

[ste_95]

Prova a scaricare ComboFix da uno dei seguenti link:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe

[prik]

fatto. ha funzionato. e ha creato un log....devo postarlo qui?
due domande:
1 è normale che io avessi installato una seri di giochini dal nome gamebox (se si va su google viene fuori) e mi ha cancellato il programma? (si giocava a varie cose collegandosi a internet)
2 è normale che dalla barra di stato mi sia scomparsa la A di avast? mi è venuto un colpo prima allora sono andata a controllare sul pannello di controllo ma dice che l antivirus ce l ho. Posso rimettere l icona sulla barra di stato?

[ste_95]

Se quei giochini di Google non erano proprio sicuri... E' possibile che siano stati cancellati, ma non preoccuparti, ComboFix fa sempre un backup.

Carica il log su www.mediafire.com e postane qui il link.

[prik]

http://www.mediafire.com/?dja1z2n1mgd

[crazy.cat]

Quanti nomi strani e pericolosi, comincia a controllare se sono presenti i file che ti ho indicato in rosso.

C:\Documents and Settings\ds\Impostazioni locali\Dati applicazioni\mupgziliyh.dat
C:\Documents and Settings\ds\Impostazioni locali\Dati applicazioni\mupgziliyh_nav.dat
C:\Documents and Settings\ds\Impostazioni locali\Dati applicazioni\mupgziliyh_navps.dat
C:\WINDOWS\system32\eaeckac.dat
c:\windows\system32\eaeckac.exe
C:\WINDOWS\system32\eaeckac_nav.dat
c:\WINDOWS\system32\eaeckac_navps.dat
C:\WINDOWS\system32bdn.com
C:\WINDOWS\system32hxiwlgpm.dat
C:\WINDOWS\system32ssvchost.com
C:\WINDOWS\system32taack.dat
C:\WINDOWS\system32VBIEWER.OCX
C:\WINDOWS\system32\szwpurgt.exe
c:\documents and settings\ds\impostazioni locali\dati applicazioni\tafml.exe
C:\Documents and Settings\All Users\Dati applicazioni\pknoruxc\juryhwhy.exe

\Shell\open\Command - F:\0ajq.cmd
\Shell\AutoRun\command - RavMon.exe


C'è di tutto in quel pc, ma che antivirus hai?

[prik]

ah, non sapevo di essere messa così male...
L'antivirus è Avast.
Per quanto riguarda i file in rosso che mi hai chiesto di cercare:
i primi cinque si trovano tutti quanti in C:\QooBox\Quarantine\C\Windows.
gli ultimi due invece non so dove andarli a cercare...

[crazy.cat]

gli ultimi due invece non so dove andarli a cercare...

Usa la ricerca file di Windows inserendo i nomi dei due file.
Se li trovi li aggiungi alla lista dei files to delete con il percorso dove si trovano.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\Documents and Settings\ds\Impostazioni locali\Dati applicazioni\mupgziliyh.dat
C:\Documents and Settings\ds\Impostazioni locali\Dati applicazioni\mupgziliyh_nav.dat
C:\Documents and Settings\ds\Impostazioni locali\Dati applicazioni\mupgziliyh_navps.dat
C:\Documents and Settings\ds\Impostazioni locali\Dati applicazioni\mupgziliyh.exe
C:\WINDOWS\system32\eaeckac.dat
c:\windows\system32\eaeckac.exe
C:\WINDOWS\system32\eaeckac_nav.dat
c:\WINDOWS\system32\eaeckac_navps.dat
C:\WINDOWS\system32bdn.com
C:\WINDOWS\system32hxiwlgpm.dat
C:\WINDOWS\system32ssvchost.com
C:\WINDOWS\system32taack.dat
C:\WINDOWS\system32VBIEWER.OCX
C:\WINDOWS\system32\szwpurgt.exe
c:\documents and settings\ds\impostazioni locali\dati applicazioni\tafml.exe
C:\Documents and Settings\All Users\Dati applicazioni\pknoruxc\juryhwhy.exe


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

[ste_95]

\Shell\open\Command - F:\0ajq.cmd
\Shell\AutoRun\command - RavMon.exe

Questi due dovrebbero essere parte di uno dei tanti worm che si propagano sulle penne USB. Dai una passata con il Perlovga Removal Tool e dovrebbero essere rimossi.