Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Pulizia generale da infezioni varie :(

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Pulizia generale da infezioni varie :(

Messaggioda Sweetol » gio apr 03, 2008 11:15 am

Prima di tutto un saluto a tutti, sono nuovo del foro, spero che possiate aiutarmi e sappiate che apprezzero qualsiasi vostro supporto [^]

veniamo al dunque, il mio pc ha qualche virozzo che mi affligge! vi riporto subito i virus troovati da nod32 (che ovviamente trova ma non toglie..):

- Win32/Statik
- Win32/PSW.Sinowal.Gen
- BAT/MouseDis
- Win32/Agent


Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
27/03/2008 20.11.01 IMON file h**p://www.om7890.com/fm4/help.exe probabilmente una variante di Win32/Statik applicazione WINDOWSX-1MPD51\WindowsXP

27/03/2008 20.08.15 IMON file h**p://www.om7890.com/fm4/help.exe probabilmente una variante di Win32/Statik applicazione WINDOWSX-1MPD51\WindowsXP

18/03/2008 14.20.34 AMON file C:\RECYCLER\S-1-5-21-436374069-1965331169-725345543-1003\Dc143.tmp probabilmente una variante di Win32/PSW.Sinowal.Gen cavallo di troia posto in quarantena. - cancellato WINDOWSX-1MPD51\WindowsXP Evento occorso su un nuovo file creato da un'applicazione: C:\WINDOWS\Explorer.EXE. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.

14/03/2008 19.03.38 AMON file C:\DOCUME~1\WINDOW~1\IMPOST~1\Temp\Rar$EX02.656\rld-ut3k.exe probabilmente una variante di Win32/Agent cavallo di troia posto in quarantena. - cancellato WINDOWSX-1MPD51\WindowsXP Evento occorso su un nuovo file creato da un'applicazione: C:\Programmi\WinRAR\WinRAR.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.

11/03/2008 17.34.29 AMON file C:\Programmi\Emule 0.48a-Xtreme6.1\Temp\030.part.met.txtsrc probabilmente una variante di BAT/MouseDis cavallo di troia posto in quarantena. - cancellato WINDOWSX-1MPD51\WindowsXP Evento occorso su un nuovo file creato da un'applicazione: C:\Programmi\Emule 0.48a-Xtreme6.1\emule.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.

07/03/2008 16.57.20 AMON file C:\programmi\file comuni\microsoft shared\web folders\ibm00001.dll probabilmente una variante di Win32/PSW.Sinowal.Gen cavallo di troia NT AUTHORITY\SYSTEM Evento occorso durante il tentativo di accesso al file da parte di un'applicazione: C:\WINDOWS\System32\svchost.exe.


sintomi:
- alcune parti di windows sono state cancellate, così ho dovuto ripristinarle da console dato che nn mi accedeva nemmeno a windows.
- firefox mi dà il seguente messaggio: Immagine
- nn mi è possibile disinstallare o reinstallare firefox, dato che un file non si può cancellare
- nn posso effettuare login su siti protetti tipo ebay/paypal percvhè viene indicato un problema di sicurezza
-sono stati bloccati da nod tentativi di connessione a h**p://www.om7890.com/fm4/help.exe

ho windows XP pro sp2

se mi viene in mente altro vi faccio sapere. avete bisogno di altre info? grazie del supporto
Avatar utente
Sweetol
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: gio apr 03, 2008 10:06 am

Messaggioda ste_95 » gio apr 03, 2008 12:20 pm

Qualcosa cerca di connettersi a server remoti e scaricare file infetti.

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Quindi copia il contenuto del blocco note qui sul forum.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Sweetol » gio apr 03, 2008 6:47 pm

ecco qui [^] [^]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.50.20, on 03/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Creative\ShareDLL\CtNotify.exe
C:\Programmi\Creative\ShareDLL\MediaDet.Exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft ActiveSync\Wcescomm.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programmi\Emule 0.48a-Xtreme6.1\emule.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Messenger\Msmsgs.exe
C:\Documents and Settings\WindowsXP\Desktop\MSN\msnmsgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\WindowsXP\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.8.30.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O3 - Toolbar: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O3 - Toolbar: Franson GpsGate - {0D88897F-756C-471C-BA4D-A1AE073638AD} - C:\Programmi\Franson\GpsGate PlugIn Pack\GoogleMapsPlugInXP.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SysDrv] C:\Programmi\File comuni\Microsoft Shared\Web Folders\3dcbec6.tmp
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Documents and Settings\WindowsXP\Desktop\MSN\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\Msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programmi\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 10562 bytes
Avatar utente
Sweetol
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: gio apr 03, 2008 10:06 am


Messaggioda ste_95 » gio apr 03, 2008 7:14 pm

Seleziona a sinistra queste voci e premi in basso il pulsante Fix Checked:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SysDrv] C:\Programmi\File comuni\Microsoft Shared\Web Folders\3dcbec6.tmp
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\Programmi\File comuni\Microsoft Shared\Web Folders\3dcbec6.tmp
C:\WINDOWS\system32\amvo.exe


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Sweetol » ven apr 04, 2008 12:35 am

fatto
come va?

//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\Programmi\File comuni\Microsoft Shared\Web Folders\3dcbec6.tmp" not found!
Deletion of file "C:\Programmi\File comuni\Microsoft Shared\Web Folders\3dcbec6.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\amvo.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




ancora però firefox mi continua a dare quel messaggio (adesso sono riuscito a disinstallarla e reinstallarla ma niente), e ancora rileva tentativi di connessione a quel sito:
h**p://www.om7890.com/fm4/help.exe
probabilmente una variante di Win32/Statik
Avatar utente
Sweetol
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: gio apr 03, 2008 10:06 am

Messaggioda ste_95 » ven apr 04, 2008 6:27 am

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Sweetol » ven apr 04, 2008 2:23 pm

Avatar utente
Sweetol
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: gio apr 03, 2008 10:06 am

Messaggioda ste_95 » ven apr 04, 2008 2:43 pm

Controlla se questo file esiste ancora e svuota la cartella dei temporanei del tuo utente:

C:\WINDOWS\system32\amvo.exe
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Sweetol » ven apr 04, 2008 5:44 pm

c'era solo nella cartella di avenger, l'ho cancellato. adesso che si fa? [:)]
quali cartelle temporanee cancello?
Avatar utente
Sweetol
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: gio apr 03, 2008 10:06 am

Messaggioda ste_95 » ven apr 04, 2008 8:02 pm

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Folders to delete:
C:\Documents and Settings\WindowsXP\Impostazioni locali\Temp


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Sweetol » ven apr 04, 2008 9:51 pm

perfetto, alimentatore andato a signorine! Ste_95 grazie mille dell'aiuto, ritorno appena sostituisco l'alimentatore (in garanzia, spero nn facciano storie!). a risentirci
Avatar utente
Sweetol
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: gio apr 03, 2008 10:06 am

Messaggioda Sweetol » mar apr 08, 2008 11:22 pm

rieccomi. allora, ho cancellato la cartella temporanea. firefox continua a darmi quell'errore li però :(


rettifico: cancellando il profilo di firefox nn mi da + quell'errore. è probabile che comunque la pulizia fosse necessaria perché prima nemmeno mi disinstallava firefox [:-H]


se ci sono altre cose da fare ordina e sarà fatto Stef [^]
Avatar utente
Sweetol
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: gio apr 03, 2008 10:06 am

Messaggioda ste_95 » mer apr 09, 2008 6:10 am

Quindi i problemi sono risolti? [:)]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Sweetol » mer apr 09, 2008 3:21 pm

pare di si [^] in caso di novità ti faccio sapere...grazie mille [^]
Avatar utente
Sweetol
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: gio apr 03, 2008 10:06 am

Messaggioda Sweetol » ven apr 11, 2008 12:18 am

scusami Stef, il nod mi dà quest'errore quando tento di aggiornarlo (si blocca sempre su u39.eset.com)

Immagine


comunque ha un comportamento strano sto pc da qualche ora, mi ha dato memoria piena quando cercavo di usare paint (cosa strana), poi mi ha chiuso internet explorer firefox ed emule in un colpo..vediamo che succede nei prossimi giorni [^]

o cacchio!!! contiua a chiudermi emule ed ho perso tutti i segnalibri sulla barra di firefox..si è bloccato tutto ed ho dovuto resettare! uff, che cosa può essere?

niente, emule si blocca proprio! provo una scansione con bitdefender online...t'oh, figurati se partiva la scansione online! il bottoncino start pare che non serva a nulla (ho IE7!!! inutile!)
Avatar utente
Sweetol
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: gio apr 03, 2008 10:06 am

Messaggioda ste_95 » ven apr 11, 2008 6:17 am

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Sweetol » ven apr 11, 2008 7:16 am

ok, lo faccio subito. intanto neanche nod vuole saperne di funzionare a dovere, si blocca sempre.


http://www.freefilehosting.net/download/3f631


Immagine
Avatar utente
Sweetol
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: gio apr 03, 2008 10:06 am

Messaggioda ste_95 » ven apr 11, 2008 12:55 pm

Il log rootkit?

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\system32\amvo.exe


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Sweetol » ven apr 11, 2008 5:53 pm

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "C:\WINDOWS\system32\amvo.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Avatar utente
Sweetol
Aficionado
Aficionado
 
Messaggi: 42
Iscritto il: gio apr 03, 2008 10:06 am

Messaggioda poppiski » ven apr 11, 2008 6:02 pm

amvo pare che si auto replica su tutti gli HD e anche penne USB .

L'eliminazione manuale sembra molto complessa,
però ho trovato un tool su un sito spagnolo per 'eliminazione.

Se lo vuoi provare lo allego qui
Avatar utente
poppiski
Senior Member
Senior Member
 
Messaggi: 325
Iscritto il: dom apr 06, 2008 6:25 pm
Località: Giulianova

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Google [Bot] e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising