Precedente :: Successivo |
Autore |
Messaggio |
wildchloee Eroe in grazia degli dei
Registrato: 22/09/07 11:56 Messaggi: 190 Residenza: Davanti al mio bambino(notebook)
|
Inviato: 22 Set 2007 12:48 Oggetto: * trojan downloader generic 6 hmb. |
|
|
Ciao a tutti, sono nuova del forum e spero di non aver sbagliato cartella. Vorrei sottoporvi la mia situescion dettagliata e chiedervi consiglio. Farò una cronologia, così posso dettagliare e descrivere tutto per bene.
Ieri mattina: lavoro al pc sul mio sito, scarico da html.it programmi tipo antispyware e così via (ho letto che troppi sono come troppo pochi... avrò esagerato!).
Verso ora di pranzo: il pc si blocca, devo riavviarlo. Al riavvio, non funziona più zero configuration e inoltre la schermata si blocca sul desktop senza icone e senza barra (problema che risolvo disattivando l'esecuzione di acrobat reader 8 all'avvio). Ma il pc continua comunque a bloccarsi, non funziona più nulla e non riesco a far girare 2 applicazioni insieme. Devo sempre riavviarlo tenendo premuto il pulsante di accensione perchè neanche task manager mi aiuta. Avast naturalmente è disattivato.
Primo pomeriggio: dopo attimi di panico, metto i dati importanti su un HD esterno, vado all'altro pc che abbiamo in casa (2 pc connessi a 1 router) e inizio a cercare informazioni. Leggo di virus molto diversi e di situazioni molto diverse. Ecco quello che faccio io:
Scansione con Spybot: trova il TROJAN DOWNLOADER.GENERIC6.DMB e un'altra cosa che si chiama "windows security disabled", sotto il nome "Win32 agent.bgy". Cancello le chiavi di registro.
Dall'altro pc scarico e installo sul mio AVG Antivirus dopo aver tolto Avast che non riusciva più a funzionare, faccio la scansione e trova 2 file infetti, che cancello. Installo anche il firewall PC Tools 2.0, che non si sa mai.
Faccio più scansioni con Hijackthis, controllo il logfile ma non c'è nulla di strano.
Faccio una nuova scansione con AVG antispyware, non trova niente.
Faccio una scansione con Kaspersky, trova 1 virus che infetta 1 file, cancello il file che non mi serviva più (era il file di setup di 1st Page 2007 che avevo scaricato qualche settimana fa).
Faccio un'altra scansione con Spybot, trova ancora Win32 agent.bgy e sto maledetto TROJAN DOWNLOADER.GENERIC6.DMB. Cancello di nuovo le chiavi di registro.
Con Regcleaner mi faccio un giro tra le varie chiavi di registro, cercando in internet informazioni su ognuna per evitare di cancellare cose necessarie, cancello quelle superflue tra cui una infetta di nome "FirstRRRun" che anche Spybot mi aveva segnalato (cone infettata da Win32Agent.bgy).
Faccio DUE scansioni con AVG Antirootkit e in entrambi i casi non trova niente.
Rifaccio la scansione con Kaspersky, tutto pulito.
Provo a seguire tutte le istruzioni Microsoft per ripristinare Zero Configuration, ma non funziona. La connessione funziona solo con la config Utility della mia chiavetta wireless. Vabbè, mi accontenterò.
Arriviamo a stamattina.
Scansione con Spybot. Non trova nulla.
Scansione con Kaspersky, trova di nuovo 1 virus in 2 file infetti:
C:\System Volume Information\_restore{AD4B04F3-BF09-4958-86F9-F884CAF6BF9E}\RP507\A0132970.exe/file1626
e
C:\System Volume Information\_restore{AD4B04F3-BF09-4958-86F9-F884CAF6BF9E}\RP507\A0132970.exe
(nella scansione di ieri sera, identica situazione: infettati un file .exe e un "sottofile" chiamato "file1626").
Un Alert di AVG mi comunica che "DOWNLOADER.GENERIC 6.HMB" infetta un file nella cartella "System Volume Information" di C: (file: c:\system volume information\_restore{un-numero-interminabile-di-cifre}\RP505\A0132895.exe, che naturalmente non ho idea di cosa sia).
Faccio una scansione con Hijackthis, la copio come al solito in una mascherina su Internet che me la interpreta, e non c'è nulla di sospetto.
Che faccio ora? Da quello che ho letto, quello str***o di DOWNLOADER GENERIC 6.HMB non ha removal tools propri ed è piuttosto difficile da eliminare. Io di computer ne so abbastanza, ma finchè funziona... quando c'è da formattare, divento ignorantissima.
Grazie per le vostre risposte!
P.S. posto anche l'ultimo logfile di HIjackthis, non si sa mai.
Logfile of HijackThis v1.99.1
Scan saved at 13.25.44, on 22/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\PC Tools Firewall Plus\FWService.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Sitecom\Sitecom Wireless Network USB Adapter Turbo G WL-172\Installer\WLANUTL.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\EMule\emule.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgvv.exe
C:\Programmi\HijackThis\HijackThis.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://imagine-msn.com/messenger/post/gettingstarted/addcontacts.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [00PCTFW] "C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Collegamento a WLANUTL.lnk = C:\Programmi\Sitecom\Sitecom Wireless Network USB Adapter Turbo G WL-172\Installer\WLANUTL.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.it/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://wildchloee.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130336253890
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://wildchloee.spaces.live.com/PhotoUpload/MsnPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programmi\PC Tools Firewall Plus\FWService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programmi\Windows Live\installer\WLSetupSvc.exe |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 22 Set 2007 13:28 Oggetto: |
|
|
Ciao wildchloee,
innanzitutto, complimenti! Dimostri di saperti muovere in queste situazioni.
I files infetti che ti vengono trovati nelle varie scansioni, sono presenti nella cartella C:\System Volume Information\_restore{AD4B04F3-BF09-4958-86F9-F884CAF6BF9E} (è la cartella del ripristino di sistema).
Il mio consiglio è di disabilitare il ripristino di sistema. In questa maniera vengono eliminati quei files.
Ho letto che hai già usato AVG Rootkit e non ti ha trovato niente.
Giusto per "sfizio" fai le scansioni con GMER e posta i logs su http://www.freefilehosting.net come indicato qui.
Poi fai la scansione con SystemScan e posta i logs su http://www.freefilehosting.net come indicato qui.
PS: se vuoi, puoi presentarti qui |
|
Top |
|
|
wildchloee Eroe in grazia degli dei
Registrato: 22/09/07 11:56 Messaggi: 190 Residenza: Davanti al mio bambino(notebook)
|
Inviato: 22 Set 2007 13:42 Oggetto: |
|
|
ciao, grazie per la risposta!
sto avviando le procedure che dici.
volevo chiedere: dopo che ho disattivato il ripristino di sistema, faccio andare l'antivirus? Perchè il virus ora ce l'ho nel "Virus Vault" di AVG e non so se si riforma subito.
Inoltre ho dimenticato di dire che nella scansione con Kaspersky che stavo facendo mentre AVG mi rilevava il DOWNLOADER GENERIC 6, tale downloader non era stato rilevato, ma era stato rilevato (nella stessa cartella "_restore/..." con lo stesso numero ma in un file diverso) "BADJOKE js". Niente downloader, però. |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 22 Set 2007 13:57 Oggetto: |
|
|
Scusa, mi spiego meglio:
- disattiva il ripristino di sistema
- ripulisci i files temporanei:
Scarica ATF-Cleaner.
Avvia ATF-Cleaner
Metti il segno di spunta a Select All
(se vuoi conservare i files del cestino, togli il segno di spunta a Recycle bin)
Clicca su Empty selected
- fai i logs con gmer (come ti ho indicato prima)
- fai il log con SystemScan (come ti ho indicato prima)
- se vuoi, intanto che ci leggiamo i tuoi logs, puoi pure lanciare una scansione con il tuo antivirus.
La virus vault è un'area dove vengono depositati e resi innocui i virus scoperti. Da AVG, puoi entrare nella virus vault e svuotarla (Empty). |
|
Top |
|
|
wildchloee Eroe in grazia degli dei
Registrato: 22/09/07 11:56 Messaggi: 190 Residenza: Davanti al mio bambino(notebook)
|
Inviato: 22 Set 2007 13:59 Oggetto: |
|
|
intanto che faccio tutto ciò, così per gradire, non so se possa essere utile, vi posto due screenshot per essere più precisa.
Virus Vault di AVG con descrizione del virus che rileva (che Kaspersky non ha rilevato)
http://www.freefilehosting.net/show/MjM0NzA=
Risultato della scansione di Kaspersky di stamattina: stesso "not-virus" di ieri sera, solo che ieri sera il file infetto era il file di setup di First Page 2006 situato in C:\programmi\evrsfot\etc etc)
http://www.freefilehosting.net/show/MjM0NzU=
(scusate, non si vede benissimo, ma quella dimensione è il meglio che possa fare) |
|
Top |
|
|
wildchloee Eroe in grazia degli dei
Registrato: 22/09/07 11:56 Messaggi: 190 Residenza: Davanti al mio bambino(notebook)
|
Inviato: 22 Set 2007 14:14 Oggetto: |
|
|
ed ecco la scansione con GMER:
http://www.freefilehosting.net/download/MjM0ODA= |
|
Top |
|
|
wildchloee Eroe in grazia degli dei
Registrato: 22/09/07 11:56 Messaggi: 190 Residenza: Davanti al mio bambino(notebook)
|
Inviato: 22 Set 2007 14:43 Oggetto: |
|
|
Ho fatto la cosa di disabilitare il ripristino di sistema ed eliminare i file temporanei con ATF-Cleaner. Ho poi riavviato il sistema e una volta dentro windows ho riattivato il ripristino di sistema.
Dopo aver fatto la scansione con GMER sono andata per scaricare SystemScan ma non mi fa scaricare il file dicendo che ho i popup disabilitati. Li ho abilitati ma lo stesso non riesco a scaricarlo.
Nel frattempo...
Navigando un po' nel forum e leggendo qua e là ho deciso di fare un'ulteriore scansione con "Find AWF", il cui report è il seguente (ovvero non dice niente):
Find AWF report by noahdfear ©2006
Version 1.40
bak folders found
~~~~~~~~~~~
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
end of report |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 22 Set 2007 15:16 Oggetto: |
|
|
wildchloee ha scritto: | Dopo aver fatto la scansione con GMER sono andata per scaricare SystemScan ma non mi fa scaricare il file dicendo che ho i popup disabilitati. Li ho abilitati ma lo stesso non riesco a scaricarlo. |
Per scaricare il file tieni premuto il tasto CTRL per tutto il tempo.
Dimenticavo: manca il secondo log di gmer (Autostart). |
|
Top |
|
|
wildchloee Eroe in grazia degli dei
Registrato: 22/09/07 11:56 Messaggi: 190 Residenza: Davanti al mio bambino(notebook)
|
Inviato: 22 Set 2007 15:39 Oggetto: |
|
|
Ecco il secondo log di GMER (Autostart):
gmerlog2.txt |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 22 Set 2007 16:18 Oggetto: |
|
|
Sei riuscita a scaricare SystemScan? |
|
Top |
|
|
wildchloee Eroe in grazia degli dei
Registrato: 22/09/07 11:56 Messaggi: 190 Residenza: Davanti al mio bambino(notebook)
|
Inviato: 22 Set 2007 16:47 Oggetto: |
|
|
si, ho scaricato SystemScan ed ecco il report della scansione:
http://www.freefilehosting.net/download/MjM1MzY=
trovato niente negli altri report che ho postato?
grazie |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 22 Set 2007 17:38 Oggetto: |
|
|
Scarica questo e scompattalo in una sua cartella non temporanea e non sul desktop
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Citazione: | Files to delete:
C:\WINDOWS\ua2.dll
C:\WINDOWS\System32\WinSys32.crc
C:\WINDOWS\system32\drivers\mchInjDrv.sys
C:\WINDOWS\Tasks\AD123558938DABE8.job |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato.
Avvia ATF-Cleaner
Metti il segno di spunta a Select All
(se vuoi conservare i files del cestino, togli il segno di spunta a Recycle bin)
Clicca su Empty selected |
|
Top |
|
|
wildchloee Eroe in grazia degli dei
Registrato: 22/09/07 11:56 Messaggi: 190 Residenza: Davanti al mio bambino(notebook)
|
Inviato: 22 Set 2007 18:00 Oggetto: |
|
|
Fatte entrambe le cose, ma con Avenger non credo sia andata bene... ecco il risultato:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\invqjfgb
*******************
Script file located at: exvyqksf
Could not open script file! Error
Could not open script file! Status: 0xc000003b Abort! |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
|
Top |
|
|
wildchloee Eroe in grazia degli dei
Registrato: 22/09/07 11:56 Messaggi: 190 Residenza: Davanti al mio bambino(notebook)
|
Inviato: 22 Set 2007 18:08 Oggetto: |
|
|
c'è di più: ho riprovato a far andare Avenger dopo il riavvio e dopo aver cliccato su "Done" quando incollo il codice che mi hai dato tu mi ha dato alcuni messaggi d'errore e un error log:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now! |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 24 Set 2007 04:51 Oggetto: |
|
|
Proviamo un altro metodo:
- scaricati questo
- scompattalo in una sua cartella
- avvialo
- segui le istruzioni a video
dopo il riavvio del pc, ti si aprirà il notepad con il log di Avenger. Copia qui il contenuto |
|
Top |
|
|
wildchloee Eroe in grazia degli dei
Registrato: 22/09/07 11:56 Messaggi: 190 Residenza: Davanti al mio bambino(notebook)
|
Inviato: 24 Set 2007 09:06 Oggetto: |
|
|
Ciao!
Prima di procedere con l'ultimo tuo consiglio, volevo aggiornarti con la situazione.
Da sabato pomeriggio, cioè da quando tutto ciò che ho fatto è stato disabilitare il ripristino di sistema ed eliminare i file temporanei, nessun programma del mio pc ha più rilevato virus; nè AVG antivirus, nè Spybot, nemmeno più Kaspersky.
L'unica cosa di rilievo è che quando lancio la scansione antivirus, dopo un po' AVG, nella sua finestra di report, mi dice che c'è stato un reading error sul file "C:\windows\system32\drivers\etc\hosts".
Ho controllato: la cartella "drivers" dentro system32 è nascosta, e contiene effettivamente una cartella "etc" la quale a sua volta contiene 5 files: "hosts.msn" (nella descrizione dice "file MSN"), "lmhosts" (file SAM), e "networks", "protocol" e "services", dei quali non mi dà alcuna descrizione.
Ad ogni modo, questo errore non pregiudica la scansione antivirus (almeno apparentemente, ovvio ).
Secondo te, devo comunque procedere con il file che mi hai fatto scaricare? ti ringrazio moltissimo |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 24 Set 2007 09:35 Oggetto: |
|
|
quei files vanno eliminati ugualmente...
Si, procedi pure.
Infatti, la seconda operazione che volevo farti fare, è di ripulire il file hosts:
Scarica Hoster
Avvia Hoster
probabilmente dovrai cliccare su "Make Writable?"
clicca su "Restore Microsoft's Original Hosts File"
clicca su "Make Host Read Only?"
e chiudilo
edit: avevo dimenticato un passaggio. |
|
Top |
|
|
wildchloee Eroe in grazia degli dei
Registrato: 22/09/07 11:56 Messaggi: 190 Residenza: Davanti al mio bambino(notebook)
|
Inviato: 24 Set 2007 10:54 Oggetto: |
|
|
Lo script "su misura" ha funzionato, ecco il log:
Codice: | //////////////////////////////////////////
AvRunner - www.suspectfile.com
//////////////////////////////////////////
//////////////////////////////////////////
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kvdjappm
*******************
Script file located at: \??\C:\vmrpleyh.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\ua2.dll deleted successfully.
File C:\WINDOWS\System32\WinSys32.crc deleted successfully.
File C:\WINDOWS\system32\drivers\mchInjDrv.sys deleted successfully.
File C:\WINDOWS\Tasks\AD123558938DABE8.job deleted successfully.
Completed script processing.
*******************
Finished! Terminate. |
Inoltre io Hoster l'ho scaricato, ma appena lo apro mi dice che il file HOSTS non esiste (forse è stato rinominato?) e mi chiede se voglio crearlo. |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 24 Set 2007 11:15 Oggetto: |
|
|
Mi sa che il virus l'ha reso "invisibile".
A saperlo prima...
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Citazione: | Files to delete:
C:\WINDOWS\System32\drivers\etc\hosts |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato.
Riavvia Hoster e fagli creare il file hosts. |
|
Top |
|
|
|