Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
VIRUS da http://201.218.196.152 (serch-daily)
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Jolie65
Mortale pio
Mortale pio


Registrato: 04/12/07 18:39
Messaggi: 17

MessaggioInviato: 05 Dic 2007 09:55    Oggetto: VIRUS da http://201.218.196.152 (serch-daily) Rispondi citando

Salve a tutti,
sono nuova del forum e vi faccio i mie complimenti sia per il tempo che dedicate alla risoluzione dei più svariati problemi che vi sottopongono, sia per la competenza che dimostrate.
Ma veniamo al mio problema: da qualche giorno ho notato che durante le ricerche nel web vengo reindirizzata alla seguente pagina: http://201.218.196.152/click.php?c=54553e990a42c6c2d26f4005&r=1.
Da una scansione con KASPERSKY ONLINE SCANNER risulta questo messaggio: C:\WINDOWS\system32\credu.dll Infected: Trojan.Win32.BHO.abo.
Il mio antivirus (NOD32) non ha risolto il problema e HijackThis, effettuato in modalità provvisoria, non riesce a cancellare la voce O2 - BHO: (no name) - {A7703F84-6E63-4CBF-8A30-8C4C3D6BA0AE} - C:\WINDOWS\system32\credu.dll.
A questo punto vi chiedo un aiuto per risolvere il problema.
Grazie e saluti.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 05 Dic 2007 09:58    Oggetto: Rispondi citando

Ciao Jolie65, Ciao

postaci comunque il log completo di hijackthis e poi fai queste altre scansioni:
Scansione con FindAWF
Scansioni con GMER e posta i logs su FreeFileHosting come indicato qui.

PS: se vuoi, puoi presentarti qui
Top
Profilo Invia messaggio privato
Jolie65
Mortale pio
Mortale pio


Registrato: 04/12/07 18:39
Messaggi: 17

MessaggioInviato: 05 Dic 2007 11:25    Oggetto: VIRUS da http://201.218.196.152 (search-daily) Rispondi citando

Ecco i log richiesti.
Attendo fiduciosa e ringrazio anticipatamente.
awf18.txt
Gmer11.txt
gmer223.txt
hijackthis405.log
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 05 Dic 2007 12:14    Oggetto: Rispondi citando

Qualcosa di strano c'è... Think
Prima di procedere, fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui.
Top
Profilo Invia messaggio privato
Jolie65
Mortale pio
Mortale pio


Registrato: 04/12/07 18:39
Messaggi: 17

MessaggioInviato: 05 Dic 2007 13:09    Oggetto: VIRUS da http://201.218.196.152 (search-daily) Rispondi citando

ECCO IL NUOVO LOG DI SUSPECTFILE:
05_12_2007_11_57_report1.zip
Ciao.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 05 Dic 2007 16:53    Oggetto: Rispondi citando

Solo una conferma, hai (o hai avuto) un lettore di smart card GemPlus?

Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Citazione:
Drivers to unload:
zaaluasw

Files to delete:
C:\Documents and Settings\AMoccia\Impostazioni locali\Temp\egpficwb.dat
C:\WINDOWS\system32\drivers\hsuyadcl.dat
C:\WINDOWS\system32\credu.dll

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7703F84-6E63-4CBF-8A30-8C4C3D6BA0AE}

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato insieme a un log aggiornato di hijackthis.
Top
Profilo Invia messaggio privato
Jolie65
Mortale pio
Mortale pio


Registrato: 04/12/07 18:39
Messaggi: 17

MessaggioInviato: 05 Dic 2007 18:46    Oggetto: Rispondi citando

Ti confermo che attualmente uso il lettore GemPlus.
Ecco il nuovo hijackthis: hijackthis409.log. A quanto vedo il credu.dll è ancora al suo posto. Dopo aver eseguito la procedura con AVENGER si è riavviato il pc , Windows si è disconnesso e riavviato da solo. Non mi ha fornito il log di AVENGER ma questo backup: backup.reg.
La pagina web incriminata si carica ancora durante le ricerche, cosa faccio??
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 05 Dic 2007 19:24    Oggetto: Rispondi citando

Think
Verifica se esiste il file C:\avenger.txt e postalo nella tua prossima risposta.

PS: per cortesia, non usare il colore sui link, li sistemo io. Wink
Top
Profilo Invia messaggio privato
Jolie65
Mortale pio
Mortale pio


Registrato: 04/12/07 18:39
Messaggi: 17

MessaggioInviato: 05 Dic 2007 19:57    Oggetto: Rispondi citando

Il file avenger.txt è vuoto.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 05 Dic 2007 20:08    Oggetto: Rispondi citando

Cambiamo approccio...

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Citazione:
Files to delete:
C:\Documents and Settings\AMoccia\Impostazioni locali\Temp\egpficwb.dat
C:\WINDOWS\system32\drivers\hsuyadcl.dat
C:\WINDOWS\system32\credu.dll

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7703F84-6E63-4CBF-8A30-8C4C3D6BA0AE}

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato insieme a un log aggiornato di hijackthis.
Top
Profilo Invia messaggio privato
Jolie65
Mortale pio
Mortale pio


Registrato: 04/12/07 18:39
Messaggi: 17

MessaggioInviato: 06 Dic 2007 09:40    Oggetto: Rispondi citando

Buongiorno,
ecco i nuovi log:
avenger38.txt
hijackthis412.log
Grazie per il tempo che mi stai dedicando, sono abbastanza disperata - il pc è quello che uso in ufficio -
Attendo notizie.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 06 Dic 2007 10:03    Oggetto: Rispondi citando

E' più bastardello di quanto mi aspettassi. Evil or Very Mad
Appena puoi, rifai la scansione con SystemScan e postala.
Vediamo se è cambiato qualcosa nell'intervento di ieri. Think
Top
Profilo Invia messaggio privato
Jolie65
Mortale pio
Mortale pio


Registrato: 04/12/07 18:39
Messaggi: 17

MessaggioInviato: 06 Dic 2007 10:43    Oggetto: Rispondi citando

report74.txt
P.S.: se non ricordo male il problema è iniziato nella mattinata del 29/11.
Grazie ancora.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 06 Dic 2007 11:00    Oggetto: Rispondi citando

Ti chiedo di usare anche ComboFix come indicato qui.
Top
Profilo Invia messaggio privato
Jolie65
Mortale pio
Mortale pio


Registrato: 04/12/07 18:39
Messaggi: 17

MessaggioInviato: 06 Dic 2007 11:22    Oggetto: Rispondi citando

log_Combofix.txt
hijackthis413.log
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 06 Dic 2007 11:32    Oggetto: Rispondi citando

Un'ultima domanda: il disco identificato dalla lettera D: è un CD o un secondo disco fisso/partizione?
Top
Profilo Invia messaggio privato
Jolie65
Mortale pio
Mortale pio


Registrato: 04/12/07 18:39
Messaggi: 17

MessaggioInviato: 06 Dic 2007 11:41    Oggetto: Rispondi citando

E' un lettore CD/DVD.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 06 Dic 2007 12:19    Oggetto: Rispondi citando

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Citazione:
Files to delete:
C:\WINDOWS\system32\credu.dll
C:\Documents and Settings\AMoccia\Impostazioni locali\Temp\egpficwb.dat
C:\WINDOWS\system32\drivers\hsuyadcl.dat

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7703F84-6E63-4CBF-8A30-8C4C3D6BA0AE}
HKEY_LOCAL_MACHINE\system\controlset002\services\zaaluasw
HKLM\system\currentcontrolset\services\zaaluasw

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | zzzHPSETUP

drivers to unload:
zaaluasw

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato con un log aggiornato di hijackthis.
Top
Profilo Invia messaggio privato
Jolie65
Mortale pio
Mortale pio


Registrato: 04/12/07 18:39
Messaggi: 17

MessaggioInviato: 06 Dic 2007 12:33    Oggetto: Rispondi citando

avenger39.txt
hijackthis414.log
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 06 Dic 2007 12:39    Oggetto: Rispondi

Niente da fare... Evil or Very Mad
Ultimo tentativo, invertendo un paio di istruzioni.

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Citazione:

drivers to unload:
zaaluasw

Files to delete:
C:\WINDOWS\system32\credu.dll
C:\Documents and Settings\AMoccia\Impostazioni locali\Temp\egpficwb.dat
C:\WINDOWS\system32\drivers\hsuyadcl.dat

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7703F84-6E63-4CBF-8A30-8C4C3D6BA0AE}
HKEY_LOCAL_MACHINE\system\controlset002\services\zaaluasw
HKLM\system\currentcontrolset\services\zaaluasw

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce | PixelInstall
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce | Reboot

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato (C:\Avenger.txt).

Intanto che fai queste operazioni chiedo un consulto. Twisted Evil
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi