| Precedente :: Successivo |
| Autore |
Messaggio |
giulio3x
Eroe
Registrato: 09/08/08 12:35
Messaggi: 52
Residenza: Ovest provincia di Treviso
|
 Inviato: 09 Ago 2008 12:53 Oggetto: Grosso problema con virus ntos.exe e correlato wsnpoem |
 |
|
Ciao a tutti sono nuovo e sono disperato perchè questo virus, ntos.exe e wsnpoem è da una settimana che cerco di eliminarli e non riesco.
Per colpa di questo virus ho dovuto formattare ma anche dopo la formattazione il virus era ancora presente, ho usato avenger per cercare di eliminarlo, poi combofix e credevo di esserci riuscito ma niente da fare ad ogni connessione il virus come per magia si riforma anche sulla chiave di registro, non so davvero più come fare, aiutatemi!  |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 09 Ago 2008 15:50 Oggetto: |
|
|
Ciao giulio3x, 
Comincia a fare queste operazioni:
- Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
- Segui le istruzioni di questo topic per usare MBAM.
- Segui le istruzioni di questo topic per eseguire combofix.
- Segui le istruzioni di questo topic per postare il log di HiJackThis.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.
PS: se vuoi, puoi presentarti qui |
|
| Top |
|
|
giulio3x
Eroe
Registrato: 09/08/08 12:35
Messaggi: 52
Residenza: Ovest provincia di Treviso
|
| Inviato: 09 Ago 2008 17:42 Oggetto: |
|
|
ciao ecco i file richiesti:
ah ho fatto la cancellazione solo con atf e non con ccleaner che ultimamente mi cancellò cose rivelatesi fondamentali al sistema 
http://wikisend.com/download/217446/ComboFix.txt
http://wikisend.com/download/102044/mbamlog.txt
http://wikisend.com/download/554892/hijackthis.log
allora Malwarebytes' Anti-Malware ha rivelato alcuni file infetti, tra i quali winlogon della chiave di registro, io ho immediatamente tolto la spunta sulle due voci relative a winlogon poichè se avessi fatto eliminare winlogon si sarebbe tolto anche userinit con coseguente KO di windows, spero di avere fatto bene, nel contempo mi sono recato appunto con regedit sulla chiave di registro winlogon e ho tolto ntos.exe e ho lasciato userinit.exe con anche la virgola al seguito come riportato di lasciare un po su tutti i forum che trattano questo tema, in teoria adesso riconnettendomi per postare i file il problema all'inizio della connessione non si è ripresentato, aspetto la prossima volta che mi connetto per vedere se ntos ricompare. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 09 Ago 2008 17:57 Oggetto: |
|
|
Stranamente, il log di Combofix risulta incompleto. 
Dal log di hijackthis vedo che hai 2 antivirus attivi.
Disabilita il controllo in tempo reale di uno dei due, altrimenti "litigano" tra di loro. 
Fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato. |
|
| Top |
|
|
giulio3x
Eroe
Registrato: 09/08/08 12:35
Messaggi: 52
Residenza: Ovest provincia di Treviso
|
| Inviato: 09 Ago 2008 21:48 Oggetto: |
|
|
ecco il file con il report suspectfile:
http://wikisend.com/download/889892/reportsuspectfile.txt |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 10 Ago 2008 15:46 Oggetto: |
|
|
Il virus sembra scomparso... ha lasciato, però, alcuni ricordini in giro per il pc. 
Ora, fai queste operazioni (così eliminiamo i ricordini del virus):
- Scarica FixWareOut da uno di questi siti:
Sito 1 Sito 2 Sito 3
- Salvalo sul desktop
- Avvialo
- Clicca Next
- Clicca Install
- Assicurati che ci sia il segno di spunta su "Run fixit"
- Clicca Finish.
- Segui le indicazioni.
- Ti chiederà di riavviare il pc, fallo.
- Ci metterà parecchio a riavviarsi. Sii paziente.
- Alla fine dell'operazione, riavvia ancora il pc.
- Rifai il log di hijackthis e postalo insieme al file C:\fixwareout\report.txt
Come ti ho già accennato, 2 antivirus insieme non vanno d'accordo.
Il mio consiglio è di disinstallarli entrambi e di sceglierne uno solo.
Al momento, la mia preferenza va ad AVG (in italiano con antispyware incorporato).
Se proprio vuoi installare un secondo antivirus, ricordati di disabilitarne il motore di scansione in tempo reale durante la fase di installazione.
Dopo (e solo dopo) aver fatto le operazioni indicate sopra, ti consiglio anche di installare Spybot Search & Destroy e SpywareBlaster e utilizzarli per immunizzare il pc. |
|
| Top |
|
|
giulio3x
Eroe
Registrato: 09/08/08 12:35
Messaggi: 52
Residenza: Ovest provincia di Treviso
|
| Inviato: 10 Ago 2008 18:25 Oggetto: |
|
|
ecco i due link dei log:
http://wikisend.com/download/938574/hijackthis.log
http://wikisend.com/download/478040/reportfixwareout.txt
poi ho notato una cosa stranissima io ho fatto un sito e come pagina iniziale ho quella della chat del mio sito, appena vado su quella pagina avg8 che ho appena scaricato mi dice trojan rilevato sulla cartella \temp ma come mai solo su questa pagina c'è questo file trojan che si forma sulla cartella temp? io lo cancello il file e va bene ma ogni volta solo la prima volta che vado sulla pagina chat mi si forma questo trojan cosa può essere? |
|
| Top |
|
|
giulio3x
Eroe
Registrato: 09/08/08 12:35
Messaggi: 52
Residenza: Ovest provincia di Treviso
|
| Inviato: 11 Ago 2008 00:11 Oggetto: |
|
|
| giulio3x ha scritto: |
poi ho notato una cosa stranissima io ho fatto un sito e come pagina iniziale ho quella della chat del mio sito, appena vado su quella pagina avg8 che ho appena scaricato mi dice trojan rilevato sulla cartella \temp ma come mai solo su questa pagina c'è questo file trojan che si forma sulla cartella temp? io lo cancello il file e va bene ma ogni volta solo la prima volta che vado sulla pagina chat mi si forma questo trojan cosa può essere? |
per via di questa cosa ho risolto mi erano state infettate due pagine del mio sito con un codice java che protava alla cosa che ho descritto.
sto provvedendo, dopo aver gia scaricato avg8, a scaricare anche i due programmi che mi hai consigliato, con questi come mi comporto li lascio sempre attivi, cioè hanno la guardia attiva o no? grazie. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 11 Ago 2008 22:32 Oggetto: |
|
|
I logs sembrano puliti. 
SpywareBlaster e SpyBot non hanno una protezione attiva, ma passiva.
Praticamente, con questi programmi, puoi immunizzare il pc (bloccare determinati siti).
A breve dovrei riuscire a postare le istruzioni per il loro utilizzo... spero!
Per quanto riguarda il tuo sito, probabilmente uno dei servizi attivi (ad esempio il contatore delle presenze) cerca di scaricare un virus a ogni visitatore della pagina. Alcuni fornitori di servizi gratuiti lo considerano un modo di "arrotondare" lo stipendio.
Fai queste ultime operazioni per "pulire" il pc:
- Pulizia dei files temporanei con ATF-Cleaner e/o CCleaner
- Pulizia del registro con EUsingFreeRegistryCleaner o Wise Registry Cleaner e, infine, una passata con Auslogics Registry Defrag
- Deframmentazione del disco
|
|
| Top |
|
|
giulio3x
Eroe
Registrato: 09/08/08 12:35
Messaggi: 52
Residenza: Ovest provincia di Treviso
|
| Inviato: 12 Ago 2008 12:22 Oggetto: |
 |
|
| bdoriano ha scritto: | I logs sembrano puliti.
SpywareBlaster e SpyBot non hanno una protezione attiva, ma passiva.
Praticamente, con questi programmi, puoi immunizzare il pc (bloccare determinati siti).
A breve dovrei riuscire a postare le istruzioni per il loro utilizzo... spero!
Per quanto riguarda il tuo sito, probabilmente uno dei servizi attivi (ad esempio il contatore delle presenze) cerca di scaricare un virus a ogni visitatore della pagina. Alcuni fornitori di servizi gratuiti lo considerano un modo di "arrotondare" lo stipendio.
Fai queste ultime operazioni per "pulire" il pc:
- Pulizia dei files temporanei con ATF-Cleaner e/o CCleaner
- Pulizia del registro con EUsingFreeRegistryCleaner o Wise Registry Cleaner e, infine, una passata con Auslogics Registry Defrag
- Deframmentazione del disco
|
ok bdoriano ti ringrazio per quello che hai fatto, magari stavo pensando di scaricare solo uno dei due programmi che mi hai consigliato così da non fare toppa confusione poi vedrò di pulire il registro con i programmini e infine farò la deframmentazione, ti saluto e ringrazio ancora ciao! |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
