Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
* file e cartelle nascosti
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
101south
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 17:07
Messaggi: 94

MessaggioInviato: 29 Gen 2010 21:08    Oggetto: * file e cartelle nascosti Rispondi citando

Salve, ho i seguenti problemi:
1) i file/cartelle nascosti non si possono più visualizzare (nonostante si clicchi sull'apposita opzione "Strumenti --> Opzioni cartella")
2) MBAM rileva il seguente problema e lo risolve solo momentaneamente, poichè al riavvio è tutto come prima.
3) Moltissimi siti di antivirus/antispyware non si aprono (e questo significa niente update...)

Come posso fare?

MBAM Log:
(Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.)

HI-JACK-THIS Log:
http://wikisend.com/download/442844/hijackthis (29-01-2010).txt

GMER Log:
http://wikisend.com/download/585680/Gmer (29-01-2010).log


P.S. Ho fatto purtroppo una fesseria: la chiave di registro riportata da MBAM... l'ho cancellata manualmente e ora l'opzione per far comparire file/cartelle nascosti non c'è neppure più...
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 29 Gen 2010 21:34    Oggetto: Re: file/cartelle nascosti non visualizzabili Rispondi citando

101south ha scritto:

P.S. Ho fatto purtroppo una fesseria: la chiave di registro riportata da MBAM... l'ho cancellata manualmente e ora l'opzione per far comparire file/cartelle nascosti non c'è neppure più...

Cosa intendi dire......
Non capisco se hai eliminato la chiave, o hai modificato il valore.
Perchè non c'era nienta da eliminare.
Comunque hai dei Rootkit.
Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224

Posta il log nelle solite modalità.

N.B:
Le scansioni con HJT, è meglio se si fanno in modalità normale.
Non in modalità provvisoria.
Top
Profilo Invia messaggio privato
101south
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 17:07
Messaggi: 94

MessaggioInviato: 29 Gen 2010 22:22    Oggetto: Rispondi citando

Eccomi qua.
La chiave da me eliminata è stata per fortuna ripristinata da CCleaner.
Ecco il log richiesto.
Attendo indicazioni.


COMBO-FIX
http://wikisend.com/download/437868/Combofix (29-01-2010).txt
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 29 Gen 2010 23:47    Oggetto: Rispondi citando

Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe e poi clicca Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Codice:
File::
c:\windows\system32\ppgbtemt.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uiwnbuy]

Driver::
uiwnbuy

NetSvcs::
uiwnbuy


e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
Top
Profilo Invia messaggio privato
101south
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 17:07
Messaggi: 94

MessaggioInviato: 30 Gen 2010 00:35    Oggetto: Rispondi citando

Fatto tutto come indicato. Ecco il log:

http://wikisend.com/download/478650/Combofix (29-01-2010) bis.txt
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 30 Gen 2010 00:39    Oggetto: Rispondi citando

Ok.
Il rootkit è stato eliminato.
Altri problemi?
Top
Profilo Invia messaggio privato
101south
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 17:07
Messaggi: 94

MessaggioInviato: 30 Gen 2010 00:54    Oggetto: Rispondi citando

Purtroppo sì.
L'accesso ai siti (Microsoft e altri antivirus) così come l'update ora riesce, quindi ottimo.
Ciò che non va è invece la visualizzazione dei file/cartelle nascosti. Automaticamente si disattiva. Può dipendere dall'autorun di qualche pennetta USB, ma è solo una supposizione...
Cosa si può fare...?
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 30 Gen 2010 01:01    Oggetto: Rispondi citando

Scarica questo file zippato:
link
Scompattalo.
Cliccaci sopra con il tasto destro e scegli "UNISCI".
Riavvia il pc.
Top
Profilo Invia messaggio privato
101south
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 17:07
Messaggi: 94

MessaggioInviato: 30 Gen 2010 01:57    Oggetto: Rispondi citando

Brutte notizie. Sono accapo, tutto come prima, nonostante abbia applicato tutte le istruzioni. Update interdetto, così come accesso ai soliti siti.
Ho scoperto - se può essere utile - che all'interno delle pennette USB è presente il file "jwgkvsq.vmx" dentro RECYCLE e il file "autorun.inf" si rigenera.
Può essere utile il dato?
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 30 Gen 2010 13:27    Oggetto: Rispondi citando

Codice:
Ho scoperto - se può essere utile - che all'interno delle pennette USB è presente il file "jwgkvsq.vmx" dentro RECYCLE e il file "autorun.inf" si rigenera.
Può essere utile il dato?

Certo che è utile.
Ti sei reifettato con le chiavette. ( con il virus Conficker)
Non inserire chiavette o HD esterni, durante la bonifica.
Scarica il tool di rimozione di BitDefender (zippato).

link

Disconnetti il pc da internet.

Estrai tutti i files contenuti nel file zippato.

Verrà creata una cartella dcleaner.

All'interno, troverai il file Cleaner_gui.exe.
Clicca su "Start".
Riavvia il pc al termine della scansione.


Poi:

Ripeti la scansione con Combofix.
Posta il log.
Se Combofix non dovesse funzionare, lo disistalli, e scarica una nuova versione.
Durante la fase di scaricamento, lo rinomini con un nome di fantasia.
Top
Profilo Invia messaggio privato
101south
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 17:07
Messaggi: 94

MessaggioInviato: 30 Gen 2010 21:11    Oggetto: Rispondi citando

Ce l'ho fatta. Dopo quasi una notte a lottare contro quel maledetto autorun sono riuscito a eliminarlo.
Dcleaner ha fatto il suo dovere, eliminando un worm che altri non avevano individuato.
ForceDelete è stato l'unico programma a riuscire ad eliminare l' "autorun.inf" e il famigerato "jwgkvsq.vmx".

Grazie di cuore per la consulenza, sarei disperato senza questo forum.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 30 Gen 2010 21:35    Oggetto: Rispondi citando

Ciao.
Sono contento che il problema sia risolto.
Però se facessi la scansione con Combofix, e postassi il relativo log, sarei più tranquillo.
In seguito, bisognerebbe anche fare un controllo con HJT.
Vedi tu. 8)
Ciao!
Top
Profilo Invia messaggio privato
101south
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 17:07
Messaggi: 94

MessaggioInviato: 30 Gen 2010 23:45    Oggetto: Rispondi citando

Nessun problema! Anzi, meglio così, così sono tranquillo anche io...

COMBOFIX:
http://wikisend.com/download/606090/Combofix Log.txt

HIJACKTHIS:
http://wikisend.com/download/533244/hijackthis.log
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 31 Gen 2010 00:22    Oggetto: Rispondi citando

E infatti, sei ancora infetto.... Confused
Sei veramente sicuro di avere bonificato quella dannata pennetta?
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe e poi clicca Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Codice:
File::
c:\windows\system32\ppgbtemt.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pbcmxt]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wgnqa]

NetSvcs::
wgnqa
pbcmxt

Driver::
wgnqa
pbcmxt


e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix

P.S:
Ma.....il Nod dorme, o stà giocando a briscola, invece di avvisare? (non dico fermare)
Altra cosa: il Nod32, lo hai acquistato, o è una versione Trial?
Top
Profilo Invia messaggio privato
101south
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 17:07
Messaggi: 94

MessaggioInviato: 31 Gen 2010 01:21    Oggetto: Rispondi citando

Cavolo... meno male che abbiamo controllato...
Riposto i log aggiornati.

COMBOFIX:
http://wikisend.com/download/446146/Combofix Log.txt

HIJACKTHIS:
http://wikisend.com/download/504264/hijackthis.log


Speriamo ora sia tutto a posto...
Domanda: e se il Worm è nascosto in qualche altra mia pennetta USB (ne ho tante...)?


P.S. Nod32 non è installato... Perlomeno, forse l'ho provato tempo fa, ma non l'ho mai usato...
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 31 Gen 2010 01:40    Oggetto: Rispondi citando

Scusa, ma che antivirus usi allora?
Combofix mi dice che hai il :.AV: ESET NOD32 antivirus system 2.70
Se hai tante pennette, probabilmente (anzi sicuro) sono tutte infette.
Suggerimento:
Bisogna disattivare momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile in questa pagina (lo trovi sulla destra verso metà pagina) e installalo:
link
Una volta installato, eseguilo e procedi con questi passaggi:

clicca sul simbolo + la sezione My Computer
clicca sul simbolo [+] la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI

Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette (o HD esterni) e fai una scansione delle stesse, con il tuo antivirus. (e con Malwarebytes)
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.
Non ho capito che antivirus usi.
Consiglio: per il momento NON aprire nessuna chiavetta. (ho detto APRIRE, non INSERIRE)
Top
Profilo Invia messaggio privato
101south
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 17:07
Messaggi: 94

MessaggioInviato: 31 Gen 2010 11:18    Oggetto: Rispondi citando

Grazie per l'indicazione.
Ho scaricato il tool di Windows e subito applicato.
Io antivirus stabili non ne uso, faccio scansioni regolari con antivirus online o portable. Forse non è il massimo lo so, ma almeno il computer non è bloccato ogni 5 secondi.
Ora controllerò le pennette una per una.
Grazie ancora!
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 31 Gen 2010 14:32    Oggetto: Rispondi citando

Ciao. Ciao
Veramente singolare la tua filosofia.......
Se ho ben capito, per non pazientare qualche secondo,rischi la formattazione ogni volta che ti colleghi in rete.
Guarda che non sempre, è possibile rimettere in sesto, un pc molto compromesso.
Contento tu...
Io un consiglio, te lo dò:
Guida e installazione di Avira:
http://forum.zeusnews.com/viewtopic.php?t=42228
Poi, il pc è tuo.......vedi tu.
Top
Profilo Invia messaggio privato
101south
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 15/08/08 17:07
Messaggi: 94

MessaggioInviato: 06 Feb 2010 21:23    Oggetto: Rispondi citando

Ciao, scusate se rompo ancora le scatole col virus "jwgkvsq.vmx"...
Solo una piccola cosa. Il virus sembra non essere attivo. Ho notato però che sul "Recycle" di un disco esterno, è presente il file appena citato e che non si riesce assolutamente a cancellare.
C'è qualche sistema? Mi preoccupa la cosa...

http://wikisend.com/download/434864/clamav_report_060210_201433.txt
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 06 Feb 2010 21:49    Oggetto: Rispondi

Usa Unlocker, come indicato in questo messaggio.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi