Precedente :: Successivo |
Autore |
Messaggio |
101south Eroe in grazia degli dei

Registrato: 15/08/08 17:07 Messaggi: 94
|
Inviato: 29 Gen 2010 21:08 Oggetto: * file e cartelle nascosti |
|
|
Salve, ho i seguenti problemi:
1) i file/cartelle nascosti non si possono più visualizzare (nonostante si clicchi sull'apposita opzione "Strumenti --> Opzioni cartella")
2) MBAM rileva il seguente problema e lo risolve solo momentaneamente, poichè al riavvio è tutto come prima.
3) Moltissimi siti di antivirus/antispyware non si aprono (e questo significa niente update...)
Come posso fare?
MBAM Log:
(Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.)
HI-JACK-THIS Log:
http://wikisend.com/download/442844/hijackthis (29-01-2010).txt
GMER Log:
http://wikisend.com/download/585680/Gmer (29-01-2010).log
P.S. Ho fatto purtroppo una fesseria: la chiave di registro riportata da MBAM... l'ho cancellata manualmente e ora l'opzione per far comparire file/cartelle nascosti non c'è neppure più... |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 29 Gen 2010 21:34 Oggetto: Re: file/cartelle nascosti non visualizzabili |
|
|
101south ha scritto: |
P.S. Ho fatto purtroppo una fesseria: la chiave di registro riportata da MBAM... l'ho cancellata manualmente e ora l'opzione per far comparire file/cartelle nascosti non c'è neppure più... |
Cosa intendi dire......
Non capisco se hai eliminato la chiave, o hai modificato il valore.
Perchè non c'era nienta da eliminare.
Comunque hai dei Rootkit.
Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log nelle solite modalità.
N.B:
Le scansioni con HJT, è meglio se si fanno in modalità normale.
Non in modalità provvisoria. |
|
Top |
|
 |
101south Eroe in grazia degli dei

Registrato: 15/08/08 17:07 Messaggi: 94
|
Inviato: 29 Gen 2010 22:22 Oggetto: |
|
|
Eccomi qua.
La chiave da me eliminata è stata per fortuna ripristinata da CCleaner.
Ecco il log richiesto.
Attendo indicazioni.
COMBO-FIX
http://wikisend.com/download/437868/Combofix (29-01-2010).txt |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 29 Gen 2010 23:47 Oggetto: |
|
|
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe e poi clicca Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
Codice: | File::
c:\windows\system32\ppgbtemt.dll
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uiwnbuy]
Driver::
uiwnbuy
NetSvcs::
uiwnbuy |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix |
|
Top |
|
 |
101south Eroe in grazia degli dei

Registrato: 15/08/08 17:07 Messaggi: 94
|
Inviato: 30 Gen 2010 00:35 Oggetto: |
|
|
Fatto tutto come indicato. Ecco il log:
http://wikisend.com/download/478650/Combofix (29-01-2010) bis.txt |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 30 Gen 2010 00:39 Oggetto: |
|
|
Ok.
Il rootkit è stato eliminato.
Altri problemi? |
|
Top |
|
 |
101south Eroe in grazia degli dei

Registrato: 15/08/08 17:07 Messaggi: 94
|
Inviato: 30 Gen 2010 00:54 Oggetto: |
|
|
Purtroppo sì.
L'accesso ai siti (Microsoft e altri antivirus) così come l'update ora riesce, quindi ottimo.
Ciò che non va è invece la visualizzazione dei file/cartelle nascosti. Automaticamente si disattiva. Può dipendere dall'autorun di qualche pennetta USB, ma è solo una supposizione...
Cosa si può fare...? |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 30 Gen 2010 01:01 Oggetto: |
|
|
Scarica questo file zippato:
link
Scompattalo.
Cliccaci sopra con il tasto destro e scegli "UNISCI".
Riavvia il pc. |
|
Top |
|
 |
101south Eroe in grazia degli dei

Registrato: 15/08/08 17:07 Messaggi: 94
|
Inviato: 30 Gen 2010 01:57 Oggetto: |
|
|
Brutte notizie. Sono accapo, tutto come prima, nonostante abbia applicato tutte le istruzioni. Update interdetto, così come accesso ai soliti siti.
Ho scoperto - se può essere utile - che all'interno delle pennette USB è presente il file "jwgkvsq.vmx" dentro RECYCLE e il file "autorun.inf" si rigenera.
Può essere utile il dato? |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 30 Gen 2010 13:27 Oggetto: |
|
|
Codice: | Ho scoperto - se può essere utile - che all'interno delle pennette USB è presente il file "jwgkvsq.vmx" dentro RECYCLE e il file "autorun.inf" si rigenera.
Può essere utile il dato? |
Certo che è utile.
Ti sei reifettato con le chiavette. ( con il virus Conficker)
Non inserire chiavette o HD esterni, durante la bonifica.
Scarica il tool di rimozione di BitDefender (zippato).
link
Disconnetti il pc da internet.
Estrai tutti i files contenuti nel file zippato.
Verrà creata una cartella dcleaner.
All'interno, troverai il file Cleaner_gui.exe.
Clicca su "Start".
Riavvia il pc al termine della scansione.
Poi:
Ripeti la scansione con Combofix.
Posta il log.
Se Combofix non dovesse funzionare, lo disistalli, e scarica una nuova versione.
Durante la fase di scaricamento, lo rinomini con un nome di fantasia. |
|
Top |
|
 |
101south Eroe in grazia degli dei

Registrato: 15/08/08 17:07 Messaggi: 94
|
Inviato: 30 Gen 2010 21:11 Oggetto: |
|
|
Ce l'ho fatta. Dopo quasi una notte a lottare contro quel maledetto autorun sono riuscito a eliminarlo.
Dcleaner ha fatto il suo dovere, eliminando un worm che altri non avevano individuato.
ForceDelete è stato l'unico programma a riuscire ad eliminare l' "autorun.inf" e il famigerato "jwgkvsq.vmx".
Grazie di cuore per la consulenza, sarei disperato senza questo forum. |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 30 Gen 2010 21:35 Oggetto: |
|
|
Ciao.
Sono contento che il problema sia risolto.
Però se facessi la scansione con Combofix, e postassi il relativo log, sarei più tranquillo.
In seguito, bisognerebbe anche fare un controllo con HJT.
Vedi tu. 8)
Ciao! |
|
Top |
|
 |
101south Eroe in grazia degli dei

Registrato: 15/08/08 17:07 Messaggi: 94
|
Inviato: 30 Gen 2010 23:45 Oggetto: |
|
|
Nessun problema! Anzi, meglio così, così sono tranquillo anche io...
COMBOFIX:
http://wikisend.com/download/606090/Combofix Log.txt
HIJACKTHIS:
http://wikisend.com/download/533244/hijackthis.log |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 31 Gen 2010 00:22 Oggetto: |
|
|
E infatti, sei ancora infetto....
Sei veramente sicuro di avere bonificato quella dannata pennetta?
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe e poi clicca Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
Codice: | File::
c:\windows\system32\ppgbtemt.dll
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pbcmxt]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wgnqa]
NetSvcs::
wgnqa
pbcmxt
Driver::
wgnqa
pbcmxt |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
P.S:
Ma.....il Nod dorme, o stà giocando a briscola, invece di avvisare? (non dico fermare)
Altra cosa: il Nod32, lo hai acquistato, o è una versione Trial? |
|
Top |
|
 |
101south Eroe in grazia degli dei

Registrato: 15/08/08 17:07 Messaggi: 94
|
Inviato: 31 Gen 2010 01:21 Oggetto: |
|
|
Cavolo... meno male che abbiamo controllato...
Riposto i log aggiornati.
COMBOFIX:
http://wikisend.com/download/446146/Combofix Log.txt
HIJACKTHIS:
http://wikisend.com/download/504264/hijackthis.log
Speriamo ora sia tutto a posto...
Domanda: e se il Worm è nascosto in qualche altra mia pennetta USB (ne ho tante...)?
P.S. Nod32 non è installato... Perlomeno, forse l'ho provato tempo fa, ma non l'ho mai usato... |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 31 Gen 2010 01:40 Oggetto: |
|
|
Scusa, ma che antivirus usi allora?
Combofix mi dice che hai il :.AV: ESET NOD32 antivirus system 2.70
Se hai tante pennette, probabilmente (anzi sicuro) sono tutte infette.
Suggerimento:
Bisogna disattivare momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile in questa pagina (lo trovi sulla destra verso metà pagina) e installalo:
link
Una volta installato, eseguilo e procedi con questi passaggi:
clicca sul simbolo + la sezione My Computer
clicca sul simbolo [+] la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI
Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette (o HD esterni) e fai una scansione delle stesse, con il tuo antivirus. (e con Malwarebytes)
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.
Non ho capito che antivirus usi.
Consiglio: per il momento NON aprire nessuna chiavetta. (ho detto APRIRE, non INSERIRE) |
|
Top |
|
 |
101south Eroe in grazia degli dei

Registrato: 15/08/08 17:07 Messaggi: 94
|
Inviato: 31 Gen 2010 11:18 Oggetto: |
|
|
Grazie per l'indicazione.
Ho scaricato il tool di Windows e subito applicato.
Io antivirus stabili non ne uso, faccio scansioni regolari con antivirus online o portable. Forse non è il massimo lo so, ma almeno il computer non è bloccato ogni 5 secondi.
Ora controllerò le pennette una per una.
Grazie ancora! |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 31 Gen 2010 14:32 Oggetto: |
|
|
Ciao.
Veramente singolare la tua filosofia.......
Se ho ben capito, per non pazientare qualche secondo,rischi la formattazione ogni volta che ti colleghi in rete.
Guarda che non sempre, è possibile rimettere in sesto, un pc molto compromesso.
Contento tu...
Io un consiglio, te lo dò:
Guida e installazione di Avira:
http://forum.zeusnews.com/viewtopic.php?t=42228
Poi, il pc è tuo.......vedi tu. |
|
Top |
|
 |
101south Eroe in grazia degli dei

Registrato: 15/08/08 17:07 Messaggi: 94
|
Inviato: 06 Feb 2010 21:23 Oggetto: |
|
|
Ciao, scusate se rompo ancora le scatole col virus "jwgkvsq.vmx"...
Solo una piccola cosa. Il virus sembra non essere attivo. Ho notato però che sul "Recycle" di un disco esterno, è presente il file appena citato e che non si riesce assolutamente a cancellare.
C'è qualche sistema? Mi preoccupa la cosa...
http://wikisend.com/download/434864/clamav_report_060210_201433.txt |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 06 Feb 2010 21:49 Oggetto: |
|
|
Usa Unlocker, come indicato in questo messaggio. |
|
Top |
|
 |
|