Olimpo Informatico

Smjert

Oh diamine è successo un casino in realtà... le righe dello script erano spezzate e ha cancellato le chiavi sbagliate!! per fortuna che avenger fa il backup...
Vai in E:\ troverai una cartella che si chiama avenger, aprila dentro ci troverai uno zip, scompattalo, apri la nuova cartella avenger (se te la crea), doppio click sul file backup.reg (digli di sì).

Stavolta rifai le operazioni per cancellare i file con lo script qua sotto (giusto)

trifoglio · Eroe Registrato: 20/10/06 22:07 Messaggi: 43

Ho 3 problemi:
1- la procedura che mi dici non è possibile perchè quando gli dico di si mi dice che è impossibile importare i file nel registro
2- continua ad uscirmi un infezione di trojan horse clicker DAO
3- continua ad uscirmi un infezione di trojan horse clicker DHV

Smjert

Per il registro fai così: click destro su backup.reg poi Modifica, ti si apre la finestra con delle linee (le chiavi che ti ha cancellato) vedrai che ogni un tot c'è questa linea qua Windows Registry Editor Version 5.00 lascia SOLO quella all'inizio, in testa, tutte le altre (le altre righe Windows Registry Editor Version 5.00) cancellale.
Poi riprova a inserirlo, stavolta dovresti riuscirci.

Edit: per il clicker.. ti avevo scritto delle operazioni ma non hai mai detto se le avevi fatte... te le riporto:

Riavvia il pc in Modalità Provvisoria (F8 al boot)

trifoglio · Eroe Registrato: 20/10/06 22:07 Messaggi: 43

Per quanto riguarda il registro non riesco perchè il file backup e di 0k e cliccando su modifica si apre il blocco note vuoto.
Per quanto riguarda i file da cancellare l'avevo fatto ma non ne avevo neanche uno.
Cmq sono sicuro di essere infettato da .DAO e .DHV

Smjert

Come blocco note vuoto O.o non è che allora hai un'altro archivo .zip?
Stranissimo che non ti abbia fatto il backup! è un casino! se non riesci a backuppare devi ripristinare le configurazioni di sistema...

trifoglio · Eroe Registrato: 20/10/06 22:07 Messaggi: 43

Penso proprio che mi dovrò arrendere

chemicalbit · Dio maturo Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano

Dal log prodotto non si riesce a capire che modifiche abbia fatto e fargliene quindi fare di "inverse"?

Smjert

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion deleted successfully
Fosse facile ricrearla con tutte le rispettive chiavi... però mi sembra moolto strano che non abbia fatto il backup... (il reg lo lascia vuoto solo quando non toglie niente...).

trifoglio · Eroe Registrato: 20/10/06 22:07 Messaggi: 43

rundll32.exe setuppapi,Install HinfSection DefaultInstall 132 %windir%\Inf\ie.inf

Eseguendo questi comandi è possibile ripristinare il registro (consiglio di un amico)

trifoglio · Eroe Registrato: 20/10/06 22:07 Messaggi: 43

Scusate...era una domanda quella di prima...è possibile ripristinare il registro con quei comandi?

Smjert

No... riguarda Internet Explorer...
Però mi sta venendo un dubbio! è molto strano che tu sia riuscito a utilizzare il pc dopo un riavvio (presumo che tu non l'abbia sempre tenuto acceso), perchè ti ha cancellato delle chiavi abbastanza importanti!.
Vai sulla barra di avvio Start->Esegui->digita regedit, dai invio, ti si apre l'editor di registro, controlla se c'è questa chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion (non ti ha fatto il backup forse perchè non l'ha cancellata!).

Altrimenti devi usare il ripristino (Start->Programmi->Accessori->Utilità di sistema->Ripristino configurazione di sistema, controlla che sia selezionato "Ripristina uno stato precedente del computer" e clicca Avanti, guarda se hai un punto di ripristino, se ce lo hai lo selezioni e vai Avanti... (può accadere che tutti i programmi installati nel periodo successivo a quando è stato creato il punto di ripristino risultino non installati).

holifay · Dio maturo Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano

Attenzione Smiert, Avenger è un programma moooooolto potente che cancella a livello di Kernel, prima ancora che il registro di sistema venga costruito a partire dai row hives. Potrebbe cancellare quasi tutte le chiavi e i files, se Swandog46 non avesse previsto una white list, che comunque è molto limitata.

Secondo me, da quello che ho visto, pur con tutte le ottime intenzioni, però tendi a consigliarlo un po´ troppo. Ci sono cose che si possono cancellare con semplici e più tranquilli file reg. Avenger va tenuta solo per casi eccezionali, per quelle chiavi protette dai malware.

Cerca di preferire altri sistemi, se possibile, e se proprio devi consigliarla, ricordati di fare n+1 controlli, su quello che hai scritto e su come lo ha trascritto il forum.

In ogni caso ti dico come mi regolo io ultimamente, quando la chiave è lunga, oppure quando è contiene parole con spazi (come windows NT). Scrivo lo script su un file, lo carico su www.mytempdir.com e lo linko all'utente.

Smjert

Hai ragione :\
Lo tendo ad usare molto per il fatto che è automatico, ed è abbastanza semplice da usare.

Però risulta anche a te strano che non abbia fatto il backup? non riesco a capire come mai!

holifay · Dio maturo Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano

Può essere, purtroppo la procedura di backup è un po' bacata... verrà sistemata nella prossima versione Rolling Eyes

trifoglio · Eroe Registrato: 20/10/06 22:07 Messaggi: 43

Allora procedo con quella chiave? Poi devo mandarti qualche log?
Lo farò stasera a casa

Smjert

1) Prova a vedere se c'è ancora quella chiave che ti ho segnato.
2) Controlla bene nella cartella E:\avenger di avere solo quel backup.reg (vuoto :\) e non altri.
3) Controlla anche di non avere altri archivi zip nella cartella (con il nome backup più una data).

trifoglio · Eroe Registrato: 20/10/06 22:07 Messaggi: 43

Scusa per il ritardo della risposta.
I tre punti che mi hai chiesto li ho verificati ed è tutto ok.
Ora che devo fare?

Smjert

Ehm tutto ok nel senso che la chiave che ti ho segnato c'è? perchè se c'è sei a posto! (per fortuna) perchè non te l'ha cancellata.
Infatti teoricamente se ti cancellava quella chiave non saresti dovuto "sopravvivere" al riavvio...
Quindi anche se è tutto ok ti porgo ancora le mie scuse per l'errore imperdonabile...

Edit: sei ancora affetto dal clicker?
Se sì fatti una scansione online con Panda e con Kaspersky, con database esteso
(dopo che ha scaricato gli aggiornamenti appare il pulsante Next,
premilo poi premi Scan Settings e spunta la voce Extended, dai ok e inizia la scansione scegliendo My Computer).

Posta poi i due log + un nuovo log di HijackThis.

trifoglio · Eroe Registrato: 20/10/06 22:07 Messaggi: 43

Sono io che mi devo scusare x la pazienza che devi avere.
Penso di essere ancora infettato.
Ecco il log di panda dell'intero pc (3 partizioni del disco fisso); ora procedo con il resto.

Incident Status Location

Adware:Adware/GoodSearchNow Not disinfected E:\WINDOWS\service32.exe
Dialer:dialer.min Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB893839-10F0-4AF9-92FA-B23528F530AF}
Possible Virus. Not disinfected C:\Documents and Settings\Massimiliano\Documenti\Video\Video303.zip[video.mpeg.exe]
Possible Virus. Not disinfected C:\Documents and Settings\Massimiliano\Documenti\Video\Video394.zip[video.mpeg.exe]
Adware:Adware/GoodSearchNow Not disinfected E:\avenger\backup.zip[avenger/103251116180.exe]
Spyware:Cookie/Advertising Not disinfected E:\Documents and Settings\Internet\Cookies\internet@advertising[1].txt
Spyware:Cookie/Atlas DMT Not disinfected E:\Documents and Settings\Internet\Cookies\internet@atdmt[2].txt
Spyware:Cookie/Cgi-bin Not disinfected E:\Documents and Settings\Internet\Cookies\internet@cgi-bin[2].txt
Spyware:Cookie/cs.sexcounter Not disinfected E:\Documents and Settings\Internet\Cookies\internet@cs.sexcounter[2].txt
Spyware:Cookie/Doubleclick Not disinfected E:\Documents and Settings\Internet\Cookies\internet@doubleclick[1].txt
Spyware:Cookie/Mediaplex Not disinfected E:\Documents and Settings\Internet\Cookies\internet@mediaplex[1].txt
Spyware:Cookie/SexList Not disinfected E:\Documents and Settings\Internet\Cookies\internet@sexlist[1].txt
Spyware:Cookie/onestat.com Not disinfected E:\Documents and Settings\Internet\Cookies\internet@stat.onestat[2].txt
Spyware:Cookie/XXXCounter Not disinfected E:\Documents and Settings\Internet\Cookies\internet@xxxcounter[1].txt
Dialer:Dialer.IGW Not disinfected E:\Documents and Settings\Internet\Impostazioni locali\Temp\5.tmp
Adware:Adware/GoodSearchNow Not disinfected E:\Documents and Settings\Internet\Impostazioni locali\Temp\winsyst32.exe
Adware:Adware/GoodSearchNow Not disinfected E:\WINDOWS\53168234243.exe
Dialer:Dialer.IGW

Smjert

Scarica questo file .reg, doppiocliccalo e poi rispondi di sì

Scarica CCleaner

Avvia CCleaner e vai su Opzioni->Avanzate, togli la spunta a "cancella file in windows temp solo se più vecchi di 48 ore",
torna su Cleaner e fai Analizza, quando ha finito clicca Avvia Cleaner.

Riavvia il pc in Modalità Provvisoria

Elimina questi file (quelli che ci sono):