Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
virus molto cattivo!! (printer.exe__)
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
uffa14
Eroe
Eroe


Registrato: 27/09/07 11:53
Messaggi: 47
Residenza: Rimini
MessaggioInviato: 27 Set 2007 12:29    Oggetto: virus molto cattivo!! (printer.exe__) Rispondi citando
Ciao a tutti.

Non sono un novellino dell'informatica, ma questa volta non cavo un ragno da un buco... o meglio un virus da un computer Crying or Very sad

Il pc in questione e XP da qualche tempo mio cugino aveva problemi, popup che consigliavano di scaricare fantomatici antivirus e simili.

Mi ha chiamato, ma appena tentavo di lanciare hjt o altri tipi di software di scansione il virus faceva ripartire explorer e bloccava i miei tentativi!!

Ho portato il pc in ufficio, montato l'hd su un box usb e gli ho fatto una scansione con AVG aggiornato mi ha trovato e cancellato alcuni files infetti da
"Trojan horse downloaders.generic6.GVV"
"Trojan horse downloaders.generic7.JGV"
i files erano system.exe, autorun.exe printer.exe winavxx.exe.

Ho rimontato il disco ma il problema persiste.
per potere lanciare hjt, su suggerimento di un collega, ho fatto così:
1)lanciato cmd.exe
2) da taskmanager terminato explorer.exe
3)da cmd lanciato hjt

ho fatto una pulizia di alcune chiavi decisamente "brutte" ma il problema persiste.
Nel cercare informazioni sono capitato qui, ho visto il post "Come e cosa segnalare per i vostri problemi" ed ho seguito le istruzioni.

nel file di testo uplodato qui


perolimpo.txt

trovate i due log hjt prima e dopo le pulizie che ho effettuato, ed i logs di gmer.

Spero in un aiuto!!
Grazie
Marco
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 27 Set 2007 14:03    Oggetto: Rispondi citando
benvenuto Marco Smile

bella idea quella di mettere insieme tutti i log Wink

scarica Avenger e scompattalo sul desktop
avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/Edit scrit copia/incolla queste righe:
Citazione:
Files to delete:
c:\windows\system32\rkuibpth.old

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Clicca Done
poi sul icona del semaforo
rispondi Yes (a questo punto il PC dovrebbe riavviarsi. se così non fosse riavvialo manualmente)
posta qui il log di Avenger

può sempre darsi che il malware presente non ti farà avviare il tool. in quel caso procedi così:
avvia il PC in mod. provvisoria
apri il registro
portati alla chiave HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe clic con destro> elimina

nel caso non sì fà eliminare:
clic con destro su explorer.exe seleziona l'opzione autorizzazioni, seleziona il tuo account e spunta la casella controllo completo nella colonna consenti.
poi clic con destro sulla chiave e scegli elimina

controlla anche l'eventuale presenza di questa chiave (anche se non mi sembra):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
se presente, eliminala alla stessa maniera
Top
Profilo Invia messaggio privato
uffa14
Eroe
Eroe


Registrato: 27/09/07 11:53
Messaggi: 47
Residenza: Rimini
MessaggioInviato: 27 Set 2007 14:56    Oggetto: Rispondi
Grazie della celerissima risposta...

Spero di avere già risolto, ma mettero sicuramente in opera i tuoi suggerimenti, non si sa mai

Ravanando sulla rete ho trovato combofix che mi ha ripulito la macchina (o almeno dopo il suo passaggio non avevo piu il problema!)

mi ha dato un log con le operazioni effettuate dove mi ha fatto vedere cosa ha pulito
====================
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\DOWNLO~1.\gntkwj
C:\WINDOWS\DOWNLO~1.\gntkwj\EsLHlKDD.dat
===============
e che il bastardo aveva schedulato dei task all'avvio per reinfettare il pc
===================
Contents of the 'Scheduled Tasks' folder
"2007-05-02 13:48:00 C:\WINDOWS\Tasks\acjwnv.job"
- c:\windows\system32\tskgewuy.exe
"2007-03-23 16:02:23 C:\WINDOWS\Tasks\afzu.job"
"2007-05-15 13:30:56 C:\WINDOWS\Tasks\apgtpv.job"
==============================

Ovviamente ho eliminato tutti i tasks e cancellato con killbox tskgewuy.exe che avg finalmente mi mostrava infetto!
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi