|
|
|
| csamcram |
Ciao ragazzi!
Sono nuovissimo!
Ho un bel problemino...
Ho letto che alcuni utenti hanno un problema simile.
Ma il mio pare sia diverso.
spiego subito cosa è.
Ero alla ricerca di ebook di fotografie e corsi per fotografie quando in uno dei
tanti siti di ricerca, si sono aperte tante Pop-Up con relativi virus!
Come Antivirus ho McAfee.
Adesso, ad ogni riavvio ho riscontrato questi problemi:
1) Viene rilevato sempre questo Virus:
C:\DOCUMENTS AND SETTINGS\CAD5\DATI APPLICAZIONI\NI.GSCNS\IUPD721.EXE
2) La richiesta di visualizare le cartelle nascoste è COMPLETAMENTE
scomparsa!!!:
3) Aprendo Internet Explorer non carica NESSUNA IMMAGINE!!!
Ringrazio in anticipo tutti voi! Anche solo per l'attenzione mostratami.
Grazie. |
| ryan atwood |
Fai una scansione con
[URL=http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html]Kaspersky[
/URL]
Infine posta il risultato |
| csamcram |
Attualmente sto scasionando da SYMANTEC e con SPYBOOT.
Se faccio con Kaspersrky devo prima installare Java 1.5
Se faccio un ripreistino, è meglio, o prima faccio la scansione che mi hai
detto?
Perché oggi non perderei praticamente nulla sul PC dato che il guasto è avvenuto
subito, in mattinata.
grazie :) |
|
|
|
|
| ryan atwood |
se ripristini perdi tt i file, cerchiamo di non perderli!!! ti consiglierei di
fare quella scansione.
Quando la fai, non fare altre scansioni consecutivamente!!! |
|
|
|
|
| csamcram |
Questo è il rapporto da Search & Destroy.
Adesso mi accingo a fare la scansione con "KASPERSKY!.
:)
Fraud.AntiMalwares: [SBI $933C9047] Eseguibile (File, fixed)
C:\Documents and Settings\CAD5\Impostazioni locali\temp\csrssc.exe
MicroAntivirus: [SBI $976D9A9F] Eseguibile (File, fixed)
C:\Documents and Settings\CAD5\Impostazioni locali\Temp\winvsnet.exe
Smitfraud-C.: [SBI $0CC286E1] Impostazioni di avvio automatico (Valore di
registro, fixed)
HKEY_USERS\S-1-5-21-73586283-1060284298-725345543-1119\SOFTWARE\Microsoft\Window
s\CurrentVersion\Run\Jnskdfmf9eldfd
Smitfraud-C.: [SBI $0CC286E1] File di programma (File, fixed)
C:\DOCUME~1\CAD5\IMPOST~1\Temp\csrssc.exe
Microsoft.Windows.Explorer: [SBI $DA080EA7] Impostazioni utente (Modifica al
registro, fixed)
HKEY_USERS\S-1-5-21-73586283-1060284298-725345543-1119\Software\Microsoft\Window
s\CurrentVersion\Policies\Explorer\NoFolderOptions
Microsoft.WindowsSecurityCenter.RegistryTools: [SBI $D60CD1E3] Impostazioni
(Modifica al registro, fixed)
HKEY_USERS\S-1-5-21-73586283-1060284298-725345543-1119\SOFTWARE\Microsoft\Window
s\CurrentVersion\policies\system\DisableRegistryTools
IRC.crt: [SBI $85946BC3] Impostazioni di avvio automatico (Valore di registro,
fixed)
HKEY_USERS\S-1-5-21-73586283-1060284298-725345543-1119\SOFTWARE\Microsoft\Window
s\CurrentVersion\Run\prunnet
IRC.crt: [SBI $85946BC3] Impostazioni di avvio automatico (Valore di registro,
fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet
PWS.LDPinchIE: [SBI $32D83D62] Impostazioni utente (Valore di registro, fixed)
HKEY_USERS\S-1-5-21-73586283-1060284298-725345543-1119\Software\Microsoft\Window
s\CurrentVersion\Explorer\idstrf
Virtumonde.sci: [SBI $B1BAF2AC] Assistente del browser (BHO) (Chiave di
registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{140BD8E3-C167-11D4-B4A3-080000180323}
DoubleClick: Cookie tracciante (Internet Explorer: cad5) (Cookie, fixed)
AdRevolver: Cookie tracciante (Internet Explorer: cad5) (Cookie, fixed)
AdRevolver: Cookie tracciante (Internet Explorer: cad5) (Cookie, fixed)
AdRevolver: Cookie tracciante (Internet Explorer: cad5) (Cookie, fixed)
AdRevolver: Cookie tracciante (Internet Explorer: cad5) (Cookie, fixed)
Right Media: Cookie tracciante (Internet Explorer: cad5) (Cookie, fixed)
--- Spybot - Search & Destroy version: 1.5.2 (build: 20080128) ---
2008-01-28 blindman.exe (1.0.0.7)
2008-01-28 SDDelFile.exe (1.0.2.4)
2008-01-28 SDMain.exe (1.0.0.5)
2007-10-07 SDShred.exe (1.0.1.2)
2008-01-28 SDUpdate.exe (1.0.8.8)
2008-01-28 SDWinSec.exe (1.0.0.11)
2008-01-28 SpybotSD.exe (1.5.2.20)
2008-09-16 TeaTimer.exe (1.6.3.25)
2008-02-12 unins000.exe (51.49.0.0)
2008-01-28 Update.exe (1.4.0.6)
2008-10-22 advcheck.dll (1.6.2.13)
2007-04-02 aports.dll (2.1.0.0)
2007-11-17 DelZip179.dll (1.79.7.4)
2008-01-28 SDFiles.dll (1.5.1.19)
2008-09-15 SDHelper.dll (1.6.2.14)
2008-01-28 Tools.dll (2.1.3.3)
2008-11-04 Includes\Adware.sbi (*)
2008-11-05 Includes\AdwareC.sbi (*)
2008-06-03 Includes\Cookies.sbi (*)
2008-09-02 Includes\Dialer.sbi (*)
2008-09-09 Includes\DialerC.sbi (*)
2008-07-23 Includes\HeavyDuty.sbi (*)
2008-09-02 Includes\Hijackers.sbi (*)
2008-10-28 Includes\HijackersC.sbi (*)
2008-09-09 Includes\Keyloggers.sbi (*)
2008-11-04 Includes\KeyloggersC.sbi (*)
2008-11-04 Includes\Malware.sbi (*)
2008-11-04 Includes\MalwareC.sbi (*)
2008-11-03 Includes\PUPS.sbi (*)
2008-11-04 Includes\PUPSC.sbi (*)
2007-11-07 Includes\Revision.sbi (*)
2008-06-18 Includes\Security.sbi (*)
2008-10-23 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2008-11-04 Includes\Spyware.sbi (*)
2008-11-04 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2008-11-04 Includes\Trojans.sbi (*)
2008-11-04 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll |
|
|
|
|
| csamcram |
SECONDO RAPPORTO DA KASPERSKY
:)
Grazie ancora una volta per la tua disponibilità e gentilezza.
:) :) :) |
|
|
|
|
| csamcram |
Ecco, ma li ha eliminati? che faccio?
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Tuesday, November 11, 2008
Operating System: Microsoft Windows XP Professional Service Pack 3 (build
2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Tuesday, November 11, 2008 05:53:48
Records in database: 1379285
--------------------------------------------------------------------------------
Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes
Scan area - My Computer:
C:\
Scan statistics:
Files scanned: 188295
Threat name: 4
Infected objects: 5
Suspicious objects: 0
Duration of the scan: 01:48:14
File name / Threat name / Threats count
csrssc.exe\csrssc.exe/csrssc.exe\csrssc.exe Infected:
Trojan-Downloader.Win32.Suurch.eo 1
C:\DOCUME~1\CAD5\IMPOST~1\Temp\csrssc.exe/C:\DOCUME~1\CAD5\IMPOST~1\Temp\csrssc.
exe Infected: Trojan-Downloader.Win32.Suurch.gn 1
C:\Documents and Settings\CAD5\Impostazioni locali\Temp\csrssc.exe Infected:
Trojan-Downloader.Win32.Suurch.gn 1
C:\WINDOWS\system32\prun.exe Infected: Trojan.Win32.VB.gop 1
C:\WINDOWS\system32\TDSSxfum.dll Infected: Rootkit.Win32.Clbd.lb 1
The scan was stopped by the user.
L'ho stoppato io perché stava facendo la scansione del SERVER.
MA NON LI HA ELIMINATI? |
|
|
|
|
| csamcram |
E ADESSO, COSA DEVO FARE?
non capsico perché non li elimini...
devo farlo io?
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Tuesday, November 11, 2008
Operating System: Microsoft Windows XP Professional Service Pack 3 (build
2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Tuesday, November 11, 2008 05:53:48
Records in database: 1379285
--------------------------------------------------------------------------------
Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes
Scan area - Folder:
C:\
Scan statistics:
Files scanned: 180746
Threat name: 3
Infected objects: 3
Suspicious objects: 0
Duration of the scan: 01:20:25
File name / Threat name / Threats count
C:\Documents and Settings\CAD5\Impostazioni locali\Temp\csrssc.exe Infected:
Trojan-Downloader.Win32.Suurch.gn 1
C:\WINDOWS\system32\prun.exe Infected: Trojan.Win32.VB.gop 1
C:\WINDOWS\system32\TDSSxfum.dll Infected: Rootkit.Win32.Clbd.lb 1
The selected area was scanned.
dice anche questo:
Trojan.Win32.VB.gop
Rootkit.Win32.Clbd.lb
Trojan-Downloader.Win32.Suurch.gn
NON SO CHE FARE.... :,( :,( :,(
ho riscansionto quelle aree...
ma ancor anon visualio le CARTELLE e NON MI DA + le immagini in rete....
:,(:,(:,(:,(:,(:,( |
|
|
|
|
| csamcram |
che faccio ragazzi?
uso il ripristino?
ho rimandato SpyBoot e trova altri errori....
dopo posto il rapporto... |
|
|
|
|
| ryan atwood |
ok, salva i file importanti.
cm ti và il computer?? |
|
|
|
|
| csamcram |
Citazione: Originariamente inviato da ryan atwood
ok, salva i file importanti.
cm ti và il computer??
il Computer ha i soliti problemi:
1) non si visualizano le CARTELLE o meglio, l'opzione pe visualizzare o meno i
file nascosti.
2) non carica nessuna immgine da Internet Explorer...
ma allora non sono servite a nulla le scansioni?
scusa se ti rompo, ma di queste cose proprio non me ne intendo. |
|
|
|
|
| ryan atwood |
scarica Systemscan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan =>
clicca su "Scan Now". Finita la scansione, riattiva l'antivirus
carica il rapporto che trovi sul desktop su
Savefile e posta il link ottenuto.
nota: systemscan viene riconosciuto come infetto per il tipo di scansione
effettuata (è un falso positivo). La procedura postata è sicura. |
|
|
|
|
| csamcram |
Citazione: Originariamente inviato da ryan atwood
scarica Systemscan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan =>
clicca su "Scan Now". Finita la scansione, riattiva l'antivirus
carica il rapporto che trovi sul desktop su
Savefile e posta il link ottenuto.
nota: systemscan viene riconosciuto come infetto per il tipo di scansione
effettuata (è un falso positivo). La procedura postata è sicura.
ho letto questa procedura in un altro post sempre tuo.
ma nello specifico, che cosa farebbe questa operazione?
io ho McAffe. lo disattivo e basta, giusto?
altra cosa: ma Spybot, lo faccio prima finire? perché continua a riportami
chiavi di accesso? |
|
|
|
|
| ryan atwood |
fai finire soyboot e poi esegui systemscan, il programma permette di vedere se
hai virus che gli antivirus nn rilevano.
Permette di identificarle manualmente |
|
|
|
|
| csamcram |
GRAZIE TANTE DELLA TUA PAZIENZA!!!
ma allora, fare il ripristino lo riserbo nel caso che niente funzioni?
o lo faccio cmq? |
|
|
|
|
| ryan atwood |
fallo comunque.
Dopo se non riusciamo a risolvere ripristini tutto |
|
|
|
|
| csamcram |
che devo are?
qui tutto tace.... |
|
|
|
|
| amvinfe |
Non connesso e con l'antivirus disattivato.
Apri il Blocco note ed inserisci al suo interno questo script, fai un
copia/incolla
Citazione:
Windows Registry Editor Version 5.00
;
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Run\xsjfn83jkemfofght]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\RunJnskdfmf9eldfd]
;
Clicca in alto a sx su "File" poi su "Salva con nome", dalla finestra che si
apre clicca in corrispondenza di "Salva come:">seleziona "Tutti i file">nella
casella "Nome file" scrivi fix.reg > salva il file in C:\
Apri SystemScan>Clicca su "Removal Script".
Allinterno del box bianco copia ed incolla i valori riportati qui sotto
Citazione:
Files to delete:
C:\DOCUME~1\CAD5\IMPOST~1\Temp\csrssc.exe
C:\DOCUME~1\CAD5\IMPOST~1\Temp\winlogin.exe
C:\DOCUME~1\CAD5\IMPOST~1\Temp\winvsnet.exe
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | SunJavaUpdateSched
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | xsjfn83jkemfofght
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | NI.GSCNS
Programs to launch on reboot:
c:\fix.reg
ora clicca su "Proceed with removal" e poi su OK.
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.
Sempre non connesso.
Start>Esegui scrivi regedit dai l'OK
aiutandoti con i + portati in:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
ora fai molta attenzione ed esegui i passaggi con la dovuta calma.
click sulla cartellina gialla SystemRestore
dal pannello di dx, click di dx su RestoreStatus
seleziona "Modifica"
visualizzerai il valore 0 (zero)
sostituiscilo con il valore 1
dai l'OK
chiudi il registro.
Riavvia.
Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt)
insieme ad un nuovo report.
ryan atwood
se consigli una procedura o sai come andare avanti o, per cortesia, astieniti
dal rispondere.
Nel merito: se chiedi un log di SystemScan, o lo sai interpretare o è meglio che
indirizzi i le procedure di rimozione verso altre soluzioni.
Grazie. |
|
|
|
|
| csamcram |
grazie mille del tuo aiuto, amvinfe!!!
solo che in preda ala disperazione, ieri ho disinstllato MacAfee e installato
AntiVir PE Classic.
Ho fatto due scansioni.
PRIMA SCANSIONE:
http://www.savefile.com/files/1884223
http://dl1u.savefile.com/177426ccf9...m/files/1884224
http://dl1u.savefile.com/c397d5fb11...m/files/1884278
http://dl1u.savefile.com/b23698c3d7...ults.
txt
e riporta 3 VOCI:
1) Miscrosoft.Windows.Explorer
Società: Microsoft
Prodotto: Windows.Explorer
Minaccia: Changed Settings
Funzionalità
Registry changes about the Windows Explorer.
If this Item is beeing found, it does not necessarily mean an infection.
Some Malware like CWS and Smitfraud variants change these settings.
It is also possible that these settings have been changed by an administrator
(if you have one) or by a legitimate software.
Changes to the Windows Explorer Settings include activation of the
Activedesktop, Controlpanel, Taskbar, Folders and Files
Descrizione
These settings can normally not be reversed via the normal Windows User
Interface.
Some settings pose security risks and some are just annoyances.
Also, some settings are redundant, meaning that they can be changed at various
positions in the registry thus changing one value may not be enough.
2) Microsoft.WindowsSecurityCenter.RegistryTools
Società:
Prodotto: Microsoft.WindowsSecurityCenter.RegistryTools
Minaccia: Security
Funzionalità
The Windows Registry Editor can be disabled through policy settings by
administrators.
Descrizione
This will be shown if someone disabled your Registry Editor. In an office or
educational environment the system administrator may have done this. In a
private environment this is either done by yourself or malicious software.
Please check if these settings are actually wanted.
3) Smifraud-C. (credo sia questo a causare la scomparsa delle cartelle
nascoste)
Società:
Prodotto: Smitfraud-C.
Minaccia:
Descrizione
questo programma si autoinstalla da Internet e crea un nuovo sfondo per desktop.
Tale sfondo appare come una schermata blu stile Windows 98, contenente un avviso
riguardo una presunta infezione del computer da parte di virus, un avviso
sull'opportunità di scaricare ed eseguire uno strumento di scansione antivirus e
un altro sul fatto che il computer potrebbe non funzionare in maniera normale.
In aggiunta a questo, colloca un'icona sul desktop per guidare ad una presunta
applicazione antivirus, denominata PSGuard. Una scansione del computer con tale
software restituisce un virus individuato (che viene installato dal software
stesso). Per poter rimuovere tale virus bisogna scaricare la versione completa
per una spesa di circa 20 EUR.
Un altro spiacevole effetto di Smitfraud-C. è che alcune opzioni di
configurazione del Pannello di controllo non saranno più disponibili. In tale
maniera viene impedito all'utente di modificare lo sfondo del desktop per
costringerlo a mantenere lo schermo blu. Nel complesso Smitfraud-C è un software
del tutto spregevole che cerca di vendere PSGuard spaventando gli utenti più
inesperti. |
|
|
|
|
| amvinfe |
| a questo punto mi serve un nuovo report di SystemScan. |
|
|
|
|
| csamcram |
Citazione: Originariamente inviato da amvinfe
a questo punto mi serve un nuovo report di SystemScan.
non basta il report postato sopra?
scusa la mia ignoranza...
a cosa serve questo SystemScan? è un altro anitivirus?
Devo disinstallare Avira Antivir?
perché ora tutto (così sembra) è tornato alla normalità dopo che Avir e Spyboot
hanno ripulito le cose.
Grazie ancora della tua disponibilità. |
|
|
|
|
| amvinfe |
| se è tornato tutto alla normalità sono contento per te. |
|
|
|
|
| csamcram |
Citazione: Originariamente inviato da amvinfe
se è tornato tutto alla normalità sono contento per te.
grazie davvero tanto per il tuo aiuto!!!
:quote: son contento! |
|
|
|
|
Home
Registrati
Logout
