piccolo aggiornamento: facendo velocemente sono riuscito a creare la cartella AUTORUN.INF all'interno della chiavetta, l'ho dovuto fare nel tempo che passa tra cancellare il file autorun.inf e la sua ricreazione. Il file non si è più ricreato, e la cartella è diventata nascosta ed è vuota. Si può considerare un passo avanti?
ora l'unico file che si rigenera rimasto all'interno della chiavetta è il sal.xls.exe
La vita è fatta a scale, c'è chi scende e c'è chi cade.
Se avrei studiato, avessi imparato. [Cit. Leone di Lernia ]
oltre ai file nascosti, hai impostato la visualizzazione anche dei file di sistema?
gli autorun presenti nelle cartelle in c:\recycler hanno tutti la stessa dimensione... aprine uno e vedi cosa contiene. Se richiama lo stesso file o uno di quelli postati sopra, eliminani tutti (3).
controlla anche il contenuto del file autorun in system32 (in systemscan non si vede..)
se li hai ancora, puoi inviarmi un file sal.xls con un messaggio privato?
scarica e installa malwarebytes e fai una scansione completa
con l'utility svuota i prefetch
a dopo..
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Si ho abilitati anche i file di sistema. Gli autorun presenti nelle cartelle c:\recycler sono scomparsi, dopo che ho cancellato gli autorun dal cestino...che tutte e tre le cartelle siano collegamenti o qualcosa di simile al contenuto del cestino?Originariamente inviato da Deifobe
oltre ai file nascosti, hai impostato la visualizzazione anche dei file di sistema?
gli autorun presenti nelle cartelle in c:\recycler hanno tutti la stessa dimensione... aprine uno e vedi cosa contiene. Se richiama lo stesso file o uno di quelli postati sopra, eliminani tutti (3).
controlla anche il contenuto del file autorun in system32 (in systemscan non si vede..)
se li hai ancora, puoi inviarmi un file sal.xls con un messaggio privato?
scarica e installa malwarebytes e fai una scansione completa
con l'utility svuota i prefetch
a dopo..
Ho guardato l'autorun in C:, richiama sempre lo stesso file, ora rifaccio una ricerca e li cancello tutti.
Quello in system32 richiamava il file ssvchosst (o come era scritto cmq quello postato sopra), cancellato non si è ripresentato.
Ora provveso a mandarti un sal.xls con messaggio privato..in ogni caso l'ho passato per virus total, lo rileva come win32.gen o come worm.
Ora passo anche Malwarebytes e ti aggiorno dopocena. Intanto grazie della pazienza..
no, tutti gli autorun no.. quelli sospetti li trovi maggiormente in c:\, system32, dati applicazioni, temp..
ok per quello in system32
.....tranquillo... non porto pazienza.. lo siete più voi mentre attendete una risposta...
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Malwarebytes' Anti-Malware 1.33
Versione del database: 1702
Windows 5.1.2600 Service Pack 2
28/01/2009 20.25.03
mbam-log-2009-01-28 (20-24-54).txt
Tipo di scansione: Scansione completa (C:\|E:\|)
Elementi scansionati: 127248
Tempo trascorso: 1 hour(s), 11 minute(s), 52 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 2
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 2
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\MSServer (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\IMJPMIG8.2 (Trojan.Agent) -> No action taken.
Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
C:\WINDOWS\system32\msfir80.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msime80.exe (Trojan.Agent) -> No action taken.
Per ora l'ho aperto e aspetto qualche tua info, in ogni caso credo sia roba da eliminare...
Per gli autorun li elimino tutti mi sono espresso male, intendevo elimino tutti quelli riguardanti i tre .exe incriminatidi autorun non sembrerebbero essercene più..l'unico rimanente in C: l'ho eliminato sempre col trucchetto della cartella con lo stesso nome, e non si è più ripresentato.
dei hai un nuovo pm...qualcosa sembra essersi smosso dopo tentativi inutili
ok, elimina tutto..
e fammi sapere anche del sal.xls (senza .exe)
il file è riconosciuto con 39/39... più che ok...
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
scarica Perlovga removal tool (lo trovi quasi alla fine della pagina) ed eseguilo in modalità provvisoria
Collega al pc anche la pen.
mi posti anche un nuovo systemscan? bastano anche solo le 2 scansioni recent files e registry run keys
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
riavviato il pc; tutti i collegamenti da risorse del computer funzionano tranquillamente col doppio click; cancellate le due cartelle che avevo creato in C: e E:, i file non si sono più riformati.
Oramai che c'ero ho fatto un bella pulizia con Ccleaner, visto che non era mai stato usato, c'erano un infinità di problemi che ha corretto
eccoti la nuova scansione: http://freefilehosting.net/download/44fj6
ho aggiunto anche gli autorun, visto che si creavano anche loro, e il log di hijack, giusto per un controllo finale...comunque sembra essersi risolto tutto, non sembrano esserci altri problemi col pc!!
Permessi di invio
Rispondi quotando