ok, c'è da cercarlo nel registro e sostituire l'hosts... ma lo facciamo stasera, eventualmente.. ora devo proprio scappare..
ok, c'è da cercarlo nel registro e sostituire l'hosts... ma lo facciamo stasera, eventualmente.. ora devo proprio scappare..
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
ho disinstallato avast e installato kaspersky. ho fatto partire lo scan completo e speriamo bene.
sono riuscito a visualizzare i file nascosti ( almeno per ora si lasciano visualizzare).
per il file hosts che mi hai chiesto di fixare con hijack non c'e' problema perche sono stringhe relative ad un server per un gioco on-line.
grazie dell'aiuto e speriamo bene.
CYBERNETIC-SERVERS - Game Service Provider - UNITED KINGDOM
si
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
ho fatto la prova del nove e nonostante la pulizia il file incriminato si ricrea ogni volta che accedo a \:C, facendomi sballare il registro e ricreando avmo.exe.
allora puoi fare così:
scarica Registry Search Tool, serve a cercare le voci nel registro.
cerca avmo
cmq la scansione con kaspersky potevi farla online :P
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
la scansione online non mi partiva forse dipende dal fatto che uso firefox.
cmq questi irisultati della scansione su pc- hd esterno e pendrive
deleted: virus Worm.Win32.AutoRun.bua File: F:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP236\A0045137.com
deleted: virus Worm.Win32.AutoRun.bua File: F:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP236\A0045138.inf
deleted: virus Worm.Win32.AutoRun.bua File: F:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP238\A0045145.com
deleted: virus Worm.Win32.AutoRun.bua File: F:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP238\A0045146.inf
deleted: virus Worm.Win32.AutoRun.cea File: C:\awda2.exe
deleted: Trojan program Trojan-PSW.Win32.OnLineGames.kxk File: C:\n1deiect.com
deleted: Trojan program Trojan-PSW.Win32.OnLineGames.pno File: C:\qd.cmd
deleted: Trojan program Trojan-PSW.Win32.OnLineGames.pgs File: C:\xn1i9x.com
deleted: virus Worm.Win32.AutoRun.cea File: C:\Documents and Settings\Administrator\Impostazioni locali\Temp\58.dll
deleted: Trojan program Trojan.Java.ClassLoader.ao File: C:\Documents and Settings\Gabriele\Dati applicazioni\Sun\Java\Deployment\cache\6.0\15\3a51 6fcf-67e133fa/BaaaaBaa.class
deleted: Trojan program Trojan.Java.ClassLoader.ao File: C:\Documents and Settings\Gabriele\Dati applicazioni\Sun\Java\Deployment\cache\6.0\15\3a51 6fcf-67e133fa/Baaaaa.class
deleted: malware Exploit.Java.Gimsh.a File: C:\Documents and Settings\Gabriele\Dati applicazioni\Sun\Java\Deployment\cache\6.0\8\36851 408-4f55d344
deleted: virus Worm.Win32.AutoRun.bua File: C:\Documents and Settings\Gabriele\Impostazioni locali\Temp\4.dll
deleted: virus Worm.Win32.AutoRun.cea File: C:\Documents and Settings\Gabriele\Impostazioni locali\Temp\58.dll
deleted: Trojan program Rootkit.Win32.Agent.sd File: C:\Documents and Settings\Gabriele\Impostazioni locali\Temp\7imr.dll
not found: virus Worm.Win32.AutoRun.cex File: C:\WINDOWS\system32\amvo0.dll
not found: virus Worm.Win32.AutoRun.cex File: C:\WINDOWS\system32\amvo1.dll
deleted: virus Worm.Win32.AutoRun.cea File: F:\awda2.exe
deleted: virus Worm.Win32.AutoRun.bua File: F:\d.com
deleted: Trojan program Trojan-PSW.Win32.OnLineGames.pgs File: F:\xn1i9x.com
deleted: virus Worm.Win32.AutoRun.cex File: F:\xo8wr9.exe
deleted: virus Worm.Win32.AutoRun.cex File: C:\DOCUME~1\GABRIELE\IMPOST~1\TEMP\S2PG.DLL
not found: virus Worm.Win32.AutoRun.cex File: D:\xo8wr9.exe
deleted: Trojan program Trojan-PSW.Win32.OnLineGames.kxk File: D:\n1deiect.com
deleted: virus Worm.Win32.AutoRun.bua File: D:\d.com
deleted: Trojan program Trojan-PSW.Win32.OnLineGames.pgs File: D:\xn1i9x.com
piu tardi provero a eliminare la voc di registro.
non va proprio bene...
le voci che ti ho indicato puoi eliminarle senza nemmeno salvarle. Come vedi, fanno tutte riferimento all'infezione.
Quando hai tempo, scarica SistemScan
Disconnettiti da internet => disattiva l'antivirus => esegui sistemscan => spunta TUTTE le opzioni => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su www.sendmefile.com e posta il link ottenuto.
Se hai problemi con il SeDebug, scarica SeDebug-Restore ed esegui l'applicazione. Riavvia e riprova con SystemScan
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
ecco qua: http://www.sendmefile.com/00609167
ok lo controllo.
nel frattempo scarica Registry Search Tool (serve per fare le ricerche nel registro) e cerca separatamente:
ufo.exe
xn1i9x
n1deiect
amvo0
amvo
amvo1
awda2
d.com
sembrano tanti ma non ci vorrà molto. Unisci i risultati e posta un unico file di testo. Non lasciare spazi neè prima nè dopo il nome da cercare.
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
non c'è molto:
elimina i files:
c:\xo8wr9.exe
C:\WINDOWS\system32\fsmgmt.dll
cancella manualmente i file temporanei in:
C:\WINDOWS\temp
C:\DOCUME~1\Gabriele\IMPOST~1\Temp
nel registro elimina questa:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon\Notify\fsmgmt
poi elimina le chiavi inerenti MountPoints2 (quelle in rosso).
EDIT:
### C:\autorun.inf
;was0sAO ;liZc [...]
open=xo8wr9.exe
shell\open \Command=xo8wr9.exe
### F:\autorun.inf
;was0sAO [...]
;open=xo8wr9.exe
;shell\open \Command=xo8wr9.exe
nota: è stato eliminato da F:\ e D:\...... ma non da c:\???
Lancia hjt, clicca su "Open the Misc Tool section" - "Open ADS Spy" - "Scan". Se rileva ADS spunta eventuali voci e clicca su "remove selected".
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Permessi di invio
Rispondi quotando