Da un paio di giorni un amico riscontra l'apertura di pop up durante la navigazione che non c'entrano nulla con i siti su cui naviga... Ha fatto una scanzione con NOD32 ma non ha riscontrato nulla... Ne ha fatta una con system scan e questo è il link del log: Link
Cosa devo dirgli di fare?
nel frattempo che lavoro sui files pbk e C:\WINDOWS\system32:svchost.exe, dovessi connetterti comincia da qui:
scarica navilog1.exe_il mafioso sul desktop e installalo.
Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
Riavvia il computer in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
Lancia Navilog1 e scegli l'opzione 4, inserisci il nome eqfefzrwq e confermalo ridigitandolo quando richiesto
(ATTENZIONE , entrambe le volte che lo digiti non devi sbagliare a scrivere il nome altrimenti dovrai ripetere tutta la procedura perchè non verrà eliminato alcun file..).
A questo punto, ripulirà il pc dai file infetti.
Quando finisce, riavvia il pc in modalità normale ed eseguilo nuovamente (ti guiderà lui). Seleziona la lingua e, al menù di scelta, seleziona l'opzione 1 (non scegliere le altre). Ad un certo punto uscirà una scritta "Analysis ... Terminate", premi un tasto come richiesto e si aprirà un file di testo (è il rapporto di scansione che dovrai postare ).
Svuota C:\WINDOWS\Prefetch
Ripulisci con CCleaner i file temporanei e cookie (eseguilo 2 volte).
Posta il rapporto di Navilog1 e un nuovo rapporto di systemscan.
...è stato per caso eliminato qualche virus un mesetto fa circa?
ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Innanzitutto grazie mille per la risposta. Appena vado alla casa del mio amico seguirò le tue istruzioni e ti faccio sapere.
Grazie ancora
ah quindi il pc non l'hai li' con te. Ok, allora esegui anche questo:
scarica Avenger , CCleaner e Registry Search Tool
da hijackthis fixa:
O15 - Trusted Zone: ww w.brut4l3.com
esegui avenger e nella finestra copia/incolla:
Spunta "Automatically disable any rootkits found" e clicca su "execute".files to delete:
C:\WINDOWS\tasks\WebReg 20080513151105.job
C:\WINDOWS\system32\chjctpfj.pbk
C:\WINDOWS\system32\og.pbk
C:\WINDOWS\system32\s.pbk
C:\WINDOWS\system32\dhit.pbk
C:\WINDOWS\system32\nhobhomsjpsgd.pbk
C:\WINDOWS\system32\rjocif.pbk
C:\WINDOWS\system32\btshktlfm.pbk
C:\WINDOWS\system32\gqhdtggllprco.pbk
C:\WINDOWS\system32\iebjlgqdqq.pbk
C:\WINDOWS\system32\f.pbk
C:\WINDOWS\system32\qlfikkp.pbk
C:\WINDOWS\system32\simmchg.pbk
C:\WINDOWS\system32\nfktbhn.pbk
C:\WINDOWS\system32\bnmaksrrgodg.pbk
C:\WINDOWS\system32\pk.pbk
C:\WINDOWS\system32\ceqjpmtqndp.pbk
C:\WINDOWS\system32\sqj.pbk
C:\WINDOWS\system32\gisboo.pbk
C:\WINDOWS\system32\jgcdsjsadlr.pbk
C:\WINDOWS\system32\cgpqqqnerob.pbk
C:\WINDOWS\system32\nb.pbk
C:\WINDOWS\system32\c.pbk
C:\WINDOWS\system32\opdahqieji.pbk
C:\WINDOWS\system32\cnac.pbk
C:\WINDOWS\system32\tlsgtombi.pbk
C:\WINDOWS\system32\ihnrd.pbk
C:\WINDOWS\system32\tgnelnc.pbk
C:\WINDOWS\system32\lnd.pbk
C:\WINDOWS\system32\gtgloqdpqhep.pbk
C:\WINDOWS\system32\onjqfmk.pbk
C:\WINDOWS\system32\acobs.pbk
C:\WINDOWS\system32\fcqdh.pbk
C:\WINDOWS\system32\hlhsklqmmgbq.pbk
C:\WINDOWS\system32\jcldq.pbk
C:\WINDOWS\system32\otoprpens.pbk
C:\WINDOWS\system32\j.pbk
C:\WINDOWS\system32\i.pbk
C:\WINDOWS\system32\satsiolcgjfj.pbk
C:\WINDOWS\system32\qiqhpeb.pbk
C:\WINDOWS\system32\fkchgknf.pbk
C:\WINDOWS\system32\nnrmdfoqjsho.pbk
C:\WINDOWS\system32\lhp.pbk
C:\WINDOWS\system32\dclnaccscqm.pbk
C:\WINDOWS\system32\opttjkoollq.pbk
C:\WINDOWS\system32\cas.pbk
C:\WINDOWS\system32\tpscihgaahbc.pbk
C:\WINDOWS\system32\iirbdebnj.pbk
C:\WINDOWS\system32\ltgifjt.pbk
registry keys to delete:
HKLM\Software\Microsoft\Active Setup\Installed Components\{50C413FA-25F9-4C54-EB6C-03AE71A313CE}
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte)
Esegui Registry Search Tool (regsrch) e cerca: 50C413FA-25F9-4C54-EB6C-03AE71A313CE (fai copia/incolla e non lasciare spazi). Impiegherà qualche secondo per fare la ricerca. Se trova qualcosa, posta i risultati.
Esegui hijackthis, clicca su "Open the Misc Tools section" - "Open ADS Spy" - "Scan". Se rileva ADS spunta voci e clicca su "remove selected". Prendi nota di quello che trova e scrivimelo, mi raccomando.
Posta un nuovo systemscan
Per ora abbiamo finito, aspetto tue notizie
ciao
x am : grazie
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Ho fatto tutto quello che mi hai consigliato e ho rifatto una scansione con systemscan.
Questo è il link: Report
Cosa mi dici? Per il momento il mio amico non riscontra più i pop up, quindi sembrerebbe risolto...
Grazie mille per l'aiuto
Ciao Furbacchine..
tutto ok, a parte questo ADS C:\WINDOWS\system32:svchost.exe , che è ancora presente.
Scarica ADSspy, eseguilo, metti la spunta a "full scan (all NTFS drivers)" e clicca su "Scan the systems for alternate data streams..".
Se trova l'ADS indicato sopra, rimuovilo (metti la spunta e clicca su "remove selected streams").
Ti avevo chiesto di eseguire anche questo:
<<Esegui Registry Search Tool (regsrch) e cerca: 50C413FA-25F9-4C54-EB6C-03AE71A313CE (fai copia/incolla e non lasciare spazi). Impiegherà qualche secondo per fare la ricerca. Se trova qualcosa, posta i risultati.>>
ma non mi hai postato nulla a tal proposito.
Ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Farò quello che mi hai chiesto appena posso... Per quanto riguarda Registry Search Tool ho fatto una ricerca ma non ha trovato niente...
..ok, probabilmente non l'hai trovato perché associato all'ADS.
fatti sentire nel caso il tuo amico dovesse riscontrare altri problemi.
ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Grazie mille per la disponibilità!
Permessi di invio
Rispondi quotando