Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Pagina 1 di 3 1 2 3 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 23

Discussione: pc infetto da vundo

  1. 18-05-2008, 20:48 #1
    gertrude
    gertrude non è in linea
    Utente di HTML.it
    Registrato dal
    May 2008
    Messaggi
    7

    help

    da qualche tempo mi si aprono pagine di casinò online e robe del genere mentre navigo: la cosa oltre a procurarmi non pochi fastidi spesso mi blocca la navigazione e mi costringe a resettare.

    ho seguito le istruzioni trovate qui per fare la scansione e questi sono i dati per leggere il report... qualcuno può aiutarmi a capire cosa succede e come eliminare l'intruso/gli intrusi???

    http://www.freefilehosting.net/download/3hbei

    18_05_2008_19_08_report.zip

    a proposito: nella scansione con ad-aware 2007 mi compaiono ogni tanto dei trojan (vundo, generic, ecc...) che vengono puntualmente spediti in quarantena


    grazie mille!!!!!!!!!!
    Rispondi quotando Rispondi quotando
  2. 18-05-2008, 21:04 #2
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    ma perchè non seguite le indicazioni presenti nella guida?!?

    Ho diviso la discussione, la prossima volta aprine una tutta tua.
    Grazie
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  3. 18-05-2008, 21:18 #3
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Apri SystemScan>Clicca su "Removal Script".
    Allinterno del box bianco copia ed incolla i valori riportati qui sotto in rosso:


    Files to delete:
    C:\WINDOWS\system32\afknspdn.ini
    C:\WINDOWS\system32\dephgalb.ini
    C:\WINDOWS\system32\pmsahxyk.ini
    C:\WINDOWS\system32\tkunlodq.ini
    C:\WINDOWS\system32\aagislps.dll
    C:\WINDOWS\system32\splsigaa.ini
    C:\WINDOWS\system32\eunryjao.dll
    C:\WINDOWS\system32\clkcnt.txt
    C:\WINDOWS\system32\oajyrnue.ini
    C:\WINDOWS\system32\tuxFOqss.ini2
    C:\WINDOWS\system32\tuxFOqss.ini
    C:\WINDOWS\system32\ssqOFxut.dll
    C:\WINDOWS\system32\fpwojggw.ini
    C:\WINDOWS\system32\niimmarw.ini
    C:\Documents and Settings\Utente\svchost.exe
    C:\WINDOWS\system32\cbXoLbcB.dll
    C:\WINDOWS\system32\b4fm.dll

    Registry values to delete:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run | 3877d770
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Host Process
    HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {4F96CCB9-01EC-419E-AAEA-C2C913F2A236}
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Notify | cbXoLbcB

    Registry keys to delete:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{4F96CCB9-01EC-419E-AAEA-C2C913F2A236}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{C49B6118-3445-456B-9B31-7C49FEF6A11C}



    ora clicca su "Proceed with removal" e poi su OK.

    Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

    Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt) insieme ad uno nuovo di SystemScan

    NB
    le operazioni di rimozione devono essere effettuate NON connessi e con l'antivirus disabilitato
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  4. 19-05-2008, 14:19 #4
    gertrude
    gertrude non è in linea
    Utente di HTML.it
    Registrato dal
    May 2008
    Messaggi
    7

    scusami

    innanzitutto ti ringrazio per la disponibilità e la prontezza nel soccorso... poi devo chiederti scusa: avevo inserito il mio post di là perchè pensavo potessero essere argomenti trattabili insieme visto che i problemi erano gli stessi e le procedure per individuarli ed eliminarli anche.
    cercherò di essere più attenta in futuro

    allora: mentre seguivo le tue istruzioni, al momento di rimuovere i files il pc si è arrestato e dopo aver riavviato ho eliminato tutti quelli che potevo manualmente
    poi ho fatto ripartire la procedura di rimozione e questo è il report:

    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Service s\optmpmnc

    *******************

    Script file located at: \??\C:\Documents and Settings\mjuwqrbe.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:



    File C:\WINDOWS\system32\afknspdn.ini not found!
    Deletion of file C:\WINDOWS\system32\afknspdn.ini failed!

    Could not process line:
    C:\WINDOWS\system32\afknspdn.ini
    Status: 0xc0000034



    File C:\WINDOWS\system32\dephgalb.ini not found!
    Deletion of file C:\WINDOWS\system32\dephgalb.ini failed!

    Could not process line:
    C:\WINDOWS\system32\dephgalb.ini
    Status: 0xc0000034



    File C:\WINDOWS\system32\pmsahxyk.ini not found!
    Deletion of file C:\WINDOWS\system32\pmsahxyk.ini failed!

    Could not process line:
    C:\WINDOWS\system32\pmsahxyk.ini
    Status: 0xc0000034



    File C:\WINDOWS\system32\tkunlodq.ini not found!
    Deletion of file C:\WINDOWS\system32\tkunlodq.ini failed!

    Could not process line:
    C:\WINDOWS\system32\tkunlodq.ini
    Status: 0xc0000034



    File C:\WINDOWS\system32\aagislps.dll not found!
    Deletion of file C:\WINDOWS\system32\aagislps.dll failed!

    Could not process line:
    C:\WINDOWS\system32\aagislps.dll
    Status: 0xc0000034



    File C:\WINDOWS\system32\splsigaa.ini not found!
    Deletion of file C:\WINDOWS\system32\splsigaa.ini failed!

    Could not process line:
    C:\WINDOWS\system32\splsigaa.ini
    Status: 0xc0000034



    File C:\WINDOWS\system32\eunryjao.dll not found!
    Deletion of file C:\WINDOWS\system32\eunryjao.dll failed!

    Could not process line:
    C:\WINDOWS\system32\eunryjao.dll
    Status: 0xc0000034



    File C:\WINDOWS\system32\clkcnt.txt not found!
    Deletion of file C:\WINDOWS\system32\clkcnt.txt failed!

    Could not process line:
    C:\WINDOWS\system32\clkcnt.txt
    Status: 0xc0000034



    File C:\WINDOWS\system32\oajyrnue.ini not found!
    Deletion of file C:\WINDOWS\system32\oajyrnue.ini failed!

    Could not process line:
    C:\WINDOWS\system32\oajyrnue.ini
    Status: 0xc0000034

    File C:\WINDOWS\system32\tuxFOqss.ini2 deleted successfully.
    File C:\WINDOWS\system32\tuxFOqss.ini deleted successfully.
    File C:\WINDOWS\system32\ssqOFxut.dll deleted successfully.


    File C:\WINDOWS\system32\fpwojggw.ini not found!
    Deletion of file C:\WINDOWS\system32\fpwojggw.ini failed!

    Could not process line:
    C:\WINDOWS\system32\fpwojggw.ini
    Status: 0xc0000034



    File C:\WINDOWS\system32\niimmarw.ini not found!
    Deletion of file C:\WINDOWS\system32\niimmarw.ini failed!

    Could not process line:
    C:\WINDOWS\system32\niimmarw.ini
    Status: 0xc0000034



    File C:\Documents and Settings\Utente\svchost.exe not found!
    Deletion of file C:\Documents and Settings\Utente\svchost.exe failed!

    Could not process line:
    C:\Documents and Settings\Utente\svchost.exe
    Status: 0xc0000034



    File C:\WINDOWS\system32\cbXoLbcB.dll not found!
    Deletion of file C:\WINDOWS\system32\cbXoLbcB.dll failed!

    Could not process line:
    C:\WINDOWS\system32\cbXoLbcB.dll
    Status: 0xc0000034

    File C:\WINDOWS\system32\b4fm.dll deleted successfully.


    Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run |3877d770
    Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run |3877d770 failed!
    Status: 0xc0000034



    Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run |Host Process
    Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run |Host Process failed!
    Status: 0xc0000034



    Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks|{4F96CCB9-01EC-419E-AAEA-C2C913F2A236}
    Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks|{4F96CCB9-01EC-419E-AAEA-C2C913F2A236} failed!
    Status: 0xc0000034



    Could not delete registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Notify|cbXoLbcB
    Deletion of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Notify|cbXoLbcB failed!
    Status: 0xc000000d



    Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{4F96CCB9-01EC-419E-AAEA-C2C913F2A236} not found!
    Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{4F96CCB9-01EC-419E-AAEA-C2C913F2A236} failed!
    Status: 0xc0000034



    Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{C49B6118-3445-456B-9B31-7C49FEF6A11C} not found!
    Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{C49B6118-3445-456B-9B31-7C49FEF6A11C} failed!
    Status: 0xc0000034

    Program C:\Programmi\sys14945.exe successfully set up to run once on reboot.

    Completed script processing.

    *******************

    Finished! Terminate.

    __________________________________________________ ______________________

    quindi ho rifatto una scansione che ho caricato sul filehosting, questi sono i dati:


    http://www.freefilehosting.net/download/3hc4d

    19_05_2008_13_23_report.zip


    __________________________________________________ ________________________

    grazie ancora!!!!!!!!
    Rispondi quotando Rispondi quotando
  5. 19-05-2008, 18:43 #5
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    sinceramente non ho ben capito perchè la rimozione l'hai effettuata manulamente... comunque..



    SENZA connessione internet attiva e SENZA antivirus attivo:

    apri SystemScan>Clicca su "Removal Script".
    Allinterno del box bianco copia ed incolla i valori riportati qui sotto in rosso:

    Registry keys to delete:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{52916DD8-181C-40A0-A8E2-5552F5A0433D}

    Files to delete:
    C:\WINDOWS\system32\ssqOFxut.dll

    Folders to delete:
    C:\WINDOWS\system32\20467
    ora clicca su "Proceed with removal" e poi su OK.

    Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

    Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt)
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  6. 20-05-2008, 23:07 #6
    gertrude
    gertrude non è in linea
    Utente di HTML.it
    Registrato dal
    May 2008
    Messaggi
    7
    eccomi! qui sotto il report di avenger

    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Service s\ilajhktt

    *******************

    Script file located at: \??\C:\vlhykiuh.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:



    File C:\WINDOWS\system32\ssqOFxut.dll not found!
    Deletion of file C:\WINDOWS\system32\ssqOFxut.dll failed!

    Could not process line:
    C:\WINDOWS\system32\ssqOFxut.dll
    Status: 0xc0000034

    Folder C:\WINDOWS\system32\20467 deleted successfully.
    Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{52916DD8-181C-40A0-A8E2-5552F5A0433D} deleted successfully.
    Program C:\Programmi\sys14945.exe successfully set up to run once on reboot.

    Completed script processing.

    *******************

    Finished! Terminate.


    _______________________________________________

    tanto che c'ero ho rifatto una scansione, qui sotto i dati (nel caso tu volessi ricontrollarli...)

    http://www.freefilehosting.net/download/3hd8l

    report_1211317369904.txt

    ___________________________________________


    mi è rimasto un unico problema, mi pare: non riesco a sistemare lo sfondo che voglio sul desktop perchè la finestra dei comandi (proprietà-desktop) non mi fa muovere il cursore!
    ma non è un grosso guaio

    _______________________________________________

    non ho parole per ringraziarti!!!!!!
    Rispondi quotando Rispondi quotando
  7. 20-05-2008, 23:21 #7
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    il report è ok.

    Scusami ma il discorso dello sfondo non l'ho capito.
    Riesci a fare tasto dx sul desktop e ad accedere alle proprietà-desktop, ma non riesci a spostare il cursore sul nome delle immagini?

    Rieesci a fare uno screen-shot ed a postarlo, così magari si capisce meglio
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  8. 20-05-2008, 23:39 #8
    gertrude
    gertrude non è in linea
    Utente di HTML.it
    Registrato dal
    May 2008
    Messaggi
    7
    esatto, è tutto ok finchè arrivo alla finestra che ti mando: lì il cursore è bloccato e il sottomenù con gli sfondi possibili non è in evidenza... come non ci fosse! così mi devo accontentare dello sfondo azzurro che intravedi in foto
    Immagini allegate Immagini allegate
    Rispondi quotando Rispondi quotando
  9. 21-05-2008, 00:29 #9
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    nelle proprietà-schermo, è selezionabile (dall'immagine non riesco a capirlo) la voce "Personalizza desktop..." ?

    Se è cliccabile portati poi nella scheda "Web" e verifica che NON vi siano spunte alle voci presenti.
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  10. 21-05-2008, 10:58 #10
    gertrude
    gertrude non è in linea
    Utente di HTML.it
    Registrato dal
    May 2008
    Messaggi
    7
    già controllato: niente spunte!!!!!!!!!

    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.