Sono da 10 minuti sotto assedio:
- Trojan-dropper.Win32.agent.teq
- Trojan.Win32.monderc.gen
- Trojan-downloader.Win32.Zlob.ubt
kaspersky ha rilevato i seguenti trojan ma nn riesco ad eliminarli, il pc si è messo tipo ad assetto di guerra, al posto dell'orario ora ci sta VIRUS ALERT! XD...nn riesco a cancellarli manualmente perchè non mi permettono di entrare nell'hardisk.
Qualcuno sa come eliminare questi trojan???
scarica Systemscan Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Posta il report che il programma ti rilascerà.
Il report lo trovi nella cartella systemscan sul desktop.
Per postare il log segui questa scaletta:
1) andare sul sito http://www.savefile.com/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]
nota per stinfo: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). Te lo dico perchè, dovesse essere segnalato dall'antivirus (che non hai disattivato, come indicato), almeno sai il motivo. La procedura postata da hell's bells è sicura.
ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
all'operazione numero 10 so 15 min che nn va avanti, nn so se è questione di tempo, rimango un'altra oretta mentre pranzo...poi se nn va bn riscarico il programma
aspetta altri 5 minuti (e sono già troppi)
se non va avanti, annulla, riesegui systemscan e togli la spunta alle scansioni:
- Loaded modules
- Alternate Data Streams
- EFS dumping (Encrypted Files)
- Hidden objects
- Master Boot Record
- Network settings
posta il rapporto.
NOTA: controlla, però, nella cartella suspectfile, magari un log parziale è stato generato.
Poi riesegui systemscan e vedi se riesci ad eseguire queste:
- Hidden objects
- Master Boot Record
- Network settings
se si, posta anche questo rapporto
ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
dammi un po' di tempo x controllarlo, appena finisco ti posto la procedura
non eseguire altre scansioni nel frattempo
ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
lol so rimasto impressionato mi rispondi quasi in tempo reale ....^^
Scarica Avenger, SmitfraudFix e CCleaner
salva queste indicazioni e disconnetti il pc da internet (resta disconnesso per tutta la procedura..)
Apri il blocco note e nella pagina copia/incolla:
salvalo in c:\ con il nome nome: fix.regWindows Registry Editor Version 5.00
[-HKey_Classes_Root\CLSID\{2C257AA1-31DC-4B90-B2D9-BD6722C3F1CC}]
[-HKey_Classes_Root\CLSID\{468BBC26-70CB-48D5-8B4D-F9971C1E99C5}]
[-HKey_Classes_Root\CLSID\{911551E5-4B0F-4021-BD18-A24F9E558A94}]
[-HKey_Classes_Root\CLSID\{265E6540-2B95-4A81-9AF9-1456522F975B}]
tipo di file: tutti i file
Esegui avenger e nella finestra copia/incolla tutta la citazione:
Spunta "Automatically disable any rootkits found" e clicca su "execute".files to delete:
C:\WINDOWS\eqvwamkl.dll
C:\WINDOWS\wnslvxtf.dll
C:\WINDOWS\ewte.exe
C:\WINDOWS\nfavxwdbkvn.dll
C:\WINDOWS\fdkowvbp.dll
C:\WINDOWS\grswptdl.exe
C:\DOCUME~1\Michele\IMPOST~1\Temp\removalfile.bat
C:\WINDOWS\system32\nnnnNheC.dll
C:\WINDOWS\temp\cch~1420c419d0.htp
C:\WINDOWS\temp\cch~1420c40dae.htp
C:\WINDOWS\temp\cch~14ff07dd2.htp
C:\WINDOWS\temp\cch~14ff0798a.htp
C:\DOCUME~1\Michele\IMPOST~1\Temp\vistasp1.exe.bat
C:\DOCUME~1\Michele\IMPOST~1\Temp\vistasp1.exe
C:\DOCUME~1\Michele\IMPOST~1\Temp\lwpwer.exe.bat
C:\DOCUME~1\Michele\IMPOST~1\Temp\lwpwer.exe
C:\DOCUME~1\Michele\IMPOST~1\Temp\s1265.php.bat
C:\DOCUME~1\Michele\IMPOST~1\Temp\bindsrv2.exe.bat
C:\DOCUME~1\Michele\IMPOST~1\Temp\bindsrv2.exe
C:\DOCUME~1\Michele\IMPOST~1\Temp\atmadm2.exe.bat
C:\DOCUME~1\Michele\IMPOST~1\Temp\atmadm2.exe
folders to delete:
C:\WINDOWS\privacy_danger
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnNheC
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{265E6540-2B95-4A81-9AF9-1456522F975B}
registry values to replace with dummy:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {911551E5-4B0F-4021-BD18-A24F9E558A94}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad | eqvwamkl
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad | wnslvxtf
programs to launch on reboot:
c:\fix.reg
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).
Svuota C:\WINDOWS\Prefetch
Avvia il PC in modalità provvisoria (*) ed esegui Smitfraudfix. Seleziona l'opzione 2 e premi invio. Alla domanda "Registry cleaning - Do you want to clean the registry ?" digita "Y" e dai l'invio.
Il computer si riavviera' per completare il processo di pulizia (altrimenti riavvialo tu in modalita' normale). Sul desktop verra' visualizzato il file di testo che dovrai postare (lo trovi anche in C:\rapport.txt).
analizza su Virustotal il file c:\windows\system32\drivers\xinstall.sys e posta i risultati direttamente sul forum
poi, cerca il file, cliccaci sopra con il tasto destro del mouse e seleziona "propietà"
dimmi il nome della società e il copyright, se indicato
Posta un nuovo systemscan, il rapporto di smitfraudfix (C:\rapport.txt) e il rapporto di avenger (c:\avenger.txt)
(*) per avviare il pc in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Avenger:
http://www.savefile.com/files/1707357
Sys:
http://www.savefile.com/files/1707362
VirusTotal:
http://www.savefile.com/files/1707364
SmitfraudFix:
http://www.savefile.com/files/1707366
Quel file l'ho trovato, so andato su proprietà ma non c'era scritto nessuno nome e nessun copyright.
il report del programma che cancellava i cookie nn l'ho trovato, cmq grz di tutto, il pc è di nuovo funzionante.
VOTO PER VELOCITA' ED EFFICIENZA: "A"
Permessi di invio
Rispondi quotando