Ciao,
non ne vengo fuori:ho provato a ripulire il mio sistema con Norton, SpyBot ed apparentemente riesco a Togliere tutto quello che trovano.
Purtroppo però la prossima volta che mi connetto ad Internet ricompaiono nuovamente.
A mio avviso sono stati modificati i parametri di connessione ad Internet per scaricare questi Trojan e nn so più cosa fare.
Nico
ciao,
scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus
carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.
nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
ciao,
Intanto mi dimenticavo di dire che all'avvio del pc mi ritrovo sempre aperto il blocco note con dentro questa scritta riferita al file desktop.ini:
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787
Poi, durante la scansione spybot mi ha dato un alert che segnalava una importante modifica al registro per la quale richiedeva conferma e che io non ho consentito.
Ecco il contenuto dell'alert: rundll32.exe "C:\WINDOWS\system32\xmlkxffy.dll",y
Mentre scansionava, guardando il task manager ho visto nell'elenco un nome strano di processo in esecuzione:kkripfeoc.exe
Il link del report creato da systemscan è questo: http://www.savefile.com/files/1939341
Grazie per l'aiuto.
Nico
in un file di testro copia/incolla:
salvalo come:Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\CLSID\{7a28afda-b5ff-49c6-b048-830b48067543}]
[-HKEY_CLASSES_ROOT\CLSID\{6DBBFAD8-4A44-4E32-A382-3EB075D8613D}]
;
nome: fix.reg
tipo di file: tutti i file
chiudi il file
Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:
Spunta "Automatically disable any rootkits found" e clicca su "execute".files to delete:
C:\DOCUME~1\Casaccia\IMPOST~1\Temp\Rar$EX02.344
C:\WINDOWS\system32\oYxbayxx.ini2
C:\WINDOWS\system32\oYxbayxx.ini
C:\WINDOWS\system32\8f7dc768-.txt
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\winpfz33.sys
C:\WINDOWS\system32\qqbcstih.ini
C:\WINDOWS\system32\xwjkbh.dll
C:\WINDOWS\system32\pbrudlgh.dll
C:\WINDOWS\system32\hitscbqq.dll
C:\WINDOWS\system32\xxyabxYo.dll
C:\WINDOWS\system32\pmnkICUn.dll.vir
C:\WINDOWS\system32\prunnet.exe
C:\WINDOWS\system32\dbloxu.dll
C:\WINDOWS\system32\scqbrlmr.dll
C:\WINDOWS\system32\xmlkxffy.dll
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{0A6118AC-980F-4ED4-8A15-CBD6B84185CF}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{1A8B9A8C-4592-4C36-B1C7-2E12CA5DBF85}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{6DBBFAD8-4A44-4E32-A382-3EB075D8613D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{7a28afda-b5ff-49c6-b048-830b48067543}
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato in c:\avenger
dopo il riavvio esegui il file fix.reg (dura un attimo, non noterai nulla..)
analizza il file C:\WINDOWS\system32\L su Virustotal e posta il link dell'analisi
in ultimo...
è un file di systemscan... quindi è ok.Mentre scansionava, guardando il task manager ho visto nell'elenco un nome strano di processo in esecuzione:kkripfeoc.exe
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Sono riuscito a fare tutto tranne il controllo su VirusTotal...mi dice che il file è troppo grande per l'upload.
In effetti andando a vedere il file L si vede che è abbastanza grosso.
C:\WINDOWS\system32>dir L
Il volume nell'unità C non ha etichetta.
Numero di serie del volume: 845E-03B9
Directory di C:\WINDOWS\system32
08/12/2008 14.19 25.612.288 L
1 File 25.612.288 byte
Nico
miposti un nuovo systemscan?
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
mentre aspettavo che mi rispondessi ho fatto anche una scansione con spybot: http://www.savefile.com/files/1940185
Ecco risultato di systemscan : http://www.savefile.com/files/1940183
ok, riesegui avenger:
se Spybot - Search & Destroy ti chiede di apportare queste modifiche devi accettare!registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{0A6118AC-980F-4ED4-8A15-CBD6B84185CF}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{1A8B9A8C-4592-4C36-B1C7-2E12CA5DBF85}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{6DBBFAD8-4A44-4E32-A382-3EB075D8613D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{7a28afda-b5ff-49c6-b048-830b48067543}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{4E108AA2-591D-4712-9D5F-134596DAF58B}
altrimenti io cerco di eliminarle e tu lo vieti...... infatti stanno ancora nel registro
Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto
per ora non rimuovere nulla.
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
questa volta quando ho eseguito avenger, SpyBot non mi ha dato nessun alert......
Ho eseguito poi la scansione completa con Malwarebytes ed ecco il risultato:
videata finale: http://www.savefile.com/files/1940463
report: http://www.savefile.com/files/1940465
Riusciremo ad ucciderli?
Con malearebytes rimuovi tutto.
ora controllo il resto..
edit: ok, è sempre la scansione con malwarebytes.
vedi ora il pc come va.
Ciao
...
:x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
Permessi di invio
Rispondi quotando