Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
[RISOLTO] Qualcosa mi svia dai risultati del motore...
Nuovo argomento   Quest'argomento è chiuso: Non puoi inserire, rispondere o modificare i messaggi.    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
quasar186
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 18/09/07 16:09
Messaggi: 136
Residenza: Ai confini dell'universo

MessaggioInviato: 05 Mag 2008 12:01    Oggetto: Rispondi citando

chemicalbit ha scritto:
p.s. è una scansione un po' lunghetta (mediamente 4 - 5 ore)


Ottimista! Laughing
L'altra volta ha cominciato dopo pranzo ed ha finito la mattina dopo! Shocked
Infatti adesso sarà un'oretta che la sta facendo (ti scrivo dall'altro computer) e sta ancora all'1%... sigh! Sad

Comunque grazie per avermi risposto, cominciavo a sentirmi un pochino solo... Grazie

Ci risentiamo quando finisce, spero stasera...
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 05 Mag 2008 12:10    Oggetto: Rispondi citando

quasar186 ha scritto:
chemicalbit ha scritto:
p.s. è una scansione un po' lunghetta (mediamente 4 - 5 ore)


Ottimista! Laughing
L'altra volta ha cominciato dopo pranzo ed ha finito la mattina dopo! Shocked
Infatti adesso sarà un'oretta che la sta facendo (ti scrivo dall'altro computer) e sta ancora all'1%... sigh! Sad
L'altra volta però avevi -se ben ricordo, non c'ho voglia di andare a riguardare i log ...- fatto la scansione anche sul disco esterno (ora è staccato?)


quasar186 ha scritto:
Ci risentiamo quando finisce, spero stasera...
Se riesci fai anche una scansione con Combofix e posta il log.

-------

Dal log di Normal Malware Cleaner
Citazione:


(prima della scansione vera e propria dei file)

Failed to set registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000

(...)

(dopo la scansione vera e propria dei file)

Running post-scan cleanup routine:
Failed to set registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Think perché non riesce ad impostarlo?


-------

Log di SmitFraudFix v2.319

Non che io sia un esperto a leggerli .... Light ,
ma questi valori ti dicono nulla?
Citazione:
HKLM\SYSTEM\CCS\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
213.156.54.81 è un IP Fastweb ; 1.253.128.30 è un IP riservato , penso si riferisca al PC locale o alla sua sottorete.

----------
quasar186 ha scritto:
Ciao ragazzi, per non starmene con le mani in mano ho ripetuto le pulizie con norman, rogue remover e smitfraudfix. Qui sotto vi posto i link ai report:

[URL="http://www.freefilehosting.net/files/3gj02"]NFix_2008-05-04_11-32-40.log[/URL]
[URL="http://www.freefilehosting.net/files/3gj04"]rapport19.txt[/URL]
Non c'è quello di rogue remover però.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 05 Mag 2008 22:43    Oggetto: Rispondi citando

Buona analisi. Bravo chemicalbit. Applause

C'è da capire perché Norman non è riuscito a impostare quel valore nel file di registro. Think
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 05 Mag 2008 22:51    Oggetto: Rispondi citando

bdoriano ha scritto:
C'è da capire perché Norman non è riuscito a impostare quel valore nel file di registro. Think
Il log di system scan dà qualche indicazione in merito ?
Top
Profilo Invia messaggio privato
quasar186
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 18/09/07 16:09
Messaggi: 136
Residenza: Ai confini dell'universo

MessaggioInviato: 05 Mag 2008 22:55    Oggetto: Rispondi citando

chemicalbit ha scritto:
L'altra volta però avevi -se ben ricordo, non c'ho voglia di andare a riguardare i log ...- fatto la scansione anche sul disco esterno (ora è staccato?)


Si è vero, hai ragione, l'altra volta c'era pure quello attaccato!
Stavolta era staccato, infatti ci ha messo "appena" 4 ore, comunque di certo un miglioramento rispetto all'altra volta!
Ecco il report, opportunamente ridotto:

Scan
----
Scanned: 483968
Detected: 0
Untreated: 0
Start time: 2008-05-05 11:46
Duration: 04:24:30
Finish time: 2008-05-05 16:10


Detected
--------
Status Object
------ ------


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
All objects 483968 0 0 0 0 20651 229 230 13
System memory 685 0 0 0 0 1 0 0 0
Startup objects 530 0 0 0 0 2 23 0 0
Disk boot sectors 4 0 0 0 0 0 0 0 0
Disco locale (CSmile 478031 0 0 0 0 20648 205 230 13
Volume (FSmile 4718 0 0 0 0 0 1 0 0


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----

EDIT: le faccine non erano volute! Very Happy

chemicalbit ha scritto:
Se riesci fai anche una scansione con Combofix e posta il log.


Mad ...niente da fare, combofix bisogna dimenticarselo, si blocca sempre allo stesso punto...


chemicalbit ha scritto:

Non che io sia un esperto a leggerli .... Light ,
ma questi valori ti dicono nulla?
Citazione:
HKLM\SYSTEM\CCS\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
213.156.54.81 è un IP Fastweb ; 1.253.128.30 è un IP riservato , penso si riferisca al PC locale o alla sua sottorete.


Beh, effettivamente io ho fastweb...


chemicalbit ha scritto:
Non c'è quello di rogue remover però.


Ma scusate, Rogue Remover genera dei report? Eh?
Dopo la scansione, alla fine della finestra, c'era semplicemente scritto che non aveva trovato alcuna minaccia...
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 05 Mag 2008 23:25    Oggetto: Rispondi citando

quasar186 ha scritto:
Ma scusate, Rogue Remover genera dei report? Eh?
Dopo la scansione, alla fine della finestra, c'era semplicemente scritto che non aveva trovato alcuna minaccia...

Il report viene generato solo se riscontra delle minacce.

Domani sera darò un'occhiata all'ultimo log di systemscan che hai fatto e vediamo se riscontro qualcosa che mi è sfuggita prima. Think
Top
Profilo Invia messaggio privato
quasar186
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 18/09/07 16:09
Messaggi: 136
Residenza: Ai confini dell'universo

MessaggioInviato: 05 Mag 2008 23:48    Oggetto: Rispondi citando

Ok, sempre grazie per la disponibilità!
Mi rendo conto che devo essere una bella rottura di scatole, mi spiace...

A domani!
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 05 Mag 2008 23:54    Oggetto: Rispondi citando

quasar186 ha scritto:
Mi rendo conto che devo essere una bella rottura di scatole, mi spiace...
Shame on you
La rottura di scatole qui sono solo i malware! I said
Top
Profilo Invia messaggio privato
quasar186
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 18/09/07 16:09
Messaggi: 136
Residenza: Ai confini dell'universo

MessaggioInviato: 06 Mag 2008 18:48    Oggetto: Rispondi citando

bdoriano ha scritto:
Il report viene generato solo se riscontra delle minacce.


Comunque questo non lo capisco proprio! Tra le minacce che Rogue Remover dovrebbe riconoscere è inserito anche questo maledetto BPSSpywareRemover... TapTap
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 06 Mag 2008 21:59    Oggetto: Rispondi citando

Riecchime, Ciao

ho verificato perché Norman non è riuscito a impostare la chiave.
Non riesco a capire com'è successo, ma risulta nascosta (non visibile).
C'è anche un file da cancellare (di cui voglio vedere il contenuto).

  • Avvia nuovamente SystemScan
  • metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed

  • clicca su Removal Script

  • Nel riquadro inserisci il seguente script:
    Codice:
    Files to delete:
    C:\WINDOWS\tasks\zzpofz.job

    e clicca Proceed with removal


    ******
    Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
    ******


    Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
    Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt.


Carica i files C:\Avenger\*.zip su FreeFileHosting come indicato qui. Inviami via i links che ti vengono assegnati.

Per BSSpy, RogueRemover non ne trova traccia perché, effettivamente, non c'è.
Combofix non riesce a completare l'analisi perché c'è un errore con MSI Installer.
Facciamo un passo alla volta. Razz
Top
Profilo Invia messaggio privato
quasar186
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 18/09/07 16:09
Messaggi: 136
Residenza: Ai confini dell'universo

MessaggioInviato: 07 Mag 2008 15:36    Oggetto: Rispondi citando

Ecco il log di Avenger, mi pare che sia riuscito a cancellare quel file, anche se alla fine del documento non capisco se dice che c'è stato un errore nel riavvio del pc... lascio la cosa a voi saggi! Old

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dduyqmyk

*******************

Script file located at: \??\C:\WINDOWS\vgrknoal.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\tasks\zzpofz.job deleted successfully.

Could not set up C:\Documents and Settings\WinXp\Desktop\sys91058.exe to run on reboot
Run on reboot of program C:\Documents and Settings\WinXp\Desktop\sys91058.exe failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

P.S.
Adesso carico gli archivi che mi hai chiesto e ti mando i link.
Top
Profilo Invia messaggio privato
quasar186
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 18/09/07 16:09
Messaggi: 136
Residenza: Ai confini dell'universo

MessaggioInviato: 07 Mag 2008 15:46    Oggetto: Rispondi citando

Un'altra cosa: Kaspersky Virus Removal Tool lo posso disinstallare?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 07 Mag 2008 15:51    Oggetto: Rispondi citando

Si, disinstallalo pure.
Top
Profilo Invia messaggio privato
quasar186
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 18/09/07 16:09
Messaggi: 136
Residenza: Ai confini dell'universo

MessaggioInviato: 08 Mag 2008 18:47    Oggetto: Rispondi citando

Ciao a tutti!
In attesa di comunicazioni vi scrivo per segnalare un altro fatto perlomeno curioso! Help
Qualche minuto fa ho cliccato sull'icona di IE e prima di aprire l'home page si è avviato windows installer, oltretutto le finestre avevano come "titolo" Adobe Reader! Eh?
Comunque poi dopo qualche secondo si è avviato IE. Voi ci capite qualcosa?

Mi sa proprio che windows installer è andato di cervello...
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 09 Mag 2008 17:02    Oggetto: Rispondi citando

Ciao quasar186,

probabilmente hai qualche problema con Windows Installer.

Scusa se rispondo solo ora, ma sono in overdose lavorativa... spero di tornare "operativo" durante il fine settimana. Rolling Eyes
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 09 Mag 2008 18:39    Oggetto: Rispondi citando

quasar186 ha scritto:
Mi sa proprio che windows installer è andato di cervello...


bdoriano ha scritto:
probabilmente hai qualche problema con Windows Installer.
Prova ad aprire una disucussione nel forum "Windows XP"
Top
Profilo Invia messaggio privato
quasar186
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 18/09/07 16:09
Messaggi: 136
Residenza: Ai confini dell'universo

MessaggioInviato: 10 Mag 2008 12:39    Oggetto: Rispondi citando

chemicalbit ha scritto:
Prova ad aprire una disucussione nel forum "Windows XP"

Sicuro? Non è che poi creo confusione con quest'altra discussione?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 12 Mag 2008 08:04    Oggetto: Rispondi citando

Fai questa scansione con VirIT
Top
Profilo Invia messaggio privato
quasar186
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 18/09/07 16:09
Messaggi: 136
Residenza: Ai confini dell'universo

MessaggioInviato: 12 Mag 2008 15:12    Oggetto: Rispondi citando

Ecco il report di VirIt:

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
12/05/2008 - 14:10:01

[SCANSIONE DEL REGISTRO]
{DF780F87-FF2B-4DF8-92D0-73DB16A1543A} Infetto da Adware.PopCap.A
* * * RIMOSSO * * *

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\WinXp\Desktop\SmitfraudFix\exit.exe Infetto da Trojan.Win32.Agent.AWE
* * * RIMOSSO * * *
C:\Documents and Settings\WinXp\Desktop\SmitfraudFix\VACFix.exe Infetto da Trojan.Win32.Agent.Gen
* * * RIMOSSO * * *
C:\WINDOWS\system32\VACFix.exe Infetto da Trojan.Win32.Agent.Gen
* * * RIMOSSO * * *

[D:]


[E:]


[F:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 1.
Files Infetti: 3.
Files Sospetti: 0.
Files Analizzati: 187146.
Files Totali: 187146.
Chiavi Registro rimosse: 1.
Virus Rimossi: 3.

Mi pare che qualcosa abbia trovato (addirittura nei files di SmitfraudFix?!), aspetto la tua diagnosi. Ciao!
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 12 Mag 2008 19:37    Oggetto: Rispondi

quasar186 ha scritto:
Mi pare che qualcosa abbia trovato (addirittura nei files di SmitfraudFix?!), aspetto la tua diagnosi. Ciao!

Si, è normale che veda Smitfraudfix venga visto come virus (utilizza metodi poco convenzionali). Razz

Vedo che ha eliminato una chiave di un adware nel file di registro. Think

Se hai pazienza, entro domani vedo di postarti altre istruzioni dettagliate su cos'altro fare. Wink
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Quest'argomento è chiuso: Non puoi inserire, rispondere o modificare i messaggi.    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a Precedente  1, 2, 3, 4, 5, 6, 7  Successivo
Pagina 5 di 7

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi