Precedente :: Successivo |
Autore |
Messaggio |
quasar186 Eroe in grazia degli dei


Registrato: 18/09/07 16:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 05 Mag 2008 12:01 Oggetto: |
|
|
chemicalbit ha scritto: | p.s. è una scansione un po' lunghetta (mediamente 4 - 5 ore) |
Ottimista!
L'altra volta ha cominciato dopo pranzo ed ha finito la mattina dopo!
Infatti adesso sarà un'oretta che la sta facendo (ti scrivo dall'altro computer) e sta ancora all'1%... sigh!
Comunque grazie per avermi risposto, cominciavo a sentirmi un pochino solo...
Ci risentiamo quando finisce, spero stasera... |
|
Top |
|
 |
chemicalbit Dio maturo


Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 05 Mag 2008 12:10 Oggetto: |
|
|
quasar186 ha scritto: | chemicalbit ha scritto: | p.s. è una scansione un po' lunghetta (mediamente 4 - 5 ore) |
Ottimista!
L'altra volta ha cominciato dopo pranzo ed ha finito la mattina dopo!
Infatti adesso sarà un'oretta che la sta facendo (ti scrivo dall'altro computer) e sta ancora all'1%... sigh! | L'altra volta però avevi -se ben ricordo, non c'ho voglia di andare a riguardare i log ...- fatto la scansione anche sul disco esterno (ora è staccato?)
quasar186 ha scritto: | Ci risentiamo quando finisce, spero stasera... | Se riesci fai anche una scansione con Combofix e posta il log.
-------
Dal log di Normal Malware Cleaner
Citazione: |
(prima della scansione vera e propria dei file)
Failed to set registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000
(...)
(dopo la scansione vera e propria dei file)
Running post-scan cleanup routine:
Failed to set registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> "" | perché non riesce ad impostarlo?
-------
Log di SmitFraudFix v2.319
Non che io sia un esperto a leggerli .... ,
ma questi valori ti dicono nulla?
Citazione: | HKLM\SYSTEM\CCS\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81 | 213.156.54.81 è un IP Fastweb ; 1.253.128.30 è un IP riservato , penso si riferisca al PC locale o alla sua sottorete.
----------
quasar186 ha scritto: | Ciao ragazzi, per non starmene con le mani in mano ho ripetuto le pulizie con norman, rogue remover e smitfraudfix. Qui sotto vi posto i link ai report:
[URL="http://www.freefilehosting.net/files/3gj02"]NFix_2008-05-04_11-32-40.log[/URL]
[URL="http://www.freefilehosting.net/files/3gj04"]rapport19.txt[/URL] | Non c'è quello di rogue remover però. |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 05 Mag 2008 22:43 Oggetto: |
|
|
Buona analisi. Bravo chemicalbit.
C'è da capire perché Norman non è riuscito a impostare quel valore nel file di registro.  |
|
Top |
|
 |
chemicalbit Dio maturo


Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 05 Mag 2008 22:51 Oggetto: |
|
|
bdoriano ha scritto: | C'è da capire perché Norman non è riuscito a impostare quel valore nel file di registro.  | Il log di system scan dà qualche indicazione in merito ? |
|
Top |
|
 |
quasar186 Eroe in grazia degli dei


Registrato: 18/09/07 16:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 05 Mag 2008 22:55 Oggetto: |
|
|
chemicalbit ha scritto: | L'altra volta però avevi -se ben ricordo, non c'ho voglia di andare a riguardare i log ...- fatto la scansione anche sul disco esterno (ora è staccato?)
|
Si è vero, hai ragione, l'altra volta c'era pure quello attaccato!
Stavolta era staccato, infatti ci ha messo "appena" 4 ore, comunque di certo un miglioramento rispetto all'altra volta!
Ecco il report, opportunamente ridotto:
Scan
----
Scanned: 483968
Detected: 0
Untreated: 0
Start time: 2008-05-05 11:46
Duration: 04:24:30
Finish time: 2008-05-05 16:10
Detected
--------
Status Object
------ ------
Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
All objects 483968 0 0 0 0 20651 229 230 13
System memory 685 0 0 0 0 1 0 0 0
Startup objects 530 0 0 0 0 2 23 0 0
Disk boot sectors 4 0 0 0 0 0 0 0 0
Disco locale (C 478031 0 0 0 0 20648 205 230 13
Volume (F 4718 0 0 0 0 0 1 0 0
Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Quarantine
----------
Status Object Size Added
------ ------ ---- -----
Backup
------
Status Object Size
------ ------ ----
EDIT: le faccine non erano volute!
chemicalbit ha scritto: | Se riesci fai anche una scansione con Combofix e posta il log. |
...niente da fare, combofix bisogna dimenticarselo, si blocca sempre allo stesso punto...
chemicalbit ha scritto: |
Non che io sia un esperto a leggerli .... ,
ma questi valori ti dicono nulla?
Citazione: | HKLM\SYSTEM\CCS\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81 | 213.156.54.81 è un IP Fastweb ; 1.253.128.30 è un IP riservato , penso si riferisca al PC locale o alla sua sottorete. |
Beh, effettivamente io ho fastweb...
chemicalbit ha scritto: | Non c'è quello di rogue remover però. |
Ma scusate, Rogue Remover genera dei report?
Dopo la scansione, alla fine della finestra, c'era semplicemente scritto che non aveva trovato alcuna minaccia... |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 05 Mag 2008 23:25 Oggetto: |
|
|
quasar186 ha scritto: | Ma scusate, Rogue Remover genera dei report?
Dopo la scansione, alla fine della finestra, c'era semplicemente scritto che non aveva trovato alcuna minaccia... |
Il report viene generato solo se riscontra delle minacce.
Domani sera darò un'occhiata all'ultimo log di systemscan che hai fatto e vediamo se riscontro qualcosa che mi è sfuggita prima.  |
|
Top |
|
 |
quasar186 Eroe in grazia degli dei


Registrato: 18/09/07 16:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 05 Mag 2008 23:48 Oggetto: |
|
|
Ok, sempre grazie per la disponibilità!
Mi rendo conto che devo essere una bella rottura di scatole, mi spiace...
A domani! |
|
Top |
|
 |
chemicalbit Dio maturo


Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 05 Mag 2008 23:54 Oggetto: |
|
|
quasar186 ha scritto: | Mi rendo conto che devo essere una bella rottura di scatole, mi spiace... |
La rottura di scatole qui sono solo i malware!  |
|
Top |
|
 |
quasar186 Eroe in grazia degli dei


Registrato: 18/09/07 16:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 06 Mag 2008 18:48 Oggetto: |
|
|
bdoriano ha scritto: | Il report viene generato solo se riscontra delle minacce.
|
Comunque questo non lo capisco proprio! Tra le minacce che Rogue Remover dovrebbe riconoscere è inserito anche questo maledetto BPSSpywareRemover...  |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 06 Mag 2008 21:59 Oggetto: |
|
|
Riecchime,
ho verificato perché Norman non è riuscito a impostare la chiave.
Non riesco a capire com'è successo, ma risulta nascosta (non visibile).
C'è anche un file da cancellare (di cui voglio vedere il contenuto).
- Avvia nuovamente SystemScan
- metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
- clicca su Removal Script
- Nel riquadro inserisci il seguente script:
Codice: | Files to delete:
C:\WINDOWS\tasks\zzpofz.job |
e clicca Proceed with removal
******
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
******
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt.
Carica i files C:\Avenger\*.zip su FreeFileHosting come indicato qui. Inviami via i links che ti vengono assegnati.
Per BSSpy, RogueRemover non ne trova traccia perché, effettivamente, non c'è.
Combofix non riesce a completare l'analisi perché c'è un errore con MSI Installer.
Facciamo un passo alla volta.  |
|
Top |
|
 |
quasar186 Eroe in grazia degli dei


Registrato: 18/09/07 16:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 07 Mag 2008 15:36 Oggetto: |
|
|
Ecco il log di Avenger, mi pare che sia riuscito a cancellare quel file, anche se alla fine del documento non capisco se dice che c'è stato un errore nel riavvio del pc... lascio la cosa a voi saggi!
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dduyqmyk
*******************
Script file located at: \??\C:\WINDOWS\vgrknoal.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\tasks\zzpofz.job deleted successfully.
Could not set up C:\Documents and Settings\WinXp\Desktop\sys91058.exe to run on reboot
Run on reboot of program C:\Documents and Settings\WinXp\Desktop\sys91058.exe failed!
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
P.S.
Adesso carico gli archivi che mi hai chiesto e ti mando i link. |
|
Top |
|
 |
quasar186 Eroe in grazia degli dei


Registrato: 18/09/07 16:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 07 Mag 2008 15:46 Oggetto: |
|
|
Un'altra cosa: Kaspersky Virus Removal Tool lo posso disinstallare? |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 07 Mag 2008 15:51 Oggetto: |
|
|
Si, disinstallalo pure. |
|
Top |
|
 |
quasar186 Eroe in grazia degli dei


Registrato: 18/09/07 16:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 08 Mag 2008 18:47 Oggetto: |
|
|
Ciao a tutti!
In attesa di comunicazioni vi scrivo per segnalare un altro fatto perlomeno curioso!
Qualche minuto fa ho cliccato sull'icona di IE e prima di aprire l'home page si è avviato windows installer, oltretutto le finestre avevano come "titolo" Adobe Reader!
Comunque poi dopo qualche secondo si è avviato IE. Voi ci capite qualcosa?
Mi sa proprio che windows installer è andato di cervello... |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 09 Mag 2008 17:02 Oggetto: |
|
|
Ciao quasar186,
probabilmente hai qualche problema con Windows Installer.
Scusa se rispondo solo ora, ma sono in overdose lavorativa... spero di tornare "operativo" durante il fine settimana.  |
|
Top |
|
 |
chemicalbit Dio maturo


Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 09 Mag 2008 18:39 Oggetto: |
|
|
quasar186 ha scritto: | Mi sa proprio che windows installer è andato di cervello... |
bdoriano ha scritto: | probabilmente hai qualche problema con Windows Installer. | Prova ad aprire una disucussione nel forum "Windows XP" |
|
Top |
|
 |
quasar186 Eroe in grazia degli dei


Registrato: 18/09/07 16:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 10 Mag 2008 12:39 Oggetto: |
|
|
chemicalbit ha scritto: | Prova ad aprire una disucussione nel forum "Windows XP" |
Sicuro? Non è che poi creo confusione con quest'altra discussione? |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
|
Top |
|
 |
quasar186 Eroe in grazia degli dei


Registrato: 18/09/07 16:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 12 Mag 2008 15:12 Oggetto: |
|
|
Ecco il report di VirIt:
VirIT eXplorer Lite Log
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
12/05/2008 - 14:10:01
[SCANSIONE DEL REGISTRO]
{DF780F87-FF2B-4DF8-92D0-73DB16A1543A} Infetto da Adware.PopCap.A
* * * RIMOSSO * * *
[A:]
BOOT SECTOR: OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\Documents and Settings\WinXp\Desktop\SmitfraudFix\exit.exe Infetto da Trojan.Win32.Agent.AWE
* * * RIMOSSO * * *
C:\Documents and Settings\WinXp\Desktop\SmitfraudFix\VACFix.exe Infetto da Trojan.Win32.Agent.Gen
* * * RIMOSSO * * *
C:\WINDOWS\system32\VACFix.exe Infetto da Trojan.Win32.Agent.Gen
* * * RIMOSSO * * *
[D:]
[E:]
[F:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
Chiavi Registro infette: 1.
Files Infetti: 3.
Files Sospetti: 0.
Files Analizzati: 187146.
Files Totali: 187146.
Chiavi Registro rimosse: 1.
Virus Rimossi: 3.
Mi pare che qualcosa abbia trovato (addirittura nei files di SmitfraudFix?!), aspetto la tua diagnosi. Ciao! |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 12 Mag 2008 19:37 Oggetto: |
|
|
quasar186 ha scritto: | Mi pare che qualcosa abbia trovato (addirittura nei files di SmitfraudFix?!), aspetto la tua diagnosi. Ciao! |
Si, è normale che veda Smitfraudfix venga visto come virus (utilizza metodi poco convenzionali).
Vedo che ha eliminato una chiave di un adware nel file di registro.
Se hai pazienza, entro domani vedo di postarti altre istruzioni dettagliate su cos'altro fare.  |
|
Top |
|
 |
|