| Precedente :: Successivo |
| Autore |
Messaggio |
justdare
Mortale pio
Registrato: 27/07/08 23:44
Messaggi: 17
|
 Inviato: 27 Lug 2008 23:54 Oggetto: Virus Autoreplicante nei dischi rimovibili: m.exe ? |
 |
|
Ciao a tutti!
Sono un nuovo utente, ed è la prima volta che ricorro ad un forum per assistenza di questo tipo, quindi abbiate pazienza 
Un mesetto fa, mentre navigavo accidentalmente senza antivirus, ho beccato una caterva di virus che hanno causato un po' di problemi al mio pc, ma alla fine sono riuscito a liberamene quasi completamente.
L'unico problema che ora noto è un pop up di Adstargeted Banner (o qualcosa di simile) che compare saltuariamente e non mi causa più di tanto fastidio 
Piuttosto, venendo al dunque, oggi ho notato che quando inserisco nel computer una SD, o collego il mio lettore mp3 via usb, in queste periferiche appare un file m.exe, che AVG mi segnala come infetto.
Non c'è rimozione manuale o automatica che tenga, questo antipatico eseguibile si ripresenta ogni volta 
Ecco il messaggio che appare.
Ho provato ad aprire HijackThis, ma quando clicco appare per una frazione di secondo e poi si richiude.
Idem con Processexplorer.
Non cambia niente anche se rinomino gli eseguibili.
[E se proprio volete ridere, firefox si chiude automaticamente quando apro uno dei risultati della ricerca google '' hijackthis non si apre '' )
Utilizzo windows XP e il mio antivirus è AVG free.
Illuminatemi  |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 28 Lug 2008 07:32 Oggetto: |
|
|
Ciao justdare e benvenuto, 
Segui queste istruzioni per controllare le chiavi del file di registro.
Dopo, vedremo il da farsi. 
PS: se vuoi, puoi presentarti qui |
|
| Top |
|
|
justdare
Mortale pio
Registrato: 27/07/08 23:44
Messaggi: 17
|
| Inviato: 28 Lug 2008 07:38 Oggetto: |
|
|
| Citazione: | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
guarda se esistono
- explorer.exe e se c'è riporta qui i valori.
- iexplore.exe e se c'è riporta qui i valori. |
Non ci sono 
per quanto riguarda l'altra chiave, il valore è lo stesso dell'immagine:
C:\WINDOWS\system32\userinit.exe,[/quote] |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 28 Lug 2008 07:41 Oggetto: |
|
|
Ok, allora fa parte dei servizi di Windows. 
Fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato.
Se non dovessi riuscire a scaricarlo, prova da uno dei seguenti links:
sys13200.zip
sys13200.zip |
|
| Top |
|
|
justdare
Mortale pio
Registrato: 27/07/08 23:44
Messaggi: 17
|
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 29 Lug 2008 00:38 Oggetto: |
|
|
Ciao,
Porta il PC in modalità provvisoria;
Naviga attraverso questa chiave di registro:
| Citazione: | | HKLM\Software\Microsoft\Windows\CurrentVersion\Run | {4de5ec15-7557-0fff-c573-075f1ffce428} |
Guarda nella finestra a destra se vedi quella in rosso racchiusa tra le parentesi graffe, clic col destro->elimina;
Fai la stessa cosa con quest'altra chiave, sempre dalla modalità provvisoria:
| Citazione: | HKEY_CLASSES_ROOT\CLSID\{0e8b9ba0-cb2f-b3f2-3075-4fd7b26c8187}\InprocServer32
|
Appena giungi a quella in grassetto, selezionala e guarda nella finestra a destra se trovi questo valore: (Attenzione a non eliminare la chiave InprocServer32 ovunque compaia)
| Citazione: | | C:\WINDOWS\system32\ydmwnwqngessjn.dll |
Elimina la chiave in corrispondenza del valore indicato quì sopra;
Adesso cerca questi file ed eliminali:
C:\WINDOWS\system32\ydmwnwqngessjn.dll
C:\WINDOWS\09F1B5B57561FAF85295FE67A1793E.exe
Riavvia il PC alla modalità normale;
Fai un log di Hijackthis. |
|
| Top |
|
|
justdare
Mortale pio
Registrato: 27/07/08 23:44
Messaggi: 17
|
| Inviato: 29 Lug 2008 23:57 Oggetto: |
|
|
Ciao!
Sono entrato in modalità provvisoria, ho eliminato la chaive di registro scritta in rosso, ma non ho capito bene cosa fare con la seconda.
Mi dici di fare lo stesso con
HKEY_CLASSES_ROOT\CLSID\{0e8b9ba0-cb2f-b3f2-3075-4fd7b26c8187}\InprocServer32
ma poi di non cancellarla.
ad ogni modo questo è ciò che mi appare (non vedo C:\WINDOWS\system32\ydmwnwqngessjn.dll da eliminare )
ho cercato i due file da cancellare, e li ho eliminati.
Ora Hijack parte, ecco il log.
hijackthis.log |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 30 Lug 2008 09:13 Oggetto: |
|
|
| justdare ha scritto: | Ciao!
Sono entrato in modalità provvisoria, ho eliminato la chaive di registro scritta in rosso, ma non ho capito bene cosa fare con la seconda.
Mi dici di fare lo stesso con
HKEY_CLASSES_ROOT\CLSID\{0e8b9ba0-cb2f-b3f2-3075-4fd7b26c8187}\InprocServer32
ma poi di non cancellarla.
ad ogni modo questo è ciò che mi appare (non vedo C:\WINDOWS\system32\ydmwnwqngessjn.dll da eliminare ) |
[/quote]
Volevo dire di non cancellare la chiave principale e cioè InprocServer32, ma il valore infetto che non compare perchè eliminato manualmente poco prima...
Adesso porta il PC nuovamente in modalità provvisoria;
Se hai il TTimer di Spybot attivo disattivalo prima di fare questa operazione, così per altri moduli in tempo reale;
avvia Hijack, seleziona queste righe e clicca poi su fix Checked:
| Citazione: | O2 - BHO: targetedbanner browser optimizer - {0e8b9ba0-cb2f-b3f2-3075-4fd7b26c8187} - C:\WINDOWS\system32\ydmwnwqngessjn.dll (file missing)
O2 - BHO: (no name) - {250CFFC1-5BF5-4AE9-887D-80C1C75D545C} - (no file)
O2 - BHO: PPOob - {51E30BDC-0E41-4AED-8FBE-7813CB42497B} - C:\WINDOWS\system32\ppobo.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {82336A8D-6CD0-4647-B791-75FCA8CF2B39} - (no file)
O2 - BHO: (no name) - {8F37BE3F-7080-0507-AA4E-7AA2969B42C4} - (no file)
O20 - Winlogon Notify: adeccbbfaf - C:\WINDOWS\system32\adeccbbfaf.dll
O20 - Winlogon Notify: efcASiFV - efcASiFV.dll (file missing)
O23 - Service: Plug and Play (RPC) (PlugPlayRPC) - Unknown owner - C:\WINDOWS\portsv.exe (file missing)
|
Riavvia il PC alla modalità normale;
Adesso faremo un altra operazione con Systemscan, anche se qualche file non verrà trovato perchè già eliminato;
quindi avvia Systemscan;
clicca su Removal Script;
nel box inserisci queste scritte in rosso:
| Citazione: | Drivers to unload:
c647c52264a1df6fbec946b3975f9cef
Files to delete:
C:\WINDOWS\system32\adeccbbfaf.dll
C:\WINDOWS\system32\ydmwnwqngessjn.dll
C:\WINDOWS\system32\ppobo.dll
C:\WINDOWS\system32\c647c52264a1df6fbec946b3975f9cef.sys
C:\Programmi\xloadnet\xloadnet.exe
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | {4de5ec15-7557-0fff-c573-075f1ffce428}
Registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\adeccbbfaf
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0e8b9ba0-cb2f-b3f2-3075-4fd7b26c8187}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{51E30BDC-0E41-4AED-8FBE-7813CB42497B}
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xloadnet
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{4de5ec15-7557-0fff-c573-075f1ffce428}
|
Clicca su Proceed with Removal
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di hijackthis. |
|
| Top |
|
|
justdare
Mortale pio
Registrato: 27/07/08 23:44
Messaggi: 17
|
| Inviato: 30 Lug 2008 20:58 Oggetto: |
|
|
Ciao!
Scusate se ci impiego una giornata a rispondere ma ho accesso al pc di casa solo alla sera in questi giorni 
Dalla modalità provvisoria Hijackthis non è voluto partire ( come all'inizio ) - ho provato due volte.
Curiosamente dalla modalità normale invece funziona.
FIxo quei dalla modalità normale e faccio partire system scan in provvisoria? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 30 Lug 2008 21:36 Oggetto: |
|
|
| OK, fixa in modalità normale e fai partire Systemscan sempre in modalità normale; posta anche il log di Hijackthis... |
|
| Top |
|
|
justdare
Mortale pio
Registrato: 27/07/08 23:44
Messaggi: 17
|
| Inviato: 30 Lug 2008 22:20 Oggetto: |
|
|
Allora, all riavvio è apparsa questa schermata.
Ho dato annulla al messaggio sul disco ed è sparito, dopo un paio di tentativi.
Ho dato Heal a AVG che non ha trovato il file, e la schermata nera (DOS?) si è chiusa.
E' apparso il log di avenger:
avenger.txt
ed ecco quello di hijack fatto partire dopo.
weeee.txt
COme procediamo? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 31 Lug 2008 00:27 Oggetto: |
|
|
L'antivirus, doveva essere disabilitato perchè Avenger o Systemscan, vengono riconosciuti come potenziali virus;
Come era prevedibile, qualche file non è stato trovato da Avenger;
A meno che non l'hai saltata, la riga sottostante non è scomparsa;
Proviamo prima a disabilitare il servizio;
Vai su Pannello di controllo->Strumenti di amministrazione->Servizi;
Cerca questo servizio:
O23 - Service: Plug and Play (RPC) (PlugPlayRPC) - Unknown owner - C:\WINDOWS\portsv.exe (file missing)
Alla voce Tipo di Avvio, apri il menu a tendina e scegli Disabilitato;
Clicca su Applica e su OK;
Ora riprova a fixarlo con HJT e puoi controllare tu stesso se la riga è andata via;
Adesso collegati a Kaspersky online scanner e procedi con la scansione estesa del PC. |
|
| Top |
|
|
justdare
Mortale pio
Registrato: 27/07/08 23:44
Messaggi: 17
|
| Inviato: 31 Lug 2008 19:46 Oggetto: |
|
|
Dopo averlo disabilitato tramite ''Servizi", Hijack this non l'ha più rilevato.
[ o sbaglio? weeee.txt ]
Ora faccio la scansione |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 31 Lug 2008 20:33 Oggetto: |
|
|
| Esattamante.... |
|
| Top |
|
|
justdare
Mortale pio
Registrato: 27/07/08 23:44
Messaggi: 17
|
| Inviato: 01 Ago 2008 07:17 Oggetto: |
|
|
C'è un VAIRUS!
riporto.html |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 01 Ago 2008 09:07 Oggetto: |
|
|
Dovresti eliminare questo file:
| Citazione: | | C:\Programmi\Servizi in linea\Interfree\HP300sp5.exe |
magari dalla modlità provvisoria e dovresti essere a posto così. |
|
| Top |
|
|
justdare
Mortale pio
Registrato: 27/07/08 23:44
Messaggi: 17
|
| Inviato: 01 Ago 2008 10:13 Oggetto: |
|
|
Quando arrivo a casa lo faccio.
Però ho il terrore a ricollegare le periferiche (cfr primo post) - non è che poi finiamo punto a capo? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 01 Ago 2008 11:54 Oggetto: |
|
|
Disattiva momentaneamente il riconoscimento automatico delle periferiche USB; serve il programma TweakUI scaricabile da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:
| Citazione: | Espandi la sezione My Computer
Espandi la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI
PS: Con Espandi intendo: clicca sul simbolo [+] di fianco alle voci che ti ho indicato
Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue periferiche e/o chiavette e fai un check delle stesse con il tuo antivirus.
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato. |
|
|
| Top |
|
|
justdare
Mortale pio
Registrato: 27/07/08 23:44
Messaggi: 17
|
| Inviato: 01 Ago 2008 19:37 Oggetto: |
|
|
Fatto.
Ora sul lettore mp3 sembra non riapparire...
C'è qualche prova del 9 da fare? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 02 Ago 2008 02:11 Oggetto: |
 |
|
| Se non riscontri altri problemi abbiamo finito.... |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
