| Precedente :: Successivo |
| Autore |
Messaggio |
pedrokamata
Eroe in grazia degli dei
Registrato: 02/02/09 20:04
Messaggi: 142
|
 Inviato: 03 Apr 2009 21:01 Oggetto: qualcuno può aiutarmi? Probabile virus Vundo |
 |
|
Salve,
se vi posto questo log mi potete dire se sono infetto e aiutarmi nella risoluzione come avete fatto nella precedente circostanza.
Siete fantastici...
Vi prego help.
log03_28.txt |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 03 Apr 2009 21:40 Oggetto: |
|
|
Ciao pedrokamata
Si, hai il virus Vundo.
Alcune eliminazioni richiedono il riavvio del pc.
Dopo aver riavviato il pc, ti consiglio di rifare la scansione con MBAM, e controllare se rileva ancora qualcosa.
Poi per proseguire con altri accertamenti, segui le indicazioni che ti consiglieranno i moderatori.
Ciao. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 04 Apr 2009 08:57 Oggetto: |
|
|
Ciao pedrokamata, 
Segui le istruzioni di questo topic per postare il log di combofix.
PS: ciao R1, |
|
| Top |
|
|
pedrokamata
Eroe in grazia degli dei
Registrato: 02/02/09 20:04
Messaggi: 142
|
| Inviato: 06 Apr 2009 17:55 Oggetto: |
|
|
vi posto quello che mi avete chiesto..
potete darmi nuove istruzioni?
ComboFix.txt |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Apr 2009 21:03 Oggetto: |
|
|
Ho un sospetto sul file c:\programmi\recfree\tbrec1.dll. Per sicurezza caricalo su VirusTotal e fallo analizzare.
Inoltre, hai qualche periferica USB (chiavetta o HD esterno) infetta, dobbiamo disabilitarne l'avvio automatico all'inserimento per controllarle.
Per farlo in maniera semplice, scaricati il programma TweakUI da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:
| Citazione: | Espandi la sezione My Computer
Espandi la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI
PS: Con Espandi intendo: clicca sul simbolo [+] di fianco alle voci che ti ho indicato  |
Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette e fai un check delle stesse con il tuo antivirus.
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.
Segui le istruzioni di questo topic per postare il log di hijackthis. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 07 Apr 2009 13:40 Oggetto: |
|
|
| bdoriano ha scritto: | Ho un sospetto sul file c:\programmi\recfree\tbrec1.dll. Per sicurezza caricalo su VirusTotal e fallo analizzare.
|
Ciao bdoriano
Quel programma,(recfree) se scaricato da siti poco raccomandabili (tipo thepiratebay.org, oppure italian eazel.htm ) sono degli ottimi veicoli di infezione.
Se per pedrokamata, non è questione di vita o di morte, sarebbe consigliabile eliminarlo.
Ciao . |
|
| Top |
|
|
pedrokamata
Eroe in grazia degli dei
Registrato: 02/02/09 20:04
Messaggi: 142
|
| Inviato: 07 Apr 2009 22:35 Oggetto: |
|
|
ok vi posto l'analisi del file che ritenete potenzialmente dannoso.
link
Poichè non sono un gran intenditore di computer se mi dite che va eliminato che lo eliminiamo pure (postate le istruzioni nel caso) non voglio incappare in queste spiacevoli situazioni dannose.
qui di seguito invece il log di hjt.
hjt09.txt |
|
| Top |
|
|
pedrokamata
Eroe in grazia degli dei
Registrato: 02/02/09 20:04
Messaggi: 142
|
| Inviato: 16 Apr 2009 17:45 Oggetto: |
|
|
come mai nessuna risposta?????
ho sbagliato a postare qualcosa..
Informatemi,,help |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 16 Apr 2009 18:03 Oggetto: |
|
|
Scusa, sto avendo parecchie giornate impegnative.
Per cortesia, appena puoi, riposta il log aggiornato di hijackthis. |
|
| Top |
|
|
pedrokamata
Eroe in grazia degli dei
Registrato: 02/02/09 20:04
Messaggi: 142
|
| Inviato: 16 Apr 2009 23:47 Oggetto: |
|
|
ok
hjt09.txt |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 17 Apr 2009 00:11 Oggetto: |
|
|
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:
| Citazione: | R3 - URLSearchHook: recfree Toolbar - {15c93148-34fe-47e6-88e5-37607a3002f3} - C:\Programmi\recfree\tbrec1.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {0e6d7a5d-b560-4d1c-9713-18dd1ade6011} - (no file)
O2 - BHO: recfree Toolbar - {15c93148-34fe-47e6-88e5-37607a3002f3} - C:\Programmi\recfree\tbrec1.dll
O3 - Toolbar: recfree Toolbar - {15c93148-34fe-47e6-88e5-37607a3002f3} - C:\Programmi\recfree\tbrec1.dll
|
clicca fix checked
Rifai il log di hijackthis e postalo
Personalmente, sconsiglio di tenere in autostart programmi tipo emule o bittorrent. Secondo me, ti conviene disabilitarne l'avvio all'accensione del pc. |
|
| Top |
|
|
pedrokamata
Eroe in grazia degli dei
Registrato: 02/02/09 20:04
Messaggi: 142
|
| Inviato: 17 Apr 2009 19:16 Oggetto: |
|
|
ecco fatto quello che mi hai richiesto.
hjt09.txt
Ma come si fa a togliere quei programmi solo dall'autostart senza disinstallarli dall'hard disk?
Mi puoi aiutare non lo so fare. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 17 Apr 2009 23:29 Oggetto: |
|
|
| pedrokamata ha scritto: | Ma come si fa a togliere quei programmi solo dall'autostart senza disinstallarli dall'hard disk?
Mi puoi aiutare non lo so fare. |
Ciao.
Puoi fare cosi:
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked:
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [Software Informer] "C:\Programmi\Software Informer\softinfo.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [E06IXLRD_1297734] "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SiteVacuum] C:\Programmi\EasySearch\SiteVacuumClient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - Global Startup: Barra delle applicazioni di ATI CATALYST.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
Nessun programma verrà eliminato, ma solo il caricamento all'avvio, per quanto riguarda le voci 04.
Per le voci 016, sono solo Activex, che ti chiederanno di venire installati quando cliccherai sul sito.
Fai una pulizia con CCleaner, e penso che il pc ti ringrazierà.  |
|
| Top |
|
|
pedrokamata
Eroe in grazia degli dei
Registrato: 02/02/09 20:04
Messaggi: 142
|
| Inviato: 18 Apr 2009 23:25 Oggetto: |
|
|
ok ho seguito passo passo le tue istruzioni.
questo quello che ho prodotto.
hjt09.txt
devo fare qulacos'altro?oppure sono curato...
Ciao e buona serata. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 19 Apr 2009 11:32 Oggetto: |
 |
|
Dai una pulita (registro compreso)con CCleaner
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
A mio avviso sei a posto, ma aspetta il parere di bdoriano.
Ciao. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
