|
|
|
|
Strumenti |
29-05-2008, 00:03 | #21 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
ottimo
fixa: Codice:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
29-05-2008, 00:07 | #22 |
Junior Member
Iscritto dal: May 2008
Messaggi: 27
|
D'OH!!!
Hijack dopo l'ultimo fix: http://www.fileqube.com/shared/YVWwCbwKB32935 Prevx (spero): http://www.fileqube.com/shared/wkUZIqnf32936 |
29-05-2008, 00:12 | #23 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe Doppio click su combofix.exe e segui le istruzioni Allegare il log C:\combofix.txt N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire) ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza
__________________
Try again and you will be luckier.
|
|
29-05-2008, 00:15 | #24 | |
Junior Member
Iscritto dal: May 2008
Messaggi: 27
|
Quote:
|
|
29-05-2008, 00:15 | #25 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Solo questo ovvero il log che trovi in C:\combofix.txt
__________________
Try again and you will be luckier.
|
29-05-2008, 00:17 | #26 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
ok ora facciamo altre cosucce tipo:
vai in c:\windows\system32\drivers\etc e con il notepad apri il file HOSTS, cancella la riga riportante: 1.253.128.31 poi andiamo in regedit (start -> esegui.. -> digita: regedit -> batti invio) e posizionati alla seguente chiave: "Key" = "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljJYPFUO" e rimuovila posizionati alla chiave: "Key" = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" e rimuoviamo (le trovi nella schermata destra): "" = "C:\WINDOWS\system32\ssqPjjHw.dll" "" = "C:\WINDOWS\system32\ljJYPFUO.dll" "" = "C:\WINDOWS\system32\ssqOeeeb.dll" se non ti senti sicuro su queste tre fai una stampa che ti aiuto
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
29-05-2008, 00:23 | #27 | |
Junior Member
Iscritto dal: May 2008
Messaggi: 27
|
Il mio dubbio era un altro...
Quote:
|
|
29-05-2008, 00:24 | #28 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
c'è anche da eliminare questa:
posizionati alla chiave: "Key" = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks" cancelliamo: "" = "C:\WINDOWS\system32\ljJYPFUO.dll" posizionati in: Winlogon Notify -> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljJYPFUO ed eliminiamo: "" = "C:\WINDOWS\system32\ljJYPFUO.dll" questo file ha le seguenti aprticolarità: "Creation Time" = "2008/05/28 14:08" "Last Write Time" = "2008/05/28 14:08" "Linked to" = "Running Processes -> explorer.exe (288) -> C:\WINDOWS\system32\ljJYPFUO.dll" "Linked to" = "Running Processes -> winlogon.exe (904) -> C:\WINDOWS\system32\ljJYPFUO.dll" che abbiamo stroncato con la cancellazioni via regeit
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
29-05-2008, 00:24 | #29 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Vai tranquillo non ti cancella nulla
__________________
Try again and you will be luckier.
|
29-05-2008, 00:28 | #30 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
sfanculato per uno stupido tool
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
29-05-2008, 00:30 | #31 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Leggi http://www.hwupgrade.it/forum/showpo...8&postcount=18 vediamo se il tool gli ripristina anche i parametri
__________________
Try again and you will be luckier.
|
29-05-2008, 00:33 | #32 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
sì è vero ma correggendo le chiavi di registro che ho linkato dopo tanta ricerca nel suo lungo log si raggiungeva un risultato impeccabile... sysinspector è una figata, senza dover usare quel coso di combo
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
29-05-2008, 00:38 | #33 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Nulla da eccepire sulla tua procedura sicuramente più virtuosa, si è vero SysInspector è ottimo, e non definire Combo un coso se no Luca si spaventa già l'ho visto titubante.
__________________
Try again and you will be luckier.
|
29-05-2008, 00:40 | #34 |
Junior Member
Iscritto dal: May 2008
Messaggi: 27
|
Ecco... bravi... divertitevi pure a mettermi ancora più in crisi!
@xcdegasp: - in HOSTS ci sono solo righe con 127.0.0.1 - nel registro, quando dici di eliminare le chiavi, cancello la voce o la cartella? http://www.fileqube.com/shared/TsmgVQQ32941 http://www.fileqube.com/shared/UYmZU32942 Poi non so... ditemi voi se è meglio proseguire così o con il tool... |
29-05-2008, 00:54 | #35 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
perfetto per esempio nel primo screen, Browser Helper Object, ora sempre rimanendo nella schermata di sinistra clickando con il tasto sinistro nelle csubkey (sottocartelle gialle) nella parte destra dovresti vedere gli oggetti che puntano a quelle dll..
tipo come nel secondo screen che hai nella parte di destra DllName -> IjYPFUO.dll che ti basta selezionare e premere canc
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
29-05-2008, 00:57 | #36 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
ci sarebbe anche un metodo più veloce, ossia usare il menu "modifica" e selezionare "trova"
e inserire: ljJYPFUO.dll ssqPjjHw.dll ssqOeeeb.dll ovviamente fare la ricerca una per volta e cancellare via via i risultati evidenziati della finestra di destra
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
Ultima modifica di xcdegasp : 29-05-2008 alle 09:49. |
29-05-2008, 10:26 | #37 |
Junior Member
Iscritto dal: May 2008
Messaggi: 27
|
Houston, abbiamo un problema!
Regedit non elimina le voci... cioè, le elimina... ma se dopo averle tolte tutto faccio di novo la ricerca, sono ancora lì. Nel frattempo ho fatto girare il "coso Combo"... http://www.fileqube.com/shared/DdiQOwaLM33132 Risorse del computer è tornato a posto... ma VIRUS ALERT! è ancora lì. Ultima modifica di lucabondi : 29-05-2008 alle 10:49. |
29-05-2008, 11:13 | #38 | ||
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Quote:
Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza Oltre ad allegare il log di Combofix, mi alleghi anche un nuovo log di HjiackThis e Prevx CSI
__________________
Try again and you will be luckier.
|
||
29-05-2008, 11:17 | #39 |
Junior Member
Iscritto dal: May 2008
Messaggi: 27
|
Ora lo faccio... in ogni caso adesso regedit e avenger hanno funzionato...
|
29-05-2008, 11:20 | #40 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Scusa ma non ho capito è una domanda o un'affermazione, comunque segui le istruzioni che ti ho indicato poi mi rispondi.
__________________
Try again and you will be luckier.
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:50.