[risolto] Virus alert! accanto orologio

[xcdegasp]

ottimo
fixa:

Codice:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

hai allegato due volte il log di hijackthis anzicchè l'immagine di prevx

[lucabondi]

D'OH!!!

Hijack dopo l'ultimo fix: http://www.fileqube.com/shared/YVWwCbwKB32935
Prevx (spero): http://www.fileqube.com/shared/wkUZIqnf32936

[Chill-Out]

Quote:

Originariamente inviato da lucabondi

D'OH!!!

Hijack dopo l'ultimo fix: http://www.fileqube.com/shared/YVWwCbwKB32935
Prevx (spero): http://www.fileqube.com/shared/wkUZIqnf32936

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

[lucabondi]

Quote:

Originariamente inviato da Chill-Out

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Quindi devo spostare i file che tengo sul desktop? O alla fine torna tutto uguale?

[Chill-Out]

Quote:

Originariamente inviato da lucabondi

Quindi devo spostare i file che tengo sul desktop? O alla fine torna tutto uguale?

Solo questo ovvero il log che trovi in C:\combofix.txt

[xcdegasp]

ok ora facciamo altre cosucce tipo:
vai in c:\windows\system32\drivers\etc e con il notepad apri il file HOSTS, cancella la riga riportante:
1.253.128.31

poi andiamo in regedit (start -> esegui.. -> digita: regedit -> batti invio)
e posizionati alla seguente chiave:
"Key" = "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljJYPFUO"
e rimuovila

posizionati alla chiave:
"Key" = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects"

e rimuoviamo (le trovi nella schermata destra):
"" = "C:\WINDOWS\system32\ssqPjjHw.dll"
"" = "C:\WINDOWS\system32\ljJYPFUO.dll"
"" = "C:\WINDOWS\system32\ssqOeeeb.dll"


se non ti senti sicuro su queste tre fai una stampa che ti aiuto

[lucabondi]

Quote:

Originariamente inviato da Chill-Out

Solo questo ovvero il log che trovi in C:\combofix.txt

Il mio dubbio era un altro...

Quote:

N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)

Spariscono in che senso? Il programma me le cancella? Perché altrimenti le sposto tutte in una cartella sull'altro HD.

[xcdegasp]

c'è anche da eliminare questa:
posizionati alla chiave:
"Key" = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks"
cancelliamo:
"" = "C:\WINDOWS\system32\ljJYPFUO.dll"

posizionati in:
Winlogon Notify -> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljJYPFUO
ed eliminiamo:
"" = "C:\WINDOWS\system32\ljJYPFUO.dll"


questo file ha le seguenti aprticolarità:
"Creation Time" = "2008/05/28 14:08"
"Last Write Time" = "2008/05/28 14:08"
"Linked to" = "Running Processes -> explorer.exe (288) -> C:\WINDOWS\system32\ljJYPFUO.dll"
"Linked to" = "Running Processes -> winlogon.exe (904) -> C:\WINDOWS\system32\ljJYPFUO.dll"
che abbiamo stroncato con la cancellazioni via regeit

[Chill-Out]

Quote:

Originariamente inviato da lucabondi

Il mio dubbio era un altro...


Spariscono in che senso? Il programma me le cancella? Perché altrimenti le sposto tutte in una cartella sull'altro HD.

Vai tranquillo non ti cancella nulla

[xcdegasp]

sfanculato per uno stupido tool

[Chill-Out]

Quote:

Originariamente inviato da xcdegasp

sfanculato per uno stupido tool

Leggi
http://www.hwupgrade.it/forum/showpo...8&postcount=18

vediamo se il tool gli ripristina anche i parametri

[xcdegasp]

sì è vero ma correggendo le chiavi di registro che ho linkato dopo tanta ricerca nel suo lungo log si raggiungeva un risultato impeccabile... sysinspector è una figata, senza dover usare quel coso di combo

[Chill-Out]

Quote:

Originariamente inviato da xcdegasp

sì è vero ma correggendo le chiavi di registro che ho linkato dopo tanta ricerca nel suo lungo log si raggiungeva un risultato impeccabile... sysinspector è una figata, senza dover usare quel coso di combo

Nulla da eccepire sulla tua procedura sicuramente più virtuosa, si è vero SysInspector è ottimo, e non definire Combo un coso se no Luca si spaventa già l'ho visto titubante.

[lucabondi]

Ecco... bravi... divertitevi pure a mettermi ancora più in crisi!

@xcdegasp:
- in HOSTS ci sono solo righe con 127.0.0.1
- nel registro, quando dici di eliminare le chiavi, cancello la voce o la cartella?
http://www.fileqube.com/shared/TsmgVQQ32941
http://www.fileqube.com/shared/UYmZU32942

Poi non so... ditemi voi se è meglio proseguire così o con il tool...

[xcdegasp]

perfetto per esempio nel primo screen, Browser Helper Object, ora sempre rimanendo nella schermata di sinistra clickando con il tasto sinistro nelle csubkey (sottocartelle gialle) nella parte destra dovresti vedere gli oggetti che puntano a quelle dll..

tipo come nel secondo screen che hai nella parte di destra DllName -> IjYPFUO.dll
che ti basta selezionare e premere canc

[xcdegasp]

ci sarebbe anche un metodo più veloce, ossia usare il menu "modifica" e selezionare "trova"
e inserire:
ljJYPFUO.dll
ssqPjjHw.dll
ssqOeeeb.dll

ovviamente fare la ricerca una per volta e cancellare via via i risultati evidenziati della finestra di destra

[lucabondi]

Houston, abbiamo un problema!

Regedit non elimina le voci... cioè, le elimina... ma se dopo averle tolte tutto faccio di novo la ricerca, sono ancora lì.

Nel frattempo ho fatto girare il "coso Combo"... http://www.fileqube.com/shared/DdiQOwaLM33132

Risorse del computer è tornato a posto... ma VIRUS ALERT! è ancora lì.

[Chill-Out]

Quote:

Originariamente inviato da lucabondi

Houston, abbiamo un problema!

Regedit non elimina le voci... cioè, le elimina... ma se dopo averle tolte tutto faccio di novo la ricerca, sono ancora lì.

Nel frattempo ho fatto girare il "coso Combo"... http://www.fileqube.com/shared/DdiQOwaLM33132

Risorse del computer è tornato a posto... ma VIRUS ALERT! è ancora lì.

Apri il Blocco Note copia e incolla queste righe:

Quote:

File::
C:\WINDOWS\system32\ssqOeeeb.dll
C:\WINDOWS\system32\ssqPjjHw.dll
C:\WINDOWS\system32\ljJYPFUO.dll

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJYPFUO]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{360A65F0-7D05-4B36-A345-4EC48D14439C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C0DF5BB6-DAE7-4901-8ED3-216ADA45198D}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C1B9D7F9-6B21-44B2-BE34-DDB11C5C75D9}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Oltre ad allegare il log di Combofix, mi alleghi anche un nuovo log di HjiackThis e Prevx CSI

[lucabondi]

Ora lo faccio... in ogni caso adesso regedit e avenger hanno funzionato...

[Chill-Out]

Quote:

Originariamente inviato da lucabondi

Ora lo faccio... in ogni caso adesso regedit e avenger hanno funzionato...

Scusa ma non ho capito è una domanda o un'affermazione, comunque segui le istruzioni che ti ho indicato poi mi rispondi.