Ciao, seguendo le istruzioni che ho trovato nel forum ho utilizzato Hijack per fare la scansione e poi salvare il risultato come txt. Adesso come devo fare per cancellare quel figlio di trojan di un trojan horse?grazie.
Ciao, seguendo le istruzioni che ho trovato nel forum ho utilizzato Hijack per fare la scansione e poi salvare il risultato come txt. Adesso come devo fare per cancellare quel figlio di trojan di un trojan horse?grazie.
cioa aula01 ho visto il log ed il pc e' parecchio infetto, procedi cosi': disattiva il controllo real time del tuo antivirus,scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe , salvalo sul desktop e disconnettiti dalla rete
Una volta scaricato il programma non devi cliccare sull'icona del programma, clicca il tasto windows(logo bandierina)+R e nello spazio bianco di esegui copia e incolla questo comando, cosi' com'e':
"%userprofile%\desktop\combofix.exe" /killall <==copia e incolla
Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt insieme ad un altro log di hijackthis eseguito dopo il riavvio che combofix fara' compiere al pc
Ho fatto il copia incolla, ma la scansione non parte, credo che non mi giri il programma combofix, perchè quando clicco su esegui programma non succede più RIMOSSO....che faccio?
Ultima modifica di bonovox767; 23-12-2009 alle 14.44.56
qualcosa non va a buon fine, o hai sbagliato(affinche' la procedura funzioni combofix deve essere necessariamente posizionato sul desktop) oppure e' il malware ad inpedire il funzionamento.
proviamo cosi':avvia nuovamente hijackthis, seleziona do a systemscan only, metti la spunta accantoa queste voci:
O2 - BHO: {66231cfe-39de-e2a9-d194-6eb4eed3f1a6} - {6a1f3dee-4be6-491d-9a2e-ed93efc13266} - C:\WINDOWS\system32\jnhwgu.dll (file missing)
O2 - BHO: (no name) - {8cc64184-be90-45af-9620-26f076b7838e} - C:\WINDOWS\system32\vobozudu.dll (file missing)
O4 - HKLM\..\Run: [bafugesena] Rundll32.exe "C:\WINDOWS\system32\jalezada.dll",s
O4 - HKLM\..\Run: [586d1bc4] rundll32.exe "C:\WINDOWS\system32\talefake.dll",b
O4 - HKLM\..\Run: [CPM5b5e2858] Rundll32.exe "c:\windows\system32\refurepo.dll",a
O4 - HKCU\..\Run: [richtx64.exe] C:\DOCUME~1\Simone\IMPOST~1\Temp\richtx64.exe
O4 - HKUS\S-1-5-19\..\Run: [bafugesena] Rundll32.exe "C:\WINDOWS\system32\jalezada.dll",s (User 'SERVIZIO LOCALE')
O20 - AppInit_DLLs: xtajck.dll cgmctm.dll jnhwgu.dll C:\WINDOWS\system32\rigagine.dll c:\windows\system32\refurepo.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\refurepo.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\refurepo.dll (file missing)
e premi fix checked.
avvia il pc in modalita' provvisoria Come avviare Windows in modalit provvisoria - Guida , rendi visibili file e cartelle nascoste Come Rendere Visibili Cartelle e File Nascosti [MegaLab.it] , cerca ed elimina, tasto destro-elimina, i files evidenziati:
C:\WINDOWS\system32\jalezada.dll
C:\WINDOWS\system32\talefake.dll
c:\windows\system32\refurepo.dll
C:\DOCUME~1\Simone\IMPOST~1\Temp\richtx64.exe
riavvia il sistema in modalita' normale e prova ad eseguire nuovamente combofix come spiegato prima( elimiando la copia presente e riscaricandolo nuovamente )
Aula, cortesemente evita espressioni colorite, anche se mascherate con le X, grazie.
Fatto, ma l'unico file presente era richtx64.exe, gli altri non c'erano. Ho riprovato con combofix reinstallato ma non è successo nulla di nuovo....che faccio?forse l'unica opzione rimasta è riformattare il pc...
salver ragazzi oggi mi è uscito un messaggio da parte di nod 32 che ha trovato il seguente file infetto Nod32 rileva win32/Olmarik trojan Horse clicco su pulisci e mi esce un messaggio di riprovare o annullare clicco riprova...infinite volte ma nulla da fare sembra un loop infinito allora clicco su annula e poi sulla voce non compiere nessuna azione per eliminare il messaggio.
Ho fatto una scanzione con HiJackThis ecco il file log.
lo trovate qui
come mi devo comportare???
Con hijackthis fixa
ScaricaCodice:O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - (no file) O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing) O23 - Service: Remote Connections Service (FlexService) - Unknown owner - C:\Programmi\RapidBIT\cisvc.exe (file missing)
• Malwarebytes Anti-Malware -> Malwarebytes Anti-Malware - Free software downloads and software reviews - CNET Download.com
dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controllo si trova nel Tab "File di log").
Scarica
• combofix ->http://download.bleepingcomputer.com/sUBs/ComboFix.exe
disattiva il controllo real time del tuo antivirus,scarica combofix salvalo sul desktop e disconnettiti dalla rete.Doppio click sull'icona,dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt .
ti posto per prima il file log di Malwarebytes scansione completa
mbam-log-2010-08-11 (20-04-04).txt
adesso mi disconnetto da internet e gli antivirus appena finiito con combofix ti faccio sapere se ha rilevato nulla
allego il file di combifix:
Scarica il file in allegato e trascinalo sull'icona di combofix per una nuova scansione.Posta il risultante log.
Disinstalla c:\programmi\Anti Trojan Elite\TJEnder.exe.
ecco qui i risultati con la nuova scanzione file log in allegato
Ultima modifica di bonovox767; 15-08-2010 alle 09.50.57 Motivo: Rimozione quote
Esegui queste operazioni:
1)Devi prima di tutto disinstallare uno dei 2 antivirus che hai installati che creano problemi se entrambi presenti.(ti consiglio avg)
2)Non risulta che hai disinstallato c:\programmi\Anti Trojan Elite\TJEnder.exe.
3)Esegui un nuovo script che ti allego.
4)Alla fine nuova scansione con nod.Se dovesse ancora trovare il troyan posta la localizzazione del o dei file infetti.
Ultima modifica di vicky67; 14-08-2010 alle 10.37.19
Vedi se in start-tutti i programmi c'è l'unistaller.Altrimenti prova con revo unistaller.
Se neanchè cosi' ci riesci poi lo elimino io tramite script.
Mi ero dimenticato di dirti dopo che hai eseguito tutte le operazioni posta il nuovo log di combofix che avrai eseguito tramite l'esecuzione dello script.
Ultima modifica di vicky67; 14-08-2010 alle 13.18.55
Segnalibri