|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
27-11-2008, 17.48.16 | #1 |
Junior Member
Registrato: 29-07-2008
Loc.: Milano
Messaggi: 187
|
Voci in quarantena del Malwarebytes da analizzare
Vi dico questo perchè dopo averle cancellate, ho avuto un BSod, quindi vado per esclusione. A cosa si riferiscono? Posso cancellarle? Ho effettuato scandisk con correzioni, e defrag, ma la BSoD l'ho avuta dopo che sono state trovate queste voci dal Malwarebytes. Aspetto i VS. consigli. Grazie come sempre.. allego il log. |
27-11-2008, 18.27.41 | #2 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
ciao Luna
"Chiavi di registro infette: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{df1c8e21-4045-4d67-b528-335f1a4f0de9} (Adware.Navipromo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{e596df5f-4239-4d40-8367-ebadf0165917} (Rogue.Installer) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{1a26f07f-0d60-4835-91cf-1e1766a0ec56} (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{8e13dde1-e013-47ec-9c4c-27c2f78bdd26} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully. " Sono tracce di Rogue, Vundo e chi più ne ha più ne metta che probabilmente sono state solo in parte disinfettate dall'antivirus che usi. E non sono falsi postivi o li avrei avuti anche io nelle 4 macchine dove uso Il MBAM e nel forum della MalwareBytes Corporation se ne sarebbe parlato. Eventualmente prova a ripristinare la voci dalla quarantena, aggiorna il MalwareBytes e rifai la scansione. E vedi se vengono segnalate ancora. Credo che i BSOD siano una conseguenza naturale dopo la cancellazione di voci di registry che sono state manipolate dai Rogue che hai contratto. Ultima modifica di leofelix : 27-11-2008 alle ore 18.52.40 |
27-11-2008, 19.46.07 | #3 |
Junior Member
Registrato: 29-07-2008
Loc.: Milano
Messaggi: 187
|
ciao, dopo aver disattivato il ripristino di configurazione, ho effettuato la scansione son superantispyware, ma mi ha rilevato questo che allego:
(scansione rapida, ho flaggato la prima casellina). Strano non non abbia rilevato le stesse del malwarebytes. A leofelix: aka.. non ho eliminato ancora niente, sono in quarantena, volevo studiarle chiedo scusa, avrei dovuto postare la thumnail ma ho la connessione meno veloce del solito.. Cosa mi consigliate? |
28-11-2008, 11.24.49 | #4 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
dunque, se non provi a ripristinare dalla quarantena le chiavi trovate infette dal MalwareBytes e a seguire la procedura che avevo indicato temo che continuerai ad avere BSOD.
Poi certo, comprendo che se fai tutto questo a scopo di studio, poi spero che vorrai mettere a parte dei risultati tutta la community di wintricks in modo che noi non possiamo cadere nei medesimi errori :lol: In quanto al SuperAntiSpyware, a parte che non si capisce cosa abbia rilevato sebbene l'immagine sia piuttosto grande (forse il file Winlogon è stato modificato?), non ha le medesime basi di definizione, non è stato progettato allo stesso modo del MalwareBytes' AntiMalware e funziona anche in modo differente. Senza contare che il MBAM ha già rimosso la voci che ha ritenuto infette e come conseguenza SAS ha verosilmente trovato dell'altro Come conseguenza non ci si può aspettare sempre i medesimi risultati: se uno riesce a rimuovere certe varianti di spyware, rogue e rootkit riesce in genere l'altro. Ma non è detto: alle volte bisogna agire con metodi brutali e non convenzionali. Specie se un sistema è fortemente compromesso. as known as myself Ultima modifica di leofelix : 28-11-2008 alle ore 11.42.33 |
28-11-2008, 16.10.56 | #5 | |
Junior Member
Registrato: 29-07-2008
Loc.: Milano
Messaggi: 187
|
Ho ripristinato le voci dalla quarantena.
Quota:
Che ci vuoi fare, faccio da cavia... La voce trovata da Sas è simile alla terza voce del malwarebytes, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{8e13dde1-e013-47ec-9c4c-27c2f78bdd26} (Trojan.Vundo) -> Quarantined and deleted successfully. Sto provando anche uno scanning online con eset. :anger: Aka Moon |
|
29-11-2008, 00.15.18 | #6 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Four tools for Moon
Nello splendore degli 8 millimetri la leofelix Corporation è lieta di presentare in esclusiva mondiale per wintricks:
Four tools for Moon.. o quattro strumenti per Luna Norman Vundo Cleaner http://download.norman.no/public/Nor...do_Cleaner.exe il primo non richiede spiegazioni VundoFix: http://vundofix.atribune.org/ (download VundoFix ) 1) esegui il VundoFix 2) clicca su Scan for Vundo 3) se rileva tracce di Vundo clicca su Remove Vundo 4) rispondi sempre YES alle richieste di rimozione 5) Ti chiederà di riavviare, premi su OK potrebbe dare un errore se manca questo file comdlg32.ocx http://windowsxp.mvps.org/comdlg32.htm ---------- NVT Rogue Software and Fake.Alert Remover Un nuovo strumento gratuito multipurpose per varianti di Rogue: http://www.novirusthanks.org/progs/11/ http://www.novirusthanks.org/dl.php?...over_setup.exe Installalo, eseguilo e inizia la scansione. --------------- Infine scarica lo SmitFraudFix (l'antivirus potrebbe segnalartelo come infetto: non è così) da qui http://siri.geekstogo.com/SmitfraudFix.php http://siri.urz.free.fr/Fix/SmitfraudFix.exe http://siri.geekstogo.com/SmitfraudFix.exe Procedura: A) Eseguire lo strumento facendo doppio click sul file smitfraudfix.exe B) Premere un tasto qualsiasi per visualizzare opzioni proposte ovvero - 1, Search (Esegue la scansione) - 2, Clean (Disinfetta - è raccomandato riavviare il modalità provvisoria: tasto F8 più volte al riavvio se necessario) - 3. Delete trusted zone (Elimina la lista dei siti attendibili) - 4. Check for updates (Cerca aggiornamenti) - 5. Search and Clean DNS Hijack (Cerca e disinfetta modifiche al DNS) - 6. Frech Language (Visualizza in francese) - 7. Quit (Chiudi) C) Avviare ora la scansione premendo il pulsante 1 o "INVIO" (o "ENTER" a seconda della vostra tastiera) Una volta terminata la ricerca sarà possibile visualizzare il log dei risultati, chiamato "rapport.txt" che sarà rintracciabile nella root di sistema ovvero solitamente nell'unità C:\ Nella eventualità dal file di rapporto risultassero presenti ancora infezioni attive, riavviate il sistema in modalità provvisoria (Tasto F8 più volte se necessario al riavvio, qualora non funzionasse il tasto F8, da start>esegui digitate "msconfig" - senza virgolette - quindi mettete la spunta da "Opzioni di avvio" su "Modalità provvisoria" , cliccate su applica e riavviate: una volta terminata la procedura sempre da comando "msconfig" ripristinate l'avvio normale), eseguite nuovamente il file smitfraudfix.exe, selezionate il tasto 2 e premete "INVIO". Prestate attenzione: il desktop potrebbe svanire, ma è normale. Ora vi verrà chiesto "Do you want to clean the registry?" ("Vuoi disinfettare il registro?"), cliccate su "Y" (Yes). Potrebbe risultare compromesso il file wininet.dll, in questo caso vi verrà chiesto se volete disinfettarlo, anche in questo caso cliccate su "Y". A questo punto vi verrà richiesto di riavviare il sistema e con esso verranno eliminati i residui delle infezioni rilevate. made by leofelix ™ (ho un febbrone da cavallo di . eh uh ehm da diversi giorni, ma cercherò lo stesso di essere più chiaro in caso di dubbi) [EDIT] se poi con tutti quei removal tools non riesci, non perdere la speranza, c'è sempre il Navilog1 (trovi istruzioni in italiano e link per il download). Augh Ultima modifica di leofelix : 29-11-2008 alle ore 02.45.19 |
29-11-2008, 08.48.07 | #7 |
Junior Member
Registrato: 29-07-2008
Loc.: Milano
Messaggi: 187
|
Ciao leo..
prima di leggere i tuoi messaggi, ho eseguito, a restore disattivato, uno scanning online di eset. Ha trovato 7 threats che son sfuggiti a Kaspersky.. Che dici, a questo punto rifaccio la scansione con MBAntimalware? Un'altra cosa che non ricordo, è se nello scan online di eset bisogna spuntare entrambe le caselline, prima di procedere. Ossia: 1) scan online 2)unwanted applications. |
29-11-2008, 13.15.22 | #8 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
ciao Moon,
puoi dire che minacce ha trovato (e spero anche disinfettato) Eset on line? Non ricordo di aver mai fatto una scansione on line tramite ESET. Tuttavia "Scan on line" sta per "Scansione in linea" e "Check for unwanted applicatios" sta per "Controlla (anche) applicazioni indesiderate" (spyware, riskware). Quindi sta a te decidere, presumo, se fare anche la scansione delle "applicazioni indesiderate". Ora perché non provi con gli strumenti che ti ho indicato? Cadono a fagiolo per il tipo di malware che il tuo PC ha contratto. Se però preferisci fare un'altra scansione col MalwareBytes' AntiMalware a) assicurati che sia aggiornato b) che la scansione sia completa (non rapida indendo) |
29-11-2008, 13.34.23 | #9 |
Junior Member
Registrato: 29-07-2008
Loc.: Milano
Messaggi: 187
|
|
30-11-2008, 01.03.52 | #10 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Ciao Moon75
il worm che segnala la ESET infetta SymbianOS, insomma ti colleghi tramite cellulare? Se sì è infetto anche quello. In questi casi nè il MalwareBytes'AntiMalware nè La Kaspersky Security Suite possono fare qualcosa temo. http://www.symantec.com/security_res...102011-2304-99 Questo è un tool di rimozione specifico, ma non ho idea di come si usi. MalwareBytes' AntiMalware cerca nel registry sia nella scansione veloce sia in quelle completa. Ti ho chiesto di fare una scansione completa per far sì che il MBAM controlli tutti i files del sistema. Ora, intanto, cortesemente ti suggerirei di iniziare a disinfettare Windows con i tools di rimozione che ti ho indicato in precedenza. Poi io fossi in te inizierei a pensare di comprare anche una soluzione di sicurezza per dispositivi mobili che usino SymbianOS Ultima modifica di leofelix : 30-11-2008 alle ore 08.12.37 |
30-11-2008, 20.13.24 | #11 |
Junior Member
Registrato: 29-07-2008
Loc.: Milano
Messaggi: 187
|
Avevo collegato un altro smartphone, (col bluetooth) al pc che è evidente era infetto.
Comunque scarico il tool. Per il momento non rilevo altre infezioni. |
30-11-2008, 22.06.01 | #12 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
ok,
allora attendo i risultati dei 4 tool for Moon |
01-12-2008, 13.37.41 | #13 |
Junior Member
Registrato: 29-07-2008
Loc.: Milano
Messaggi: 187
|
così è la volta buone che imparo ad utilizzarli sulla propria pelle, anche se alcuni, converrai, son pericolosi, agiscono a fondo sul sistema, tipo il combofix.
Ps: bella emoticon, la salvo subito! |
02-12-2008, 13.24.41 | #14 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
qualsiasi cosa se usata senza cognizione di causa è potenzilamente pericolosa.
Notato che mago che sono? Sono ruscito a far apparire degli emoticon natalizi e senza nemmeno sapere come ehehehe |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
impossibile cancellari voci con Hijackthis | tetsuo | Sicurezza&Privacy | 5 | 16-02-2009 21.26.59 |
Eliminare voci dal menu "nuovo" di Vista | luca2 | Windows 7/Vista/XP/ 2003 | 3 | 01-12-2008 16.30.49 |
[2000] Registro Win2K - Voci legacy | jmaverick | Windows 9x/Me/NT4/2000 | 2 | 20-10-2006 11.01.34 |
Qualcuno conosce queste voci? | Arthur85 | Sicurezza&Privacy | 37 | 24-09-2005 15.49.25 |
JV16 :posso cancellare le voci di registro | web | Software applicativo | 3 | 01-09-2003 12.34.49 |