Condividi:        

Virus fastidioso

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Virus fastidioso

Postdi ranza64 » 04/06/09 06:27

ho installato Spyware doctor fatta scansione e tutto ok.
pero' il firewall mi dice che il file "Sfcwttda.gif" memorizzato nella directory "system32" sta cercando di collegarsi ad internet e se devo autorizzarlo. Anche se lo autorizzo quando mi ricollego mi dice che il file ha cambiato binary e se devo autorizzarlo.

Conoscete questo file ?

ho installato spybot fatta scansione e mi dice che ho questo virus "fakebill.courtcologne" ma non riesce a rimuoverlo.

ho provato a scaricare "hijackthis" ma il browser mi si chiude, anche solo se digito il nomenella ricerca di google il browser si chiude.

ho provato a caricare avenger.exe sul pc ma non riesco.

Cosa posso fare ? mi potete per cortesia aiutare ?

grazie mille
ranza64
Newbie
 
Post: 4
Iscritto il: 04/06/09 05:05

Sponsor
 

Re: Virus fastidioso

Postdi Luke57 » 04/06/09 07:27

Ciao, apri il blocco note e copiaci dentro questo:

Codice: Seleziona tutto
@echo off
regedit.exe /e C:\file1.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
regedit.exe /e C:\file2.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
regedit.exe /e C:\file3.txt "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run"
regedit.exe /e C:\file4.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
regedit.exe /e C:\file5.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad"
regedit.exe /e C:\file6.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
regedit.exe /e C:\file7.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"
regedit.exe /e C:\file8.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects"




salvalo sul desktop come:
nome: 1.bat
tipo di file: tutti i file

esegui il file -> vai in c:\ e zippa insieme gli 8 file di testo (da file1.txt a file8.txt) -> carica l'archivio su Savefile
http://www.savefile.com/
e posta il link
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus fastidioso

Postdi ranza64 » 04/06/09 20:22

ho fatto, creato il file zip ma non riesco a caricarlo su savefile.com.

dopo piu' di 15 minuti continua a dirmi "processing..." come faccio ad inviarti il file.

curioso comunque il contenuto del file 7

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger"="\"c:\\windows\\system32\\sfcwttda.gif\""
ranza64
Newbie
 
Post: 4
Iscritto il: 04/06/09 05:05

Re: Virus fastidioso

Postdi Luke57 » 04/06/09 21:16

Ciao, è proprio quello il tuo problema che ti impedisce l'uso dei programmi di sicurezza, va eliminata sia la voce di registro sia il file (è con estensione.gif ma in realtà è un eseguibile camuffato).

Vai qui:
http://www.easy-share.com/1905249281/tool.zip

Estrai l'eseguibile sempre sul desktop, chiudi programmi e applicazioni.
Fatto questo, apri il taskmanager (premi ctrl+alt+canc), nella lista dei processi individui explorer.exe, lo evidenzi e premi termina processo
Il desktop scomparirà con tutte le icone, ma tu sempre dalla finestrella del task manager premi File>nuova operazione>sfoglia, clicchi l'opzione desktop, individui il file tool.exe, premi ok
si avvierà il programma, lascia selezionata solo la voce "scan for rookits", nello spazio bianco (sotto Input script here) incolli le scritte seguenti:

Files to delete:
c:\\windows\\system32\\sfcwttda.gif

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe


Premi il tasto Execute.
Il computer si riavvierà, se non lo facesse riavvialo tu manualmente.
Posta l'esito dello script che troverai in C:\avenger.txt
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus fastidioso

Postdi ranza64 » 05/06/09 05:59

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\\windows\\system32\\sfcwttda.gif" deleted successfully.
Registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


ecco ora il firewall non mi segnala piu'nulla

pensi sia tutto a posto.
grazie mille
ranza64
Newbie
 
Post: 4
Iscritto il: 04/06/09 05:05

Re: Virus fastidioso

Postdi ranza64 » 05/06/09 15:06

ho rilanciato il file 1.bat che mi avevi mandato e sono riuscito questa volta a caricare i file zippati a questo link:

http://www.easy-share.com/1905550061/Antivirus.zip

puoi per cortesia verificare se ora e' tutto a posto ?

grazie
ranza64
Newbie
 
Post: 4
Iscritto il: 04/06/09 05:05

Re: Virus fastidioso

Postdi -> EleKtrA <- » 06/06/09 13:17

Ciao ranza64, le chiavi di registro esaminate sembrano pulite, anche perchè quella infetta è stata rimossa con Avenger.

A questo punto farei un controllo e pulizia con due programmi:

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Se usi Vista: Tasto destro, esegui come amministratore
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

Scarica Malwarebytes, installa il programma ed aggiorna le firme.
http://www.download.com/Malwarebytes-An ... 04572.html
Nella scheda scansione, seleziona "scansione completa"
Allega il rapporto.
“Ieri è storia, domani è mistero, ma oggi è un dono... per questo si chiama presente!”.
Avatar utente
-> EleKtrA <-
Moderatore
 
Post: 436
Iscritto il: 11/12/08 12:50


Torna a Sicurezza e Privacy


Topic correlati a "Virus fastidioso":


Chi c’è in linea

Visitano il forum: Nessuno e 36 ospiti