Precedente :: Successivo |
Autore |
Messaggio |
andres Mortale devoto

Registrato: 03/01/09 00:47 Messaggi: 12
|
Inviato: 06 Gen 2009 02:13 Oggetto: Bagle o Virus.Win32Sality.aa. o che altro?? |
|
|
Inserita una chiavetta nel Pc (SO windows XP), antivir 7 identifica subito dei virus. Elimino. Spybot mi chiede di accettare delle modifiche al registro. Rifiuto. Giacchè continua ad aprirsi la finestralle di spybot per le modifiche di registro, sono costretto a chiudere il pc e riavviare.
Ecco quindi che: il firewall (Sygate PF) si blocca, antivir scompare (avcenter.exe cannot be found or has been modified or destroyed), assieme a spybot. Provo a reinstallare sia sygate pf che spybot senza successo. Non funziona ctrl-alt-canc. La connessione a internet (ho una antica dial-up, vivo all?estero) continua a funzionare, anche se più lentamente del solito.
Non posso entrare ed eseguire nessuna scansione antivirus via internet. Inoltre normalmente il pc ritorna alla pagina di riavvio utente dopo pochi secondi di non utilizzo (insomma, rimetto la password e riprende dove stava).
Continuano a funzionare malwarebytes e hijackthis.
Ho cercato varie soluzioni, finora senza successo, anche perchè alcune troppo complicate per le mie conoscenze informatiche (tipo script e affini).
Vi mando i log zippati di:
- hijakthis. Di malwarebytes del giorno dell?infezione. Di GMER e il report di systemscan. log.zip
Infine: è la prima volta che mi capita un caso di infezione così grave. Ciò naturalmente mi preoccupa oltre a sorprendermi che gli antivirus non abbiano ancora trovato una soluzione ad infezioni di questo tipo.
Ciao e grazie |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 06 Gen 2009 11:13 Oggetto: |
|
|
Ciao andres e benvenuto,
Il virus che hai beccato ha fatto un bel repulisti dei tuoi programmi di protezione. Dovrai reinstallarli tutti.
MBAM sembra aver eliminato il tuo ospite indesiderato.
Giusto per sicurezza, ti faccio comunque rifare le operazioni preliminari:
- Disabilita il ripristino di sistema
- Pulisci i files temporanei con CCleaner
- Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
- Segui le istruzioni di questo topic per usare MBAM.
- scarica e installa la versione Free di SuperAntispyware ed esegui una scansione completa del sistema
- Segui le istruzioni di questo topic per postare il log di HiJackThis.
- Inserisci le tue chiavette e fai un check delle stesse con il tuo antivirus.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
|
|
Top |
|
 |
andres Mortale devoto

Registrato: 03/01/09 00:47 Messaggi: 12
|
Inviato: 07 Gen 2009 02:28 Oggetto: ottimo e abbondante |
|
|
Grazie. Lentamente cercherò di seguire tutte le istruzioni. Informerò al più presto sull'esito delle operazioni. |
|
Top |
|
 |
andres Mortale devoto

Registrato: 03/01/09 00:47 Messaggi: 12
|
Inviato: 08 Gen 2009 22:12 Oggetto: |
|
|
Ecco i risultati (scoraggianti) delle varie prove.
1 - ho installato CCleaner ma non si apre (ho provato anche con atf cleaner che si apre e subito scompare)
2 - non sono stati rilevati ADS da hijjakthis
3 ? superantipyware l?ho installato e aggiornato. Ma non avvia se non in ?alternate start? ma qui, dopo l?inizio dello scan, chiude il PC che si riavvia automaticamente.
4 - Resto senza poter usare ctrl-alt-canc (come posso riattivarlo?)
5 ? Il pc continua a chiudere la pagina utente ogni circa 20 secondi di inattività (cioè devo riscrivere la password e torna alla posizione lasciata, ma in alcuni casi, nel frattempo, si interrompono le scansioni).
Ecco il log di hijackthis hijackthis.log
e MBAM
mbam-log-2009-01-07 (20-02-57).txt
fatti seguendo istruzioni.
E? logico che si è installato qualcosa nel registro che impedisce le operazioni di pulizia. |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 08 Gen 2009 22:26 Oggetto: |
|
|
A mali estremi, estremi rimedi...
Ho dato un'occhiata alla precedente scansione con SystemScan, ma risulta incompleta.
Fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato. |
|
Top |
|
 |
andres Mortale devoto

Registrato: 03/01/09 00:47 Messaggi: 12
|
Inviato: 09 Gen 2009 20:32 Oggetto: |
|
|
Il log precedente di systemscan è incompleto perchè mi è difficile completarlo. Il log spedito anteriormente mi ha richiesto ripetuti tentativi. Ricordo che il Pc si chiude dopo circa 20 secondi di inattività. Basta tenere in movimento il mouse e resta attivo, altrimenti si chiude. Rimettendo la password utente, questi si riapre dov?era rimasto. Ma non necessariamente sono preseguite le scansioni avviate.
Quindi anche il systemanscan attuale, anche se più ampio, è incompleto report02.zip.
Inoltre caro bdoriano:
1 - C?è modo frattanto di riattivare ctrl-alt-canc?
2 - Vale la pena che provi con registrycleaner (ammesso che si attivi) per riprovare l?installazione di antivir?
3 ? mi sembra che gmer aveva identificato un rootkit C:\WINDOWS\System32\DRIVERS\btwdndis.sys [MANUAL] BTWDNDIS <-- ROOTKIT !!!
4 ? finalmente, si può scartare che si tratti del bagle e, se non è il bagle, di che infezione stiamo probabilmente parlando?
Grazie per i consigli |
|
Top |
|
 |
andres Mortale devoto

Registrato: 03/01/09 00:47 Messaggi: 12
|
Inviato: 10 Gen 2009 00:03 Oggetto: |
|
|
Questo è il log dell?ultima scansione con mbam che ha identificato (ed eliminato) qualcosa, probabilmente entrato durante la connessione ad internet non protetta mbam-log-2009-01-09 (16-39-26).txt |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 10 Gen 2009 12:15 Oggetto: |
|
|
Il fatto che il pc si blocchi dopo 20secondi di inattività potrebbe anche dipendere da un'impostazione del risparmio energetico.
Purtroppo sto avendo anch'io problemi di connessione con il mio router che ha deciso di farmi impazzire.
Intanto mi scarico i logs e vediamo cosa ci trovo. |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 10 Gen 2009 12:42 Oggetto: |
|
|
Il file C:\WINDOWS\System32\DRIVERS\btwdndis.sys è riferito al servizio BlueTooth.
Ho dato un'occhiata velocissima al log.
- Avvia nuovamente SystemScan
- metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
- clicca su Removal Script
- Nel riquadro inserisci il seguente script:
Codice: | Files to delete:
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\Cursors\Boom.vbs
C:\WINDOWS\Fonts\fonts.exe
C:\WINDOWS\Fonts\tskmgr.exe
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run | sys |
e clicca Proceed with removal
******
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
******
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di hijackthis. |
|
Top |
|
 |
andres Mortale devoto

Registrato: 03/01/09 00:47 Messaggi: 12
|
Inviato: 12 Gen 2009 18:40 Oggetto: |
|
|
Caro bdoriano, la situazione è peggiorata:
1. avevi ragione. Il sistema si bloccava ogni 20 secondi per una questione di protezione schermo che, non funzionando in tal modo prima dell'infezione, avevo associato al problema.
2. ho cercato di applicare lo script con systemscan. Alla fine mi è uscita questa scritta "Integrity check failed! Thjis file has been modified. Reason might be a possible virus infection!".
3. L'applicazione con systemscan ha prodotto solo un archivio di 14 bite (avrunner) con questo testo "dxqmjct.exe".
4. ho applicato lo script in avanger. Il risultato è che, (a) si è bloccato microsoft office (cioè non ho pìù word e affini. Preparo ora i testi in txt.), oltre ad altre applicazioni (tipo la funzione ricerca, la lista di tutti i programmi in inizio, ecc.), (b) avenger ha prodotto una cartella in C:\ ma senza alcun archivio. (c) in C:\ sono stati invece prodotti 6 archivi: 2 "cleaup" (uno dei quali eseguibile), un "zip" (eseguibile, che antivir, in altra macchina, ha identificato con il virus w32/sality), un "backup", un "winzip" (in formato txt) e il log avenger che ti mando avenger.txt.
5. Forse il non funzionamento di office se deve alla cancellazione di "fonts" che, come avevo visto dall'analisi automatica di hijackthis, veniva segnalato con una x. Usando l'archivio backup si può riattivare?
6. ti mando l'ultima analisi in hijackthis hijackthis_11_01_09.txt.
7. Ho applicato anche combfix. Ecco il log ComboFix.txt.
8. Finalmente, si è riattivato ctrl-alt-canc, ma non si attivano i programmi menzionati precedentemente. Una scansione con systemnscan ha prodotto un file molto più ampio ma mi sembra sempre incompleto.
9. Si è bloccata la connessione a internet (devo uscire ad un centro internet).
10. Tra le altre cose è scomparso anche il cestino di riciclaggio. Inoltre, nonostante abbia disattivato da tempo la funzione restaurare sistema, questa ora appare attiva. |
|
Top |
|
 |
andres Mortale devoto

Registrato: 03/01/09 00:47 Messaggi: 12
|
Inviato: 13 Gen 2009 20:14 Oggetto: |
|
|
caro bdoriano, niente? Nessun consiglio? Situazione disperata? POsso almeno sperare in riattivare windows, connesione dial-up e office?
ciao  |
|
Top |
|
 |
andres Mortale devoto

Registrato: 03/01/09 00:47 Messaggi: 12
|
Inviato: 16 Gen 2009 02:51 Oggetto: |
|
|
Caro bdoriano, o qualche altro esperto...che faccio? Non mi resta che formattare ? |
|
Top |
|
 |
|