| Precedente :: Successivo |
| Autore |
Messaggio |
Help_Me
Mortale pio
Registrato: 21/01/09 01:26
Messaggi: 17
|
 Inviato: 21 Gen 2009 03:28 Oggetto: Nuova connessione remota indesiderata... come me ne libero?! |
 |
|
Salve a tutti! vi illustro brevemente il mio problema sperando che qualcuno mi aiuti perchè temo veramente di sfasciare a breve il pc.
Per navigare in internet uso il telefonino con una delle flat di tim... per tutta la serata ho avuto problemi di linea, all'inizio pensavo si trattasse di un disservizio della tim ma vista la frequenza eccessiva mi sono un po' insospettito e difatti ho notato che in "Connessione di rete" mi ritrovo una nuova connessione remota, mai vista prima chiamata "i-connect"... ho provato ad eliminarla ma non c'è verso, rispunta sempre e tutte le volte che cade la linea con Tim (cioè ormai quasi ogni 2 minuti) prova a connettersi lì.
Come posso liberarmene?!? Intanto vi posto alcuni log sperando che possano essere utili per diagnosticare qualcosa =(
Hijackthis
[URL="http://freefilehosting.net/download/447gb"]hijackthis_1232503191627_677.log[/URL]
GMER
[URL="http://freefilehosting.net/download/447gg"]GMER1_1232503480485_678.txt[/URL]
[URL="http://freefilehosting.net/download/447gl"]GMER2_1232503871829_679.txt[/URL]
SystemScan SuspectFile
[URL="http://freefilehosting.net/download/447h0"]21_01_2009_01_55_report.zip[/URL]
Grazie a chiunque mi darà una mano, ne ho tanto bisogno =( |
|
| Top |
|
 |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 21 Gen 2009 13:34 Oggetto: |
|
|
Ciao Help_Me e benvenuto... 
Hai provato a fare la scansione con il tuo antiviru e/o antispyware?
Prima di postare fate sempre prima le scansioni con i vostri programmi di sicurezza.
C'è questo file sospetto, che nel log di sistemscan non compare:
| Citazione: | C:\Documents and Settings\Gallo\Exredr.exe
|
Quindi procedi con queste scansioni:
[list][*] Pulisci i files temporanei con ATF-Cleaner e/o
CCleaner
[*] Segui le istruzioni di questo topic per usare MBAM.
[*] Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
[*] Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato. Rifai anche il log di Hijackthis. |
|
| Top |
|
|
Help_Me
Mortale pio
Registrato: 21/01/09 01:26
Messaggi: 17
|
| Inviato: 21 Gen 2009 19:23 Oggetto: |
|
|
Ciao Sante intanto grazie per la risposta, la scansione con il mio antivirus ne ha eliminati 4.
Ho fatto come mi hai detto, questo è il log di MBAM:
mbam-log-2009-01-21 (15-49-13).txt
hijackthis:
hijackthis2.log
Non ci sono stati problemi anche perchè sembra non aver rivelato nulla, tuttavia il problema persiste e anzi la situazione mi sembra pure peggiorata, la connessione remota riappare sempre ogni volta che viene cancellata (non c'è un modo almeno per bloccarla?). Grazie ancora, resto in attesa di una risposta. |
|
| Top |
|
|
Help_Me
Mortale pio
Registrato: 21/01/09 01:26
Messaggi: 17
|
| Inviato: 21 Gen 2009 21:52 Oggetto: |
|
|
Ho installato a-squarred Anti-Dialer e adesso riesco a gestire un po' la situazione "C:\Documents and Settings\Gallo\Exredr.exe" non è solo un file sospetto è proprio il dialer che mi ha dato problemi... ora riesco a bloccarlo ma come posso fare per eliminarlo del tutto?  |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 22 Gen 2009 04:04 Oggetto: |
|
|
Apri task manager (CTRL+ALT+CANC) e controlla che non sia attivo il processo Exredr.exe o simile e terminalo.
Avvia il PC in modalità provvisoria;
Segui il percorso del file Exredr.exe ed eliminalo manualmente.
Riavvia alla modalità normale e vedi se ricompare. |
|
| Top |
|
|
Help_Me
Mortale pio
Registrato: 21/01/09 01:26
Messaggi: 17
|
| Inviato: 24 Gen 2009 19:25 Oggetto: |
|
|
| Ciao Sante62, ho fatto esattamente come mi hai detto ma dopo un po' connesso è tornato ... che altro posso fare? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
|
| Top |
|
|
Help_Me
Mortale pio
Registrato: 21/01/09 01:26
Messaggi: 17
|
| Inviato: 30 Gen 2009 01:06 Oggetto: |
|
|
Rieccomi! sono stato un po' impegnato...  ecco il log...
29_01_2009_23_25_report.zip
La situazione è sempre la stessa purtroppo... grazie sempre per l'aiuto comunque. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 30 Gen 2009 03:56 Oggetto: |
|
|
Avvia Hijackthis, seleziona queste righe e clicca su fix Checked:
| Citazione: | F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\SCtri.exe
O4 - HKCU\..\Run: [Windows Video Drivers] C:\RECYCLER\S-1-5-21-2357382707-0105155716-957832910-6458\winlogon.exe |
Devi poi terminare questo servizio, dal pannello servizi:
| Citazione: | O23 - Service: Service Controler Installer - Unknown owner - C:\WINDOWS\system32\drivers\SCtri.exe
|
|
|
| Top |
|
|
Help_Me
Mortale pio
Registrato: 21/01/09 01:26
Messaggi: 17
|
| Inviato: 30 Gen 2009 09:20 Oggetto: |
|
|
| Ma il panello dei servizi si trova in Panello di controllo / Strumenti di amministrazione / Servizi ? perchè io lì SCtri.exe non riesco a vederlo o forse compare con un altro nome... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 30 Gen 2009 11:08 Oggetto: |
|
|
Esatto, però nei servizi non è lo stesso nome, ma se dai un'occhiata alla riga 023 citata sopra:
| Citazione: | | Service Controler Installer |
Dovrebbe essere questo il nome... |
|
| Top |
|
|
Help_Me
Mortale pio
Registrato: 21/01/09 01:26
Messaggi: 17
|
| Inviato: 30 Gen 2009 13:58 Oggetto: |
|
|
| Niente da fare, non riesco. Le attività Avvia / Arresta / Sospendi / Riprendi / Riavvia sono tutte disabilitate... o forse sbaglio e intendevi altro? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 30 Gen 2009 17:23 Oggetto: |
|
|
Una volta entrato nel pannello servizi e trovato quello che interessa, cliccaci sopra col tasto destro del mouse;
Dalla finestra che si apre, quella Generale, al centro trovi la voce Tipo di Avvio;
Dal menu a tendina scegli Disabilitato, poi clicca su applica e chiudi la finestra.
Fixa con HJT la riga 023 se presente insieme alle altre se non l'hai ancora fatto, riavvia il PC e rifai il log di HJT. |
|
| Top |
|
|
Help_Me
Mortale pio
Registrato: 21/01/09 01:26
Messaggi: 17
|
| Inviato: 30 Gen 2009 18:45 Oggetto: |
|
|
Ho fatto tutto come mi hai detto, la riga 023 non era più presente... ho fixato le altre 2 e questo è il log...
hijackthis_4.log
Mi sa che non ho ancora risolto però... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 30 Gen 2009 19:45 Oggetto: |
|
|
Fixa con HJT nuovamente questa riga:
| Citazione: | | O4 - HKCU\..\Run: [Windows Video Drivers] C:\RECYCLER\S-1-5-21-2357382707-0105155716-957832910-6458\winlogon.exe |
Avvia Systemscan;
clicca su Removal Script;
nel box inserisci lo script in rosso:
| Citazione: | Files to delete:
C:\RECYCLER\S-1-5-21-2357382707-0105155716-957832910-6458\winlogon.exe |
clicca su proceed with removal.
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
Non lasciare spazi tra un'istruzione e l'altra, esempio:
files to delete:
xxxxxxxxxx
Il PC dovrebbe riavviarsi, se così non fosse riavvialo manualmente;
Portati in C:\Avenger.txt per copiare e incollare il risultato dell'operazione nella prossima risposta. |
|
| Top |
|
|
Help_Me
Mortale pio
Registrato: 21/01/09 01:26
Messaggi: 17
|
| Inviato: 30 Gen 2009 20:17 Oggetto: |
|
|
Ecco qui...
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ekvxjrmb
*******************
Script file located at: \??\C:\WINDOWS\system32\jeroogjx.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\RECYCLER\S-1-5-21-2357382707-0105155716-957832910-6458\winlogon.exe deleted successfully.
Program C:\Documents and Settings\Gallo\Desktop\sys41157.exe successfully set up to run once on reboot.
Completed script processing.
*******************
Finished! Terminate. |
|
| Top |
|
|
Help_Me
Mortale pio
Registrato: 21/01/09 01:26
Messaggi: 17
|
| Inviato: 30 Gen 2009 21:21 Oggetto: |
|
|
Comunque non so quanto possa servire ma stamattina in preda alla disperazione ho scaricato PREVX CSI... ma mi sono accorto che ci vuole la licenza e oltre alla scansione non riesco a fare altro. Comunque è emerso questo risultato con 23 file pericolosi...
C'è da fidarsi? anche a-squared da ieri mi segnala continuamente la presenza di possibili dialer in impostazioni locali tipo 146.exe, 345.exe ecc che sembrano spuntare come funghi... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 31 Gen 2009 01:43 Oggetto: |
|
|
Mi sembra che ti reinfetti di continuo.....
Attenzione ai programmi che scarichi, o ai siti che visiti altrimenti non ne usciamo più;
Segui le istruzioni di questo topic per eseguire combofix;
Carica poi il log come hai già fatto.
Disinstalla PREVX e scaricati Virit
Aggiornalo mediante l'icona della parabola posta nella barra in alto e fagli fare la scansione completa del PC.
Fai in modo che rimuova automaticamente i file infetti trovati.
Non dimenticare di disattivare momentaneamente il tuo antivirus.
Incolla poi quì il risultato. |
|
| Top |
|
|
Help_Me
Mortale pio
Registrato: 21/01/09 01:26
Messaggi: 17
|
| Inviato: 31 Gen 2009 12:23 Oggetto: |
|
|
Ma più che reinfettarmi io ho il sospeto che siano le varie rimozioni a non avere effetto
Questo è il log di Combofix:
LOG_COM.txt
E questo è il risultato di VirIT
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\Programmi\Adobe\Premiere Pro\PfcNTReg.dll Infetto da Trojan.Win32.Vundo.FI
C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe Infetto da Worm.Win32.Autorun.U
C:\WINDOWS\system32\drivers\SCtri.exe Infetto da Backdoor.SdBot.SD
Chiavi Registro infette: 0.
Files Infetti: 3.
Files Sospetti: 0.
Files Analizzati: 113594.
Files Totali: 113594.
Chiavi Registro rimosse: 0.
Files Cancellati: 0.
Ma i file infetti non si dovrebbero cancellare automaticamente?... ho fatto 2 volte la scansione impostando prima "rimozione automatica virus" e poi "cancellazione automatica files" ma non cancella mai nulla |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 31 Gen 2009 13:01 Oggetto: |
 |
|
Pare ci sia infezione mediante chiavette USB e altro, insomma di tutto di più, solo che prima stranamente non si vedevano nei log.
Disattiva momentaneamente il riconoscimento automatico delle chiavette USB:
serve il programma TweakUI scaricabile da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:
| Citazione: | Espandi la sezione My Computer
Espandi la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI
PS: Con Espandi intendo: clicca sul simbolo [+] di fianco alle voci che ti ho indicato
Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette e fai un check delle stesse con il tuo antivirus.
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato. |
Apri il blocco note, e mettici queste scritte in rosso:
| Citazione: | File::
C:\z8g5q3d3n2s9.exe
c:\windows\system32\drivers\SCtri.exe
c:\documents and settings\Gallo\zsdshd.exe
c:\documents and settings\Gallo\sxdsdshd.exe
c:\documents and settings\Gallo\sdsxdshd.exe
c:\documents and settings\Gallo\sxdxshd.exe
c:\documents and settings\Gallo\kjods.exe
c:\documents and settings\Gallo\Exxrxedr.exe
c:\documents and settings\Gallo\sdsdshd.exe
c:\documents and settings\Gallo\Exredr.exe
c:\documents and settings\Gallo\Exxxplorer.exe
c:\documents and settings\Gallo\sdsdsd.exe
c:\Recycle\\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe
c:\recycle\D-0-060-0000000000-1111111-2222222\FiX.exe
c:\recycler\k-1-3542-4232123213-7676767-8888886\root.exe
e:\recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ad88a66-f353-11db-bcae-dc6d75ad0be8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2fe844f-79d8-11dd-81c3-af86fda96dae}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{23KLN5J0-4OPM-11WE-AAX5-24EF1F387232}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-24CX1C987132}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-34CX1C987132}]
|
Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:
Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro. 
Posta i logs aggiornati di combofix e di hijackthis.
Scarica Vundofix sul desktop
- Esegui VundoFix.exe
- Clicca Scan for Vundo.
- al termine della scansione, se positiva clicca su Remove Vundo.
- ti chiede se vuoi eliminare i files infetti, clicca YES
- il tuo video probabilmente diventerà nero durante la rimozione di Vundo.
- al termine ti chiederà di riavviare il pc, clicca OK.
- Copia qui il contenuto del log C:\vundofix.txt.
Nota: VundoFix potrebbe non riuscire ad eliminare qualche file. In questo caso, VundoFix si avvierà automaticamente al riavvio del pc, ripeti le operazioni indicate sopra partendo da "Clicca Scan for Vundo" quando VundoFix apparirà al riavvio. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
