Olimpo Informatico

caio · Eroe in grazia degli dei Registrato: 15/08/08 11:58 Messaggi: 147

Chiedo cortesemente che qualcuno mi spieghi che cosa è accaduto alle cartelle di una penna USB che si sono riempite di sottocartelle con caratteri stranissimi, quadratini, tilde e altro ancora. Anche i file contenuti nelle sottocartelle hanno nomi illeggibili. Che cosa posso fare per recuperare i files? C'è rischio infezione?
Grazie in anticipo a chi mi vorrà aiutare
Caio

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Ciao caio

Iniziamo con un pò di pulizia:

Pulisci i files temporanei con ATF-Cleaner e/o
CCleaner
Segui le istruzioni di questo topic per usare MBAM.
Segui le istruzioni di questo topic per eseguire combofix.
Segui le istruzioni di questo topic per postare il log di HiJackThis.
Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.

caio · Eroe in grazia degli dei Registrato: 15/08/08 11:58 Messaggi: 147

Ciao Sante62,
grazie per avermi inviato la lista dei passi da seguire.
La scansione di MBAM ha evidenziato un Troijan che ho eliminato (almeno spero) !!!
Ecco i log
mbam
http://wikisend.com/download/597646/mbam-log-2009-01-31 (17-56-28).txt

combofix
http://wikisend.com/download/560004/comboFixlog.txt

HJT
http://wikisend.com/download/959874/hijackthis.log

Grazie ancora per l'aiuto e spero che capiremo anche il perchè dello strano comportamento delle cartelle nella chiave USB Laughing

Sante62 · Inviato: 01 Feb 2009 03:35 Oggetto:

Come sospettavo le chiavette sono infette.
quindi disattiva momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:

caio · Inviato: 01 Feb 2009 11:37 Oggetto:

Devo aver combinato qualche pasticcio!!! Ho scaricato TweakUI e ho proceduto nella configurazione. Poi ho copiato con copia e incolla il testo che mi hai inviato (compreso le parole File:: e Registry:: con parentesi quadre) ma non ho disattivato l'antivirus (AntiVir PE). Quando ho trascinato il documento .TXT sull'icona di combofix è comparso un avviso di AntiVir di infezione in atto con il troyan xxxy. Ho spuntato, sul box comparso, tra le varie opzioni ignora e ho lasciato andare avanti combofix. Tuttavia combofix si è fermato alla videata di rettangolo blu senza nessuna attività. Ho provato a chiudere il programma e a rilanciarlo (questa volta chiudendo AntiVir) ma nessuna differenza sempre il rettangolo blu e nessun segno di attività.
Sante62 che faccio???
Ahimè anzichè semplificare temo di aver complicato la risoluzione!!!!

caio · Inviato: 01 Feb 2009 11:57 Oggetto:

La cosa si mette molto male !!!! Non ho più la connessione con la rete che fare???? Devo ritornare ad un precedente punto di ripristino? Grazie

Sante62 · Inviato: 01 Feb 2009 13:03 Oggetto:

Calma...
Combofix, non lo devi fermare, ne toccare tasti eccetera, perchè rimane un pò sul box blu, altrimenti succedono cose come questa;

Cerca prima di ripristinare la rete, in base al tipo di connessione. Non ci sarebbe bisogno di attivare il ripristino, perchè il sistema in generale funziona. Poi ripeti l'operazione con Combofix.

caio · Inviato: 01 Feb 2009 14:12 Oggetto:

Grazie Sante62 !!! OK calma... ho ripristinato la rete. Sono però ricorso al ripristino del sistema perchè non sapevo come fare diversamente. Adesso procedo nuovamente con combofix (incrocio le dita) Grazie anche per la tua pazienza !!!

caio · Inviato: 01 Feb 2009 15:37 Oggetto:

ho rilanciato Combofix dopo aver trascinato il file .txt da te indicato. Nuovamente il programma si è congelato in un rettangolo blu per circa 90 minuti. Ho nuovamente chiuso il programma con le stesse sequele di prima. Ho quindi lanciato nuovamente l'antivirus AntiVir che mi ha trovato 2 trojans in Combofix (??!!???!!) e che ha messo in quarantena. Rimango immobile in attesa di suggerimenti. Grazie Rolling Eyes

Sante62 · Inviato: 01 Feb 2009 23:15 Oggetto:

Se hai fatto il ripristino del sistema, dovevi fare la normale scansione con Combofix, senza eseguire la procedura che ti avevo indicato io....

Comunque, devi caricare i log dei programmi che hai utilizzato...

caio · Inviato: 01 Feb 2009 23:55 Oggetto:

Dunque Sante ho rifatto la scansione con Combofix che allego. Desidero segnalare una cosa per me "strana". Shocked

La penna usb che presentava in origine decine di sottocartelle con nomi strani e illeggibili è diventata ...leggibile!!! Anche i file hanno i vecchi nomi corretti.
Ti prego di non stufarti e di guidarmi fino alla fine del processo di disinfezione !!!! Grazie

Scan Avira
http://wikisend.com/download/550734/Report avira _ore 14-45.txt

Mbam
http://wikisend.com/download/601262/mbam-log-2009-01-31 (17-56-28).txt

ComboFix log
http://wikisend.com/download/924872/comboFixlog_new.txt

Sante62 · Inviato: 02 Feb 2009 01:47 Oggetto:

Bene, adesso rifai questa procedura. Però tieni disattivato l'antivirus e quant'altro che può interferire, e non toccare nulla finche combofix lavora. Se le chiavette sono già disattivate, tralascia il relativo passaggio.

quindi disattiva momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:

caio · Inviato: 02 Feb 2009 10:04 Oggetto:

Sante, ho fatto esattamente come mi hai detto. Prima sono andato a vedere i post che hai indicato nel post. Ho lanciato ComboFix trascinadogli sopra il foglio degli appunti con lo script da te inviato e copiato. Nuovamente ComboFix si è aperto mostrando un rettangolo blu ed è rimasto così per almeno 30 minuti. A questo punto ho chiuso il programma e ho attivato il punto di ripristino.
Non riesco a spiegarmi perchè non funziona la procedura che tu mi indichi. Forse perchè ho rinominato ComboFix in BomboFix (come è consigliato nel tutorial sui tools antivirus del nostro forum)??? Mi rendo conto che ti sto dando un sacco di problemi ma, spero, ci sarà pure una via d'uscita !!!!
Grazie!!!!
Caio

Sante62 · Inviato: 02 Feb 2009 21:42 Oggetto:

In alcuni casi occorre si cambiare nome ai tool antivirus, però non lo fare se non ti viene richiesto.
The Avenger
Scompattalo in una sua cartella in c:\
Avvialo e clicca su OK
Togli la spunta da Scan for Rootkit
all'interno del box bianco
Inserisci queste righe:

caio · Inviato: 02 Feb 2009 23:09 Oggetto:

Grazie Sante per non avermi abbandonato "in mezzo al guado" !!!
Dunque ho seguito le istruzioni fino ad avviare Avanger dopo aver spuntato Scan for Rootkit. Ho copiato e incollato il tuo script ed è comparso un messaggio di errore che ho copiato:

Error: Invalid registry syntax in comand:
"HKEY_CURRENT_USER\software\microsoft\current version\explorer\,ountpoints2\{a2c79b73-8ca3-11dd-9676-000bcd6eo192}"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)

Il programma si è interrotto in attesa di istruzioni. Ho dato il comando esci. Il programma ha chiesto conferma e si è quindi chiuso, mentre io .... sono nuovamente in attesa di istruzioni.

Scusami ma non me la sono sentita di andare avanti senza il tuo consenso.
Grazie ancora!!!!!!!
Caio

PS Forse dovevo andare avanti come mi dicevi in nota al tuo post ma preferisco prima avere la tua conferma

Sante62 · Inviato: 03 Feb 2009 00:12 Oggetto:

Non so se si tratta di un errore ma questa:

caio · Inviato: 03 Feb 2009 00:25 Oggetto:

Scusa Sante ma sono certo è un errore di battitura.
Dici di procedere all'eliminazione della chiave di registro. Non sono esperto, tuttavia penso di saper andare a cercare la chiave che tu mi hai indicato nella citazione del precedete post. Dopodiché che faccio???? la cancello semplicemente con delete???
Ti prego di darmi ancora istruzioni .
Grazie !!!! Laughing

Sante62 · Inviato: 03 Feb 2009 00:35 Oggetto:

Appena localizzi quella chiave, che è quella racchiusa tra le parentesi graffe, cliccaci sopra col destro->elimina;

La stessa cosa dovresti fare col file .sys, seguendone il percorso.

caio · Inviato: 03 Feb 2009 01:16 Oggetto:

OK Sante, procedo Evvai!

e ti farò sapere. Grazie (io speriamo che me la cavo) Laughing

caio · Inviato: 03 Feb 2009 01:45 Oggetto:

Fatto !!! Ho cercato la chiave di registro con il programma jv16 Power Tools che mi ha indicato 6 chiavi di registro che incominciavano con la lunga sequenza tra graffe e ho cancellato tutto. Poi con Risorse del computer ho cercato il percorso del file e l'ho cancellato. Ho poi svuotato il cestino... Rolling Eyes

Ah dimenticavo !!! ho fatto uno scan con HijackThis (allego il report).
Riamango in attesa di una tua ...dichiarazione
Grazie ancora
Caio d'oh!

HijackThis
http://wikisend.com/download/880942/HijackThis_1.txt