| Precedente :: Successivo |
| Autore |
Messaggio |
xzimox
Mortale devoto
Registrato: 01/04/09 13:22
Messaggi: 10
|
 Inviato: 01 Apr 2009 13:46 Oggetto: Trojan-Spy.HTML.Fraud.gen e Trojan-Spy.Win32.Zbot.edw |
 |
|
Buon giorno a tutti. Avrei bisogno - ovviamente - di aiuto. Tutto è iniziato lanciando l'installazione di QuickTime: il messaggio "Windows disco non presente - Exception Processing Message cooooo13 Parameters 75b1bf7c 47b1bf7c 75b1bf7c". Siccome i dischi fissi hanno l'etichetta I e J pensavo fosse normale che la singola applicazione non trovasse il classico disco C. E ho sorvolato!
Purtroppo l'errore si è ripetuto spesso e mi è venuto il dubbio. Da una ricerca mi è sembrato di intuire che si trattasse di un virus e mi sono accanita.
Ecco le mie "coordinate": XP, SP3, Firefox, Zone alarm security suite. Ho già usato: CCleaner, Virit-LT, ad-Aware. Con SpyBot S&D mi continua ad apparire il messaggio suddetto a ogni file e non vado avanti. ZoneAlarm non rileva niente. Provate scansioni online: Panda non trova nulla, mentre ecco il log di Kasperskay:
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Wednesday, April 1, 2009
Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Wednesday, April 01, 2009 09:23:22
Records in database: 1991939
--------------------------------------------------------------------------------
Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes
Scan area - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
Scan statistics:
Files scanned: 56996
Threat name: 2
Infected objects: 1
Suspicious objects: 1
Duration of the scan: 00:36:14
File name / Threat name / Threats count
I:\Documents and Settings\Meloni pc\Dati applicazioni\Thunderbird\Profiles\lnswbipm.default\
Mail\Local Folders\Inbox
Suspicious: Trojan-Spy.HTML.Fraud.gen 1
I:\Documents and Settings\Meloni pc\Dati applicazioni\Thunderbird\Profiles\
lnswbipm.default\Mail\Local Folders\Inbox
Infected: Trojan-Spy.Win32.Zbot.edw 1
The selected area was scanned.
Ed ecco infine il log di HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.11.43, on 01/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\ZoneLabs\vsmon.exe
I:\WINDOWS\Explorer.EXE
I:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programmi\Google\Update\GoogleUpdate.exe
I:\Program Files\ASUS\Six Engine\SixEngine.exe
I:\WINDOWS\system32\RUNDLL32.EXE
I:\Programmi\Analog Devices\Core\smax4pnp.exe
I:\Programmi\Analog Devices\SoundMAX\Smax4.exe
I:\Programmi\Java\jre6\bin\jusched.exe
I:\Programmi\iTunes\iTunesHelper.exe
I:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
I:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
I:\VEXPLITE\MONLITE.EXE
I:\Programmi\File comuni\AVerMedia\Service\AVerRemote.exe
I:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
I:\Programmi\DS Clock\dsclock.exe
I:\Programmi\File comuni\AVerMedia\Service\AVerScheduleService.exe
I:\Programmi\File comuni\AVerMedia\AVerQuick\AVerHIDReceiver.exe
I:\Programmi\Bonjour\mDNSResponder.exe
I:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
I:\Programmi\Java\jre6\bin\jqs.exe
I:\Programmi\File comuni\LightScribe\LSSrvc.exe
I:\Programmi\ASUS\WiFi-AP @n\WiFi-AP@n.exe
I:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
I:\WINDOWS\system32\nvsvc32.exe
I:\Programmi\File comuni\AVerMedia\AVerQuick\AVerQuick.exe
I:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
I:\WINDOWS\system32\svchost.exe
I:\Programmi\Logitech\SetPoint\SetPoint.exe
I:\Programmi\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
I:\Programmi\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
I:\VEXPLITE\viritsvc.exe
I:\Programmi\3M\PSNLite\PsnLite.exe
I:\PROGRA~1\3M\PSNLite\PSNGive.exe
I:\Programmi\File comuni\Logitech\KhalShared\KHALMNPR.EXE
I:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
I:\Programmi\iPod\bin\iPodService.exe
I:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
I:\WINDOWS\System32\svchost.exe
I:\Programmi\Java\jre6\bin\jucheck.exe
I:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - I:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - I:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Six Engine] "I:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] I:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "I:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "I:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "I:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] I:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "I:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] I:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [Ad-Watch] I:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [DS Clock] "I:\Programmi\DS Clock\dsclock.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] I:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = I:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ASUS WiFi-AP @n Utility.lnk = I:\Programmi\ASUS\WiFi-AP @n\WiFi-AP@n.exe
O4 - Global Startup: AVer HID Receiver.lnk = I:\Programmi\File comuni\AVerMedia\AVerQuick\AVerHIDReceiver.exe
O4 - Global Startup: AVerQuick.lnk = I:\Programmi\File comuni\AVerMedia\AVerQuick\AVerQuick.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = I:\Programmi\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Post-it® Software Notes Lite.lnk = I:\Programmi\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://I:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programmi\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - I:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - I:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVerRemote - AVerMedia - I:\Programmi\File comuni\AVerMedia\Service\AVerRemote.exe
O23 - Service: AVerScheduleService - Unknown owner - I:\Programmi\File comuni\AVerMedia\Service\AVerScheduleService.exe
O23 - Service: Bonjour Service - Apple Inc. - I:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Servizio di Google Update (gupdate1c9910fe1c5ff1a) (gupdate1c9910fe1c5ff1a) - Google Inc. - I:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - I:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - I:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - I:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - I:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - I:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - I:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - I:\VEXPLITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - I:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 8853 bytes
Grazie in anticipo per qualsiasi consiglio e aiuto |
|
| Top |
|
 |
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 01 Apr 2009 14:12 Oggetto: Re: Trojan-Spy.HTML.Fraud.gen e Trojan-Spy.Win32.Zbot.edw |
|
|
| xzimox ha scritto: | | Buon giorno a tutti. Avrei bisogno - ovviamente - di aiuto. Tutto è iniziato lanciando l'installazione di QuickTime: il messaggio "Windows disco non presente - Exception Processing Message cooooo13 Parameters 75b1bf7c 47b1bf7c 75b1bf7c". Siccome i dischi fissi hanno l'etichetta I e J pensavo fosse normale che la singola applicazione non trovasse il classico disco C. E ho sorvolato! |
Senza toccare nulla all'interno del registro e senza apportare modifiche, esegui questo controllo (seguendo il percorso):
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
nella finestra a destra verifca e fai sapere quale lettera è assegnata a:
PathName "Lettera unità:\WINDOWS"
SourcePath "Lettera unità:\"
SystemRoot "Lettera unità:\WINDOWS" |
|
| Top |
|
|
xzimox
Mortale devoto
Registrato: 01/04/09 13:22
Messaggi: 10
|
| Inviato: 01 Apr 2009 14:40 Oggetto: |
|
|
Ecco quanto richiesto:
PathName: I:\WINDOWS
PathName: G:\I386
SystemRoot: I:\WINDOWS |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 01 Apr 2009 17:00 Oggetto: |
|
|
| xzimox ha scritto: | Ecco quanto richiesto:
PathName: I:\WINDOWS
PathName: G:\I386
SystemRoot: I:\WINDOWS |
Stabilito che I è l'unità principale (dove hai installato il sistema operativo) G a cosa corrisponde? (e poi, quella voce non dovrebbe essere PathName ma SourcePath, quindi, ricontrolla). |
|
| Top |
|
|
xzimox
Mortale devoto
Registrato: 01/04/09 13:22
Messaggi: 10
|
| Inviato: 01 Apr 2009 21:09 Oggetto: |
|
|
Opss.. un copia e incolla fatto di corsa
PathName: I:\WINDOWS
SourcePath: G:\I386
SystemRoot: I:\WINDOWS
G:\ è un'unità DVD
H:\è un'altra unità DVD
I:\ è l'unità principale
J:\è il secondo HD interno |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 01 Apr 2009 22:31 Oggetto: |
|
|
| xzimox ha scritto: | Opss.. un copia e incolla fatto di corsa
PathName: I:\WINDOWS
SourcePath: G:\I386
SystemRoot: I:\WINDOWS |
Bene, ripeti la stessa operazione, accedi al regedit, posizionati sulla cihave SourcePath: G:\I386 tasto destro del mouse - modifica - e modifica la lettera G in I.
Riavvia il sistema e verifica se il problema che hai segnalato si ripete. |
|
| Top |
|
|
xzimox
Mortale devoto
Registrato: 01/04/09 13:22
Messaggi: 10
|
| Inviato: 02 Apr 2009 02:05 Oggetto: |
|
|
| Pur sostituendo SourcePath: G:\I386 con SourcePath: I:\I386 il problema resta. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 02 Apr 2009 09:35 Oggetto: |
|
|
Vediamo di capire che succede.
Torna al regedit e ripristina la lettera come in origine.
Riavvia ed allega un nuovo log di Hijackthis.
Da qui fino a quando non avremo terminato, per allegare i i log, utilizza questo servizio di upload: clicca qui per wikisend pubblicando, nella discussione, il link di riferimento che verrà rilasciato. |
|
| Top |
|
|
xzimox
Mortale devoto
Registrato: 01/04/09 13:22
Messaggi: 10
|
| Inviato: 02 Apr 2009 12:26 Oggetto: |
|
|
Dunque, ecco il link rilasciato da Wikisend per il mio file log di HijackThis:
http://wikisend.com/download/597328/hijackthis.txt
E grazie... |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 02 Apr 2009 12:46 Oggetto: |
|
|
| scusa, ma tu giri senza Antivirus?. |
|
| Top |
|
|
xzimox
Mortale devoto
Registrato: 01/04/09 13:22
Messaggi: 10
|
| Inviato: 02 Apr 2009 13:45 Oggetto: |
|
|
| Non esattamente: stamani ho disinstallato la suite di Zone Alarm per vedere se Kaspersky su disco rivelava i duei stessi "animali" tracciati online (cosa che non ha fatto!). Poi, per la rabbia, ho disinstallato anche Kaspersky. Tra un po' rimetto ZoneAlarm. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 02 Apr 2009 14:59 Oggetto: |
|
|
| xzimox ha scritto: | | Tra un po' rimetto ZoneAlarm. |
No, ferma, per ora non lo installare.
Inizia con il seguire questa procedura:
Scarica:
1) Norman Malware Cleaner: clicca qui per il download
2) Combofix: clicca qui per il download
Posiziona entrambi i tool in una cartella da creare sul Desktop.
Poi:
Accedi a sistema in modalità provvisoria, con l?account Amministratore ed esegui una scansione completa del sistema con Norman.
Al termine della scansione (salva il log), riavvia, riaccedi in modalità provvisoria, riesegui una seconda scansione con Norman.
Conclusa la seconda scansione con Norman, sempre in modalità provvisoria, esegui una scansione con Combofix:
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
● se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log
Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
Verranno creati due log in C:\
● combofix.txt
● ComboFix-quarantined-files.txt
Riavvia il sistema in modalità normale ed allega tutti i log (quelli di Norman e quelli di Combofix).
Per allegare i log utilizza questo servizio di upload: clicca qui per wikisend
I link ai log pubblicali in un unico post, proseguendo qui. |
|
| Top |
|
|
xzimox
Mortale devoto
Registrato: 01/04/09 13:22
Messaggi: 10
|
| Inviato: 02 Apr 2009 21:46 Oggetto: |
|
|
I due file di Norman:
http://wikisend.com/download/940344/NFix_2009-04-02_01.log
http://wikisend.com/download/570612/NFix_2009-04-02_02.log
I due file di Combofix:
http://wikisend.com/download/643862/ComboFix.txt
http://wikisend.com/download/875706/ComboFix-quarantined-files.txt
Il primo dei file di testo di combo si è aperto in automatico ma poi il PC è rimasto con schermata di MP nera, niente icone e niente accesso a Start.
Ciao |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 02 Apr 2009 23:07 Oggetto: |
|
|
Carino il file hosts di quel computer 8)
Ok, ora prosegui in questa maniera:
1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino a quando non avremo terminato.
2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
3) lancia Hthis e pulisci gli ADS in questo modo (solo se la partizione è NTFS):
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
4) scarica ed installa MalwareBytes: clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato
5) eseguiti i passaggi da 1) a 4), se non lo hai già installato, scarica ed installa CCleaner: clicca qui per il download
In caso, configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log ed allegalo
P.S.: questi due trojan:
Trojan-Spy.HTML.Fraud.gen 1
Trojan-Spy.Win32.Zbot.edw 1
Kaspersky li rilevati in:
| Citazione: | I:\Documents and Settings\Meloni pc\Dati applicazioni\Thunderbird\Profiles\lnswbipm.default\
Mail\Local Folders\Inbox
Suspicious: Trojan-Spy.HTML.Fraud.gen 1
I:\Documents and Settings\Meloni pc\Dati applicazioni\Thunderbird\Profiles\
lnswbipm.default\Mail\Local Folders\Inbox
Infected: Trojan-Spy.Win32.Zbot.edw 1 |
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 03 Apr 2009 17:56 Oggetto: |
|
|
Ciao dasysleeper, 
Io trovo curioso che Windows sia installato sul disco I:. 
Probabilmente, in fase di installazione, c'era collegato qualche lettore multiformato...
L'ultima modifica di bdoriano il 04 Apr 2009 17:02, modificato 1 volta |
|
| Top |
|
|
daysleeper
Semidio
Registrato: 25/04/08 00:01
Messaggi: 371
|
| Inviato: 03 Apr 2009 18:37 Oggetto: |
|
|
Ciao doriano 
Ricordo infatti che se i siti malevoli inseriti sono preceduti da 127.0.0.1 questi non dovrebbero essere rimossi,in quanto tornerebbero visitabili,coi rischi che ne concorrono.Norman malware cleaner offre la possibilità di non rimuovere in automatico i file trovati o di escludere file o cartelle dalla scansione.
L'installazione nell'unità I mi da i brividi  |
|
| Top |
|
|
xzimox
Mortale devoto
Registrato: 01/04/09 13:22
Messaggi: 10
|
| Inviato: 03 Apr 2009 19:24 Oggetto: |
|
|
Grazie Bdoriano per la tua mediazione. Daysleeper, penso che Riverside si riferisse ai "copiosi" riferimenti a contenuti per soli adulti che erano nel mio log di Norman, ma non essendo roba mia la cosa non mi imbarazza affatto.
Veniamo a noi: Il Ripristino Configurazione di sistema lo avevo disattivato all'inizio di questa "storia", poi,
tra i tanti software sperimentati (VirIt, Ad-Aware, SuperAntispaware e gli altri non me li ricordo!), qualcuno lo avrà ripristinato.
Così come avevo cancellato già due volte il contenuto della cartella Prefetch, puliti gli ADS con HijackThis e scansito il sistema con MalwareBytes, nonché configurato CCleaner come consigliato. Sigh!
Ergo, considerando che il problema era nei file Inbox di Thunderbird, seppur riluttante sin dall'inizio, alla fine ho cancellato i file Inbox e Inbox.msf dal HD e da tutti i backup che avevo.
Rifatta la scansione su Kaspersky online i due trojan non sono più rilevati e il sistema sembrerebbe pulito.
I danni sono, per fortuna, circoscritti perché i/il messaggi/o dovevevano essere nella posta generale
e le sotto cartelle sono pulite.
Ora provo a reinstallare SpyBot con cui non riuscivo ad eseguire una scansione. Se non mi ricompare la finestra maledetta "Windows disco non presente", forse ne sono fuori.
Ecco comunque il link all'ultima scansine di HijackThis.
http://wikisend.com/download/852960/hijackthis.log
Vi aggiorno quanto prima |
|
| Top |
|
|
xzimox
Mortale devoto
Registrato: 01/04/09 13:22
Messaggi: 10
|
| Inviato: 03 Apr 2009 19:26 Oggetto: |
|
|
| daysleeper ha scritto: | Ciao doriano
L'installazione nell'unità I mi da i brivibi |
DaySleeper, sappi che all'inizio la cosa ha sbalestrato anche me, ma si sopravvive!  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 03 Apr 2009 19:33 Oggetto: |
|
|
| xzimox ha scritto: | | Grazie Bdoriano per la tua mediazione. |
Dovere.
Credo che il confronto costruttivo sia più utile per tutti. 
| xzimox ha scritto: | | Daysleeper, penso che Riverside si riferisse ai "copiosi" riferimenti a contenuti per soli adulti che erano nel mio log di Norman, ma non essendo roba mia la cosa non mi imbarazza affatto. |
Non ti preoccupare per i riferimenti rimossi da Norman, non sono indice di visite a siti XXX, ma denotano l'utilizzo della funzione di immunizzazione di Spybot (o SpywareBlaster).
| xzimox ha scritto: | | Ora provo a reinstallare SpyBot con cui non riuscivo ad eseguire una scansione. Se non mi ricompare la finestra maledetta "Windows disco non presente", forse ne sono fuori. |
Presumo, invece, che il problema si presenterà ancora.
Spybot, purtroppo, non riconosce correttamente l'installazione di Windows su un disco diverso da C: (almeno, era un problema noto... non ho avuto occasione di provare le nuove versioni su PC così "stranamente" configurati).  |
|
| Top |
|
|
xzimox
Mortale devoto
Registrato: 01/04/09 13:22
Messaggi: 10
|
| Inviato: 03 Apr 2009 19:56 Oggetto: |
 |
|
A si! A saperlo non sfondavo quasi il mouse nel tentativo di vincerla io con il tasto Continua in "windows disco non presente"!!!
Ho questa configurazione solo da un mese.
OK, allora fungo da cavia e ci provo. Poi, vi fo' sapere! |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
