Precedente :: Successivo |
Autore |
Messaggio |
flaviamile Mortale devoto

Registrato: 18/04/12 09:05 Messaggi: 14
|
Inviato: 18 Apr 2012 09:28 Oggetto: [RISOLTO] win32\spy.zbot.zr trojan in memoria operativa |
|
|
Ho fatto una scansione con il nod32, e mi è venuta fuori questa segnalazione:
Memoria operativa = explorer.exe(3336) - una variante di Win32/Spy.Zbot.ZR trojan horse - impossibile disinfettare.
Anche dalla scansione online, stesso problema.
sistema operativo XP Professional - SP3
il pc è quello usato per lavorare, quindi mi serve aiuto piuttosto urgente. ringrazio in anticipo. |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
|
Top |
|
 |
flaviamile Mortale devoto

Registrato: 18/04/12 09:05 Messaggi: 14
|
Inviato: 18 Apr 2012 12:49 Oggetto: |
|
|
Scusa, ma va tutto a rallentatore qui.
Ecco i logs.
OTL.Txt
Extras.Txt
E grazie della pronta risposta. Speriamo bene.
(Aggiungo che questa mattina ho lanciato mbam, e non ha rilevato niente). |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 18 Apr 2012 13:23 Oggetto: |
|
|
Il problema principale è rappresentato dal fatto che hai installato 2 antivirus in contemporanea:
Panda Cloud Antivirus
NOD32
Disinstalla uno dei 2 e rifai la scansione completa con MBAM partendo dalla modalità provvisoria. |
|
Top |
|
 |
flaviamile Mortale devoto

Registrato: 18/04/12 09:05 Messaggi: 14
|
Inviato: 18 Apr 2012 14:26 Oggetto: |
|
|
Il panda l'ho installato questa mattina.
Comunque, fatto tutto. Prima ho disinstallato il panda.
Poi ho riavviato in modalità provvisoria.
Scansione con MBAM (questa volta veloce, perché l'altra ci mette 3 ore e mezza) e non ha trovato niente. Questo il log:
mbam-log-2012-04-18 (14-11-47).txt |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 18 Apr 2012 14:49 Oggetto: |
|
|
La regola di massima è: mai 2 antivirus insieme!
La scansione con MBAM era meglio farla completa. Comunque, ora, dalla modalità provvisoria con rete:
|
|
Top |
|
 |
flaviamile Mortale devoto

Registrato: 18/04/12 09:05 Messaggi: 14
|
Inviato: 18 Apr 2012 16:45 Oggetto: |
|
|
Ricevuto!
Fatto tutto.
Il SuperAntiSpyware ha rilevato un file indicato come xPDFWriter.exe in un sacco di posti, ma è un file nostro, quindi da ignorare. Però alla fine ci sono un paio di cose.
Ecco il log (ho sostituito con una X alcuni dati sensibili, ma solo quello):
SUPERAntiSpyware Scan Log - 04-18-2012 - 16-25-28.log
Poi, ho lasciato aperto il programma, perché non sapevo se dovevo fare o meno il remove, e ho lanciato l'OTL. Ora, se dovevo prima rimuovere qualcosa, rifaccio.
Comunque, il log dell'OTL è questo (sono sempre in modalità provvisoria):
OTL.Txt
Ho visto che nomina il Panda, ma comunque non compare nei programmi e anche se c'è la cartella, è vuota. |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 18 Apr 2012 17:06 Oggetto: |
|
|
Ok.
Ultimi 2 controlli...
Scarica MBRCheck e avvialo, ti si aprirà una finestra DOS simile a questa:
Citazione: | MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0200000d
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`065f9a00 (NTFS)
Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Windows XP code detected
SHA1: 84B95CE8A54B7C5C3AAF149934FC46FB70FF8365
Done!
Press ENTER to exit... |
Al termine, troverai sul desktop un file con un nome simile a MBRCheck_04.07.12_19.48.01.txt.
Postalo, secondo le solite modalità.
E, infine:
- Scarica TDSSKiller.zip e salvalo sul desktop
- Apri il file appena scaricato ed estrai il file TDSSKiller.exe
- Avvia TDSSKiller.exe
- Clicca Start scan e attendi pazientemente la fine dei lavori
- Se viene rilevata qualche infezione, TDSSKiller ti proporrà direttamente le operazioni da svolgere. In questo caso, clicca Continue
- Al termine del lavoro di scansione ed ventuale rimozione, clicca Close
- Il log viene creato nella cartella principale del disco C:
Es.: C:\TDSSKiller.2.7.28_18.04.2012_17.04.43_log.txt
- Posta il log creato, secondo le solite modalità
|
|
Top |
|
 |
flaviamile Mortale devoto

Registrato: 18/04/12 09:05 Messaggi: 14
|
Inviato: 18 Apr 2012 17:12 Oggetto: |
|
|
ok. log del MBR
MBRCheck_04.18.12_17.10.11.txt
con il superantispyware e l'OTL non ho rimosso niente. giusto, no?
vado avanti con il TDS intanto... |
|
Top |
|
 |
flaviamile Mortale devoto

Registrato: 18/04/12 09:05 Messaggi: 14
|
|
Top |
|
 |
flaviamile Mortale devoto

Registrato: 18/04/12 09:05 Messaggi: 14
|
Inviato: 18 Apr 2012 17:49 Oggetto: |
|
|
sto iniziando a scoraggiarmi un po'  |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 18 Apr 2012 17:49 Oggetto: |
|
|
Perfetto.
Tranquilla, OTL non rimuove niente e SuperAntiSpyware non ha rimosso nulla se non glielo hai specificato tu.
Solo una curiosità: il file XPDFWRITER.EXE è compattato?
Puoi fare una scansione con NOD32 e postare il log che ti crea?
Così vediamo dove riscontra l'eventuale presenza di malware.
Mi sono dimenticato di farti fare anche una scansione con gmer.
Fai le scansioni con GMER (sono 2: autostart e rootkit) e posta i logs come indicato qui. |
|
Top |
|
 |
flaviamile Mortale devoto

Registrato: 18/04/12 09:05 Messaggi: 14
|
Inviato: 18 Apr 2012 18:33 Oggetto: |
|
|
Allora.
Il file xpdfwriter.exe non è compattato. E' compilato da noi in vb6 e genera una stampante PDF.
Il NOD32 non mi funziona da modalità provvisoria, si ferma al pagesys e non fa niente. Domani riavvio normale e provo a generare il log.
Il gmer ha generato questo log per l'autostart:
gmer autostart.txt
e per il rootkit, non riesco a farlo fino alla fine, devo proprio andare. comunque, domani lo faccio andare tutto. sembra essere arrivato ai files, perché stava verificando la cartella documents and settings, e avevo già visto le chiavi di registro. comunque posto lo stesso quello che è riuscito a fare. rootkit.log
grazie infinite della tua assistenza, e spero di riuscire a risolvere domani! |
|
Top |
|
 |
flaviamile Mortale devoto

Registrato: 18/04/12 09:05 Messaggi: 14
|
Inviato: 19 Apr 2012 09:29 Oggetto: |
|
|
Rieccomi.
Il rootkit che ho lasciato andare ieri non aveva molte più cose.
Ecco il log:
rootkit completo.log
E comunque, oggi ho riavviato in modalità normale, per lanciare l'antivirus, e....stranamente, non c'è alcun virus in memoria operativa.
Ora ho lanciato la scansione completa, ma comunque prima veniva fuori proprio all'inizio della scansione.
Io non ho fatto alcun repair o remove...com'è possibile??
Può essere che non ci sia più o è soltanto qualcosa momentanea?
Incrocio le dita! |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 19 Apr 2012 13:50 Oggetto: |
|
|
Ciao flaviamile,
può darsi che fosse un falso positivo dovuto alla presenza anche di Panda.
Eventualmente, posta il log di NOD32.
Ho visto, dagli altri logs, che ci sono alcune cosettine da sistemare (nulla di grave, non ti preoccupare), ma aspetto di vedere anche il risultato della scansione con NOD32. |
|
Top |
|
 |
flaviamile Mortale devoto

Registrato: 18/04/12 09:05 Messaggi: 14
|
Inviato: 19 Apr 2012 13:57 Oggetto: |
|
|
No, ma il Panda l'ho installato ieri dopo la segnalazione di NOD32, così come l'MBAM. Intanto che aspettavo notizie, ho trovato su un sito 10 step per togliere i malwares, e c'erano elencati quei due lì. Quindi non era un falso positivo, ma la differenza è che nel frattempo, ho inviato a nod32 più o meno una decina di file per l'analisi (explorer.exe) come conseguenza di tutti gli scan. Che abbiano fatto qualcosa loro? boh!
Comunque, il mio scan completo è partito alle 9:15 e...non è ancora finito! Siamo alla cartella C:\Windows, quindi dovrebbe mancare poco.
Appena finisce, lo posto qui.
Grazie di nuovo! |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 19 Apr 2012 14:01 Oggetto: |
|
|
Infatti, la domanda che volevo farti e che mi è passata di mente era:
Quando hai installato Panda? Dopo la segnalazione di NOD32 o per testarne la funzionalità?
Ma sai com'è... la vecchiaia avanza...
A dopo.  |
|
Top |
|
 |
flaviamile Mortale devoto

Registrato: 18/04/12 09:05 Messaggi: 14
|
Inviato: 19 Apr 2012 14:27 Oggetto: |
|
|
allora, ecco il log finalmente (come sempre, ho sostituito alcune informazioni sensibili):
Report NOD32.txt |
|
Top |
|
 |
flaviamile Mortale devoto

Registrato: 18/04/12 09:05 Messaggi: 14
|
Inviato: 19 Apr 2012 15:05 Oggetto: |
|
|
Scusa.
Verificando il nod32, e girando un po', ho trovato questo sysinspector che sinceramente non so neanche come si usa.
Comunque, ho creato uno snapshot, e aprendolo, ho trovato questo:
sysinspector.JPG
mi devo preoccupare?
lì appare come livello 9, il più alto...penso sia livello di rischio. |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 19 Apr 2012 17:40 Oggetto: |
|
|
SysInspector è un prodotto ESET (gli stessi di NOD32) che è stato integrato nella versione 5 di NOD32.
La versione standalone può essere utilizzata liberamente e include diverse interessanti funzionalità. Ma, come tutti i tools di questo genere, va usata molto attentamente.
Il file che viene segnalato è la libreria di runtime di Visual Studio 2008. Quindi, lo troverai in tutti i programmi creati con questo ambiente di sviluppo.
Comunque, nel tuo caso specifico, fa riferimento a un file di Cobian Backup 10. Nulla di preoccupante.
Il log di NOD32 non segnala la presenza di files sospetti.
Nel log di OTL, invece, ho trovato traccia di una precedente infezione, probabilmente già eliminata. L'unica cosa da sistemare è il riferimento al file infetto.
- Avvia nuovamente OTL (dal desktop)
- Copia e incolla il testo seguente nel riquadro
:
Citazione: | :OTL
O4 - HKU\S-1-5-21-2367948490-1968540378-3413882331-1005..\Run: [{92951494-3362-7D30-D13B-364819307F98}] "C:\Documents and Settings\Flavia\Dati applicazioni\Keawikc\ciqauh.exe" File not found
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:Commands
[EMPTYTEMP]
[EMPTYFLASH]
[EMPTYJAVA] |
clicca
Se richiesto, riavvia il pc
clicca
carica il nuovo log su uno dei servizi di hosting indicati in questa discussione |
|
Top |
|
 |
|