Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Virus http:\\mfdclk001.org\
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Jolly88
Mortale devoto
Mortale devoto


Registrato: 28/04/12 17:29
Messaggi: 6

MessaggioInviato: 28 Apr 2012 17:46    Oggetto: Virus http:\\mfdclk001.org\ Rispondi citando

Salve, da qualche giorno riscontro la presenza di questo virus che non so come eliminare e ricevo continui popup da parte dell'antivirus che non elimina il virus ma semplicemente termina la connessione a "http:\\mfdclk001.org\...."
Vi ringrazio in anticipo per le eventuali risposte Wink


SO: Win7Ultimate
Antivirus: avast!
Virus rilevato: oggetto: Virus
---------------- infezione: JS:Iframe-GH [Trj] (è un nome generico perché spesso cambia)
---------------- processo: C:\Windows\system32\svchost.exe

(in modalità provvisoria)
HJT_provvisoria.txt

(avvio normale)
HJT_normale.txt
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 28 Apr 2012 18:00    Oggetto: Rispondi citando

Ciao Jolly88, Ciao

hijackthis ha fatto il suo tempo e non è più adatto a rilevare infezioni "serie".
Inoltre, stai usando una versione piuttosto vecchiotta. Attualmente siamo arrivati alla versione 2.0.4

fai questa scansione con OTL
Poi, per sicurezza:
  • Scarica TDSSKiller.zip e salvalo sul desktop
  • Apri il file appena scaricato ed estrai il file TDSSKiller.exe
  • Avvia TDSSKiller.exe
  • Clicca Change parameters
  • metti il segno di spunta a Detect TDLFS file system
  • clicca OK
  • Clicca Start scan e attendi pazientemente la fine dei lavori
  • Se viene rilevata qualche infezione, TDSSKiller ti proporrà direttamente le operazioni da svolgere. In questo caso, clicca Continue
  • Al termine del lavoro di scansione ed ventuale rimozione, clicca Close
  • Il log viene creato nella cartella principale del disco C:
    Es.: C:\TDSSKiller.2.7.33_28.04.2012_17.59.43_log.txt
  • Posta il log creato, secondo le solite modalità


Scarica MBRCheck e avvialo, ti si aprirà una finestra DOS simile a questa:
Citazione:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0200000d

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`065f9a00 (NTFS)

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Windows XP code detected
SHA1: 84B95CE8A54B7C5C3AAF149934FC46FB70FF8365


Done!
Press ENTER to exit...


Al termine, troverai sul desktop un file con un nome simile a MBRCheck_04.20.12_10.21.01.txt.

I logs caricali su FreeFileHosting o WikiSend o WikiFortio come indicato qui.
Top
Profilo Invia messaggio privato
Jolly88
Mortale devoto
Mortale devoto


Registrato: 28/04/12 17:29
Messaggi: 6

MessaggioInviato: 28 Apr 2012 18:51    Oggetto: Rispondi citando

Innanzitutto ti ringrazio per la tempestività e la completezza nella risposta e nelle indicazioni
tdsskiller.txt

mbrcheck.txt
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 28 Apr 2012 21:12    Oggetto: Rispondi citando

TDSSKiller ha rimosso il virus TDSS.

Adesso, segui le istruzioni di questo topic per usare MBAM.

fai questa scansione con OTL <-- IMPORTANTE

I logs caricali su uno dei servizi indicati qui.
Top
Profilo Invia messaggio privato
Jolly88
Mortale devoto
Mortale devoto


Registrato: 28/04/12 17:29
Messaggi: 6

MessaggioInviato: 29 Apr 2012 09:22    Oggetto: Rispondi citando

Attendendo la fine della scansione di MBAM....

link otl.txt
link extras.txt

Laughing

ecco:

linkmbam log.txt
protection log.txt
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 01 Mag 2012 07:16    Oggetto: Rispondi citando

  • Avvia nuovamente OTL (dal desktop)

  • Copia e incolla il testo seguente nel riquadro :
    Citazione:
    :OTL
    IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
    IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
    IE - HKU\S-1-5-21-1890344339-637933089-4071701973-1000\..\SearchScopes\{c99fdc39-a1ae-4b24-8d71-e5274f8d7c54}: "URL" = http://search.hotspotshield.com/g/results.php?c=s&q={searchTerms}
    O4 - HKLM..\Run: [] File not found
    O4 - HKU\S-1-5-21-1890344339-637933089-4071701973-1000..\Run: [] File not found
    O4 - HKU\S-1-5-21-1890344339-637933089-4071701973-1000..\Run: [360desktop] File not found
    O4 - HKU\S-1-5-21-1890344339-637933089-4071701973-1000..\Run: [Voobly] File not found
    @Alternate Data Stream - 12 bytes -> C:\Windows\System32:{7BC0BEE7-487C-4DEF-9189-9518F7E029F0}
    @Alternate Data Stream - 12 bytes -> C:\Windows\System32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57}


    :reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
    ""=""%1" %*"

    :Commands
    [EMPTYTEMP]
    [EMPTYFLASH]
    [EMPTYJAVA]

  • clicca
  • Se richiesto, riavvia il pc
  • clicca
  • carica il nuovo log su uno dei servizi di hosting indicati in questa discussione

Top
Profilo Invia messaggio privato
Jolly88
Mortale devoto
Mortale devoto


Registrato: 28/04/12 17:29
Messaggi: 6

MessaggioInviato: 03 Mag 2012 12:22    Oggetto: Rispondi citando

Qui ci sono i log di process hacker un task manager, effettuato all'avvio normale senza aprire programmi e browser

questo è il log di superantispywarescanlog

OTL, invece, mi si chiude dopo 10/15 secondi dopo l'apertura e non capisco perché. Ho provato anche a riavviare il notebook. L'ho anche riscaricato ma niente.. Shocked

OTL funge solo in modalità provvisoria.. OTL.txt
file log di OTL nella cartella moved file
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 03 Mag 2012 23:11    Oggetto: Rispondi citando

Think

Giusto per fare un test...
  • disabilita la protezione residente di Avast!
  • Avvia OTL
  • se funziona, crea un nuovo log
Top
Profilo Invia messaggio privato
Jolly88
Mortale devoto
Mortale devoto


Registrato: 28/04/12 17:29
Messaggi: 6

MessaggioInviato: 03 Mag 2012 23:36    Oggetto: Rispondi citando

Già fatto ma niente da fare... Funge solo in modalità provvisoria. Crying or Very sad
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 04 Mag 2012 08:26    Oggetto: Rispondi citando

Confused

Segui le istruzioni di questo topic per postare il log di combofix.
Top
Profilo Invia messaggio privato
Jolly88
Mortale devoto
Mortale devoto


Registrato: 28/04/12 17:29
Messaggi: 6

MessaggioInviato: 05 Mag 2012 09:30    Oggetto: Rispondi citando

Con OTL ho risolto. In poche parole, la sandbox si avviava automaticamente anche con avast chiuso.

OTL scan

OTL run fix

C'è ancora bisogno di combofix?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 05 Mag 2012 09:44    Oggetto: Rispondi

Ok! Meglio così! Smile

Per il momento, non utilizzare Combofix, controllo l'ultimo log che hai postato e poi ti so dire.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi