| Precedente :: Successivo |
| Autore |
Messaggio |
Blackstar29
Mortale pio
Registrato: 15/05/12 21:05
Messaggi: 15
|
 Inviato: 15 Mag 2012 21:16 Oggetto: worm non identificato |
 |
|
| salve, credo di avere un worm sul pc, in quanto giorno dopo giorno diminuisce la memoria sul mio pc. ho usato diversi programmi antivirus come antivir e panda, scansioni, altri programmi di pulizia ma niente, non riesco a risolvere il problema. il mio pc è un sony vaio con windows 7, tutto quello che vi posso dire è che sembra che il worm lavori sulla connessione internet della mia penna wind (ho provato anche con una tim e si ripete il problema), in quanto non appena mi collego anche per aprire google, scarica un'ingente quantità di dati, insolita visto che normalmente consuma pochissimo, in più vi posso dire che in alcune pagine internet, esempio putlocker, escono in basso a destra dei messaggi pubblicitari a tendina che nn riesco a rimuovere e che si sono presentati in concomitanza al problema. di mio nn so dirvi altro perchè ne so veramente poco, ma vi prego di aiutarmi a risolvere il problema e se vi servono ulteriori dettagli contattatemi pure, grazie! |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
Blackstar29
Mortale pio
Registrato: 15/05/12 21:05
Messaggi: 15
|
| Inviato: 17 Mag 2012 10:09 Oggetto: |
|
|
allora, spero di aver seguito correttamente la procedura, questo è il file otr
OTL.Txt
e questo è l'altro
Extras.Txt
grazie per l'assistenza! XD |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 17 Mag 2012 17:43 Oggetto: |
|
|
Ciao.
Vai in "Programmi e funzionalità" (da Pannello di controllo) e disistalla SpyBot.
Disistalla anche il suo Tea Timer.
Sempre da Programmi e funzionalità, disistalla TUTTE le versioni Java che vedi.
Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Poi:
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
| Codice: | :OTL
(McAfee, Inc.) -- C:\Program Files (x86)\McAfee Security Scan\2.0.181\SSScheduler.exe
SRV - [2010/01/15 14:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
IE - HKU\S-1-5-21-520468299-3173808245-2341135752-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:56384
O4 - HKLM..\Run: [NortonOnlineBackupReminder] C:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe (Symantec Corporation)
O4 - HKLM..\Run: [PlusService] C:\Program Files (x86)\Yuna Software\Messenger Plus!\PlusService.exe (Yuna Software)
O4 - HKLM..\Run: [TQ566808] "F:\Setup.exe" File not found
O16:[b]64bit:[/b] - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O37 - HKLM\...exe [@ = tn] -- "C:\Windows\system32\config\systemprofile\AppData\Local\gxo.exe" -a "%1" %*
O37 - HKU\.DEFAULT\...exe [@ = tn] -- "C:\Windows\system32\config\systemprofile\AppData\Local\gxo.exe" -a "%1" %*
O37 - HKU\S-1-5-18\...exe [@ = tn] -- "C:\Windows\system32\config\systemprofile\AppData\Local\gxo.exe" -a "%1" %*
O37 - HKU\S-1-5-21-520468299-3173808245-2341135752-1000\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2012/05/15 12:48:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Panda Security
[2012/05/15 12:48:32 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Panda Security
[2012/05/14 18:38:04 | 000,000,000 | ---D | M] -- C:\Users\Alberto\AppData\Roaming\06368
[2011/04/18 09:42:54 | 000,000,000 | ---D | M] -- C:\Users\Alberto\AppData\Roaming\OfferBox
:Files
ipconfig /flushdns /c
:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Rifai un'altra scansione con OTL.
Posta il log con le precedenti modalità. |
|
| Top |
|
|
Blackstar29
Mortale pio
Registrato: 15/05/12 21:05
Messaggi: 15
|
| Inviato: 17 Mag 2012 23:54 Oggetto: |
|
|
ciao, allora ho seguito la procedura nel dettaglio, ma non ho trovato fra i programmi installati tea timer, e la scansione con otl mi ha dato un solo file non tutti e due, te lo posto cmq e se eventualmente devo fare altro dimmi pure
OTL.Txt
grazie ancora |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
Blackstar29
Mortale pio
Registrato: 15/05/12 21:05
Messaggi: 15
|
| Inviato: 18 Mag 2012 20:25 Oggetto: |
|
|
ecco qua
hjt.log |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 18 Mag 2012 21:28 Oggetto: |
|
|
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":
| Citazione: | R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:56384
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Facebook Update] "C:\Users\Alberto\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Facebook Messenger.lnk = Alberto\AppData\Local\Facebook\Messenger\2.1.4520.0\FacebookMessenger.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (file missing)
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (file missing)
O23 - Service: McAfee Real-time Scanner (McShield) - Unknown owner - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe (file missing)
O23 - Service: McAfee SystemGuards (McSysmon) - Unknown owner - C:\PROGRA~2\McAfee\VIRUSS~1\mcsysmon.exe (file missing)
|
Riavvia il pc.
Posta un nuovo log di hijackthis |
|
| Top |
|
|
Blackstar29
Mortale pio
Registrato: 15/05/12 21:05
Messaggi: 15
|
| Inviato: 19 Mag 2012 10:46 Oggetto: |
|
|
ecco qua, grazie
hjt2.log |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 19 Mag 2012 12:18 Oggetto: |
|
|
Ciao.
Le voci relative a McAfee non sono state eliminate.
Fai girare questo tool specifico:
link
Scarica il tool sul desktop.
Esegui il tool di rimozione
Riavvia il computer
Se non riesci: (ricontrolla con hijackthis se ci sono ancora)
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log. |
|
| Top |
|
|
Blackstar29
Mortale pio
Registrato: 15/05/12 21:05
Messaggi: 15
|
| Inviato: 19 Mag 2012 18:13 Oggetto: |
|
|
fatto tutto ecco il log
hjt.log
ps lo spazio sul mio pc continua a diminuire cmq
grazie XD |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 20 Mag 2012 11:32 Oggetto: |
|
|
Elimina con HijackThis queste voci:
| Citazione: | O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:56384
|
Poi:
Apri Internet Explorer.
Clicca su: Strumenti"
Opzioni Internet.
Connessioni.
Impostazioni LAN
Sotto: "Server proxy" Togli la spunta a:
"utilizza un server proxy per le connessioni lan".
Clicca OK.
| Citazione: | | ps lo spazio sul mio pc continua a diminuire cmq |
Se non funziona proviamo con le "maniere forti":
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log. |
|
| Top |
|
|
Blackstar29
Mortale pio
Registrato: 15/05/12 21:05
Messaggi: 15
|
| Inviato: 20 Mag 2012 21:02 Oggetto: |
|
|
fatto tutto, questo è il log
ComboFix.txt
volevo precisare che per la scansione ci ha messo si e no 35 minuti, e specificava il programma che per la scansione ci avrebbe messo 10 minuti, e solo se il sistema era molto infetto avrebbe facilmente raggiunto il doppio del tempo, ma qua ha superato il triplo, che bello XD
e poi un dato che mi ero dimenticato di postare, all'inizio avevo più di 90 giga disponibili, di colpo se ne sono andati una ventina (quando ho notato il problema) e da allora sono arrivati a 56 liberi, e gli unici programmi scaricati sono stati quelli per riparare il problema, che insieme non raggiungono nemmeno un giga, e per ora mi sembra tutto, grazie ancora |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 21 Mag 2012 18:27 Oggetto: |
|
|
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
| Codice: | KillAll::
Folder::
c:\programdata\McAfee
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent"=-
RegNull::
[HKEY_USERS\S-1-5-21-520468299-3173808245-2341135752-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{31552533-B4CD-12D4-5662-587FC5F6B38B}*]
|
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix |
|
| Top |
|
|
Blackstar29
Mortale pio
Registrato: 15/05/12 21:05
Messaggi: 15
|
| Inviato: 22 Mag 2012 09:45 Oggetto: |
|
|
fatto, ecco qua
ComboFix.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 22 Mag 2012 17:36 Oggetto: |
|
|
Segui le istruzioni di questo topic per usare MBAM: (ricorda di aggiornarlo prima della scansione)
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Elimina gli eventuali file infetti trovati.
Posta il log.
Conosci a cosa si riferisce il file in rosso:
MeshBetaRemover.exe
Combofix, oltre a eliminare il rootkit che avevo scritto nello script, ha effettuato anche altre eliminazioni.
Riscontri sempre il solito problema? |
|
| Top |
|
|
Blackstar29
Mortale pio
Registrato: 15/05/12 21:05
Messaggi: 15
|
| Inviato: 23 Mag 2012 11:27 Oggetto: |
|
|
fatto ecco il log
mbam-log.txt
comunque non ho la più pallida idea di cosa sia meshbeta, mentre dopo aver usato combo avevo ripreso un pò di spazio, ma è stata solo una vittoria momentanea, in quanto il problema persiste,siamo arrivati a 53 giga liberi, e la mia penna scarica a dismisura come sempre, anche se ho notato che la mia penna wind consuma più di una tim che mi avevano prestato, arriva a scaricare fino a 4 mega per aprire una semplice pagina google, e continua per un pò, poi si ferma e non appena cambio pagina si ripete il tutto, aiuto!  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 23 Mag 2012 17:38 Oggetto: |
|
|
Scarica CKScanner:
link
salva il file scaricato sul Destkop
avvia il programma con un doppio click
Clicca sul pulsante Search For Files
Attendi che la scansione finisca.
Clicca sul pulsante Save List To File
Salva il Report sul Desktop
Allega il file CKFiles.txt |
|
| Top |
|
|
Blackstar29
Mortale pio
Registrato: 15/05/12 21:05
Messaggi: 15
|
| Inviato: 23 Mag 2012 18:16 Oggetto: |
|
|
ecco qua
ckfiles.txt
ps è arrivato a 51 giga!!  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 23 Mag 2012 18:20 Oggetto: |
 |
|
Che ne dici di eliminare i crack e keygen che ci sono?  |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
