Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Virus Polizia di stato [RISOLTO]
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
thomesh
Eroe
Eroe


Registrato: 01/04/12 15:08
Messaggi: 40
MessaggioInviato: 01 Ago 2012 13:08    Oggetto: Virus Polizia di stato [RISOLTO] Rispondi citando
Ciao Smile

ho preso il virus della "Polizia di Stato", in queste tre foto te ne mostro nome e percorso:
virus 1.jpg virus 2.jpg virus 3.jpg

siccome questo virus è un pòinfido e si attivava senza lasciarmi fare niente allora ho agito in questa maniera per fare un po di tamponamento: tramite il comando msconfig sono andato sulla cartella specifica "avvio" per disattivarne l'avvio automatico all'accensione del pc; a questo punto sono riuscito ad eliminare il file eseguibile (deo0_sar.exe,FQ10) che era legato ad ctfmon dalla relativa cartella (C:\document and settings\utente\impostazioni\temp).

ho fatto le scansioni con OTL,Combofix e TDSSKiller.

non riesco ad riattivare poi avast! (per la verita non era riattivabile gia da prima che usassi combofix)

Ecco i logs:

-OTL
OTL.Txt
Extras.Txt

-TDSSKiller
TDSSKiller.2.7.48.0_01.08.2012_12.05.56_log.txt

-Combofix
log.txt.

Grazie per l'aiuto
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 01 Ago 2012 18:05    Oggetto: Rispondi citando
Ciao.
Lo hai ancora nel registro.
Start\Esegui\digita regedit o poi clicca ok.
Segui questo percorso cliccando sul + di ogni voce:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder
Arrivato alla cartellina startupfolder cliccaci sopra 1 volta.
Sulla destra della pagina vedrai i riferimenti a ctfmon.lnk
Clicca sopra l'iconcina con il tasto destro e scegli Elimina.
Elimina tutte le iconcine a cui fà riferimento ctfmon.lnk
Riavvia il pc.

Segui le istruzioni di questo topic per usare MBAM: (ricorda di aggiornarlo prima della scansione)
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Elimina gli eventuali file infetti trovati.
Posta il log.

Se Avast non si riattiva, lo disistalli e poi lo reistalli.
Top
Profilo Invia messaggio privato
thomesh
Eroe
Eroe


Registrato: 01/04/12 15:08
Messaggi: 40
MessaggioInviato: 02 Ago 2012 01:33    Oggetto: Rispondi citando
Citazione:
Lo hai ancora nel registro.
Start\Esegui\digita regedit o poi clicca ok.
Segui questo percorso cliccando sul + di ogni voce:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder
Arrivato alla cartellina startupfolder cliccaci sopra 1 volta.
Sulla destra della pagina vedrai i riferimenti a ctfmon.lnk
Clicca sopra l'iconcina con il tasto destro e scegli Elimina.
Elimina tutte le iconcine a cui fà riferimento ctfmon.lnk
Riavvia il pc.

non ho trovato nessun inconcina relativa ad ctfmon.lnk
il contenuto di startupfolder era solo questo:
startupfolder.jpg
non è normale vero visto che mi avevi citato la rimozione di pluriegate iconcine?


Mbam invece ha rilevato un'infezione; ecco il relativo log:
mbam-log-2012-08-01 (22-44-53).txt


avast! continuava a non "reagire" ai tentativi di riattivazione e allora ho fatto come mi hai consigliato e l'ho disinstallato e provveduto poi a fare una nuova installazione. ora provo a lanciarlo in scansione.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 02 Ago 2012 17:34    Oggetto: Rispondi citando
Che buffo.....il file che volevo farti eliminare l'ha eliminato Malwarebytes. Smile
E Combofix me lo segnalava nel registro:
[HKLM\~\startupfolder\C:^Documents and Settings^Utente^Menu Avvio^Programmi^Esecuzione automatica^ctfmon.lnk]

Ok, l'importante è che sia stato eliminato.
Fammi sapere di Avast! e quali altri eventuali problemi riscontri.
Top
Profilo Invia messaggio privato
thomesh
Eroe
Eroe


Registrato: 01/04/12 15:08
Messaggi: 40
MessaggioInviato: 03 Ago 2012 10:48    Oggetto: Rispondi citando
avast! sembra funzioni bene dopo la reinstallazione.
ho fatto due scansioni, la completa e quella all avvio del pc, e nessuna ha rilevato infezioni.

ti posto un log aggiornato di otl cosi magari mi puoi dire se ci sono rimasugli o altro: OTL EL DUE.Txt
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 03 Ago 2012 19:13    Oggetto: Rispondi citando
Rinomina CombosolottoFix.exe in Combofix.exe
Altrimenti la disistallazione che faremo in seguito, non avverrà correttamente.

Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:


Codice:
:OTL
IE - HKU\S-1-5-21-1067641017-2826169230-4007128681-1008\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1703548
IE - HKU\S-1-5-21-1067641017-2826169230-4007128681-1008\..\SearchScopes\{ECBBEACF-85DD-4DA5-809E-ECB1E241FC6E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=672AC15F-80F8-413F-9B13-F3F0A8295489&apn_sauid=10F7D506-E10B-4B6F-84A7-C8FB356DC698
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1703548&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
CHR - default_search_provider: search_url = http://search.conduit.com/Results.aspx?q={searchTerms}&SearchSource=49&ctid=CT1703548
CHR - default_search_provider: suggest_url = http://search.conduit.com/
CHR - homepage: http://search.conduit.com/?ctid=CT1703548&SearchSource=48

:Files
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[CLEARALLRESTOREPOINTS]
[Reboot]

Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.

Posta il log.
Top
Profilo Invia messaggio privato
thomesh
Eroe
Eroe


Registrato: 01/04/12 15:08
Messaggi: 40
MessaggioInviato: 03 Ago 2012 23:12    Oggetto: Rispondi citando
Ecco a te:
otl ultimo.txt
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 03 Ago 2012 23:29    Oggetto: Rispondi citando
Apri OTL:

Clicca su Cleanup .

Si disistallerà correttamente OTL, e TDSSKiller .

Ti chiederà il riavvio del pc:acconsenti.

Disattiva il ripristino configurazione di sistema:
http://forum.zeusnews.com/viewtopic.php?t=22084

Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Svuota il cestino.

Riattiva il ripristino configurazione di sistema

Se non riscontri problemi, abbiamo concluso.
Top
Profilo Invia messaggio privato
thomesh
Eroe
Eroe


Registrato: 01/04/12 15:08
Messaggi: 40
MessaggioInviato: 04 Ago 2012 13:37    Oggetto: Rispondi citando
ok, allora Grazie Yuppi
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 04 Ago 2012 13:39    Oggetto: Rispondi
Di niente.
Ciao Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi