Olimpo Informatico

bdoriano · Inviato: 09 Mar 2013 09:47 Oggetto:

Primo consiglio: evita come la peste siti stile Softonic!!!
Sono i primi a farti scaricare toolbar e pasticciacci vari che ti appesantiscono il pc e ti mettono a rischio di serie infezioni.

Il pc, ora, riesci ad avviarlo normalmente (connessione internet a parte)?

Mel84 · Mortale adepto Registrato: 07/03/13 22:14 Messaggi: 36

Riesco ad avviare il pc, ma ci dev'essere qualche problema con Vista...
Riguardo a softronic...seguirò il tuo consiglio, ma comunque le toolbar non le installo mai....tolgo sempre la spunta... Spero sia suffciente. Cmq, farò come dici tu! Wink

Adesso ho scaricato:
Glary
Hitman Pro
tdssKiller
e combofix di nuovo...
Provo a lanciarli uno alla votla sul pc....

bdoriano · Inviato: 09 Mar 2013 15:55 Oggetto:

Bhè... Vista è un problema già di suo... Laughing

Appena puoi, fai questa scansione:

Scarica OTL:
clicca qui per scaricarlo e salvalo sul desktop.
Clicca sull'icona di OTL che trovi sul tuo desktop
in Output, assicurati che sia selezionato Minimal Output
metti il segno di spunta a
Scan All Users
LOP Check
Purity Check
in Standard Registry, assicurati che sia selezionato All
in Extra Registry, assicurati che sia selezionato Use SafeList
clicca il bottone Run Scan
verranno generati 2 logs:
OTListIt.txt (aperto)
Extra.txt (minimizzato)
Carica i logs uno dei servizi di hosting indicati in questa discussione

Mel84 · Mortale adepto Registrato: 07/03/13 22:14 Messaggi: 36

Eccoli:

OTL.Txt

Extras.Txt

In msconfig avevo disabilitato qualsiasi cosa fosse diabilitabile... Very Happy

Adesso sto abilitando pian piano... Potrebbe dipendere da lì il problema di Vista...

Mel84 · Mortale adepto Registrato: 07/03/13 22:14 Messaggi: 36

...Sì...appunto....Vista è tornato "normale"... Very Happy

Dai file .txt di OTL si riesce a capire se ho ancora tracce del rootkit, giusto?

bdoriano · Inviato: 09 Mar 2013 17:31 Oggetto:

Si, nel log di OTL si vedono diverse tracce... Shocked

Cominciamo a lavorarci subito... Razz

Scarica TDSSKiller.zip e salvalo sul desktop
Apri il file appena scaricato ed estrai il file TDSSKiller.exe
Avvia TDSSKiller.exe
Clicca Change parameters
metti il segno di spunta a Loaded modules
Compare una nuova finestra:

Citazione:

Reboot is required
Extended monitoring driver is required for this option.
Press "Reboot now" to install driver and reboot, or "Cancel" to continue.
Clicca Reboot now e attendi il riavvio del pc
Compare nuovamente la finestra di TDSSKiller
Clicca Change parameters
metti il segno di spunta a Verify file digital signatures
metti il segno di spunta a Detect TDLFS file system
Clicca Start scan e attendi pazientemente la fine dei lavori
Se viene rilevata qualche infezione, TDSSKiller ti proporrà direttamente le operazioni da svolgere. In questo caso, clicca Continue
Al termine del lavoro di scansione ed ventuale rimozione, clicca Close
Il log viene creato nella cartella principale del disco C:
Es.: C:\TDSSKiller.2.8.16_09.03.2013_17.05.43_log.txt
Posta il log creato, secondo le solite modalità

Adesso, segui le istruzioni di questo topic per usare MBAM.

Mel84 · Mortale adepto Registrato: 07/03/13 22:14 Messaggi: 36

Con TDSSKiller si è aperta una finestra in cui ci sono 12 file sospetti... Accanto ad ognuno è segnalata la voce "skip"...
Procedo con quella?
Il log è:
TDSSKiller.2.8.16.0_09.03.2013_16.44.49_log.txt

bdoriano · Inviato: 09 Mar 2013 18:01 Oggetto:

Ok.

Procedi con il resto.
Ci aggiorniamo più tardi. Wink

bdoriano · Inviato: 09 Mar 2013 18:06 Oggetto:

Aggiungo:

Scarica aswMBR e salvalo sul desktop
Avvia aswMBR.exe
compare una finestra nera con, all'interno, un'altra finestra:
This application can use the Avast! Free Antivirus for scanning.
It is recommended to download it for bettere detection results.

Would you like to download latest Avast! virus definitions?
clicca Yes
attendi il download delle firme virali
clicca Scan e attendi pazientemente la fine dei lavori
clicca Save log
clicca Exit
compare una nuova finestra:
Are you sure you want to exit the program?
clicca Si
sul desktop troverai i files:
aswMBR.txt è il log appena creato
MBR.dat è una copia del contenuto dell'MBR del tuo disco fisso
zippali in unico file e postalo secondo le solite modalità

Mel84 · Mortale adepto Registrato: 07/03/13 22:14 Messaggi: 36

Ecco qui:
MBR.zip

bdoriano · Inviato: 09 Mar 2013 20:31 Oggetto:

Ok, aswMBR ha trovato un file infetto...

Resto in attesa del log della scansione completa con MBAM. Wink

Mel84 · Mortale adepto Registrato: 07/03/13 22:14 Messaggi: 36

Eccolo:

MBAM-log-2013-03-09 (20-26-16).txt

P.S.: Grazie.........

bdoriano · Inviato: 09 Mar 2013 21:54 Oggetto:

Domanda: hai fatto rimuovere a MBAM i files infetti?

Mel84 · Mortale adepto Registrato: 07/03/13 22:14 Messaggi: 36

Si....
Non dovevo? Shocked

bdoriano · Inviato: 09 Mar 2013 22:42 Oggetto:

Certo che dovevi, solo che nel report c'era scritto -> Nessuna azione intrapresa e non capivo se avevi cancellato o meno i files infetti. Razz

Ora rifai la scansione aggiornata con OTL (mantenendo le stesse impostazioni che ti ho indicato prima) e posta i nuovi logs.

Per il momento, ti auguro una buona serata. Ciao

Mel84 · Mortale adepto Registrato: 07/03/13 22:14 Messaggi: 36

Ecco:

OTL.Txt

Extras.Txt

Buona serata anche a te!

bdoriano · Inviato: 10 Mar 2013 22:12 Oggetto:

Rieccomi!

Avvia nuovamente OTL (dal desktop)

Copia e incolla il testo seguente nel riquadro

:

Codice:

:processes
killallprocesses

:OTL
[2012/03/21 21.20.25 | 000,000,000 | ---D | M] -- C:\Windows\$NtUninstallKB46391$\1871960740\L
[2012/03/21 21.20.25 | 000,000,000 | ---D | M] -- C:\Windows\$NtUninstallKB46391$\1871960740\U
[2012/04/18 09.56.00 | 000,000,000 | ---D | M] -- C:\Users\Maria Elena\AppData\Roaming\OfferBox
[2012/12/05 10.59.01 | 000,010,218 | -HS- | C] () -- C:\Users\Maria Elena\AppData\Local\6o4v7yr6ikfw18072u
[2012/12/05 10.59.01 | 000,010,218 | -HS- | C] () -- C:\ProgramData\6o4v7yr6ikfw18072u
[2013/03/05 22.05.54 | 000,002,807 | ---- | C] () -- C:\ProgramData\1314886.js
[2013/03/05 22.05.51 | 095,023,320 | ---- | C] () -- C:\ProgramData\1314886.pad
[2012/01/12 14.15.03 | 000,010,156 | -HS- | C] () -- C:\Users\Maria Elena\AppData\Local\hxl4g2j5ixpm
[2012/01/12 14.15.03 | 000,010,156 | -HS- | C] () -- C:\ProgramData\hxl4g2j5ixpm

:files
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:Commands
[resethosts]
[EMPTYTEMP]
[EMPTYFLASH]
[EMPTYJAVA]

clicca
Se richiesto, riavvia il pc
clicca
Nella cartella C:\_OTL\MovedFiles\ verrà creato un log tipo ggMMaaaa_hhmmss.log
carica il nuovo log su uno dei servizi di hosting indicati in questa discussione

Mel84 · Mortale adepto Registrato: 07/03/13 22:14 Messaggi: 36

Le impostazioni di OTL devono essere quelle delle altre scansioni?
Scan All users
Lop Check
Purity Check
Standard registry: All
Extra Registry: Use safe list

bdoriano · Inviato: 10 Mar 2013 22:37 Oggetto:

Nel caso di eliminazioni, vanno bene le impostazioni standard.
Quando, invece, si tratta di generare i logs, si modificano le impostazioni. Wink

Mel84 · Mortale adepto Registrato: 07/03/13 22:14 Messaggi: 36

Sono un pochetto imbranata, ma credo si fosse capito Very Happy

03102013_215745.log