Precedente :: Successivo |
Autore |
Messaggio |
ryosax Mortale devoto
Registrato: 19/03/08 14:39 Messaggi: 10 Residenza: livorno
|
Inviato: 19 Mar 2008 14:48 Oggetto: * [RISOLTO] help: Win32/Zonebac.gen!F |
|
|
ciao a tutti,
ho win xp pro con antivirus avast.
lo strumento di rimozione malaware mi dice che ho il trojan Win32/Zonebac.gen!F (è già da un po' che ogni tanto mi si chiude da sola la connessione adsl e qualche volta si chiude da solo anche IE7).
ho fatto girare sia avast, sia adaware sia spybot e nessuno trova nulla, ma per esempio FindAWF mi trova un po' di bak. questo è il suo log:
link
ho trovato la vostra guida e la sto seguendo passo passo, per cui ho scaricato gmer e questo è il suo log:
link
spero mi possiate aiutare. su questa macchina ci lavoro...
ciao e grazie
rino |
|
Top |
|
|
ryosax Mortale devoto
Registrato: 19/03/08 14:39 Messaggi: 10 Residenza: livorno
|
Inviato: 19 Mar 2008 14:53 Oggetto: |
|
|
e questo è il log della seconda passata di gmer (rootkit/malware):
link |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 19 Mar 2008 14:54 Oggetto: |
|
|
Ciao ryosax,
Intanto che ci si guarda i logs che hai già postato, ti faccio fare le pulizie generiche:
PS: se vuoi, puoi presentarti qui |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 19 Mar 2008 14:58 Oggetto: |
|
|
Ok, come non detto!!!
Prima di fare le operazioni che ti ho indicato precedentemente,salva sul desktop questo programma di rimozione.
Doppio click sull'icona per avviarlo:
Compare la seguente finestra
Clicca su I Accept
Clicca su Start e segui le istruzioni a video
Sul desktop viene creato il file FixMebroot.log, postane il contenuto nella tua prossima risposta
Adesso, puoi procedere con le operazioni che ti ho indicato prima. |
|
Top |
|
|
ryosax Mortale devoto
Registrato: 19/03/08 14:39 Messaggi: 10 Residenza: livorno
|
Inviato: 19 Mar 2008 15:09 Oggetto: |
|
|
bdoriano ha scritto: |
Clicca su Start e segui le istruzioni a video
Sul desktop viene creato il file FixMebroot.log, postane il contenuto nella tua prossima risposta
|
intanto grazie mille per la velocità.
poi: il fixmebroot ha detto che non ho il mebroot:
Codice: | Symantec Trojan.Mebroot Removal Tool 1.0.2
Found drive \\.\PhysicalDrive0, analyzing MBR...
Found drive \\.\PhysicalDrive1, analyzing MBR...
Found drive \\.\PhysicalDrive2, analyzing MBR...
Creating FixMebroot service driver
Running driver...
Trojan.Mebroot has not been found active on your computer.
Delete service driver
Delete driver file
End
The tool initiated a system reboot. |
procedo con le altre operazioni. |
|
Top |
|
|
ryosax Mortale devoto
Registrato: 19/03/08 14:39 Messaggi: 10 Residenza: livorno
|
Inviato: 19 Mar 2008 16:56 Oggetto: |
|
|
nod32 non riesco a scaricarlo. ora provo con qualche altro mirror, ma per ora nulla.
combofix log:
link
norman log:
link
hijackthis log:
link |
|
Top |
|
|
ryosax Mortale devoto
Registrato: 19/03/08 14:39 Messaggi: 10 Residenza: livorno
|
Inviato: 19 Mar 2008 17:49 Oggetto: |
|
|
sono riuscito a scaricare il nod32.
ha trovato due file infettati, ma mi dava come opzione soltanto "leave" e non di cancellarli, per cui li ho cercati e cancellati a mano.
ora riprovo FindAWF per vedere che dice, ma la novità è che IE7 non naviga più (sto usando firefox ora) e il messenger non si connette (skype si). |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 19 Mar 2008 18:02 Oggetto: |
|
|
ryosax ha scritto: | intanto grazie mille per la velocità.
poi: il fixmebroot ha detto che non ho il mebroot: |
Che cosa curiosa... gmer dice il contrario:
Citazione: | Disk \Device\Harddisk0\DR0 sector 01: rootkit-like behavior |
Vabbuono, vediamo intanto gli altri logs. |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 19 Mar 2008 18:21 Oggetto: |
|
|
ryosax ha scritto: | ma la novità è che IE7 non naviga più (sto usando firefox ora) e il messenger non si connette (skype si). |
Hai provato a reinstallare IE7 e Messenger, per vedere se riprendono a funzionare?
Da quel che vedo nei logs, Norman ha eliminato ZoneBac.
- Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop
- Avvia AVENGER
- Clicca Ok
- Inserisci le righe seguenti nel riquadro bianco:
Files to move:
C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Siber Systems\AI RoboForm\bak\RoboTaskBarIcon.exe | C:\Programmi\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe | C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
(occhio alla spaziatura tra le righe... non devono esserci righe vuote)
- Clicca su Execute
- Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
- Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis.
|
|
Top |
|
|
ryosax Mortale devoto
Registrato: 19/03/08 14:39 Messaggi: 10 Residenza: livorno
|
Inviato: 19 Mar 2008 18:38 Oggetto: |
|
|
bdoriano ha scritto: |
Che cosa curiosa... gmer dice il contrario:
Citazione: | Disk \Device\Harddisk0\DR0 sector 01: rootkit-like behavior |
Vabbuono, vediamo intanto gli altri logs. |
forse si confonde perchè ho due dischi in raid0?
cmnq, ho provato a incollare lo script in avenger (anche passando dal notepad) ma mi dice che lo script non è valido e che non comincia con un comando. cmnq intanto ora gli faccio cercare i rootkit facendo reboot.
IE7 e msn dopo un reboot hanno ripreso a funzionare. |
|
Top |
|
|
ryosax Mortale devoto
Registrato: 19/03/08 14:39 Messaggi: 10 Residenza: livorno
|
Inviato: 19 Mar 2008 18:44 Oggetto: |
|
|
bdoriano ha scritto: | Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis. |
questo è il log eseguito senza script:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Service Pack 2)
Wed Mar 19 18:33:55 2008
18:33:55: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Completed script processing.
*******************
Finished! Terminate. |
|
Top |
|
|
ryosax Mortale devoto
Registrato: 19/03/08 14:39 Messaggi: 10 Residenza: livorno
|
Inviato: 19 Mar 2008 18:47 Oggetto: |
|
|
cmnq direi che grazie a te il mio computer sembra ripulito...
ma a questo proposito: mi potresti consigliare un antivirus? in avast ho perso fiducia... non è necessario che sia freeware, voglio soltanto sentirmi sicuro. come ti dicevo, io con questa macchina ci lavoro, per cui non è un problema comprare un antivirus, sempre che ne valga la pena, chiaramente... |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 19 Mar 2008 19:01 Oggetto: |
|
|
Mi fa piacere sapere che la situazione è migliorata.
Per gli antivirus: Kaspersky, Panda, NOD32
Kaspersky e Panda sono disponibili anche con firewall integrato
NOD32 (versione italiana), al momento, non dispone di firewall
Se, poi, il tuo pc ha ottime prestazioni (RAM & Processore) potresti anche tentare GDATA Antivirus.
Prima di sceglierne uno definitivamente, il mio consiglio è quello di scaricare le versioni trial e di utilizzarli per 30gg ciascuno. In modo da verificare se corrispondono alle tue necessità. |
|
Top |
|
|
ryosax Mortale devoto
Registrato: 19/03/08 14:39 Messaggi: 10 Residenza: livorno
|
Inviato: 19 Mar 2008 19:09 Oggetto: |
|
|
ottima idea quella di provare le trial, anche se devo dire che uso pc dal 99 e questa è la seconda volta che mi becco qualcosa, mi sa che con 30gg di prova riuscirò a vedere soltanto se mi danno noia...
procio core 2 duo 6400 e 2gb di ram (ma a breve salgo a 3 che con certe applicazioni swappa troppo per i miei gusti...). vado a vedere... |
|
Top |
|
|
|