Precedente :: Successivo |
Autore |
Messaggio |
ETA Semidio
Registrato: 01/01/09 05:38 Messaggi: 484 Residenza: Sul mare e nel mare.
|
Inviato: 12 Lug 2009 20:49 Oggetto: [RISOLTO] Net-Worm.Win32.Kido.ih |
|
|
Ciao ragazzi... ho il sospetto di essermi un pò infettata e siccome so che voi siete davvero in gamba inizio a gridare aiuto anche se è domenica.
In questi ultimi giorni non ho fatto altro che fare scansioni. Non ne posso più e sono veramente sconfortata!
Mi spiego: tutto è iniziato quando accendendo la stampante è apparso un messaggio d'errore che diceva "Exception Processing Message=0000013"
ed era impossibile da chiudere! Allo stesso tempo,
guardando nelle risorse, oltre a segnalarmi la stampante in uso mi segnalava anche un inesistente disco rimovibile E:. Secondo voi cos'era successo dato che non avevo niente altro collegato? Boh!!
Siccome avevo appena avuto dei problemi nell'HD esterno con i file autorun e recycler (che SPERO di aver risolto con Ninja PenDisk e AutoRun Eater... ma non ne sono sicura!), ho pensato bene di fare qualche scansione.
Dunque, ho pulito il registro con CCleaner e Eusing. Ho fatto la scansione sia del pc che dell'HD esterno sia con Avira (che ha trovato qualche porcheria e spero che l'abbia eliminata...) e sia con SpyBot (che non ha trovato nulla!) Ho proseguito con SuperAnti Spyware (e nemmeno lui ha trovato nulla) e poi ho usato anche MBAM, che invece ha trovato qualcosa. Del log di HijackThis non ci capisco niente... ma ho anche quello. (Si capisce che sono stata giorni interi a bazzicare al Pronto Soccorso?)
Per finire ho voluto fare anche la scansione on-line con Kaspersky e questo è stato il risultato:
KASPERSKY ONLINE SCANNER 7.0 REPORT
Saturday, July 11, 2009
Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Program database last update: Saturday, July 11, 2009 16:27:15
Records in database: 2460453
--------------------------------------------------------------------------------
Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes
Scan area - My Computer:
C:\
D:\
F:\
Scan statistics:
Files scanned: 65165
Threat name: 1
Infected objects: 2
Suspicious objects: 0
Duration of the scan: 01:01:59
File name / Threat name / Threats count
C:\Programmi\Autorun Eater\Autorun Backup\autorun0.inf Infected: Net-Worm.Win32.Kido.ih 1
C:\Programmi\Autorun Eater\Autorun Backup\autorun1.inf Infected: Net-Worm.Win32.Kido.ih 1
The selected area was scanned.
Quindi adesso sono qui
a chiedere i rinforzi perché io non ci capisco un tubo! Quel Kido è un virus pericoloso?
Mi metto nelle vostre mani esperte e se voi mi dite cosa devo fare... io lo faccio!
Chiedetemi pure tutto quello di cui avete bisogno e intanto vi dico grazie da subito per la pazienza che dovrete avere.
HEELP! |
|
Top |
|
|
Riverside Ban a tempo indeterminato
Registrato: 29/02/08 21:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 12 Lug 2009 21:21 Oggetto: Re: Net-Worm.Win32.Kido.ih - COS'E'??? |
|
|
ETA ha scritto: | Si capisce che sono stata giorni interi a bazzicare al Pronto Soccorso? |
Certo che si capisce ma il fai da te non paga.
Si riparte dall'inizio (ovviamente non devi reinstallare i software che hai già installato ma solo eseguire, nel caso di Malwarebytes e Superantispyware, gli aggiornamenti delle firme).
Per il resto (esempio, CCleaner, provvedere alla configurazione.
OPERAZIONI PRELIMINARI:
Disattiva il Ripristino configurazione di sistema:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino alla risoluzione del probema
Svuota del suo contenuto la cartella Prefetch:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
DISATTIVAZIONE DELL'AUTORUN SU PERIFERICHE ESTERNE:
Scarica Panda Research USB Vaccine: clicca qui per il download
Il tool è standalone, quindi non necessita di installazione
● estrai l'archivio sul Deskop
● lancia il tool
● per disattivare l'autorun è sufficiente cliccare sul tasto Vaccinate computer
● per riattivare l'autorun, basterà riavviare il programma e cliccare sul tasto Remove vaccine
Note:
1) scaricalo solo se utilizzi pendrive o altre periferiche di archiviazione dati esterne
2) riabilita gli autorun, solo dopo aver avuto la certezza che il problema esposto è stato risolto
PROCEDURA:
Scarica ed installa SuperAntispyware Free Edition: clicca qui per il download
Una volta installato, configuralo in questo modo:
● imposta la lingua ITA
● alla richiesta di aggiornamento delle definizioni consenti l'aggiornamento
● nelle quattro finestre successive clicca su Avanti ed alla quinta su fine
● nella finestra Protezione homepage clicca sul tasto Protezione
● nella maschera principale clicca su Preferenze
● nella sezione Opzioni di Avvio togli la spunta alle prime tre voci e clicca sul tasto Ferma
● nella maschera principale clicca su tasto Scansione del Computer
● nella maschera successiva metti la spunta alle unità disco da sottoporre a scansione e, a destra, spunta la voce Fai una scansione completa
● nel caso in cui tu faccia uso di periferiche esterne (pendrive, hard disk, o altre) inseririscile
● clicca su Avanti per avviare la scansione del disco fisso e delle periferiche esterne
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare
Scarica ed installa MalwareBytes: clicca qui per il download
● clicca su tasto scansiona ed esegui una scansione completa del disco fisso delle periferiche esterne
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare
Eseguiti tutti i passaggi precendenti:
Scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta) e nel menu a tendina seleziona la voce DOD 520.22-M (3 passaggi)
poi clicca su:
● Avanzate togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia e clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce Estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
Scarica ed installa Hijackthis: clicca qui per il download
● lancia Hijackthis e pulisci gli ADS (esclusivamente se la partizione e in NTFS):
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
● rilancia Hijackthis
● clicca su Do a system scan and save a logfile
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare
LOG DA ALLEGARE:
allega, in questa sequenza, i log di:
● SuperAntispyware
● MalwareBytes
● Hijackthis
Per allegare i log utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il link che verrà rilasciato dopo il caricamento di ogni singolo file. |
|
Top |
|
|
ETA Semidio
Registrato: 01/01/09 05:38 Messaggi: 484 Residenza: Sul mare e nel mare.
|
Inviato: 12 Lug 2009 22:43 Oggetto: |
|
|
Ciao Riverside, e grazie per avermi risposto subito.
Spero per domani di riuscire a fare di nuovo tutte quelle orribili operazioni... stasera sono proprio in tilt!
Solo una domanda:
Quando disattiverò l'autorun con Panda devo avere l'HD esterno collegato o no? E quando avrò finito tutto l'iter, posso lasciarlo disattivato?
Ok... Grazie ancora. Allegherò i log appena possibile.
Dimenticavo... Posso fare tutto mentre sono collegata alla rete? |
|
Top |
|
|
Riverside Ban a tempo indeterminato
Registrato: 29/02/08 21:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 13 Lug 2009 09:25 Oggetto: |
|
|
ETA ha scritto: | Quando disattiverò l'autorun con Panda devo avere l'HD esterno collegato o no? |
Ovviamente, si (è anche spiegato nella procedura).
Citazione: | E quando avrò finito tutto l'iter, posso lasciarlo disattivato? |
La risposta è si
Citazione: | Dimenticavo... Posso fare tutto mentre sono collegata alla rete? |
Non ci sono (almeno per ora) controindicazioni in merito, però l'idea di eseguire la procedura da disconnessa non è malvagia. |
|
Top |
|
|
ETA Semidio
Registrato: 01/01/09 05:38 Messaggi: 484 Residenza: Sul mare e nel mare.
|
Inviato: 13 Lug 2009 15:54 Oggetto: |
|
|
Ri-ciao Riverside,
ecco i tre log che mi avevi chiesto. Spero di allegarli bene...
...uffa... Ci provo da un pò ma Wikisend mi risponde così:
We are sorry, but an error has occured while uploading.
Che faccio? Siccome non sono molto lunghi, non potrei copiaincollarli qui?
Aspetto con ansia... |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
|
Top |
|
|
ETA Semidio
Registrato: 01/01/09 05:38 Messaggi: 484 Residenza: Sul mare e nel mare.
|
Inviato: 13 Lug 2009 20:20 Oggetto: |
|
|
Grazie Bdoriano! Gentilissimo!
Ecco i log:
SuperAntiSpyware
mbam-log-2009-07-13 (16-21-00).txt
hijackthis.log
Spero possiate darmi una risposta prima che io spenga il pc... ehm... perché non ho capito bene se posso spegnerlo (al riavvio SuperAntiSpyware eliminerà le porcherie che ha messo in quarantena... posso lasciarglielo fare?)
E il ripristino di configurazione non crea nessun problema se resta disattivato fin dopo lo "sterminio"??
Aspetto qualsiasi risposta...
Thank you!
P.S.
Ma cosa ho combinato con i link? Ditemi se vanno bene così o spiegatemi meglio come si fa... |
|
Top |
|
|
Riverside Ban a tempo indeterminato
Registrato: 29/02/08 21:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 13 Lug 2009 21:09 Oggetto: |
|
|
ETA ha scritto: | Aspetto qualsiasi risposta... |
Ti ho già risposto in PM Eta: per favore non creare confusione con post sparsi ovunque
Ora dimmi: sei capace di accedere al sistema in modalità provvisoria?.
Eta, bella del River ..... lo so che per te sono il più sexy dell'intero Olimpo 8) ma in Pronto Soccorso questo non conta
Ovviamente, puoi riavviare la belva
P.S.: ci sono diversi problemi da risolvere sul tuo computer, quindi sappi che non ti farò sconti .... e, non ti servirà sfoderare il tuo proverbiale fascino femminile |
|
Top |
|
|
ETA Semidio
Registrato: 01/01/09 05:38 Messaggi: 484 Residenza: Sul mare e nel mare.
|
Inviato: 13 Lug 2009 22:23 Oggetto: |
|
|
Ciao River, a parte la tarantola che sembra averti morsicato, spero che tu abbia controllato i log che mi avevi chiesto....
Di quale confusione parli?? Avrei solo bisogno di risolvere questa situazione, poiché non sono un'esperta di informatica...
Sì, sono capace di accedere in modalità provvisoria solo se qualcuno mi dice esattamente cosa devo fare, se no non avrei chiesto aiuto a voi esperti...
Non ho mai chiesto nessun tipo di sconti a nessuno e per di più non capisco dove stia questo mio fantomatico fascino... (oltre che sexy rimani sempre il più aggressivo... quasi più di me!)
A parte gli OT... non è che mi diresti come eliminare questi "dannati problemi" che ho?
Scusami per lo sfogo, ma forse non ti accorgi del tono che usi...
Essere molto capaci nel proprio campo non significa trattare da stupidi tutti gli altri che non lo sono... |
|
Top |
|
|
Riverside Ban a tempo indeterminato
Registrato: 29/02/08 21:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 13 Lug 2009 23:01 Oggetto: |
|
|
Citazione: | Scusami per lo sfogo, ma forse non ti accorgi del tono che usi...
Essere molto capaci nel proprio campo non significa trattare da stupidi tutti gli altri che non lo sono.. . |
.... giuro che, da questo momento, sul forum non scherzerò, mai più, con nessuno
1) Scarica Norman Malware Cleaner: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, i tool che hai scaricato
2) Scarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, i tool che hai scaricato
● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer
● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia Norman ed esegui una scansione completa
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman1 e riavvia il sistema
● accedi nuovamente al sistema in modalità provvisoria con un account con privilegi di Amministratore
● rilancia Norman ed esegui una seconda scansione completa
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman2 e riavvia il sistema
● accedi nuovamente al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log
● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contraio, riavvialo tu)
Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● protrebbe venire rilasciato un messaggio in relazione all'antivirus in uso: prosegui ingnorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
Verrà creato un log in Disco Locale C: dal nome combofix.txt che dovrai allegare
Conclusi questi passaggi:
● riavvia il sistema in modalità normale
● ricollega, fisicamente, il modem al computer
● connettiti a Internet
● rilancia Hijackthis
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log: salvalo sul desktop
allega, in questa sequenza, tutti i log che hai salvato
● Norman1
● Norman2
● Combofix
● Hijackthis
Per allegare i log utilizza questo servizio di upload: clicca qui per wikisend
pubblicando, nella discussione, il link che verrà rilasciato dopo il caricamento di ogni singolo file.
Nel caso in cui Wikisend continui a dare problemi, usa questo servizio: clicca qui per Shareonload |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 13 Lug 2009 23:37 Oggetto: Re: Net-Worm.Win32.Kido.ih - COS'E'??? |
|
|
ETA ha scritto: |
File name / Threat name / Threats count
C:\Programmi\Autorun Eater\Autorun Backup\autorun0.inf Infected: Net-Worm.Win32.Kido.ih 1
C:\Programmi\Autorun Eater\Autorun Backup\autorun1.inf Infected: Net-Worm.Win32.Kido.ih 1
|
Sbaglio, o questo è il Conficker ? |
|
Top |
|
|
ETA Semidio
Registrato: 01/01/09 05:38 Messaggi: 484 Residenza: Sul mare e nel mare.
|
Inviato: 14 Lug 2009 01:56 Oggetto: |
|
|
Ho sudato freddo...
Che lavoraccio!!
In informatica sarò zero al cubo ma mi sono fidata
ciecamente e spero di avere eseguito correttamente tutti i passaggi richiesti guidata più che bene da Riverside...
Questi sono i log:
NORMAN 1.log
NORMAN 2.log
ComboFix.txt
hijackthis.log
Spero di non aver sbagliato nulla... in caso perdonatemi!
Aspetto ulteriori istruzioni.... Ripeto che mi fido ciecamente!
Adesso sono stanca morta...
A domani!
Grazie ancora River! E anche a bdoriano!
Ciao! |
|
Top |
|
|
ETA Semidio
Registrato: 01/01/09 05:38 Messaggi: 484 Residenza: Sul mare e nel mare.
|
Inviato: 14 Lug 2009 02:06 Oggetto: Re: Net-Worm.Win32.Kido.ih - COS'E'??? |
|
|
R1 ha scritto: | ETA ha scritto: |
File name / Threat name / Threats count
C:\Programmi\Autorun Eater\Autorun Backup\autorun0.inf Infected: Net-Worm.Win32.Kido.ih 1
C:\Programmi\Autorun Eater\Autorun Backup\autorun1.inf Infected: Net-Worm.Win32.Kido.ih 1
|
Sbaglio, o questo è il Conficker ? |
Ciao R1...
penso che non ti sbagli ...
se non ho letto male, Kido è uno dei tanti nomi di Conficker...
Ma prima di esporre delle stupidaggini attendiamo le esposizioni di Riverside...
'Notte a tutti!
|
|
Top |
|
|
lorenaino Eroe in grazia degli dei
Registrato: 14/02/09 10:44 Messaggi: 147 Residenza: Sasso Marconi
|
Inviato: 14 Lug 2009 07:29 Oggetto: |
|
|
ciao,scusate l'intromissione,avevi disabilitato il ripristino configurazione del sistema?
|
|
Top |
|
|
Riverside Ban a tempo indeterminato
Registrato: 29/02/08 21:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 14 Lug 2009 12:27 Oggetto: |
|
|
ETA ha scritto: | ...Aspetto ulteriori istruzioni |
Scarica ed installa questo tool:
clicca qui per il download
> scompatta l'archivio in una cartella dedicata, sul desktop
> disattiva, nuovamente, il Ripristino Configurazione di Sistema
> riaccedi al sistema in modalità provvisoria, con un account con privilegi di Amministratore ed esegui il tool scaricato.
Controlla se viene rilasciato un log (non lo so): se viene rilasciato, allegalo. |
|
Top |
|
|
Riverside Ban a tempo indeterminato
Registrato: 29/02/08 21:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 14 Lug 2009 12:28 Oggetto: |
|
|
[**] |
|
Top |
|
|
ETA Semidio
Registrato: 01/01/09 05:38 Messaggi: 484 Residenza: Sul mare e nel mare.
|
Inviato: 14 Lug 2009 13:18 Oggetto: |
|
|
Ok... Ho fatto anche questo ed ecco il risultato:
Cosa mi tocca fare adesso??
|
|
Top |
|
|
Riverside Ban a tempo indeterminato
Registrato: 29/02/08 21:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 14 Lug 2009 14:13 Oggetto: |
|
|
ETA ha scritto: | Cosa mi tocca fare adesso?? |
Disattiva, momentaneramente, Avira:
Scarica ed installa Kaspersky Virus Removal tool: clicca qui per il download
● al termine della installazione verrà mostrata la schermata principale del tool
● verrà creata una cartella sul Desktop dal nome Virus Removal Tool
● seleziona la partizione da scansionare e clicca su Scan per avviare la scansione
● terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all
● si apriranno dei popup dove potrai scegliere se Cancellare o Disinfettare l'oggetto
● metti la spunta su Apply to all e clicca su Quarantine
● per salvare il Report che verrà rilasciato, clicca sul tasto Reports: salvalo sul Desktop perché lo dovrai allegare
Terminate tutte le operazioni chiudi il programma che si autodisinstallerà
Esegui una scansione online da Bitdefender: clicca qui per Bitdefender
● clicca su I Agree e ti verrà richiesto di installare un Activex
● installa l'Activex e procedi con la scansione seguendo la procedura guidata
● al termine dell'operazione verrà rilasciato un log: copialo in un file txt e salvalo sul Desktop con il nome Bitdefender, perché lo dovrai allegare
Allega i due log richiesti. |
|
Top |
|
|
ETA Semidio
Registrato: 01/01/09 05:38 Messaggi: 484 Residenza: Sul mare e nel mare.
|
Inviato: 14 Lug 2009 21:21 Oggetto: |
|
|
Rieccomi...
Per adesso posso allegare solo questo
Virus Removal Tool.txt
Non riesco a fare la scansione con BitDefender perché viene fuori una strana finestra di errore. Proverò a postare lo screenshot appena possibile... |
|
Top |
|
|
ETA Semidio
Registrato: 01/01/09 05:38 Messaggi: 484 Residenza: Sul mare e nel mare.
|
Inviato: 14 Lug 2009 21:29 Oggetto: |
|
|
Eccolo qui...
Dopo che appare questo messaggio mi si blocca tutto e dopo mi chiude la pagina web. Che fare? |
|
Top |
|
|
|