| Precedente :: Successivo |
| Autore |
Messaggio |
Coliade
Eroe
Registrato: 18/06/10 17:26
Messaggi: 60
Residenza: Taranto
|
 Inviato: 18 Giu 2010 17:50 Oggetto: * Il log di Combofix |
 |
|
Salve a tutti sono una nuova iscritta.
Vi leggo da qualche giorno e precisamente da dopo che il mio ditino monello ha cliccato su un link che non doveva neanche sfiorare e mi sono vista attaccata da non so più quanti trojan & C.
Mi sono ritrovata per prima cosa un antivirus che non era una antivirus che continuava a comunicarmi in inglese che qualsiasi programma stavo aprendo (AVG compreso) era infetto e poi mi si aprivano finestre internet senza che io avessi cliccato alcunché.
L'antivirus che non era antivirus l'ho beccato e cazziato per benino (spero!) ma le finestre continuavano ad aprirsi. Quindi leggendovi mi sono persuasa ad usare il ComboFix anche perchè nel frattempo non riuscivo ad aprire nessuna applicazione (aprendo il taskmanager risultavano attivi nei processi ma non, appunto, nelle applicazioni).
Ho attivato la procedura ComboFix in modalità provvisoria (solo così si riuscivano ad aprire i programmi) e sembrerebbe avermi risolto il problema.
Ora però, visto la delicatezza che bisogna usare con ComboFix avrei bisogno che qualcuno più esperto di me analizzi il file log:
ComboFix.txt
Ringrazio vivamente chi vorrà venirmi in soccorso!
Il mio sistema operativo e Windows XP SP3, uso IE8, ho AVG FREE 9.0, Malwarebytes' Anti-Malware e SUPERAntiSpyware Free Edition. |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
Coliade
Eroe
Registrato: 18/06/10 17:26
Messaggi: 60
Residenza: Taranto
|
| Inviato: 19 Giu 2010 16:22 Oggetto: |
|
|
Fatto!
Rimosso combofix e
poi lanciato Kaspersky, dopo una scansione di più di quattro ore  , ecco il risultato.
reportkasper.txt
P.S. Ho dimenticato di avvisare che ieri ho lanciato una scansione con AVG Free 9.0 che ha prodotto i seguenti risultati:
"C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\cdrom.sys.vir";"Virus identificato Win32/Patched.DX";"Spostato in Quarantena virus"
"C:\Qoobox\Quarantine\C\cleansweep.exe\cleansweep.exe.vir";"Trojan SHeur3.AEJR";"Spostato in Quarantena virus"
PP.SS. quando lancio CCleaner - integrità registro - compare questo problema:
Riferimento MUI mancante -- C:\DOCUME~1\Preuser\IMPOST~1\Temp\SSUPDATE.EXE -- HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
lo riparo, ma il giorno dopo è sempre lì  (il ripristino configurazione di sistema è disattivato)
Attendo  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 19 Giu 2010 23:24 Oggetto: |
|
|
Ciao.
Il Ripristino lo hai disattivato DOPO la scansione con Kaspersky?
Fammi una cortesia, rifai la scansione con Combofix.
Postami il log.
Grazie. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 19 Giu 2010 23:30 Oggetto: |
|
|
Ciao.
Il Ripristino lo hai disattivato DOPO la scansione con Kaspersky?
Scarica TDSSKiller.zip sul desktop:
http://support.kaspersky.com/viruses/solutions?qid=208280684
estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
Poi:
Fammi una cortesia, rifai la scansione con Combofix.
Postami il log.
Grazie. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 19 Giu 2010 23:32 Oggetto: |
|
|
Edit:
Segui le indicazioni del post sopra.
link |
|
| Top |
|
|
Coliade
Eroe
Registrato: 18/06/10 17:26
Messaggi: 60
Residenza: Taranto
|
| Inviato: 20 Giu 2010 16:32 Oggetto: |
|
|
Ciao e grazie per l'aiuto che mi stai dando.
Ho seguito le tue indicazioni ed ecco i report:
TDSSKiller.2.3.2.0_20.06.2010_15.39.32_log.txt
ComboFix.txt
Il ripristino è ancora disattivato. Ho scaricato ERUNT che mi sembra buono visto che posso decidere io se ripristinare e quale copia di registro eventualmente ripristinare. In genere la politica della Microsoft del so tutto io faccio tutto io mi sta un po' stretta, caratterialmente mi piace capire come funzionano le cose (mi piace molto smontarle e vedere come son fatte!) e tenere "io" tutto sotto controllo. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 20 Giu 2010 18:49 Oggetto: |
|
|
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
| Codice: | KillAll::
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"skb"=-
RegNull::
[HKEY_USERS\S-1-5-21-1046351628-1481446684-1704425311-1005\Software\Microsoft\SystemCertificates\AddressBook*]
[HKEY_USERS\S-1-5-21-1046351628-1481446684-1704425311-1005\Software\Policies\Microsoft\SystemCertificates\AddressBook*]
RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
Driver::
AvgTdiX |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix. |
|
| Top |
|
|
Coliade
Eroe
Registrato: 18/06/10 17:26
Messaggi: 60
Residenza: Taranto
|
| Inviato: 20 Giu 2010 19:19 Oggetto: |
|
|
Fatto.
Ecco il log:
ComboFix.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
Coliade
Eroe
Registrato: 18/06/10 17:26
Messaggi: 60
Residenza: Taranto
|
| Inviato: 21 Giu 2010 15:10 Oggetto: |
|
|
Ciao.
Scansione HiJackThis eseguita.
Ecco il log:
hijackthis.log |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 21 Giu 2010 15:55 Oggetto: |
|
|
Ciao.
Disattiva il ripristino configurazione di sistema. (dovrebbe essere già disattivato)
http://forum.zeusnews.com/viewtopic.php?t=22084
Pulisci i files temporanei con CCleaner
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch
Segui le istruzioni di questo topic per rimuovere combofix, e gli altri eventuali tooll installati:
http://forum.zeusnews.com/viewtopic.php?t=47670
Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "start"
al termine della scansione ti chiederà il riavvio, dai ok.
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked:
O4 - HKLM\..\Run: [SplashDisplayer] C:\WINDOWS\system32\ISTHTB.EXE
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
Fai una deframmentazione del HD.
Esegui anche uno Scandisk.
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.
Se non riscontri problemi, il pc dovrebbe essere pulito. |
|
| Top |
|
|
Coliade
Eroe
Registrato: 18/06/10 17:26
Messaggi: 60
Residenza: Taranto
|
| Inviato: 21 Giu 2010 22:04 Oggetto: |
|
|
Fatto tutto!
Ora sembra essere tutto OK!
Grazie ancora per il tuo aiuto e la tua pazienza.
 |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 21 Giu 2010 22:11 Oggetto: |
 |
|
 |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
