Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
strano malware
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
amd77
Mortale pio
Mortale pio


Registrato: 03/10/10 12:34
Messaggi: 18
MessaggioInviato: 03 Ott 2010 14:58    Oggetto: strano malware Rispondi citando
ciao a tutti,da un paio di giorni ho dei problemi con il pc di cui non riesco a venire a capo,in parte il mio caso è simile a quello esposto da questo utente qui
http://forum.zeusnews.com/viewtopic.php?t=51097
solo che nel mio caso nessun messaggio di errore nella navigazione in internet e mi sono accorta della cosa solo per via di alcune anomalie nelle ricerche (il pc non presentava rallentamenti nè altri comportamenti anomali), infatti,un paio di giorni fa, facendo una ricerca con google e aprendo man mano i links di mio interesse ho notato che,a un certo punto,anzichè aprirsi la pagina che avevo cliccato,mi è apparsa una pagina hxxp://www.search.pro. Lì per lì ho pensato di aver cliccato io per sbaglio un link errato,e non ci ho pensato più fino al mattino dopo quando, sempre durante una ricerca con google, cliccando un link mi è comparsa di nuovo questa pagina search.com. Allora ho continuato a cliccare i links dei risultati della ricerca con google e,dopo parecchi click,di nuovo non si è aperta la pagina richiesta ma si è aperta una pagina pubblicitaria (mi pare ebay annunci). Ormai convinta che ci fosse qualcosa che non andava, con hijack ho trovato e fixato le seguenti voci

Citazione:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{23D5CB9E-FBC5-49A2-86D4-4F8000AEA6A3}: NameServer = 93.188.162.84,93.188.161.224
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BDA78DD-4316-44E5-B38B-5CF08DC76ECB}: NameServer = 93.188.162.84,93.188.161.224
O17 - HKLM\System\CCS\Services\Tcpip\..\{7543DE53-CCF1-45EB-AA2A-5101671663F7}: NameServer = 93.188.162.84,93.188.161.224
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.84,93.188.161.224
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.162.84,93.188.161.224
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.84,93.188.161.224


volevo poi fare una scansione con mbam ma il programma non partiva. L'ho disintallato,reinstallato,ma nulla. Con superantispyware sono venuti fuori solo una manciata di cookies, che ho eliminato ma continuavo a non essere convinta. Per mancanza di tempo ieri ho dovuto lasciar perdere,ma stamattina sono finalmente riuscita a far partire mbam grazie al consiglio di un amico. Per farlo partire ho dovuto rinominarlo in mbam.com e così ho fatto una scansione (solo quella veloce). Mbam mi ha trovato ed eliminato 5 voci infette (sotto allego il log), al riavvio mi sono anche un pò preoccupata per il pc ci ha messo un pò a riavviarsi ma alla fine è partito e quei files sono stati eliminati. Il pc sembra a posto, ho cliccato pagine e pagine di links da ricerca google senza che mai mi si aprissero siti anomali e tra l'altro mozilla che in questi giorni, e forse per effetto del malware, mi andava spesso in freeze (ogni tanto lo fa di prassi, il mio pc ha poca ram,ma in questi ultimi due giorni capitava anche parecchie volte al giorno) adesso vola tranquillo da ore senza essere mai andato in freeze. E tuttavia io continuo a non sentirmi tranquilla perchè mbam continua a non partire, a meno che io non lo rinomini in mbam.com.Un'altra cosa che mi preoccupa è che hijack mi dice che non ho firewall,ma io ho il firewall di xp e risulta essere attivo. Allego il log attuale di hijack e il log della scansione di questa mattina con mbam sperando mi possiate aiutare a venire a capo di questa cosa. Il malware è stato debellato o no? E se sì come mai mbam continua a non funzionare?

log hijack

log mbam
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 03 Ott 2010 17:25    Oggetto: Rispondi citando
PC HP?

Fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 03 Ott 2010 17:42    Oggetto: Rispondi citando
@bdoriano:
Non funziona quel link.
Quello che hai postato in altri topic, funziona: Razz
link
Top
Profilo Invia messaggio privato
amd77
Mortale pio
Mortale pio


Registrato: 03/10/10 12:34
Messaggi: 18
MessaggioInviato: 03 Ott 2010 18:56    Oggetto: Rispondi citando
bdoriano ha scritto:
PC HP?

Fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato.


no,non ho un pc hp,ho un packard bell
Top
Profilo Invia messaggio privato
amd77
Mortale pio
Mortale pio


Registrato: 03/10/10 12:34
Messaggi: 18
MessaggioInviato: 04 Ott 2010 09:02    Oggetto: Rispondi citando
bdoriano ha scritto:
PC HP?

Fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato.


grazie,ho letto la guida e adesso vado a fare questa scansione,non dovrei però anche disabilitare il ripristino di configurazione?Nella guida non lo dice.
Top
Profilo Invia messaggio privato
amd77
Mortale pio
Mortale pio


Registrato: 03/10/10 12:34
Messaggi: 18
MessaggioInviato: 06 Ott 2010 12:11    Oggetto: Rispondi citando
ciao,speravo che qualcuno risolvesse il mio dubbio sul disattivare o meno il ripristino di configurazione prima di procedere,nel dubbio non l'ho disattivato e ho fatto lo scan completo con systemscan,ti posto sotto il log perchè non ci capisco assolutamente nulla,se non va bene e va fatto togliendo il ripristino di configurazione sistema dimmi tu,se è il caso lo faccio daccapo.
http://wikisend.com/download/881892/mioreport.txt

e questo è il log di hijack di stamattina,se serve
http://wikisend.com/download/554094/hijackthis6.10.log

ieri avevo intanto fatto lo scan completo con mabm (che però parte solo se lo rinomino) e pure aveva eliminato qualcosa (ma non so dove recuperare il report) e avevo anche provato con hitman pro,su suggerimento di un amico.Con hitman pro pure ha eliminato alcune cose ma non ci ho capito nulla,lo usavo per la prima volta e non lo conosco il programma,ma in sostanza mi diceva qualcosa su possibili dischi virtuali nascosti e su una possibile variante di aluren sul mio pc.Dei files che mi proponeva di eliminare uno non l'ho potuto eliminare,era il file toside.sys,perchè il programma per eliminarlo mi chiedeva di inserire il cd di xp che io non ho.Intanto io continuo a riscontrare sul pc le stesse anomalie iniziali e cioè questo redirect,molto occasionale e quindi non prevedibile,nelle richerche con google e in più c'è mbam che non mi parte regolarmente e per usarlo devo solo rinominarlo in mbam.com Crying or Very sad non so proprio cosa fare,sembra che nessun programma trovi nulla,ne ho provati anche altri e non trovavano nulla sul pc.
Top
Profilo Invia messaggio privato
amd77
Mortale pio
Mortale pio


Registrato: 03/10/10 12:34
Messaggi: 18
MessaggioInviato: 07 Ott 2010 07:52    Oggetto: Rispondi citando
nessuno sa darmi qualche suggerimento?Non so cosa fare e non so come leggere il file di report di systemscan Sad
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 07 Ott 2010 07:57    Oggetto: Rispondi citando
Scusa, mi sono dimenticato di te... Confused

giusto per accelerare il processo, segui le istruzioni di questo topic per postare il log di combofix.

PS: non faccio mai disabilitare il ripristino di sistema, se prima non so con che cosa ho a che fare.
Top
Profilo Invia messaggio privato
amd77
Mortale pio
Mortale pio


Registrato: 03/10/10 12:34
Messaggi: 18
MessaggioInviato: 07 Ott 2010 08:18    Oggetto: Rispondi citando
ciao,grazie mille per la gentile risposta,appena rientro faccio la scansione con il programma che mi hai indicato e ti posto il log,volevo solo riportarti,nel caso potesse essere utile,il messaggio esatto che mi da hitman pro

possible variant of the tdl3 (alias alureon) rootkit detected
The device stack of the hard disk is referencing a hidden driver.This could affect the detection of malicious files.

E mi segnala come infetto il file toside.sys
in c/windows/system32/drivers

ma come ho detto non riesco ad eliminarlo perchè il software mi richiede l'inserimento del cd di xp per sostituire il file,cd che io non ho Sad
Poi tra l'altro non ho mai usato questo programma e non so fino a che punto fidarmi,mi è stato consigliato perchè pare che molti abbiamo risolto problemi inerenti virus con il redirect da google,però vedo tante casistiche differenti e non so regolarmi da sola.

p.s. se combo fix mi propone di scaricare la console di ripristino,devo scegliere sì?
Top
Profilo Invia messaggio privato
amd77
Mortale pio
Mortale pio


Registrato: 03/10/10 12:34
Messaggi: 18
MessaggioInviato: 07 Ott 2010 11:25    Oggetto: Rispondi citando
ho finito e ho il log di combofix,ma wikisend non funziona,l'ho messo qui,spero vada bene lo stesso

http://myfreefilehosting.com/f/cfc5564bfb_0.01MB

combofix,dopo 2 o 3 minuti che l'avevo fatto partire,ha rilevato attività rootkit e mi ha chiesto di riavviare il pc.

p.s.adesso mbam parte normalmente,senza che ci sia bisogno di rinominare,spero sia un buon segno,per contro il log di hijack dice sempre che non ho firewall installato (c'è il firewall di xp attivo).Ovviamente per il momento non scansiono con mbam nè con altro,aspetto che mi dica tu come procedere.Grazie anticipatamente!
Top
Profilo Invia messaggio privato
amd77
Mortale pio
Mortale pio


Registrato: 03/10/10 12:34
Messaggi: 18
MessaggioInviato: 08 Ott 2010 07:58    Oggetto: Rispondi citando
ciao,stamattina hitman pro (che è gratis per 30 giorni, e che la mattina quando accendo il pc fa una scansione),mi dice nessun problema trovato Very Happy
Quindi combofix ha veramente cancellato il virus.In ogni caso io aspetto un tuo parere sul tutto e ti ringrazio davvero tanto Smile
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 08 Ott 2010 08:36    Oggetto: Rispondi citando
Ok, più tardi mi leggo il log con calma e vediamo il resto. Wink
Top
Profilo Invia messaggio privato
amd77
Mortale pio
Mortale pio


Registrato: 03/10/10 12:34
Messaggi: 18
MessaggioInviato: 08 Ott 2010 09:13    Oggetto: Rispondi citando
grazie mille,sei gentilissimo!
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 08 Ott 2010 15:06    Oggetto: Rispondi citando
Apri il Blocco note e crea un file di testo con le seguenti istruzioni:
Codice:
NetSvcs::
ljtlqldq

Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:

Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro. Wink
Posta il log aggiornato di combofix.

  • Scarica questo programma (MBRCheck) e salvalo sul desktop
  • Chiudi tutti i programmi aperti
  • Doppio click sull'icona di MBRCheck per avviarlo
  • Ti si apre una finestra DOS con le informazioni riguardanti il tuo MBR
    Se va tutto bene, dovresti leggere una cosa tipo questa:
    Citazione:
    nnn GB \\.\PhysicalDrive0 Windows xx MBR code detected

    nnn capacità del tuo disco fisso
    xx versione del tuo sistema operativo (es.: XP, Vista, 7)

    In ogni caso, ti creerà sul desktop un file con il nome MBRCheck_mm.dd.aa_oo.mm.ss, caricalo su uno dei servizi di hosting indicati in questa discussione e posta il forum link che ti viene proposto.
Top
Profilo Invia messaggio privato
amd77
Mortale pio
Mortale pio


Registrato: 03/10/10 12:34
Messaggi: 18
MessaggioInviato: 09 Ott 2010 08:41    Oggetto: Rispondi citando
fatto,ecco il log di combofix
http://wikisend.com/download/689578/logcomb2.txt

e questo è quello di mbr (scritta verde di MBR code detected)
http://wikisend.com/download/605366/MBRCheck_10.09.10_08.35.53.txt

aspetto notizie da te,grazie ancora Smile
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 09 Ott 2010 16:41    Oggetto: Rispondi citando
E' ufficiale... mi sto arrugginendo... Confused

Fai le operazioni iniziali:
  1. Pulisci i files temporanei con CCleaner
  2. Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
  3. Segui le istruzioni di questo topic per usare MBAM.
  4. scarica e installa la versione Free di SuperAntispyware:
    la configuri come da immagini:

    http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg

    http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
    esegui una scansione completa del sistema

  5. Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
    • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
    • Carica il log di SuperAntiSpyware su WikiSend e posta il Forum Link che ti viene assegnato.
Top
Profilo Invia messaggio privato
amd77
Mortale pio
Mortale pio


Registrato: 03/10/10 12:34
Messaggi: 18
MessaggioInviato: 09 Ott 2010 18:50    Oggetto: Rispondi citando
ciao doriano,scusami ma io li ho già fatti tutti questi passaggi:ccleaner,ho tolto gli ads,ho scansionato con mbam e anche con superantispyware (di mbam ho postato uno dei log,l'altro non l'ho salvato e non so dove li salva il programma,superantispyware l'avevo usato prima ancora di usare mbam e non aveva trovato nulla)...che faccio,li ripeto tutti da capo? Embarassed Embarassed
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 10 Ott 2010 20:43    Oggetto: Rispondi citando
Ciao amd77,

si, serve che li rifai perché, quando li hai fatti la prima volta, il virus era attivo e non era stato riconosciuto. Quindi, poteva falsare il risultato.
Top
Profilo Invia messaggio privato
amd77
Mortale pio
Mortale pio


Registrato: 03/10/10 12:34
Messaggi: 18
MessaggioInviato: 12 Ott 2010 08:22    Oggetto: Rispondi citando
perfetto,mi metto subito all'opera,rifaccio gli scan e ti posto i log,grazie di tutto!
Top
Profilo Invia messaggio privato
amd77
Mortale pio
Mortale pio


Registrato: 03/10/10 12:34
Messaggi: 18
MessaggioInviato: 12 Ott 2010 08:41    Oggetto: Rispondi
fatto per gli ads,trovato e fixato questo,è uno solo quindi non vale la pena mettere il log su wikisend

Citazione:
C:\Documents and Settings\computername\Preferiti\I miei siti!\RunningForum.it - Visualizza forum - Allenamento e tecnica.url : favicon (3262 bytes)


senti,ma in sostanza cosa sono questi ads?
Adesso procedo con mbam,ovviamente la scansione completa richiederà parecchio tempo,posto il log appena il programma ha finito
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi