Precedente :: Successivo |
Autore |
Messaggio |
unodipalermo Eroe
Registrato: 31/10/08 00:24 Messaggi: 73
|
Inviato: 15 Nov 2011 13:00 Oggetto: Disinfestazione generale |
|
|
Salve a tutti, ho un pc con Windows xp aggiornato all'ultimo service pack, Avira Antivirus aggiornato, Comodo FIrewall+Defence versione 3.14, con firewall impostato prevalentemente in modalità apprendimento. Il pc viene usato a casa e all'università tramite rete wifi di ateneo. Da un paio di settimane Avira ha cominciato a dare un sacco di segnalazioni, trovando virus anche in eseguibili di programmi da me conosciuti. COmincio a sospettare che lo stesso avira sia stato infettato e fatto impazzire per trovare tutte queste anomalie. All'avvio del pc comincio ad avere errori di avvio di alcuni programmi e servizi. Tempo fa sono incappato in un programma fake che mi installo una vagonata di malware, in questo momento non ricordo come si chiama perchè provai a rimuovere l'infezione ma evidentemente deve aver fatto danno. Perfino comodo firewall adesso viene rilevato come virus! Vi allego il report di Avira:
link |
|
Top |
|
|
menatwork Dio minore
Registrato: 07/10/11 15:58 Messaggi: 506
|
Inviato: 15 Nov 2011 13:11 Oggetto: |
|
|
ciao unodipalermo
spero non sia il virut ad aver creato tutto questo, avira non ha eliminato le infezioni
scarica ed esegui combofix seguendo attentamente la descrizione di questa ghuida
Posta il log , caricalo su un server |
|
Top |
|
|
unodipalermo Eroe
Registrato: 31/10/08 00:24 Messaggi: 73
|
Inviato: 15 Nov 2011 17:01 Oggetto: |
|
|
Sono uscito di casa e al ritorno ho trovato il pc in oggetto con la schermata di avvio della modalità provvisoria. In modalità normale non parte più, posso eseguire il programma da te indicato in modalità provvisoria? |
|
Top |
|
|
menatwork Dio minore
Registrato: 07/10/11 15:58 Messaggi: 506
|
Inviato: 15 Nov 2011 17:08 Oggetto: |
|
|
Citazione: | posso eseguire il programma da te indicato in modalità provvisoria?
|
certo |
|
Top |
|
|
unodipalermo Eroe
Registrato: 31/10/08 00:24 Messaggi: 73
|
Inviato: 16 Nov 2011 02:16 Oggetto: |
|
|
Ho dovuto eseguire due volte combofix perchè in modalità provvisoria non c'è stato verso di disattivare avira. Dopo il primo combofix, windows ha ricominciato ad avviarsi normalmente, e così ho eseguito un secondo combofix, disattivando avira che nel frattempo continuava a fare decine di segnalazioni. Ma l'impressione è che potrei farne altri 100 e ogni esecuzione di combofix troverebbe decine di file infetti. Posto i due log:
ComboFix.txt
ComboFix2.txt |
|
Top |
|
|
menatwork Dio minore
Registrato: 07/10/11 15:58 Messaggi: 506
|
Inviato: 16 Nov 2011 09:49 Oggetto: |
|
|
sembra una brutta infezione da rootkit zero access
ora segui in ordine questa procedura
scarica questo tool sul desktop e avvialo scegliendo la lettera Y
una volta terminata la scansione, rieseguilo
Postami i due log specificando con 1 e 2
scarica TDSSKiller sul desktop ed estrai il contenuto
Start > Esegui > copia/incolla il seguente comando e dai OK.
"%userprofile%\Desktop\TDSSKiller.exe"
Clicca su Start Scan.
Se c’è un’infezione, l'azione di default sarà cure. Clicca su continua.
Se c’è il sospetto di un’infezione, l'azione di default sarà skip. Clicca su continua.
Se viene richiesto il riavvio, accetta.
Il rapporto si troverà in C:, sotto queste sembianze: TDSSKiller.[Version]_[Date]_[Time]_log.txt
Se non è stato richiesto il riavvio, chiudi e clicca su report. Salva il contenuto in un file di testo e allegalo
Per ogni dubbio sono a tua disposizione
edit
da dove hai scaricato
c:\documents and settings\Marco\.texlive2011 ?? |
|
Top |
|
|
unodipalermo Eroe
Registrato: 31/10/08 00:24 Messaggi: 73
|
|
Top |
|
|
menatwork Dio minore
Registrato: 07/10/11 15:58 Messaggi: 506
|
Inviato: 16 Nov 2011 16:27 Oggetto: |
|
|
vai qui e analizza l'eseguibile del programma non mi piace per niente quel punto , vedi cosa rilevano i 42 antivirus
c:\documents and settings\Marco\.texlive2011
appena finito l'analisi apri una pagina del blocco note e copia incolla quanto segue
Citazione: | File::
c:\documents and settings\Marco\Dati applicazioni\Eponidz\poyrice.exe
c:\programmi\File comuni\Spigot\Search Settings\SearchSettings.exe
DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:64020
Folder::
c:\programmi\pdfforge Toolbar
c:\programmi\File comuni\Spigot\Search Settings
c:\programmi\File comuni\Spigot
c:\programmi\Application Updater
c:\documents and settings\Marco\Dati applicazioni\Eponidz
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{7D6E77CE-8DC0-E469-27FB-AB8ACE8BEC7A}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SearchSettings"=-
DirLook::
c:\programmi\76F24
c:\documents and settings\Marco\Dati applicazioni\18276
c:\documents and settings\Marco\Dati applicazioni\Ciipg
Driver::
Application Updater |
salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine e riposta il suo log
Rieseguimi anche tds killer, attento a non confonderlo con i due log delle scansioni precedenti |
|
Top |
|
|
unodipalermo Eroe
Registrato: 31/10/08 00:24 Messaggi: 73
|
Inviato: 16 Nov 2011 17:57 Oggetto: |
|
|
Quale eseguibile all'interno di quella cartella esattamente? ce ne sono parecchi di .exe |
|
Top |
|
|
menatwork Dio minore
Registrato: 07/10/11 15:58 Messaggi: 506
|
Inviato: 16 Nov 2011 18:19 Oggetto: |
|
|
controllane uno alla volta e vedi cosa rilevano gli antivirus
esegui lo script che ti ho postato e riesegui tds killer
posta i due log |
|
Top |
|
|
unodipalermo Eroe
Registrato: 31/10/08 00:24 Messaggi: 73
|
Inviato: 16 Nov 2011 18:40 Oggetto: |
|
|
ok...ma solo nella cartella win32 ci sono 380 eseguibili, alla velocità con cui li carica su virus total mi ci vorrà un "pò".
come ti posto i risultati di virus total file per file? non mi sembra rilasci qualche log |
|
Top |
|
|
menatwork Dio minore
Registrato: 07/10/11 15:58 Messaggi: 506
|
Inviato: 16 Nov 2011 18:53 Oggetto: |
|
|
ascolta facciamo una cosa, rimuovilo se non ti crea problemi semmai lo reinstalli
eseguimi anche lo script di combofix e tds killer |
|
Top |
|
|
unodipalermo Eroe
Registrato: 31/10/08 00:24 Messaggi: 73
|
|
Top |
|
|
menatwork Dio minore
Registrato: 07/10/11 15:58 Messaggi: 506
|
Inviato: 17 Nov 2011 11:35 Oggetto: |
|
|
hai ancora delle infezioni nel pc vediamo di eliminarle del tutto
come prima apri un file di testo e incolla questo testo
Citazione: | File::
c:\documents and settings\Marco\Dati applicazioni\18276\C0000.exe
c:\documents and settings\Marco\Dati applicazioni\Ciipg\keehip.ohc
c:\documents and settings\Marco\Dati applicazioni\Ciipg\keehip.tmp
c:\programmi\76F24\lvvm.exe
Folder::
c:\documents and settings\Marco\Dati applicazioni\18276
c:\documents and settings\Marco\Dati applicazioni\18276\6F24.827
c:\documents and settings\Marco\Dati applicazioni\Ciipg
c:\documents and settings\Marco\.texlive2011
c:\programmi\76F24
|
salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine e riposta il suo log
poi segui questa guida e fai una scansione completa con malwearebytes dopo averlo aggiornato
Posta i due log |
|
Top |
|
|
unodipalermo Eroe
Registrato: 31/10/08 00:24 Messaggi: 73
|
Inviato: 17 Nov 2011 20:53 Oggetto: |
|
|
combofix:
logqwert.txt
Cosa devo fare con la lista dei malware trovati? Nella finestra ho l'opzione per disinfettarli oltre che fare il log.
L' ho mandato in esecuzione sul disco c:, vuoi che lo faccia anche su d
mbam-log-2011-11-17 (20-46-23).txt |
|
Top |
|
|
menatwork Dio minore
Registrato: 07/10/11 15:58 Messaggi: 506
|
Inviato: 17 Nov 2011 21:09 Oggetto: |
|
|
adesso ti do una lista delle cose che devi fare seguile in quest'ordine
Evidenzia gli elementi trovati da malwarebyts e premi "Rimuovi elementi selezionati".Se ti chiede di riavviare, fallo
elimina a mano questa cartella
c:\documents and settings\Marco\Dati applicazioni\Search Settings
controlla queste cartelle se non le conoci eliminale
C:\fixc
c:\documents and settings\Marco\Impostazioni locali\Dati applicazioni\cfcf2400
c:\documents and settings\Marco\Dati applicazioni\LyX2.0
rimuovi avira da pannello di controllo
fai pulizia come descritto qui
scarica e installa avira da questa pagina
aggiornalo ed esegui una scansione completa
per maggior sicurezza riesegui anche tds killer nel log di combofix si sono creati dei driver
attendo notizie |
|
Top |
|
|
unodipalermo Eroe
Registrato: 31/10/08 00:24 Messaggi: 73
|
Inviato: 18 Nov 2011 16:22 Oggetto: |
|
|
La cartella txtlive e fixc le ho ritrovate dopo la cancellazione (quest ultima si è ripresentata come fixc14320f) e le ho rimosse nuovamente. Ho reinstallato avira, e ho fatto più di una scansione una di seguito all'altra, eliminando di volta in volta le minacce, l'ultima scansione infine ha trovato zero elementi infetti, ti posto tutti i log:
LOGFILES.rar
ecco infine il log di tds killer:
TDSSKiller.2.6.19.0_18.11.2011_16.19.48_log.txt |
|
Top |
|
|
menatwork Dio minore
Registrato: 07/10/11 15:58 Messaggi: 506
|
Inviato: 18 Nov 2011 19:19 Oggetto: |
|
|
bene ora esegui queste operazioni
rimuovi combofix con OTC by OldTimer
eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI
elimina la cartella qoobox la trovi nel disco locale se non riesci ad eliminarla usa Inherit
mettilo nella stessa directory della cartella BackEnv e poi trascina la stessa cartella sull'icona di inherinit.Aspetta la scritta OK.
disattiva il ripristino
riavvia il pc
riattivalo e crea un nuovo punto
Attivazione e disattivazione di Ripristino configurazione di sistema in Windows XP
fai nuovamente pulizia come prima, con ccleaner pulisci anche il registro
Citazione: | Clicca i tasti:
- Registro (Secondo tasto in alto a Sinistra)
- Trova Problemi (Pulsante in basso Centrale)
- Ripara selezionati Pulsante in basso a Destra
- alla domanda:
- Vuoi eseguire il Backup delle modifiche del Registro”
- clicca:
- SI |
posta un log di hijackthis poi facciamo un altro controllo
fammi sapere se noti miglioramenti |
|
Top |
|
|
unodipalermo Eroe
Registrato: 31/10/08 00:24 Messaggi: 73
|
Inviato: 20 Nov 2011 10:45 Oggetto: |
|
|
hijackthis.log
Avira non mi da più alert, però ho notato in task manager veramente tanti processi attivi, e credo una generale lentezza, a volte si impalla in operazioni stupide, come aprire una cartella o fare un operazione in un browser web. Niente di grave però. |
|
Top |
|
|
menatwork Dio minore
Registrato: 07/10/11 15:58 Messaggi: 506
|
Inviato: 20 Nov 2011 16:46 Oggetto: |
|
|
fai una deframmentazione del disco
start/esegui scrivi dfrg.msc e dai ok |
|
Top |
|
|
|