| Precedente :: Successivo |
| Autore |
Messaggio |
viviana
Eroe
Registrato: 24/06/08 11:07
Messaggi: 51
|
 Inviato: 26 Mar 2012 18:26 Oggetto: [RISOLTO] Infezione Zero Access. Avira rileva sempre malware |
 |
|
Buongiorno Olimpo, dopo tanta tranquillità riecco un attacco ad un pc che uso io da sola e che non è solito frequentare siti "contaminanti".
Nello specifico da un po' di tempo ravvisavo rallentamenti soprattutto all'apertura di mozzilla firefox, ma non mi sono preoccupata più di tanto, oggi invece avira,che aggiorno sempre e mantengo in condizioni discrete,ha iniziato a segnalarmi un mare di malware,da stamattina almeno 50.Possibile che io abbia questo po' di virus nel pc?
Sono quasi tutti trojan. dato che non saprei da dove cominciare,potreste darmi una mano nella pulizia di questo macello?
Grazie infinite anticipatamente.
Viviana
P.S.posto intanto il log di hijack this
hijackthis.log |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 26 Mar 2012 18:54 Oggetto: |
|
|
Ciao.
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":
| Citazione: | | R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 |
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.
Segui le istruzioni di questo topic per usare MBAM: (ricorda di aggiornarlo prima della scansione)
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Elimina gli eventuali file infetti trovati.
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta i log di TDSSKiller, MBAM, e Combofix. |
|
| Top |
|
|
viviana
Eroe
Registrato: 24/06/08 11:07
Messaggi: 51
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Mar 2012 17:40 Oggetto: |
|
|
Ciao.
L'infezione è Zero Access. (rootkit).
E di solito, (fra le altre cose) distrugge la connessione.
| Citazione: | | ho dovuto ripristinare una vecchia configurazione perchè dopo la scansione con mbam non mi faceva connettere più neanche con internet explorer. |
In pratica, se hai fatto un ripristino, i log adesso non sono veritieri.
A meno che il ripristino, lo hai fatto PRIMA della scansione di Combofix.
| Citazione: | | ora solo mozilla è fuori uso |
In che senso?
Non funziona la connessione con Firefox, oppure è andato completamente?
Se si tratta della connessione:
Apri firefox
strumenti
opzioni
avanzate
impostazioni
metti la spunta solo a "utilizza le impostazioni proxy del sistema".
Riavvia il pc.
Se invece è completamente fuori uso, consiglio una disistallazione, e poi una reistallazione.
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i log. |
|
| Top |
|
|
viviana
Eroe
Registrato: 24/06/08 11:07
Messaggi: 51
|
| Inviato: 27 Mar 2012 18:27 Oggetto: |
|
|
| ok procedo alla scansione, per quanto riguarda il punto di ripristino l'ho fatto prima della scansione con combofix ma dopo tdsskiller e mbam. devo ripetere le prime de scansioni? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Mar 2012 18:31 Oggetto: |
|
|
| Citazione: | | devo ripetere le prime de scansioni? |
No.
Procedi con OTL.
Non mi hai detto di Firefox. |
|
| Top |
|
|
viviana
Eroe
Registrato: 24/06/08 11:07
Messaggi: 51
|
| Inviato: 27 Mar 2012 18:43 Oggetto: |
|
|
Extras.Txt
OTL.Txt
per mozilla procedo con uninstall |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Mar 2012 18:57 Oggetto: |
|
|
Nel frattempo che controllo il log, mi serve anche questa scansione:
Scarica aswMBR.exe sul desktop.
link
Fai doppio clic aswMBR.exe per eseguirlo
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Mar 2012 19:09 Oggetto: |
|
|
Vai in "Installazione Applicazioni, e rimuovi tutte le versioni Java che trovi.
Scarica l'ultima versione di Java:
link
Poi:
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
| Codice: | : Processes
:OTL
IE - HKU\S-1-5-21-3254580716-2234004394-3572937680-1006\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
IE - HKU\S-1-5-21-3254580716-2234004394-3572937680-1006\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17241
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-3254580716-2234004394-3572937680-1006\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-3254580716-2234004394-3572937680-1006\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\S-1-5-21-3254580716-2234004394-3572937680-1006\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab (MSN Photo Upload Tool)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} http://download.bitdefender.com/resources/scan8/oscan8.cab (BDSCANONLINE Control)
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} http://cid-c62476dbfd10bc67.spaces.live.com/PhotoUpload/MsnPUpld.cab (Windows Live Photo Upload Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab (MSN Games - Installer)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class)
O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} http://www.fueps.com/gp/images/common/games/PopCapGames/popcaploader_v10_it.cab (PopCapLoader Object)
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} http://messenger.zone.msn.com/binary/Chess.cab57176.cab (ZoneChess Object)
O16 - DPF: Microsoft XML Parser for Java Reg Error: Value error. (Reg Error: Key error.)
[2012/03/26 16.00.29 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\Vivy\Impostazioni locali\Dati applicazioni\916f14ba
:Files
C:\Documents and Settings\Vivy\Impostazioni locali\Dati applicazioni\916f14ba
:commands
[Reboot] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Il pc si riavvierà da solo.
Rifai la scansione con OTL.
Posta il log. |
|
| Top |
|
|
viviana
Eroe
Registrato: 24/06/08 11:07
Messaggi: 51
|
| Inviato: 27 Mar 2012 20:11 Oggetto: |
|
|
aswMBR.txt
OTL.Txt
ci risiamo avira mi ha dato dinuovo un allarme e dopo il reboot sono comparse delle icone in trasparenza sul desktop come se fossero nascoste. Otl l'ho lanciato dopo la comparsa di queste cose. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Mar 2012 20:40 Oggetto: |
|
|
Le infezioni ripartono perchè c'è l'MBR (Master Boot Record) infetto.
Possiedi il CD d'installazione di Windows ?
Se non lo possiedi segui queste indicazioni:
Avvia nuovamente aswMBR.exe
Clicca su Scansione.
Finita la scansione premi il pulsante su FIXMBR
Ti appare una finestra:
| Citazione: | WARNING!!!
Writing a new master boot record to your system partition could damage your partition tables and cause your partitions to become inaccessible. This appliction writes standard Windows MBR code.
Are you sure you want to fix the MBR? |
Conferma l'iscrizione di un nuovo MBR.
Aspetta la riscrizione del MBR.
Riavvia il pc.
Poi, rifai la scansione con aswmbr e posta il log. |
|
| Top |
|
|
viviana
Eroe
Registrato: 24/06/08 11:07
Messaggi: 51
|
| Inviato: 27 Mar 2012 22:05 Oggetto: |
|
|
Non ho il cd d'installazione di windows quindi ho seguito le istruzioni ecco il log
aswMBR.txt
Le icone in trasparenza sul desktop però non sono sparite |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Mar 2012 22:12 Oggetto: |
|
|
| Citazione: | | Le icone in trasparenza sul desktop però non sono sparite |
Sì perchè sono comparse prima di riscrivere l'MBR.
L'operazione è andata a buon fine.
Le icone trasparenti, dovrebbero essere vuote : lo confermi? |
|
| Top |
|
|
viviana
Eroe
Registrato: 24/06/08 11:07
Messaggi: 51
|
| Inviato: 27 Mar 2012 22:17 Oggetto: |
|
|
| No, non sono vuote,ho provato ad aprirne una che ha l'estensione .doc e portava una serie di ###### altre non posso aprirle perchè non ho i programmi per aprirle |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Mar 2012 22:19 Oggetto: |
|
|
Eliminale.
Fai una nuova scansione con Combofix.
Posta il log |
|
| Top |
|
|
viviana
Eroe
Registrato: 24/06/08 11:07
Messaggi: 51
|
| Inviato: 27 Mar 2012 22:23 Oggetto: |
|
|
| Thumbs.db dice che è un file di sistema e la sua eliminazione potrebbe arrecare danni. Che faccio procedo all'eliminazione? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Mar 2012 22:26 Oggetto: |
|
|
Sì.
Male che vada, il file và nel cestino.
Se noti problemi, lo puoi sempre ripristinare. |
|
| Top |
|
|
viviana
Eroe
Registrato: 24/06/08 11:07
Messaggi: 51
|
| Inviato: 27 Mar 2012 22:27 Oggetto: |
|
|
| ok procedo |
|
| Top |
|
|
viviana
Eroe
Registrato: 24/06/08 11:07
Messaggi: 51
|
| Inviato: 27 Mar 2012 23:04 Oggetto: |
|
|
wiki send ha deciso che per oggi basta upload, ho fatto la scansione con combofix,domani riproverò a postare il nuovo log.
Grazie sempre e comunque  |
|
| Top |
|
|
viviana
Eroe
Registrato: 24/06/08 11:07
Messaggi: 51
|
| Inviato: 28 Mar 2012 15:51 Oggetto: |
 |
|
ecco il log di combofix
log.txt |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
