| Precedente :: Successivo |
| Autore |
Messaggio |
danigna
Mortale pio
Registrato: 12/04/12 21:12
Messaggi: 16
|
 Inviato: 21 Ott 2012 20:41 Oggetto: Infezione: trojan horse yebat.AA |
 |
|
Ciao a tutti. Vi chiedo scusa se approfitto ancora di voi: mi avete salvato in passato e spero possiate darmi qualche indicazione anche questa volta.
Da due giorni non riesco a usare il mio pc portatile toshiba satellite con il mio utente amministratore perché una schermata di windows mi blocca ogni altra azione chiedendomi di dare conferma a un'azione se iniziata dall'utente. Se premo annulla la schermata ricompare e così via.
L'antivirus (NOD32) mi ha segnalato un trojan yebat.AA, "infezione non disinfettabile". Se però faccio la scansione non trova niente.
Sono entrata in modalità provvisoria e ho provato a fare una scansione completa con Malwarebytes, ma non riesce a completarla perché a un certo punto il pc si spegne da solo. Ho provato allora a farla con l'altro utente amministratore (che funziona) e questo è il log:
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Versione database: v2012.10.19.14
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Marcello :: KAFKA [amministratore]
21/10/2012 16.32.14
mbam-log-2012-10-21 (16-32-14).txt
Tipo di scansione: Scansione completa (C:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 534132
Tempo impiegato: 3 ore, 30 minuti, 44 secondi
Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)
Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)
Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)
Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)
Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)
Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)
File rilevati: 0
(non sono stati rilevati elementi nocivi)
(fine)
che faccio? Grazie mille ancora! |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 21 Ott 2012 21:25 Oggetto: |
|
|
Ciao.
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.
Poi:
Scarica aswMBR.exe sul desktop.
link
Fai doppio clic aswMBR.exe per eseguirlo
Ti chiederà di aggiornare le firme.
Clicca Si.
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui.
Per ultimo:
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i 2 log. |
|
| Top |
|
|
danigna
Mortale pio
Registrato: 12/04/12 21:12
Messaggi: 16
|
| Inviato: 21 Ott 2012 21:40 Oggetto: |
|
|
| Grazie!! Mi metto subito al lavoro! |
|
| Top |
|
|
danigna
Mortale pio
Registrato: 12/04/12 21:12
Messaggi: 16
|
|
| Top |
|
|
danigna
Mortale pio
Registrato: 12/04/12 21:12
Messaggi: 16
|
| Inviato: 22 Ott 2012 00:13 Oggetto: |
|
|
| Log aswMBR: aswMBR.txt |
|
| Top |
|
|
danigna
Mortale pio
Registrato: 12/04/12 21:12
Messaggi: 16
|
| Inviato: 22 Ott 2012 01:32 Oggetto: |
|
|
Log OTL:
Extras.Txt
OTL.Txt
Ho fatto tutto dall'utente non infetto: ho sbagliato? Devo provare a entrare in modalità provvisoria nell'utente infetto e rifare tutto da lì?
Grazie davvero per il tuo tempo! |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 22 Ott 2012 08:46 Oggetto: |
|
|
Comincia a fare queste operazioni:
- Avvia nuovamente OTL (dal desktop)
- Copia e incolla il testo seguente nel riquadro
 :
| Citazione: | :processes
killallprocesses
:OTL
IE - HKU\S-1-5-21-1296693213-2015821526-3270888130-1000\..\URLSearchHook: {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - C:\Program Files\uTorrentBar_IT\prxtbuTo0.dll (Conduit Ltd.)
O2 - BHO: (uTorrentBar_IT Toolbar) - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - C:\Program Files\uTorrentBar_IT\prxtbuTo0.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1296693213-2015821526-3270888130-1000\..\Toolbar\WebBrowser: (uTorrentBar_IT Toolbar) - {4AE0C3D6-F713-4EED-BC65-25DC3FFDAAC1} - C:\Program Files\uTorrentBar_IT\prxtbuTo0.dll (Conduit Ltd.)
O4 - HKU\S-1-5-21-1296693213-2015821526-3270888130-1000..\Run: [HtGqLDu] C:\Users\daniela\AppData\Local\Temp\HtGqLDu.exe (PROMT)
O4 - HKU\S-1-5-21-1296693213-2015821526-3270888130-1000..\Run: [UShell] C:\Users\daniela\AppData\Local\Temp\taskinit.exe File not found
O33 - MountPoints2\{d0a22692-1d71-11e0-800c-001b384bff49}\Shell\AutoRun\command - "" = 28b6ry9r.exe
O33 - MountPoints2\{d0a22692-1d71-11e0-800c-001b384bff49}\Shell\open\Command - "" = 28b6ry9r.exe
:Files
C:\Users\daniela\AppData\Local\Temp\HtGqLDu.exe
C:\Program Files\uTorrentBar_IT\prxtbuTo0.dll
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:Commands
[EMPTYTEMP]
[EMPTYFLASH]
[EMPTYJAVA] |
clicca 
Se richiesto, riavvia il pc
clicca 
carica il nuovo log su uno dei servizi di hosting indicati in questa discussione
Una volta finito, fai anche queste operazioni:
- scarica AdwCleaner da questo sito e salvalo sul desktop
- clicca con il tasto desto su AdwCleaner e scegli Esegui come amministratore
- clicca sul bottone Search per eseguire una scansione
- attendi pazientemente la fine dei lavori
- quando finisce il controllo, si apre notepad con il contenuto della scansione (AdwCleaner[R1].txt)
- salva il file sul desktop
- il file viene anche salvato in C:\
- posta il file creato, secondo le solite modalità
|
|
| Top |
|
|
danigna
Mortale pio
Registrato: 12/04/12 21:12
Messaggi: 16
|
| Inviato: 22 Ott 2012 13:47 Oggetto: |
|
|
Ecco qui:
log OTL 10222012_095213.log
file adwcleaner .txt]AdwCleaner[R1].txt
E...ha funzionato!!! Ora sembra tutto a posto! Sono ammirata e molto molto grata 
Posso fare altro? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 22 Ott 2012 13:59 Oggetto: |
|
|
C'è qualche discrepanza con quello che leggo nei logs... 
- clicca con il tasto desto su AdwCleaner e scegli Esegui come amministratore
- clicca sul bottone Delete per eseguire la rimozione
- attendi pazientemente la fine dei lavori
- quando finisce il controllo, si apre notepad con il contenuto della scansione (AdwCleaner[S1].txt)
- salva il file sul desktop
- il file viene anche salvato in C:\
- posta il file creato, secondo le solite modalità
fai una nuova scansione con OTL:
- Clicca sull'icona di OTL che trovi sul tuo desktop
- in Output, assicurati che sia selezionato Minimal Output
- metti il segno di spunta a
Scan All Users
LOP Check
Purity Check
- in Standard Registry, assicurati che sia selezionato All
- in Extra Registry, assicurati che sia selezionato Use SafeList
- clicca il bottone Run Scan
- verranno generati 2 logs:
OTListIt.txt (aperto)
Extra.txt (minimizzato)
- Carica i logs uno dei servizi di hosting indicati in questa discussione
|
|
| Top |
|
|
danigna
Mortale pio
Registrato: 12/04/12 21:12
Messaggi: 16
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 22 Ott 2012 18:07 Oggetto: |
|
|
| Ok, segui le istruzioni di questo topic per postare il log di combofix. |
|
| Top |
|
|
danigna
Mortale pio
Registrato: 12/04/12 21:12
Messaggi: 16
|
| Inviato: 23 Ott 2012 00:13 Oggetto: |
|
|
Eccomi, scusate il ritardo!
combofix.txt |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 23 Ott 2012 16:38 Oggetto: |
|
|
Nessun problema. 
- Avvia nuovamente OTL (dal desktop)
- Copia e incolla il testo seguente nel riquadro :
| Citazione: | :processes
killallprocesses
:OTL
O33 - MountPoints2\{d0a22692-1d71-11e0-800c-001b384bff49}\Shell\AutoRun\command - "" = 28b6ry9r.exe
O33 - MountPoints2\{d0a22692-1d71-11e0-800c-001b384bff49}\Shell\open\Command - "" = 28b6ry9r.exe
:reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d0a22692-1d71-11e0-800c-001b384bff49}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:Commands
[EMPTYTEMP]
[EMPTYFLASH]
[EMPTYJAVA] |
clicca
Se richiesto, riavvia il pc
clicca
carica il nuovo log su uno dei servizi di hosting indicati in questa discussione
Ci sono da fare alcuni aggiornamenti, ma li vediamo dopo. |
|
| Top |
|
|
danigna
Mortale pio
Registrato: 12/04/12 21:12
Messaggi: 16
|
| Inviato: 23 Ott 2012 21:35 Oggetto: |
|
|
Ecco qui!
10232012_170237.log
attendo istruzioni, intanto grazie grazie e ancora grazie! |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 23 Ott 2012 22:07 Oggetto: |
|
|
Dovremmo essere in dirittura d'arrivo...
Disinstalla:
- Java(TM) 6 Update 27
- Adobe Reader 8.1.2 - Italiano
Segui le indicazioni di questo topic (a esclusione dell'antivirus):
http://forum.zeusnews.com/viewtopic.php?t=61175
Aggiorna:
Posta i nuovi logs di OTL. |
|
| Top |
|
|
danigna
Mortale pio
Registrato: 12/04/12 21:12
Messaggi: 16
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
danigna
Mortale pio
Registrato: 12/04/12 21:12
Messaggi: 16
|
| Inviato: 27 Ott 2012 01:32 Oggetto: |
|
|
Tutto perfetto! E Malwarebytes non ha trovato minacce.
Siete dei geni, davvero...
Come posso ringraziarvi? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 27 Ott 2012 04:20 Oggetto: |
|
|
| Prima di chiudere definitivamente, vorrei vedere il log di MBAM con un ultimo log di OTL. |
|
| Top |
|
|
danigna
Mortale pio
Registrato: 12/04/12 21:12
Messaggi: 16
|
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
