| Precedente :: Successivo |
| Autore |
Messaggio |
xcel2005it
Mortale devoto
Registrato: 03/07/13 20:10
Messaggi: 10
|
 Inviato: 03 Lug 2013 20:21 Oggetto: virus, problemi vari |
 |
|
ciao a tutti, anche io mi aggiungo alla sfilza di gente che prende virus (ovviamente sempre nei periodi migliori ).
Da ieri nod32 continuava a trovarmi schifezze con messaggi ricorrenti, fino a quando ha smesso di funzionare; ora non riesco a installare più antivirus (olè). In modalità provvisoria ho lanciato mbam e poi kaspersky (di cui non ho log) che hanno eliminato un pò di schifezza non risolvendo molto
Il Pc ogni tanto si freeza, probabilmente perchè il processore rimane al 100% per brevi periodi (circa 30sec, ma anche meno). Anche daemon tools ha smesso di funzionare (non so se è una info che può essere utile, dice che ci sono problemi col kernel così come nod)
Ora che mi ricordo aggiungo che non è possibile fare alcun ripristino di sistema perchè non parte il tools per caricarli; in modalità provvisoria, parte ma non ci sono punti di ripristino
se qualcuno è in grado di darmi suggerimenti lo apprezzerei
intanto vi allego il log di mbam (pre-kaspersky), hijackthis (fatto prima di combofix) e Combofix (ultimo fatto).
Scusate se non dovessi riuscire a rispondere celermente 
mbam-log-2013-07-02 (00-39-15).txt mbam
hijackthis_02-07-13.txt hijackthis
log_combofix_02-07-13.txt combofix |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 03 Lug 2013 21:52 Oggetto: |
|
|
Ciao.
Le infezioni prese, (e sono gravi) sono dovute al NON aggiornamento del S.O.
Dovresti installare il SP1 di Windows 7.
link
Prima però cerchiamo di eliminare più infezioni possibili:
Disistalla il Nod 32.
Ormai è fuori combattimento, e oltre a essere inservibile, potrebbe intralciare le successive scansioni.
Potrai reistallarlo dopo la bonifica.
Scarica TDSSKiller sul desktop:
link
Fai doppio clik su TDSSKiller.exe
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system" e "verify file digital signature"
Clicca OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.
Poi:
Scarica RougeKiller sul desktop.
link (per S.O 32 bit)
link (per S.O 64 bit)
Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, clicca su "Report" troverai il log sul desktop.
Postalo qui.
Per ultimo:
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i 2 log.
I log (tutti) vanno postati come hai fatto con quelli precedenti. |
|
| Top |
|
|
xcel2005it
Mortale devoto
Registrato: 03/07/13 20:10
Messaggi: 10
|
| Inviato: 04 Lug 2013 00:21 Oggetto: |
|
|
allora, innanzi tutto grazie dell'aiuto.
Sul s.o. ormai ci avevo messo una croce sopra se non serve per eliminare i virus, il sp1 lo lascerei da parte visto che ormai gli antivirus mi hanno cancellato troppa roba e avrei comunque dovuto reinstallare tutto (magari non così a breve termine ) vorrei dare una pulita per evitare di portarmi appresso rogne col backup (anche perchè non ho idea di cosa mi abbia contagiato)
nod nn è più disinstallabile, ho provato anche con ccleaner, ormai è solo un cadavere nell'hdd che occupa spazio; spero che non dia fastidio
intanto faccio il resto della procedura e domani posto tutto |
|
| Top |
|
|
xcel2005it
Mortale devoto
Registrato: 03/07/13 20:10
Messaggi: 10
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 04 Lug 2013 14:12 Oggetto: |
|
|
Ciao.
| Citazione: | | il sp1 lo lascerei da parte visto che ormai gli antivirus mi hanno cancellato troppa roba |
L'SP1 evita di prendere determinate infezioni, che sono devastanti per il pc in quanto danneggiano file di sistema.
Poi vedi tu; il pc è tuo.
Vai in "Programmi e funzionalità" e disistalla TUTTE le versioni Java che trovi.
Riesegui RougeKiller
Finita la scansione, LASCIA la spunta a questa voce:
[RUN][SUSP PATH] HKLM\[...]\Run : deadsurfv1.1 (C:\Users\Mik\AppData\Local\Apps\2.0\Z1WV06XY.WNT\7VA5X7G0.HAZ\dead..tion_0000000000000000_0001.0000_29377746a007cc4b\deadsurfv1.1.exe [-]) -> Trovato
E TOGLI la spunta a TUTTE le altre.
Clicca su "Delete".
Finita l'eliminazione clicca su "Report".
Postalo qui.
Poi:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
| Codice: | KillAll::
Folder::
c:\users\Mik\AppData\Local\Apps\2.0\Z1WV06XY.WNT\7VA5X7G0.HAZ
c:\users\Mik\AppData\Local\Apps\2.0\Z1WV06XY.WNT
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"=-
"SunJavaUpdateSched"=-
"deadsurfv1.1"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\XMS7 StartUp]
FCopy::
c:\windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_8.0.7600.16385_none_b346f9b4861b55c2\iexplore.exe|c:\windows\winsxs\x86_microsoft-windows-i..etexplorer-optional_31bf3856ad364e35_9.4.8112.16421_none_b135ff17c80c1949\iexplore.exe |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
Per ultimo:
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
| Codice: | :OTL
SRV - (ekrn) -- D:\Programmini vari\Eset\ESET NOD32 Antivirus\ekrn.exe (ESET)
SRV - (EhttpSrv) -- D:\Programmini vari\Eset\ESET NOD32 Antivirus\EHttpSrv.exe (ESET)
IE - HKU\S-1-5-21-249472420-3969865938-2139687182-1000\..\SearchScopes\{6B871563-ABD2-40AC-B8D0-C988731B8FBF}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ATU2&o=14670&src=kw&q={searchTerms}&locale=&apn_ptnrs=T8&apn_dtid=YYYYYYYYIT&apn_uid=29da61e8-1145-47dd-b862-0d5c15e33f1d&apn_sauid=89431FDA-F3FC-4DE0-B47F-FA6EE2E8FB40
O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} http://quickscan.bitdefender.com/qsax/qsax.cab (Bitdefender QuickScan Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 10.9.2)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
[2013/07/01 15:40:07 | 000,000,000 | ---D | M] -- C:\Users\Mik\AppData\Roaming\Coqooz
[2011/11/27 21:26:20 | 000,000,000 | ---D | M] -- C:\Users\Mik\AppData\Roaming\KoshyJohn.com
[2011/11/23 21:53:37 | 000,000,000 | ---D | M] -- C:\Users\Mik\AppData\Roaming\pdfforge
:Files
C:\Windows\System32\drivers\eamonm.sys
C:\Windows\System32\drivers\ehdrv.sys
C:\Windows\System32\drivers\epfwwfpr.sys
C:\Users\Mik\AppData\Local\wsr28zt32.dll
ipconfig /flushdns /c
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
Fai una pulizia con CCleaner. (registro compreso)
Dimmi i problemi che riscontri. |
|
| Top |
|
|
xcel2005it
Mortale devoto
Registrato: 03/07/13 20:10
Messaggi: 10
|
| Inviato: 04 Lug 2013 19:52 Oggetto: |
|
|
non è possibile disisnstallare le versioni java, mi dice o che "windows installer no è installato correttamente" oppure, dopo aver provato un pò di volte,"attendere fino al completamento della disinstallazione", ma non fa nulla.
vado avanti col resto della procedura
p.s. provato anche ad eliminarli con ccleaner ma da errore |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 04 Lug 2013 22:28 Oggetto: |
|
|
| Citazione: | | p.s. provato anche ad eliminarli con ccleaner ma da errore |
Non capisco.
Provato a eliminare "cosa" ?
Poi CCleaner, non è un antivirus, o un software di difesa.
E' solo un "pulitore" di rimasugli . |
|
| Top |
|
|
xcel2005it
Mortale devoto
Registrato: 03/07/13 20:10
Messaggi: 10
|
| Inviato: 04 Lug 2013 23:08 Oggetto: |
|
|
si scusa, intendevo che i vari java non me li fa eliminare, nemmeno con ccleaner.
ho provato combofix, ma dopo 20-30 min si riavvia il pc senza nessun log. ora provo alanciarlo in modalità provvisoria come ho fatto col primo log postato di combofix |
|
| Top |
|
|
xcel2005it
Mortale devoto
Registrato: 03/07/13 20:10
Messaggi: 10
|
| Inviato: 05 Lug 2013 01:59 Oggetto: |
|
|
allego solo il log di RK e Otl.
Combofix l'ho fatto 3 volte con win in modalità normale ed al riavvio non ha dato alcun log (non so se il lavoro è stato completato o meno).
Ho tentato altre 3 volte in modalità provvisoria, ma quando il pc si riavvia dice "creazione log, non avviare alcun programma e poi.........spazio esaurito"
liberando spazio sono arrivato anche adargli 5 gb, ma nulla, riesce sempre a finire lo spazio (effettivamente in c: ci sono due cartelle create da combofix, 1-combofix occupa 3.5gb e l'altra qoobox 6gb)
Se faccio un backup manuale dei miei dati collegando un hdd esterno (sempre che ci riesca visto che il pc ogni tanto si freeza) ,per poi formattare tutto, rischio di contagiarlo o è un'infezione che riguarda "solo" i file di sistema?
log:
_D_07042013_204351.txt]RKreport[0]_D_07042013_204351.txt rk
07052013_013131.log otl |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 05 Lug 2013 18:04 Oggetto: |
|
|
Ciao.
Riesegui RougeKiller
Finita la scansione, LASCIA la spunta a TUTTE le voci:
Clicca su "Delete".
Finita l'eliminazione clicca su "Report".
Postalo qui.
Riesegui RougeKiller.
Finita la scansione clicca su Report e posta il log.
Rinomina Combofix in uninstall e avvialo.
Aspetta che ti comunichi la sua disistallazione.
Fai una pulizia con CCleaner( registro compreso)
Riscarica Combofix:
link
Salvalo sul Desktop, e fai una scansione.
Posta il log.
| Citazione: | | Se faccio un backup manuale dei miei dati collegando un hdd esterno |
Troppo rischioso.
Potresti infettare l'HD esterno.
Se hai un pò di pazienza , possiamo farcela a rimettere in sesto il pc.
Almeno si tenta. |
|
| Top |
|
|
xcel2005it
Mortale devoto
Registrato: 03/07/13 20:10
Messaggi: 10
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 05 Lug 2013 20:53 Oggetto: |
|
|
Cacchio......... hai il virus Virut....
Quando ho visto tutti gli .exe infetti segnalati da Combofix, ho avuto il sospetto, ma speravo non fosse proprio questo virus.
Purtroppo hai imbarcato una delle peggiori infezioni che ci sia in rete. (se non la peggiore.)
Ecco alcune informazioni riguardo questa "bestia":
http://forum.zeusnews.com/viewtopic.php?t=46694 |
|
| Top |
|
|
xcel2005it
Mortale devoto
Registrato: 03/07/13 20:10
Messaggi: 10
|
| Inviato: 05 Lug 2013 21:36 Oggetto: |
|
|
olèèèèè , o il meglio o niente xd
Alla fine ho lasciato la cartella ed avviando combofix mi da errore dopo qualche minuto che è partito dicendo "sintassi del comando errata" (posterei i link con l'immagine dell'errore, ma non so se prima ho fatto bene ad usare un link esterno )
comunque ora vado a darmi una lettura al thread che mi hai suggerito e vedo cosa si può fare |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 05 Lug 2013 22:47 Oggetto: |
|
|
| Citazione: | | comunque ora vado a darmi una lettura al thread che mi hai suggerito e vedo cosa si può fare |
Prendi seriamente in considerazione il format. (purtroppo)
Oltre a perdere un sacco di tempo per tentare la bonifica, non avrai mai la certezza di averlo eliminato.
Per cui, potresti ritrovarti dopo giorni a bestemmiare, sempre al punto di partenza.
Questo tipo di infezione, infetta migliaia (hai letto giusto: migliaia) di file con varie estensioni.
Se ne resta anche 1 solo, l'infezione si rigenera molto rapidamente.
Per fortuna è un virus piuttosto raro, e come ti ho accennato all'inizio di questo topic, infetta pc non aggiornati (come il tuo.)
Quando reistallerai Windows 7, installa il SP1. |
|
| Top |
|
|
xcel2005it
Mortale devoto
Registrato: 03/07/13 20:10
Messaggi: 10
|
| Inviato: 06 Lug 2013 10:13 Oggetto: |
|
|
Intanto che svuoto l'hdd esterno per salvare qke cosa sopra ho lanciato avg virut remover tool che non ha trovato nulla, mentre da ormai 8 ore gira il medesimo tool della symantec che non da peròun aaggiornamento in tempo reale su quello che trova e quindi non so se stia effettivamente trovando qualcosa.
Comunque avrei le ultime domande pre-format :
1- prima i collegar l'hdd esterno x un minimo d backup devo disabilitare l'autorun da Win?
2- c'è qualche tool da mettere su hdd che potrebbe ridurre le schifezze in entrata, qualcosa ad es. Che mi blocchi gli autorun?
3- formattato e reinstallato Win aggiornato, prima di collegare l'hdd col backup, che precauzioni posso prendere? Qualche scansione con i Live cd del thread che mi ha linkato?
Grazie delle risposte
p. S. se ci sono parole strane nel testo sono l autocorrezioni della tastiera Android xd |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 06 Lug 2013 12:16 Oggetto: |
|
|
Ciao.
| Citazione: | | ho lanciato avg virut remover tool |
Era meglio se usavi i tool consigliati da bdoriano:
AVIRA AntiVir Rescue System
Kaspersky Rescue Disk
| Citazione: | | 1- prima i collegar l'hdd esterno x un minimo d backup devo disabilitare l'autorun da Win? |
Sì devi disabilitare l'Autorun.inf
Puoi solo ed esclusivamente salvare i dati (foto, video, documenti).
Devi evitare assolutamente di salvare gli eseguibili (.exe) e tutti i file con estensione:
.php, .asp, .htm, .html, .xml
Se ne salvi anche 1 solo, il Virut riparte a razzo.
Insomma: lo sò che dispiace perdere qualche file a cui si tiene, ma il rischio di reinfettare il pc, dopo che hai formattato e reistallato il S.O è altissimo, per non dire certo. |
|
| Top |
|
|
xcel2005it
Mortale devoto
Registrato: 03/07/13 20:10
Messaggi: 10
|
| Inviato: 06 Lug 2013 19:44 Oggetto: |
|
|
ora lancio pure AVIRA AntiVir Rescue System, tanto sto ancora rimediando spazio per il backup e se ne parlerà domani per il format
ultima domandina^^
dopo che avrò reinstallato il s.o. e reinserito i miei dati di backup sul pc, come controllo extra (prima di reinstall tutti i vari programmi) cosa consigli? un giro di combofix? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 06 Lug 2013 20:44 Oggetto: |
 |
|
| Citazione: | | cosa consigli? un giro di combofix? |
No.
Installa un antivirus, lo aggiorni e fai una scansione completa.
Poi installa Malwarebytes, lo aggiorni e fai una scansione completa.
Combofix meglio lasciarlo perdere. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
