Condividi:        

Affondamento quasi completo

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Affondamento quasi completo

Postdi tanuki » 11/08/09 08:29

Ragazzi, ciao a tutti.

Credo di essermi infettato come si deve, questa volta.

Ieri, scaricando un mp3 da un sito che credevo assolutamente sicuro (laruku.com) ad un certo punto sono accaduti questi eventi:
1) Il sistema mi avverte di una grave infezione, a fianco all'orologio compare lo scudo rosso di windows.
2) Senza avere il tempo di fare nulla, parte la schermata blu che dura due secondi ed il sistema si riavvia, Windows XP SP3 sembra ripartire tranquillamente.
3) Noto che l'antivirus si è disattivato e non si aggiorna più (Antivir)
4) I due browser che uso, Mozzilla e IE 6 (sempre aggiornati con i relativi update) non mi permettono più di usare i motori di ricerca; ad esempio, con google, scrivo "corriere della sera" e se clicco sul primo risultato, mi manda ad un sito hard o ad un antivirus online che mi segnala infezioni con pop up.

Reazione:
1) Faccio una scansione con Nod 32 online e mi rileva e rimuove 10 trojan (problema sul java), ma il problema ai browser persiste.
2) Disinstallo Antivir che ormai non si aggiorna più, praticamente affondato.
3) A questo punto rimuovo tutto quello che posso rimuovere: Adobe Acrobat, Java, Programmi inutilizzati, Mozzilla, CC Cleaner, insomma, tutto quello che non mi serve.
4) Faccio un po' di pulizia con Reg Supreme.
5) Faccio un po' di pulizia con Windows & Internet Cleaner Pro.
4) Installo Nod 32 che, aggiornatissimo a oggi, dopo una scansione approfondita, non mi rileva nulla di nulla.

Ecco il log di Hijackthis:
_______________________________

Logfile of HijackThis v1.99.1
Scan saved at 9.13.45, on 11/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\netdde.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\UPHClean\uphclean.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Atlantis\NetFly U54 Wireless Utility \ZDWlan.EXE
C:\Programmi\Eset\nod32.exe
C:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

Ah, dimenticavo, è normale che Nod rilevi "errore impossibile aprire il file" durante la scansione? Antivir non lo faceva.

Vi prego, aiutatemi!!! Ah, mi sembra che dal fattaccio ci sia un svchost in più.
Avatar utente
tanuki
Utente Senior
 
Post: 296
Iscritto il: 05/02/05 08:39
Località: Sandalia

Sponsor
 

Re: Affondamento quasi completo

Postdi shel » 11/08/09 09:04

ciao

il log di hijackthis e' incompleto- fai una nuova scansione

prova a scaricare ( se te lo consente) questo programma- se non dovessi riuscirci, rinominalo durante il download con un nome di fantasia


http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Avvia il file ComboFix.exe
Digita 1 per avviare il tool
Segui le istruzioni (non fare nulla durante la scansione, se spariscono le icone dal desktop è normale) e alla fine verrà generato un log.
Finito, posta il log che trovi in C:\Combofix.txt
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Affondamento quasi completo

Postdi tanuki » 11/08/09 11:12

Ciao e grazie per la risposta.

Ho scaricato Combo Fix ma cercando di avviare l' applicazione, non si avvia. Sbaglio qualche cosa?
Avatar utente
tanuki
Utente Senior
 
Post: 296
Iscritto il: 05/02/05 08:39
Località: Sandalia

Re: Affondamento quasi completo

Postdi tanuki » 11/08/09 11:26

Aggiornamento, sono riuscito a farlo partire in modalità provvisoria e rinominandolo. Vediamo se ci sono novità.
Avatar utente
tanuki
Utente Senior
 
Post: 296
Iscritto il: 05/02/05 08:39
Località: Sandalia

Re: Affondamento quasi completo

Postdi shel » 11/08/09 11:40

ciao

magari se posti il log sara' piu' facile vedere se c'e' qualcosa ;)
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Affondamento quasi completo

Postdi tanuki » 11/08/09 11:51

Non ci crederai, ma sino ad ora il programma stava "lavorando" e anche adesso l'HD sta macinando per la preparazione del report!!! Appena tutto sarà sfornato posterò il risultato.

Non vorrei essere scurrile, ma questa volta nel mio pc c'è un gran casino e dire che mi sono sempre vantato di non essere mai stato infettato... che figuraccia.
Avatar utente
tanuki
Utente Senior
 
Post: 296
Iscritto il: 05/02/05 08:39
Località: Sandalia

Re: Affondamento quasi completo

Postdi tanuki » 11/08/09 11:58

shel ha scritto:ciao

magari se posti il log sara' piu' facile vedere se c'e' qualcosa ;)


Eccolo!!!

ComboFix 09-08-10.04 - Antonio 11/08/2009 12.31.57.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.446.208 [GMT 2:00]
Eseguito da: D:\Rosolutore.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00C8-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806EE0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806EE0B3-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806EE0B3-FFA4-00FC-0D24-347CA8A3377C}
AV: Sistema Antivirus NOD32 2.50 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is active


ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-2000478354-152049171-839522115-1003
c:\recycler\S-1-5-21-4037498340-3510512148-831538865-1003
c:\windows\Installer\100466.msi
c:\windows\Installer\10046c.msi
c:\windows\Installer\35c96.msi
c:\windows\Installer\373a5.msi
c:\windows\Installer\373ae.msi
c:\windows\Installer\3ca98.msi
c:\windows\Installer\9f7830.msi
c:\windows\run.log
c:\windows\system32\drivers\UACebdyuyxmpj.sys
c:\windows\system32\uacinit.dll
c:\windows\system32\UACitqsnoewog.db
c:\windows\system32\UACkcntjxdhxr.dll
c:\windows\system32\UACnalsupapsk.dll
c:\windows\system32\UACqmbpdqpxvv.dat
c:\windows\system32\UACtmxcnbmpvd.dll
c:\windows\system32\UACwyhrgruefo.dll


.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_UACd.sys
-------\Legacy_NETCONF32
-------\Legacy_SYSMGR64
-------\Service_netconf32
-------\Service_sysmgr64


((((((((((((((((((((((((( Files Creati Da 2009-07-11 al 2009-08-11 )))))))))))))))))))))))))))))))))))
.

2009-08-11 06:45 . 2009-08-11 06:44 270336 ----a-w- c:\windows\system32\imon.dll
2009-08-11 06:45 . 2009-08-11 06:44 502208 ----a-w- c:\windows\system32\drivers\amon.sys
2009-08-10 21:47 . 2009-08-11 10:31 -------- d-----w- c:\programmi\ESET
2009-08-10 21:17 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-10 19:53 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-08-10 19:35 . 2009-08-10 19:35 70656 ----a-w- c:\windows\system32\drivers\iqmbyxevsixtbqpc.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-10 21:33 . 2002-12-31 22:39 -------- d-----w- c:\programmi\File comuni\Adobe
2009-08-07 19:26 . 2007-11-02 22:35 139152 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-08-07 19:26 . 2007-11-02 22:34 111928 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-08-07 17:55 . 2007-11-02 18:44 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-06-26 16:49 . 2006-02-24 13:22 669184 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2004-08-19 22:39 81920 ------w- c:\windows\system32\ieencode.dll
2009-06-16 14:36 . 2003-04-08 02:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2003-04-08 02:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-03 19:09 . 2005-01-10 18:17 1296384 ----a-w- c:\windows\system32\quartz.dll
2009-05-14 18:28 . 2009-05-14 18:26 16742799 ----a-w- c:\docume~1\ALLUSE~1\DATIAP~1\vlc-0.9.9-win32.exe
2008-09-10 18:45 . 2008-09-10 18:45 59 --sh--r- c:\windows\system32\1361889.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="c:\programmi\Eset\nod32kui.exe" [2009-08-11 917504]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^DigiScan.lnk]
backup=c:\windows\pss\DigiScan.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^NetFly U54 Wireless Utility .lnk]
backup=c:\windows\pss\NetFly U54 Wireless Utility .lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Ralink Wireless Utility.lnk]
backup=c:\windows\pss\Ralink Wireless Utility.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Antonio^Menu Avvio^Programmi^Esecuzione automatica^WKCALREM.LNK]
backup=c:\windows\pss\WKCALREM.LNKStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"sysmgr64"=2 (0x2)
"netconf32"=2 (0x2)
"getPlus(R) Helper"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"ose"=3 (0x3)
"HPWirelessMgr"=2 (0x2)
"HPConfig"=2 (0x2)
"PnkBstrA"=3 (0x3)
"helpsvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [10/08/2009 21.53.10 28544]
R0 WCMBusXP;WCM Enumerator and Bus Driver;c:\windows\system32\drivers\WCMBusXP.sys [11/06/2006 22.35.45 66816]
R3 CALIAUD;Conexant AMC 3D ENVIRONMENTAL AUDIO;c:\windows\system32\drivers\caliaud.sys [01/01/2003 1.21.47 291328]
R3 CALIHALA;CALIHALA;c:\windows\system32\drivers\calihal.sys [01/01/2003 1.21.47 244608]
R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;c:\windows\system32\drivers\DP83815.sys [17/07/2003 3.01.02 28280]
R3 ZD1211BU(Atlantis-Land);NetFly U54 Wireless USB Adapter Driver(Atlantis-Land);c:\windows\system32\drivers\ZD1211BU.sys [02/12/2008 16.05.51 500736]
S2 pciinfo;HP Pci Information; [x]
S3 AvFlt;Antivirus Filter Driver;c:\windows\system32\drivers\av5flt.sys --> c:\windows\system32\drivers\av5flt.sys [?]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;c:\windows\system32\drivers\BRGSp50.sys [02/12/2008 16.05.50 20608]
S3 MEMSWEEP2;MEMSWEEP2; [x]
S3 rtl8180;PCM1000 Wireless LAN Card Adapter NT Driver;c:\windows\system32\drivers\RTL8180.sys [16/04/2003 14.04.46 151808]
S3 SDTHOOK;SDTHOOK;c:\windows\system32\drivers\SDTHOOK.SYS [27/12/2007 21.18.41 44928]
S3 WCMVmdXP;WCM VMODEM Driver;c:\windows\system32\drivers\WCMVmdXP.sys [11/06/2006 22.35.45 54656]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - uphcleanhlp
.
Contenuto della cartella 'Scheduled Tasks'
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKU-Default-Run-Microsoft SDKP2 - mswinsdp.exe


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: Download with GetRight
IE: E&sporta in Microsoft Excel
IE: Open with GetRight Browser
LSP: imon.dll
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-11 12:48
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'lsass.exe'(824)
c:\windows\system32\imon.dll
c:\programmi\Eset\pr_imon.dll

- - - - - - - > 'explorer.exe'(908)
c:\windows\System32\WMVCore.DLL
c:\windows\System32\WMASF.DLL
c:\windows\system32\mswmdm.dll
c:\windows\system32\wmdmlog.dll
c:\windows\system32\mspmsp.dll
c:\windows\system32\wmdmps.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\netdde.exe
c:\programmi\ESET\nod32krn.exe
c:\windows\system32\wdfmgr.exe
c:\programmi\UPHClean\uphclean.exe
.
**************************************************************************
.
Ora fine scansione: 2009-08-11 12.55.04 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-08-11 10:53

Pre-Run: 20.166.430.720 byte disponibili
Post-Run: 20.037.406.720 byte disponibili

176

Ma che è arabo??? Vi prego aiutatemi :''''''''''''''''''''''
Avatar utente
tanuki
Utente Senior
 
Post: 296
Iscritto il: 05/02/05 08:39
Località: Sandalia

Re: Affondamento quasi completo

Postdi shel » 11/08/09 12:27

visaulizza i file nascosti

clicca sul tasto “organizza” presente in ogni cartella. In seguito seleziona la voce “opzioni ricerca e cartella” dal menu.Si aprirà una finestra in cui dovrai selezionare la tabella “Visualizza” e a questo punto clicca all’interno del cerchio presente di fianco a “Mostra file e cartelle noscoste”,cliccate su OK e a questo punto sia le cartelle che i file nascosti presenti sul PC saranno visibili.


cerca ed elimina se presente il file segnato in rosso

c:\windows\system32\drivers\iqmbyxevsixtbqpc.sys


fai una scansione supplementare con http://www.malwarebytes.org/mbam/program/mbam-setup.exe



1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Affondamento quasi completo

Postdi tanuki » 11/08/09 13:23

shel ha scritto:visaulizza i file nascosti

clicca sul tasto “organizza” presente in ogni cartella. In seguito seleziona la voce “opzioni ricerca e cartella” dal menu.Si aprirà una finestra in cui dovrai selezionare la tabella “Visualizza” e a questo punto clicca all’interno del cerchio presente di fianco a “Mostra file e cartelle noscoste”,cliccate su OK e a questo punto sia le cartelle che i file nascosti presenti sul PC saranno visibili.


cerca ed elimina se presente il file segnato in rosso

c:\windows\system32\drivers\iqmbyxevsixtbqpc.sys


fai una scansione supplementare con http://www.malwarebytes.org/mbam/program/mbam-setup.exe



1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum


Ciao, ho cancellato il file e adesso faccio la scansione! A subito : )
Avatar utente
tanuki
Utente Senior
 
Post: 296
Iscritto il: 05/02/05 08:39
Località: Sandalia

Re: Affondamento quasi completo

Postdi tanuki » 11/08/09 14:32

Malwarebytes' Anti-Malware 1.40
Versione del database: 2600
Windows 5.1.2600 Service Pack 3

11/08/2009 15.28.21
mbam-log-2009-08-11 (15-28-16).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 135706
Tempo trascorso: 1 hour(s), 1 minute(s), 44 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 6
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 4

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\Interface\{a16650a9-b065-40ec-bbd1-f8d370d17fb1} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{bdddf1a5-51a9-4f51-b38d-4cd0ad831b31} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e43dfaa6-8c16-4519-b022-8792408505a4} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{e24211b3-a78a-c6a9-d317-70979ace5058} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACkcntjxdhxr.dll.vir (Rogue.Agent) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACtmxcnbmpvd.dll.vir (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{AE03B180-12EF-4C97-868A-BF614CBEB969}\RP498\A0422780.dll (Rogue.Agent) -> No action taken.
C:\System Volume Information\_restore{AE03B180-12EF-4C97-868A-BF614CBEB969}\RP498\A0422782.dll (Trojan.TDSS) -> No action taken.


Ecco il log di quest'altro programma!
Avatar utente
tanuki
Utente Senior
 
Post: 296
Iscritto il: 05/02/05 08:39
Località: Sandalia

Re: Affondamento quasi completo

Postdi shel » 11/08/09 15:02

ciao

riavvia malwarebytes e con la spunta nelle voci trovate elimina tutto


usa ccleaner
http://www.ccleaner.com
Importante:
In fase d’installazione togli la spunta altrimenti viene installata Yahoo Tollbar.
Avvialo e clicca su:
- Opzioni Avanzate
Togli la spunta da:
- Elimina file solo se più vecchi di 48 ore
Clicca i tasti:
- Pulizia (il primo in alto a Sinistra)
- Analizza ( Pulsante in basso Centrale)
- Avvia Pulizia (Pulsante in basso a Destra)


Correggi gli errori File di Registro
CCleaner
Clicca i tasti:
- Registro (Secondo tasto in alto a Sinistra)
- Trova Problemi (Pulsante in basso Centrale)
- Ripara selezionati (Pulsante in basso a Destra)
- alla domanda:
- Vuoi eseguire il Backup delle modifiche del Registro”
- clicca:
- SI


Esegui nuovamente hijackthis e posta il log

Puoi dirmi se il pc ha ancora gli stessi problemi?
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Affondamento quasi completo

Postdi tanuki » 11/08/09 17:01

shel ha scritto:ciao

riavvia malwarebytes e con la spunta nelle voci trovate elimina tutto


usa ccleaner
http://www.ccleaner.com
Importante:
In fase d’installazione togli la spunta altrimenti viene installata Yahoo Tollbar.
Avvialo e clicca su:
- Opzioni Avanzate
Togli la spunta da:
- Elimina file solo se più vecchi di 48 ore
Clicca i tasti:
- Pulizia (il primo in alto a Sinistra)
- Analizza ( Pulsante in basso Centrale)
- Avvia Pulizia (Pulsante in basso a Destra)


Correggi gli errori File di Registro
CCleaner
Clicca i tasti:
- Registro (Secondo tasto in alto a Sinistra)
- Trova Problemi (Pulsante in basso Centrale)
- Ripara selezionati (Pulsante in basso a Destra)
- alla domanda:
- Vuoi eseguire il Backup delle modifiche del Registro”
- clicca:
- SI


Esegui nuovamente hijackthis e posta il log

Puoi dirmi se il pc ha ancora gli stessi problemi?



Ho seguito tuta la procedura, ecco il log di HJT

Logfile of HijackThis v1.99.1
Scan saved at 17.58.42, on 11/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\netdde.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\UPHClean\uphclean.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\internet explorer\iexplore.exe
C:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9997909664
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F336A41-0EBD-499A-96F6-C860047140FD}: NameServer = 213.205.32.70 213.205.36.70
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

Come va?
Avatar utente
tanuki
Utente Senior
 
Post: 296
Iscritto il: 05/02/05 08:39
Località: Sandalia

Re: Affondamento quasi completo

Postdi shel » 11/08/09 17:56

ciao

dovresti fare nuovamente la scansione con hijackthis aggiornato, la versione che hai e' obsoleta

disinstallalo e fai una nuova installazione con la versione piu' recente

http://www.trendsecure.com/portal/en-US ... kthis.php#

nel download mettilo in programmi o documenti
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Affondamento quasi completo

Postdi tanuki » 11/08/09 18:03

Ciao, ok, seguirò subito il consiglio.

Intanto posso dire che già i browsers si sono rimessi a funzionare correttamente, grazie a tutti voi. Ma vediamo HJT cosa dice.
Avatar utente
tanuki
Utente Senior
 
Post: 296
Iscritto il: 05/02/05 08:39
Località: Sandalia

Re: Affondamento quasi completo

Postdi tanuki » 11/08/09 18:09

shel ha scritto:ciao

dovresti fare nuovamente la scansione con hijackthis aggiornato, la versione che hai e' obsoleta

disinstallalo e fai una nuova installazione con la versione piu' recente

http://www.trendsecure.com/portal/en-US ... kthis.php#

nel download mettilo in programmi o documenti



Ecco:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.07.39, on 11/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\netdde.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\UPHClean\uphclean.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Antonio\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9997909664
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F336A41-0EBD-499A-96F6-C860047140FD}: NameServer = 213.205.32.70 213.205.36.70
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

--
End of file - 2208 bytes
Avatar utente
tanuki
Utente Senior
 
Post: 296
Iscritto il: 05/02/05 08:39
Località: Sandalia

Re: Affondamento quasi completo

Postdi shel » 11/08/09 18:17

il log e' pulito

se non riscontri altri problemi dovresti essere a posto
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Affondamento quasi completo

Postdi tanuki » 11/08/09 18:32

shel ha scritto:il log e' pulito

se non riscontri altri problemi dovresti essere a posto



Grazie mille! Siete stati davvero fantastici e disponibili. Farò tesoro della procedura.

Grazie mille ancora!
Avatar utente
tanuki
Utente Senior
 
Post: 296
Iscritto il: 05/02/05 08:39
Località: Sandalia

Re: Affondamento quasi completo

Postdi shel » 11/08/09 18:34

ricorda di disinstallare combofix in questo modo

Clicca su start>esegui
nel box bianco digita questo comando
combofix /u
Clicca su Ok
Quando appare il disclaimer, seleziona l'opzione 2 e verranno rimossi tutti i files e cartelle assocciate a Combofix.
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Affondamento quasi completo

Postdi tanuki » 11/08/09 22:00

Il comando
combofix /u
Non viene accettato...
Avatar utente
tanuki
Utente Senior
 
Post: 296
Iscritto il: 05/02/05 08:39
Località: Sandalia

Re: Affondamento quasi completo

Postdi shel » 11/08/09 22:08

devi digitare digita combofix /u e dai l'ok (combofix[spazio]/u)


se non ci riesci elimina da C:\ la cartella qoobox
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Affondamento quasi completo":


Chi c’è in linea

Visitano il forum: Nessuno e 40 ospiti