Condividi:        

Grave infezione da trojan Sirefef.BP... Aiuto!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi Luke57 » 18/03/12 00:35

Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Sponsor
 

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi bob20 » 18/03/12 18:14

Ti ringrazio Luke, ma purtroppo il problema permane. :( Ho ripetuto la procedura tre volte (2 in modalità normale, 1 in provvisoria con rete) ma continuo a non poter navigare.
Nel caso fosse utile, ricordo che l'impossibilità di navigare non è l'unico problema. Ci sono problemi video (la grafica è di scarsa qualità, poca definizione, icone e cursori grandi, i video si vedono male, a scatti o capovolti anche con VLC), non c'è l'audio (si sente solo il "bip" quando c'è un avviso), e quando si va per spegnere, sono selezionabili solo le opzioni di spegnimento e riavvio, e non quella di standby (caratteristica, questa, che di solito c'è solo nella mod. provvisioria, mi pare).

:neutral:
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi COCCOBELLO » 19/03/12 00:14

ciao prova a seguire bene quanto segue

Disattiva il ripristino di configurazione di sistema
segui qui come fare
http://support.microsoft.com/kb/310405/it
Riattiva il Ripristino Configurazione Sistema solo a fine bonifica

Visualizzare i file e cartelle nascosti del sistema
Pannello di controllo
Opzioni cartella
Seleziona la scheda "Visualizzazione"
Nella lista seleziona la voce
"Visualizza cartelle e file nascosti"
Nascondi i file protetti di sistema (consigliato)
e fai click su Applica e poi su OK

Scarica Vir.IT eXplorer Lite
http://www.tgsoft.it/italy/download.asp
salvalo sul desktop.
Doppio click sull'icona di Vir.IT che hai salvato sul desktop
e procedi con l'installazione
al termine dell'installazione, il programma si avvia automaticamente
Clicca sull'icona dell'aggiornamento
Immagine

Nella Finestra che appare clicca su Aggiorna
Al termine dell'aggiornamento, clicca su Scan e Opzioni
Nella Finestra che appare, metti il segno di spunta a Disattiva VirIT Lite Monitor (IMPORTANTE)
Clicca su Ok

Chiudi il programma e riavvia il pc
a pc avviato
Doppio click sull'icona di VirIT eXplorer Lite creata sul desktop
Seleziona il disco C e clicca su Avvio Scansione
alla fine della Scansione Rimuovere le infezioni che trova

ti apparirà un log in formato documento di testo salvalo sul desktop
postalo qui

Scarica e salva sul desktop questo tool
http://anywhere.webrootcloudav.com/antizeroaccess.exe
Chiudi tutti i programmi aperti
doppio click su antizeroaccess.exe
Clicca su Y seguito da Invio per avviare la scansione
Al termine ti mostrerà eventuali rimozioni
posta il log che rilascia
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi Luke57 » 19/03/12 11:58

@Bob20
Ciao, il rootkit sembrava eliminato......

Scarica SystemLook da uno dei seguenti link e salvalo sul desktop.

http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jps...SystemLook.exe

Doppio clic su SystemLook.exe per avviarlo
Copia il seguente codice nella schermata principale

:folderfind
$NtUninstallKB21745$


Clicca su Look per far partire lo scan
Quando finito una finestra notepad si aprirà con il contenuto dello scan. Allega il risultato.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi bob20 » 19/03/12 12:35

Ciao Luke e grazie ancora.
Conto di fare tutto prima di stasera, spero nel pomeriggio.
Avrei solo un paio di domande. Devo comunque fare le procedure che mi avevi descritto nel penultimo messaggio (vir.it e antizeroaccess) oppure passo direttamente a SystemLock?

Nel caso, come credo, che io debba fare tutte le procedure di entrambi i post, temo che al 99% non mi sarà possibile aggiornare Vir.IT, visto che non mi funziona internet. Procedo ugualmente con il programma anche se non aggiornato?
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi Luke57 » 19/03/12 12:42

Ciao, l'altra procedura non l'ho suggerita io. Esegui per prima cosa systemlook e posta il report.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi bob20 » 19/03/12 12:51

Scusa, non me n'ero accorto :oops:
Allora procedo con systemlock, forse riesco a postare il report a breve
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi bob20 » 19/03/12 13:51

Ecco il report
Codice: Seleziona tutto
SystemLook 30.07.11 by jpshortstuff

Log created at 13:15 on 19/03/2012 by Roberto

Administrator - Elevation successful



========== folderfind ==========



Searching for "$NtUninstallKB21745$"

C:\Qoobox\Quarantine\C\WINDOWS\$NtUninstallKB21745$   d------   [17:12 06/03/2012]



-= EOF =-
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi bob20 » 19/03/12 14:57

Comunque ovviamente ringrazio anche Coccobello per i consigli ;) (prima nella fretta mi ero scordato di farlo)
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi Luke57 » 19/03/12 15:58

Ciao, il rootkit si trova nella quarantena di combofix in quanto eliminato dal programma e non in forma
attiva. Ma il computer si riavvia in modalità provvisoria da solo o sei tu che scegli tale modalità?
Quando la accendi clicca ripetutamente f8 prima che compaia windows. Nella schermata grigia che appare, spostandoti con le freccette, scegli l'opzione "avvia windows normalmente".
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi COCCOBELLO » 19/03/12 16:49

se dopo che sei ritornato in modalità normale
è ancora non ti funziona la connesione

prova così
start
esegui

Copia e incolla nella casella Apri nella finestra di dialogo Esegui:
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /f
Fare clic su OK.

RIAVVIA IL PC
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi bob20 » 19/03/12 21:00

Ciao e grazie a entrambi.
Luke57 ha scritto:il rootkit si trova nella quarantena di combofix in quanto eliminato dal programma e non in forma
attiva.
ok, devo eliminarlo definitivamente anche dalla quarantena oppure no? Se sì, come si fa?
Luke57 ha scritto:Ma il computer si riavvia in modalità provvisoria da solo o sei tu che scegli tale modalità?
Quando la accendi clicca ripetutamente f8 prima che compaia windows. Nella schermata grigia che appare, spostandoti con le freccette, scegli l'opzione "avvia windows normalmente".

No, forse mi sono spiegato male io. Le caratteristiche che ho descritto (grafica scarsa, icone e cursori grandi, assenza di audio, etc.) sono quelle che si presentano dopo l'avvio normale. Avevo anche già provato la procedura di cui parli (F8 e "avvia windows normalmente") ma mi si ripresenta sempre la stessa situazione.

Se invece avvio la modalità provvisoria, lo sfondo è tutto nero (è normale che sia così? sinceramente io non me lo ricordo).

Un'altra curiosità è che, attualmente, se avvio in modo normale il sistema si avvia molto più velocemente rispetto a come faceva prima che prendessi il virus... Mentre se avvio in mod. provvisoria lo schermo rimane tutto nero con le sole scritte "Modalità provvisoria" in alto e in basso (mi sembra) e le icone e la barra di windows compaiono solo dopo un po' (circa un minuto).


@Coccobello: grazie del consiglio, dopo che avrò risolto il problema dell'avvio normale proverò la procedura che mi hai indicato
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi COCCOBELLO » 19/03/12 21:42

io credo che il Rootkit.0 Access
non'è stato rimosso completamente,non'è semplice rimuovere questo Rootkit,è difficile da rimuovere
o se è stato debbellato ,ha lasciato dei danni al sistema

segui quello che ho scritto sopra
riguardo ,di disattivare il ripristino
di visualizzare file e cartelle di sistema
e di fare le 2 scansioni con virit,anche senza aggiornarlo e con il tool antizeroaccess

combofix lo aveva rilevato
c:\documents and settings\Roberto\Impostazioni locali\Dati applicazioni\6057cb59
c:\documents and settings\Roberto\Impostazioni locali\Dati applicazioni\6057cb59\@
c:\documents and settings\Roberto\Impostazioni locali\Dati applicazioni\6057cb59\X

ect..
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi Luke57 » 19/03/12 22:10

@Coccobello
Ciao, scusa ma se non leggi bene le discussioni ( e i report) poi affermi cose non vere. Quelle cartelle Combofix le ha eliminate addirittura nella prima scansione ( si trovano sotto la voce "altre eliminazioni") tant'è che alla seconda scansione, fatta in mod.provvisoria, nel report non ci sono. Controlla di nuovo e vedrai che quello che ho detto corrisponde al vero.

@Bob 20
Ciao, ti ho fatto quella domanda perchè hai fatto girare otl.exe in mod.provvisoria (chiedo venia ma me ne sono accorto solamente adesso), per cui, dalla modalità normale riesegui otl mantenendo l'impostazione suggerita. solo che Nel box bianco copia e incolla anche il comando in neretto

"%WinDir%\$NtUninstallKB21745$ "

Clicca su RUN SCAN
A fine scansione OTL produrrà due file di log (OTL.txt ed Extras.txt),
Allegali.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi COCCOBELLO » 20/03/12 00:17

no attenzione Luke57 ho letto bene :)
non dico che non sono state rimosse ho solo detto che le aveva trovate..e cmq rimosse
so leggere un report
si ho visto..non ci sono piu' però vedo anche una cartella sospetta,
C:\.Trash-999

e in MBAM vedo anche
C:\System Volume Information\_restore
forse bisogna disattivare il ripristino?
Avatar utente
COCCOBELLO
Utente Senior
 
Post: 2026
Iscritto il: 06/08/11 13:53

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi bob20 » 20/03/12 00:33

Ok Luke, scusami tu se la volta scorsa avevo usato OTL in provvisoria senza che tu me lo avessi detto.

Questi sono i nuovi log
OTL.Txt

Extras.Txt

Non intervengo nel vostro scambio di opinioni perchè non ci capisco molto :D mi limito a ringraziarvi ancora una volta per il vostro interesse al mio problema
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi Luke57 » 20/03/12 13:48

Ciao, dal report di Otl il rootkit non sembra più essere presente. La cartella C/trash-999 dovrebbe essere il cestino di Ubuntu, me lo confermi?
Certo che i danni fatti sembrano devastanti....

1)Assicurati di avere questa configurazione
clicca su start - pannello di controllo - connessioni di rete
clicca con il tasto destro del mouse sulla tua connessione - seleziona proprietà - doppio click su "Protocollo Internet(TCP/IP)" - seleziona "ottieni indirizzo server DNS automaticamente" - dai l'ok - riavvia il pc
se l'opzione è già presente vai oltre

2)Vai poi su start>esegui e, nello spazio, digita cmd dai l'Ok e, nella finstra che si apre, inserisci questi comandi dando invio dopo ogni comando(eventualmente riporta l'errore)

net start dnscache ->Invio
ipconfig /flushdns ->Invio
Riavvia e controlla la connessione

se non c'è ancora , riapri la finesta dos con cmd e dai questi due comandi:
netsh winsock reset catalog ->Invio
netsh int ip reset reset.log ->Invio

riavvii e controlli la connessione
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi bob20 » 20/03/12 18:27

Grazie Luke, ma purtroppo internet ancora non funziona.
La voce "ottieni indirizzo server DNS automaticamente" era gia selezionata.

Ho tentato la prima procedura, ma dopo entrambi i comandi sono comparsi messaggi d'errore.
Dopo il primo comando:
errore di sistema 1068

avvio del gruppo o del servizio di dipendenza non riuscito


e dopo il secondo:
si è verificato un errore interno:richiesta non supportata

contatta il supporto tecnico...

informazioni aggiuntive: impossibile recuperare i parametri DHCP


Ho riavviato comunque, ma ovviamente internet continuava a non andare.
Sono passato alla seconda procedura. Qui dopo il primo comando è comparso un messaggio di conferma del completamento dell'operazione, con scritto anche che bisognava riavviare, mentre dopo il secondo comando nessun messaggio, è comparsa solo una nuova riga per l'eventuale inserimento di un nuovo comando.
Ho chiuso la finestra, riavviato il pc, ma internet continua a non andare

E probabile che la cartella Trash-999 sia il cestino di ubuntu, comunque ti posso dire che contiene 3 sottocartelle, tutte vuote: expunged, files, info.
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi Luke57 » 20/03/12 21:46

Ciao, è un problema.. vai qui:
http://www.wintricks.it/windxp/xptricks59.html

prova a seguire le istruzioni relativamente al file TCPIP.sys, controlla se è presente nella cartella.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Grave infezione da trojan Sirefef.BP... Aiuto!

Postdi bob20 » 21/03/12 12:03

Ciao Luke. In quella cartella c'è già un file di sistema chiamato tcpip, proprio della stessa dimensione di quello scaricabile dal link. Provo a reinserirlo ugualmente oppure no?
bob20
Utente Senior
 
Post: 238
Iscritto il: 31/03/05 21:06

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Grave infezione da trojan Sirefef.BP... Aiuto!":

aiuto windows 10
Autore: mod360
Forum: Software Windows
Risposte: 1
aiuto installazione
Autore: mod360
Forum: Software Windows
Risposte: 3
aiuto x mobili
Autore: MarioLombardi
Forum: Forum off-topic
Risposte: 8

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti