PDA

View Full Version : Eliminazione scorie indesiderate

Ultron5
30-12-2008, 00:06
Piccola premessa per iniziare come browser uso Firefox qualche giorno fa improvvisamente mi si apre ie con un avviso di infezione e la proposta di una scansione chiudo ie e lo blocco con il firewall
Faccio un primo giro con Malwarebytes
mbam-log-2008-12-28 (13-45-21).txt (http://wikisend.com/download/577040/mbam-log-2008-12-28 (13-45-21).txt)
Dopo la pulizia rimane qualche scoria che non riesce ad eliminare
mbam-log-2008-12-28 (14-45-03).txt (http://wikisend.com/download/617002/mbam-log-2008-12-28 (14-45-03).txt)
Passo quindi a Combofix che trova altra roba
ComboFix prima.txt (http://wikisend.com/download/484344/ComboFix prima.txt)
Sembra tutto a posto
ComboFix dopo.txt (http://wikisend.com/download/513014/ComboFix dopo.txt)
ma al chiave di registro HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} è ancora presente
Passo quindi a SUPERAntiSpyware che mi trova la solita chiave
Che non riesce ad eliminare
SUPERAntiSpyware Scan Log - 12-29-2008 - 00-36-53.log (http://wikisend.com/download/962090/SUPERAntiSpyware Scan Log - 12-29-2008 - 00-36-53.log)
Ho provato ad eliminare la chiave incriminata con Regedit senza successo, stesso risultato con RegAssassin utilizzando Combofix ed il seguente script

Registry::
[-HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4}]

Al reboot ho ottenuto una bella schermata blu (forse è sbagliato lo script) ed alla successiva accensione la chiave era ancora presente
Faccio anche le altre scansioni ma a parte qualche altra porcheria non cambia nulla
Allego anche il log di a-squared
a2scan_081229-003935.txt (http://wikisend.com/download/885258/a2scan_081229-003935.txt)
Cureit
CureIt.log (http://wikisend.com/download/533486/CureIt.log)
GMER
Gmer.log (http://wikisend.com/download/884038/Gmer.log)
SysInspector
SysInspector-DCJHNQ2J-081229-1156.zip (http://wikisend.com/download/961584/SysInspector-DCJHNQ2J-081229-1156.zip)
Prevxcsi
Prevxcsi.log (http://wikisend.com/download/218400/Prevxcsi.log)
HijackThis
hijackthis.log (http://wikisend.com/download/531784/hijackthis.log)
Avete qualche idea su come eliminare definitivamente quella maledetta chiave?

Grazie Ciao
Chill-Out
30-12-2008, 00:25
Ciao ripeti la scansione completa con MBAM
Ultron5
30-12-2008, 08:38
Fatto ma non cambia niente chiave riconosciuta ma non cancellata :cry:

Malwarebytes' Anti-Malware 1.31
Versione del database: 1550
Windows 5.1.2600 Service Pack 3

30/12/2008 9.21.16
mbam-log-2008-12-30 (09-21-10).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|)
Elementi scansionati: 169600
Tempo trascorso: 1 hour(s), 16 minute(s), 23 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)
Chill-Out
30-12-2008, 08:39
Per cortesia edita il post, i log vanno allegati non copiati ed incollati :)

Il log per questa volta l'ho sistemato io
Chill-Out
30-12-2008, 09:07
Apri il blocco note copia ed incolla il seguente codice:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4}]

salva il file sul Desktop col nome di Fix.reg

doppio click sul file Fix.reg ed accetta tutte le modifiche, riavvia il Pc e procedi con un'altra scansione completa con MBAM

Hai percaso fixato delle voci in HJT? Se si quali?
Ultron5
30-12-2008, 14:04
Fatto ma non cambia niente

Malwarebytes' Anti-Malware 1.31
Versione del database: 1550
Windows 5.1.2600 Service Pack 3

30/12/2008 13.13.25
mbam-log-2008-12-30 (13-13-25).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|)
Elementi scansionati: 169842
Tempo trascorso: 1 hour(s), 18 minute(s), 31 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Delete on reboot.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


No non ho fixato nulla
Chill-Out
30-12-2008, 15:13
Allega un nuovo log di SysInspector in formato .xml come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 6
Ultron5
30-12-2008, 15:24
eccolo

SysInspector-DCJHNQ2J-081230-1617.xml (http://wikisend.com/download/532072/SysInspector-DCJHNQ2J-081230-1617.xml)
Chill-Out
30-12-2008, 15:38
eccolo

SysInspector-DCJHNQ2J-081230-1617.xml (http://wikisend.com/download/532072/SysInspector-DCJHNQ2J-081230-1617.xml)

Ok, hai riavviato il Pc dopo aver effettuato l'ultima scansione con MBAM? Se si mi alleghi uno screenshot su http://fileqube.com/ dell'Editor del Registro

Start - Esegui - digita regedit e naviga fino alla seguente chiave

HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4}

espandila vorrei vedere anche il contenuto del Pannelle di dx dell'Editor, grazie.
Liuk00
30-12-2008, 16:02
Posso risponderti io visto che ho lo stesso identico problema:

Ho riavviato dopo la scansione (2 volte)

Parte sinistra:
ImprocServer32

Parte destra:
Nome
(predefinito)
Tipo
REG_SZ
Dati
(valore non impostato)
Ultron5
30-12-2008, 16:33
http://www.fileqube.com/file/FLlMIG163409

uguale a quello di Liuk00
Chill-Out
30-12-2008, 16:42
Ok la selezioni col tasto dx del mouse e clicchi su Elimina, se ti dovesse negare l'eliminazione, clicca con il tasto destro del mouse e seleziona Autorizzazioni e dai al tuo account l'autorizzazione per la cancellazione della chiave in questione
Ultron5
30-12-2008, 21:29
Ok grazie è andata
Chill-Out
30-12-2008, 21:30
Ok grazie è andata

Prego se ne hai voglia un'altra scansione con MBAM sarebbe perfetta ;)
Ultron5
31-12-2008, 00:35
Tutto lindo e pulito

Malwarebytes' Anti-Malware 1.31
Versione del database: 1550
Windows 5.1.2600 Service Pack 3

31/12/2008 1.34.13
mbam-log-2008-12-31 (01-34-13).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|)
Elementi scansionati: 170000
Tempo trascorso: 1 hour(s), 20 minute(s), 0 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)
Chill-Out
31-12-2008, 08:33
Perfetto, ciao ;)