PDA

View Full Version : troyan crypt e Rootkit

triade80
21-03-2012, 11:26
Buon giorno, Vi scrivo per avere il Vostro aiuto in quanto da questa mattina avg mi rileva diversi trojan, malaware e un rootkit. Ho fatto qualche scansione delle quali Vi allego log insieme al log di hjthis.

http://www.freefilehosting.net/log-combofix
http://www.freefilehosting.net/mbam-log-2012-03-2010-19-40
xcdegasp
21-03-2012, 11:54
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:9421


fai analizzare su www.virustotal.com il file "c:\windows\system32\drivers\mrxsmb.sys", pubblica qui l'url che compare nel browser a fine scansione (quando compare la tabella con i risultati per ciasc'un antivirus)

poi segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) (rifai anche la scansionbe con m,alwarebytes) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)
triade80
22-03-2012, 16:06
Ecco i log.

Grazie

http://www.filedropper.com/drweb
http://www.filedropper.com/f-secure
http://www.filedropper.com/gmer
http://www.filedropper.com/hijackthis_1
http://www.filedropper.com/mbam-log-2012-03-2112-15-24
http://www.filedropper.com/sysinspector-contabilita-120322-1200
http://www.filedropper.com/prevx
xcdegasp
23-03-2012, 09:26
ne manca uno!

drweb ha trovato:

FacebookMessengerSetup.exe D:\Documenti\Download Trojan.Click2.18254 Incurabile.Spostato.
WebInstaller.exe D:\Documenti\Download Trojan.DownLoader5.52228 Incurabile.Spostato.
InactivityTimer.dll D:\Documenti\Download\Shutter Tool.GPSyshook.23 Eliminato.
netsession_win.exe c:\documents and settings\contabilita\impostazioni locali\dati applicazioni\akamai Probabilmente' DLOADER.Trojan Eliminato.


riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchpi.net
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:9421;<local>

acrobat reader è obsoleto!!
triade80
23-03-2012, 13:05
GRAZIE MILLE:D