possibile infezione

isilgalad · 20-09-2008, 23:48

Ciao a tutti. Da questa mattina ho difficoltà nell'accesso ad internet. Qualsiasi browser utilizzo (IE, Firefox, Google Chrome) è lento nell'aprire più schede.
Ho fatto una scansione con antivir che però non mi ha rilevato niente, mentre adaware mi ha rilevato un malware che ho provveduto a cancellare. Nonostante questo il problema non si è risolto. Inoltre non riesco ad accedere a siti che consentono la scansione online o permettono di scaricare software antimalware, antispy, etc. Ho provato a seguire la guida alla disinfezione, ma non riesco ad aprire nessuno dei link indicati, come se la rete non andasse.
Ho fatto uno scan con hijack e un amico mi ha consigliato di fixare alcune voci. In particolare una che si riferiva al file svchost presente nella cartella drivers di windows/system32. Non riesco però a trovare il file e, inoltre, una nuova scansione con hijack non lo ha rilevato.
Posto entrambe le scansioni sperando che qualcuno possa aiutarmi! Grazie

http://www.mediafire.com/?sharekey=8...db6fb9a8902bda

xcdegasp · 21-09-2008, 02:23

segui la procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti rispettando le Regole di Sezione

isilgalad · 21-09-2008, 16:53

ciao e grazie per la risposta...
come ho già scritto, ho provato a seguire la "guida alla disinfezione", però appena non riesco a scaricare i software; appena apro uno dei collegamenti indicati il browser mi dà un problema di connessione, come se la rete non andasse!
L'unico softaware che sono riuscita a scaricare e far partire è a-square di cui aggiungo il log.

http://www.mediafire.com/?sharekey=c...db6fb9a8902bda

P.S. ho notato che in alcuni casi provando ad accedere al sito del produttore dei software indicati nella guida vengo reindirizzata ad altri siti poco raccomandabili...

xcdegasp · 21-09-2008, 18:35

hai una bella infezione da rootkit.. bella in senso negativo ossia infezione che ti rende la vita dura..
ma non ti preoccupare che ora risolviamo!

la tua infezione è già documentata e il messaggio guida è raggiungibile a questo link:
http://www.hwupgrade.it/forum/showpo...2&postcount=13

in sostanza i passi da eseguire sono questi:

da un pc non infetto, magari usando il pc di un amico o amica, devi scaricare Antivir Rescue System masterizzarlo su cd e poi inserendo il cd nel pc, fai avviare il computer da cd e con l'opzione 2 disinfetti tutto il tuo pc.
la guida per scaricare e come usare e masterizzarlo è a questo link: http://www.hwupgrade.it/forum/showthread.php?t=1689812
a questo punto dovresti poter navigare nei siti che prima non riuscivi a contattare venendo redirezionata altrove, poi facciamo una scansione di sicurezza con malwarebytes, f-secure, hijackthis, gmer e prevx per assicurarci che tu non abbia altro
poi al 98% dei casi abbiamo finito

isilgalad · 21-09-2008, 18:41

Ancora grazie!
Purtroppo per oggi non ho trovato nessuno che possa farmi usare il proprio pc, dovrò rimandare a domani...per il momento ho salvato i passi da seguire e incrocio le dita!

xcdegasp · 21-09-2008, 19:22

abbi fede e speriamo bene

isilgalad · 22-09-2008, 18:23

rieccomi dopo aver eseguito la scansione con Antivir Rescue System. Non ho potuto salvare il log, non disponendo di un floppy, ma mi sono segnata quello che ha trovato:

WINDOWS/system32/drivers/TDSSjcxe.sys
ALERT: [TR/Peed.A.830]/mnt/sdb1/WINDOWS/system32/drivers/TDSSjcx

Non essendo riuscito ad eliminare il file lo ha rinominato.
Adesso sono riuscita a scaricare i software indicati, volevo sapere qual'è l'ordine di scansione?
Grazie

**Chill-Out** · 22-09-2008, 19:04

Quote:

Originariamente inviato da isilgalad

rieccomi dopo aver eseguito la scansione con Antivir Rescue System. Non ho potuto salvare il log, non disponendo di un floppy, ma mi sono segnata quello che ha trovato:

WINDOWS/system32/drivers/TDSSjcxe.sys
ALERT: [TR/Peed.A.830]/mnt/sdb1/WINDOWS/system32/drivers/TDSSjcx

Non essendo riuscito ad eliminare il file lo ha rinominato.
Adesso sono riuscita a scaricare i software indicati, volevo sapere qual'è l'ordine di scansione?
Grazie

L'ordine esatto indicato in Guida

isilgalad · 23-09-2008, 10:41

rieccomi! Ho effettuato le prime scansioni (malwarebytes e f-secure) di cui posto i log.
Intanto continuo con le altre...
ancora grazie!

http://www.mediafire.com/?sharekey=c...5bd3974572b41e

xcdegasp · 23-09-2008, 12:34

hai saltato a-squared, è vero che lo avevi fatto all'inizio ma c'era attivo un rootkit che poteva raggirare la scansione

isilgalad · 23-09-2008, 12:49

è vero, l'ho proprio dimenticato!

Ma adesso devo ricominciare daccapo? Spero davvero di no....malwarebytes ci mette circa 5 ore per la scansione......

xcdegasp · 23-09-2008, 15:12

Quote:

Originariamente inviato da isilgalad

è vero, l'ho proprio dimenticato!

Ma adesso devo ricominciare daccapo? Spero davvero di no....malwarebytes ci mette circa 5 ore per la scansione......

no no non ricominciare da capo, semplicemente rifai a-squared e poi riprendi da dove ti eri fermato

isilgalad · 24-09-2008, 11:29

eseguite le scansioni con a-squared e dr-web! sembra ci sai ancora qualcosa che non va...posto i log e stasera vado avanti!

http://www.mediafire.com/?sharekey=c...3cfbfaa1cdb06d

http://www.hwupgrade.helloweb.eu/Par...2668032572.txt

isilgalad · 24-09-2008, 23:45

Ed ecco gli ultimi log:

http://www.mediafire.com/?sharekey=c...3cfbfaa1cdb06d

Per quanto riguarda la scansione di gmer copio, come da guida

, le voci in rosso:

SSDT spll.sys ZwCreateKey [0xF74D90E0]
SSDT spll.sys ZwEnumerateKey [0xF74E6CA2]
SSDT spll.sys ZwEnumerateValueKey [0xF74F7030]
SSDT spll.sys ZwOpenKey [0xF74D90C0]
SSDT spll.sys ZwQueryKey[0xF74F7108]
SSDT spll.sys ZwQueryValueKey [0xF74F6F88]
SSDT spll.sys ZwSetVAlueKey [0xF74F719A]
Service system32/drivers/TDSSsserv.sys (***hidden***) [SISTEM]TDSSser

...e adesso attendo fiduciosa risposta...grazie!

wjmat · 25-09-2008, 00:15

rilancia gmer, scansiona, al termine click destro sulle righe rosse e scegli delete

isilgalad · 25-09-2008, 12:54

fatto tutto! e mi sembra di non avere problemi evidenti...come faccio a vedere se è tutto a posto?
Ancora grazie, siete stati preziosissimi, evitandomi di formattare!

**Chill-Out** · 25-09-2008, 12:56

Quote:

Originariamente inviato da isilgalad

fatto tutto! e mi sembra di non avere problemi evidenti...come faccio a vedere se è tutto a posto?
Ancora grazie, siete stati preziosissimi, evitandomi di formattare!

Nuovo log di gmer, grazie.

wjmat · 25-09-2008, 13:01

per curiosità, tutte le righe rosse erano selezionabili e permettevano il delete?

isilgalad · 25-09-2008, 13:13

Quote:

Originariamente inviato da wjmat

per curiosità, tutte le righe rosse erano selezionabili e permettevano il delete?

erano tutte selezionabili, ma per le prime (SSDT ecc. ecc.) non era permesso il delete...e le ho lasciate così! Scusate la fretta e la poca precisione, ma scrivo dal lavoro e sono sempre di corsa...
rifaccio la scansione con gmer e riposto il log!

wjmat · 25-09-2008, 13:32

immaginavo... l'unico che deletabile era questo penso
Service system32/drivers/TDSSsserv.sys (***hidden***)

20-09-2008, 23:48	#1
isilgalad Junior Member Iscritto dal: Jul 2006 Città: roma Messaggi: 29	possibile infezione Ciao a tutti. Da questa mattina ho difficoltà nell'accesso ad internet. Qualsiasi browser utilizzo (IE, Firefox, Google Chrome) è lento nell'aprire più schede. Ho fatto una scansione con antivir che però non mi ha rilevato niente, mentre adaware mi ha rilevato un malware che ho provveduto a cancellare. Nonostante questo il problema non si è risolto. Inoltre non riesco ad accedere a siti che consentono la scansione online o permettono di scaricare software antimalware, antispy, etc. Ho provato a seguire la guida alla disinfezione, ma non riesco ad aprire nessuno dei link indicati, come se la rete non andasse. Ho fatto uno scan con hijack e un amico mi ha consigliato di fixare alcune voci. In particolare una che si riferiva al file svchost presente nella cartella drivers di windows/system32. Non riesco però a trovare il file e, inoltre, una nuova scansione con hijack non lo ha rilevato. Posto entrambe le scansioni sperando che qualcuno possa aiutarmi! Grazie http://www.mediafire.com/?sharekey=8...db6fb9a8902bda

21-09-2008, 02:23	#2
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	segui la procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti rispettando le Regole di Sezione __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

21-09-2008, 18:35	#4
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	hai una bella infezione da rootkit.. bella in senso negativo ossia infezione che ti rende la vita dura.. ma non ti preoccupare che ora risolviamo! la tua infezione è già documentata e il messaggio guida è raggiungibile a questo link: http://www.hwupgrade.it/forum/showpo...2&postcount=13 in sostanza i passi da eseguire sono questi: da un pc non infetto, magari usando il pc di un amico o amica, devi scaricare Antivir Rescue System masterizzarlo su cd e poi inserendo il cd nel pc, fai avviare il computer da cd e con l'opzione 2 disinfetti tutto il tuo pc. la guida per scaricare e come usare e masterizzarlo è a questo link: http://www.hwupgrade.it/forum/showthread.php?t=1689812 a questo punto dovresti poter navigare nei siti che prima non riuscivi a contattare venendo redirezionata altrove, poi facciamo una scansione di sicurezza con malwarebytes, f-secure, hijackthis, gmer e prevx per assicurarci che tu non abbia altro poi al 98% dei casi abbiamo finito __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

21-09-2008, 19:22	#6
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	abbi fede e speriamo bene __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

23-09-2008, 12:34	#10
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	hai saltato a-squared, è vero che lo avevi fatto all'inizio ma c'era attivo un rootkit che poteva raggirare la scansione __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

21-09-2008, 16:53	#3
isilgalad Junior Member Iscritto dal: Jul 2006 Città: roma Messaggi: 29	ciao e grazie per la risposta... come ho già scritto, ho provato a seguire la "guida alla disinfezione", però appena non riesco a scaricare i software; appena apro uno dei collegamenti indicati il browser mi dà un problema di connessione, come se la rete non andasse! L'unico softaware che sono riuscita a scaricare e far partire è a-square di cui aggiungo il log. http://www.mediafire.com/?sharekey=c...db6fb9a8902bda P.S. ho notato che in alcuni casi provando ad accedere al sito del produttore dei software indicati nella guida vengo reindirizzata ad altri siti poco raccomandabili...

21-09-2008, 18:41	#5
isilgalad Junior Member Iscritto dal: Jul 2006 Città: roma Messaggi: 29	Ancora grazie! Purtroppo per oggi non ho trovato nessuno che possa farmi usare il proprio pc, dovrò rimandare a domani...per il momento ho salvato i passi da seguire e incrocio le dita!

22-09-2008, 18:23	#7
isilgalad Junior Member Iscritto dal: Jul 2006 Città: roma Messaggi: 29	rieccomi dopo aver eseguito la scansione con Antivir Rescue System. Non ho potuto salvare il log, non disponendo di un floppy, ma mi sono segnata quello che ha trovato: WINDOWS/system32/drivers/TDSSjcxe.sys ALERT: [TR/Peed.A.830]/mnt/sdb1/WINDOWS/system32/drivers/TDSSjcx Non essendo riuscito ad eliminare il file lo ha rinominato. Adesso sono riuscita a scaricare i software indicati, volevo sapere qual'è l'ordine di scansione? Grazie

23-09-2008, 10:41	#9
isilgalad Junior Member Iscritto dal: Jul 2006 Città: roma Messaggi: 29	rieccomi! Ho effettuato le prime scansioni (malwarebytes e f-secure) di cui posto i log. Intanto continuo con le altre... ancora grazie! http://www.mediafire.com/?sharekey=c...5bd3974572b41e

23-09-2008, 12:49	#11
isilgalad Junior Member Iscritto dal: Jul 2006 Città: roma Messaggi: 29	è vero, l'ho proprio dimenticato! Ma adesso devo ricominciare daccapo? Spero davvero di no....malwarebytes ci mette circa 5 ore per la scansione......

24-09-2008, 11:29	#13
isilgalad Junior Member Iscritto dal: Jul 2006 Città: roma Messaggi: 29	eseguite le scansioni con a-squared e dr-web! sembra ci sai ancora qualcosa che non va...posto i log e stasera vado avanti! http://www.mediafire.com/?sharekey=c...3cfbfaa1cdb06d http://www.hwupgrade.helloweb.eu/Par...2668032572.txt

24-09-2008, 23:45	#14
isilgalad Junior Member Iscritto dal: Jul 2006 Città: roma Messaggi: 29	Ed ecco gli ultimi log: http://www.mediafire.com/?sharekey=c...3cfbfaa1cdb06d Per quanto riguarda la scansione di gmer copio, come da guida , le voci in rosso: SSDT spll.sys ZwCreateKey [0xF74D90E0] SSDT spll.sys ZwEnumerateKey [0xF74E6CA2] SSDT spll.sys ZwEnumerateValueKey [0xF74F7030] SSDT spll.sys ZwOpenKey [0xF74D90C0] SSDT spll.sys ZwQueryKey[0xF74F7108] SSDT spll.sys ZwQueryValueKey [0xF74F6F88] SSDT spll.sys ZwSetVAlueKey [0xF74F719A] Service system32/drivers/TDSSsserv.sys (*hidden*) [SISTEM]TDSSser ...e adesso attendo fiduciosa risposta...grazie!

25-09-2008, 00:15	#15
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	rilancia gmer, scansiona, al termine click destro sulle righe rosse e scegli delete __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

25-09-2008, 12:54	#16
isilgalad Junior Member Iscritto dal: Jul 2006 Città: roma Messaggi: 29	fatto tutto! e mi sembra di non avere problemi evidenti...come faccio a vedere se è tutto a posto? Ancora grazie, siete stati preziosissimi, evitandomi di formattare!

25-09-2008, 13:01	#18
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	per curiosità, tutte le righe rosse erano selezionabili e permettevano il delete? __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

25-09-2008, 13:32	#20
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	immaginavo... l'unico che deletabile era questo penso Service system32/drivers/TDSSsserv.sys (*hidden*) __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

Strumenti
Mostra una versione stampabile Invia questa pagina per email