Attacchi su tutti i fronti!

[NiubboWiz]

Salve a tutti!
Premetto che ho provato a fare una ricerca sul forum per vedere se la discussione non fosse già stata trattata, ma non ho avuto risultati: mi scuso in anticipo se sono cose di cui si sia già discusso!

Oggi ho acceso il pc e sono stato bombardato da messaggi di Avira su un trojan che Avira chiama Tr/Ertfor.B.15; nonostante inviassi il file in quarantena o tentassi di eliminarlo, i messaggi continuavano ad arrivare.

Una volta in panne il pc, ho pensato di riavviare; è stato l'inizio della fine.

Ora sono bombardato anche da Tr/spy.gen, da fndxes.exe e TR/Crypt.ZPACK.Gen.

Il pc va lentissimo e posso fare veramente poco (vi scrivo da un altro). La situazione è migliorata un pò quando ho disabilitato la connessione internet.

Potete aiutarmi a risolvere il problema?

E' importantissimo, ho tutto il materiale dell'università sul pc, per non parlare della tesi..

Grazie mille in anticipo!

[Chill-Out]

Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[Casey Jones]

Quote:

Originariamente inviato da NiubboWiz

Salve a tutti!
Premetto che ho provato a fare una ricerca sul forum per vedere se la discussione non fosse già stata trattata, ma non ho avuto risultati: mi scuso in anticipo se sono cose di cui si sia già discusso!

Oggi ho acceso il pc e sono stato bombardato da messaggi di Avira su un trojan che Avira chiama Tr/Ertfor.B.15; nonostante inviassi il file in quarantena o tentassi di eliminarlo, i messaggi continuavano ad arrivare.

Una volta in panne il pc, ho pensato di riavviare; è stato l'inizio della fine.

Ora sono bombardato anche da Tr/spy.gen, da fndxes.exe e TR/Crypt.ZPACK.Gen.

Il pc va lentissimo e posso fare veramente poco (vi scrivo da un altro). La situazione è migliorata un pò quando ho disabilitato la connessione internet.

Potete aiutarmi a risolvere il problema?

E' importantissimo, ho tutto il materiale dell'università sul pc, per non parlare della tesi..

Grazie mille in anticipo!

Stacca la connessione ad internet.
Setta Avira (modalità esperto) con:
- in Protezione Locale->Cerca Rootkits-> setta tutti gli HD
- in Selezione manuale->Risorse del computer-> setta tutti gli HD ed unità collegate (chiavette, ecc.)
- in Configurazione->Sistema di scansione
"Tutti i file"
"Impostazioni aggiuntive" cliccale tutte
- in "Eccezioni" elimina tutti gli eventuali file dall'elenco
- in "Generale" -> "Attiva tutti"

Avvia e pulisci tutto rimuovendo i file infetti (no quarantena).
Fai due scansioni complete successive.
A macchina spenta fai un CLR_MOS del BIOS.
Riavvia e spera....
Salvati tutti i dati preziosi

[Chill-Out]

Quote:

Originariamente inviato da Casey Jones

Stacca la connessione ad internet.
Setta Avira (modalità esperto) con:
- in Protezione Locale->Cerca Rootkits-> setta tutti gli HD
- in Selezione manuale->Risorse del computer-> setta tutti gli HD ed unità collegate (chiavette, ecc.)
- in Configurazione->Sistema di scansione
"Tutti i file"
"Impostazioni aggiuntive" cliccale tutte
- in "Eccezioni" elimina tutti gli eventuali file dall'elenco
- in "Generale" -> "Attiva tutti"

Avvia e pulisci tutto rimuovendo i file infetti (no quarantena).
Fai due scansioni complete successive.
A macchina spenta fai un CLR_MOS del BIOS.
Riavvia e spera....
Salvati tutti i dati preziosi

Preferiamo affidarci ad una procedura standard e collaudata http://www.hwupgrade.it/forum/showpo...22&postcount=2

il CLR_MOS del BIOs non mi sembra proprio il caso

[NiubboWiz]

ChillOut scusa ma non riesco a disattivare il ripristino configurazione di sistema: la scheda non mi compare proprio come in schermata, e la chiusura forzata non ho ben capito come si fa: quei due file linkati non sono scaricabili, sono solo una serie di righe..

Scusami ma sono proprio negato!

[Chill-Out]

Quote:

Originariamente inviato da NiubboWiz

ChillOut scusa ma non riesco a disattivare il ripristino configurazione di sistema: la scheda non mi compare proprio come in schermata, e la chiusura forzata non ho ben capito come si fa: quei due file linkati non sono scaricabili, sono solo una serie di righe..

Scusami ma sono proprio negato!

Lascia stare il ripristino, nel caso affrontiamo il problema poi.

[NiubboWiz]

Quote:

Originariamente inviato da Chill-Out

Lascia stare il ripristino, nel caso affrontiamo il problema poi.

Ok, allora scarico i programmi e pubblico i log; il tempo di fare tutto.
Grazie mille per il tuo aiuto..

[xcdegasp]

i link indicati in "forzare la chiusura del ripristino di sistema" funzionano correttamente, per scaricare ui due file bisogna clickare su di essi con il tasto destro del mouse e scegliere "salva destinazione con nome" e finito il download clickarci sopra due volte con il tasto sinitro

[simone.pasquali0]

ciao anche io ho lo stesso problema, come hai risolto? grazie

[Chill-Out]

Quote:

Originariamente inviato da simone.pasquali0

ciao anche io ho lo stesso problema, come hai risolto? grazie

Ciao, segui queste istruzioni

http://www.hwupgrade.it/forum/showpo...22&postcount=2

[NiubboWiz]

Stavo eseguendo la lista delle scansioni per mostrarvi i log, e mentre effettuavo quella di Gmer mi è comparso questo avviso:

"Warning: Gmer has found system modification caused by ROOTKIT activity".

Non ho potuto fare altro che dare l'Ok, e a quel punto dopo un paio di secondi di impallamento del pc la schermata è diventata tutta blu con la scritta:

"Si è verificato un problema e Windows è stato arrestato per impedire danni al pc. Un processo od un thread fondamentale per il funzionamento del sistema è uscito o è stato terminato in modo inaspettato". Il resto non l'ho copiato ma questa era la parte importante.

Ora che faccio? Riavvio la scansione di Gmer? Salto e vado avanti? Vi posto i log che ho fatto finora?

Ps: gli avvisi dei virus causa dell'apertura del topic sono spariti già alla prima scansione.

[Jestat]

leggi attentamente questo post

http://www.hwupgrade.it/forum/showpo...3&postcount=11

con gmer può capitare......scarica il tool dal link alternativo come da post, alla fine della scansione fai "save" per salvare il log e cerca di avere pazienza perchè potresti avere rallentamenti......una volta salvato il log se il pc proprio si impalla..... reset e torna tutto apposto...ma almeno hai prodotto il log....

[Chill-Out]

Quote:

Originariamente inviato da NiubboWiz

Stavo eseguendo la lista delle scansioni per mostrarvi i log, e mentre effettuavo quella di Gmer mi è comparso questo avviso:

"Warning: Gmer has found system modification caused by ROOTKIT activity".

Non ho potuto fare altro che dare l'Ok, e a quel punto dopo un paio di secondi di impallamento del pc la schermata è diventata tutta blu con la scritta:

"Si è verificato un problema e Windows è stato arrestato per impedire danni al pc. Un processo od un thread fondamentale per il funzionamento del sistema è uscito o è stato terminato in modo inaspettato". Il resto non l'ho copiato ma questa era la parte importante.

Ora che faccio? Riavvio la scansione di Gmer? Salto e vado avanti? Vi posto i log che ho fatto finora?

Ps: gli avvisi dei virus causa dell'apertura del topic sono spariti già alla prima scansione.

Allega tutti i log prodotti su uno dei Server remopti indicati nelle Regole di sezione, per quanto concerne Gmer vediamo successivamente.

[NiubboWiz]

Ok, eccovi i log finora, in un'unico file zip:

http://wikisend.com/download/569572/log_Niubbowiz.rar

Sono i log relativi a Malwarebytes, A-Squared, F-Secure, Dr.Web CureIT (c'è un txt con i link dove poter scaricare il log), ESET SysInspector e HiJackThis.

Prevx non l'ho fatto perché era successivo a Gmer, se è necessario lo faccio.

[Chill-Out]

Quote:

Originariamente inviato da NiubboWiz

Ok, eccovi i log finora, in un'unico file zip:

http://wikisend.com/download/569572/log_Niubbowiz.rar

Sono i log relativi a Malwarebytes, A-Squared, F-Secure, Dr.Web CureIT (c'è un txt con i link dove poter scaricare il log), ESET SysInspector e HiJackThis.

Prevx non l'ho fatto perché era successivo a Gmer, se è necessario lo faccio.

No log compressi

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[NiubboWiz]

Chiedo scusa! Allora:

Malwarebites:
http://wikisend.com/download/600142/mbam-log-2010-02-12 (11-22-43).txt

A-Squared:
http://wikisend.com/download/568248/...212-113731.txt

F-Secure:
http://wikisend.com/download/715858/fsecure.txt

Dr.Web CureIT:
http://wikisend.com/download/477534/cureit filtrato.txt

ESET SysInspector:
http://wikisend.com/download/437594/...00212-1842.xml

HiJackThis:
http://wikisend.com/download/503410/hijackthis.log

[Chill-Out]

Cortesemente allega anche il log di Prevx

[NiubboWiz]

Qui la schermata di Prevx:
http://wikisend.com/download/212064/prevx.JPG

e qui il log:
http://wikisend.com/download/448034/prevx.log

[Chill-Out]

Con il Browser chiuso esegui HJT, clicca su Do a system scan onyl, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

Quote:

O4 - HKLM\..\Run: [26648] C:\fndxes.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://sit.provincia.napoli.it/ecwplugins/ncs.cab

successivamente riesgui scansione con Gmer, nel momento in cui appare il WARNING Gmer has found......etc clicca su NO e riporta per esteso le voci in rosso che vedi nel Box bianco.

[NiubboWiz]

Ho eseguito la procedura con HJT, e successivamente quella con Gmer.
La voce in rosso è:

Type: service
Name: (***hidden***)
Value: [boot] qpgtduib

Subito dopo, la schermata è diventata tutta blu con la scritta:

"Si è verificato un problema e Windows è stato arrestato per impedire danni al pc. Un processo od un thread fondamentale per il funzionamento del sistema è uscito o è stato terminato in modo inaspettato".

Ho riavviato ma la schermata è completamente nera e Windows pare non avviarsi. Sembrava tutto ok..