|
|||||||
|
|
|
 |
|
|
Strumenti |
16-03-2010, 16:34
|
#1161 | |
|
Senior Member
Iscritto dal: Dec 2008
Città: Roma
Messaggi: 841
|
Quote:
__________________
Trattative: OFFDEXTER87,GIOFF,STEGG,LOWSLOW,ADALUCIO,ZAMPAGOL QUI PER LA DISCUSSIONE COMPLETA |
|
|
|
|
16-03-2010, 16:41
|
#1162 |
|
Member
Iscritto dal: May 2006
Città: Milano
Messaggi: 50
|
Ciao a tutti,
negli scorsi giorni sono stato infettato dal rogue XpInternetSecurity 2010, che mi ha modificato le schermate delle opzioni di sicurezza del pannello di controllo ed ha iniziato ad aprire le svariate finestre di avviso di infezione con annesso tasto per l'acquisto della licenza. Inizialmente ho rilevato il rogue con Spyware Doctor, in seguito ho letto la vostra utilissima guida e vi allego i log, sperando di aver agito nel modo corretto. A-squared free al momento di mettere in quarantena i files sospetti mi ha dato alcuni messaggi in cui mi chiedeva di togliere l'attributo di sola lettura ad alcuni oggetti, come ad esempio a C:\Documents and Settings\Roby\Dati applicazioni\Mozilla\Firefox\Profiles\l8szwmkf.default , ma non sono riuscito a togliere il segno di spunta da sola lettura. Ora non ho più l'apertura delle finestre e le impostazioni nel pannello di controllo sono tornate quelle consuete, ma vorrei essere sicuro di avere ripulito il tutto. La cosa strana è che rilanciando Spyware Doctor, RogueAntispyware.XP<internetSecurity2010 viene ancora segnalato,per la precisione con queste descrizioni: Infezione - HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, (Default) = "C:\Documents and Settings\Roby\Impostazioni locali\Dati applicazioni\av.exe" /START "C:\Programmi\Internet Explorer\iexplore.exe" Infezione - HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command, (Default) = "C:\Documents and Settings\Roby\Impostazioni locali\Dati applicazioni\av.exe" /START "C:\Programmi\Mozilla Firefox\firefox.exe" Grazie. Roberto http://wikisend.com/download/594236/mbam-log-2010-03-13 (23-58-09).txt http://wikisend.com/download/438938/...314-112455.txt http://wikisend.com/download/489420/cureit filtrato.txt http://wikisend.com/download/533958/hijackthis.log |
|
|
|
|
16-03-2010, 17:53
|
#1163 |
|
Member
Iscritto dal: Mar 2009
Messaggi: 67
|
mbam-log-2010-03-16 (18-47-12).txt
http://wikisend.com/download/570338/mbam-log-2010-03-16 (18-47-12).txt [URL=http://wikisend.com/download/485346 http://wikisend.com/download/485346/a2scan_100316-135856.txt |
|
|
|
|
16-03-2010, 17:59
|
#1164 |
|
Member
Iscritto dal: Mar 2009
Messaggi: 67
|
|
|
|
|
|
16-03-2010, 18:25
|
#1165 | |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Quote:
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
|
|
|
|
|
16-03-2010, 18:44
|
#1166 |
|
Member
Iscritto dal: Mar 2009
Messaggi: 67
|
Sapete dirmi guardando i file log se è pulito o no il pc?sono riuscito a liberarmi del virus?
|
|
|
|
|
16-03-2010, 20:26
|
#1167 |
|
Junior Member
Iscritto dal: Mar 2010
Messaggi: 22
|
infezione malefica
rieccomi nella sezione -spero- giusta =)
in sintesi ho un'infezione che va peggiorando le condizioni del sistema. con mbam avevo eliminato quattro o cinque file infetti (trojan), poi avevo fatto tutte le scansioni consigliate da voi nella sezione 'aituo sono infetto' senza trovare altro. avevo poi ripetuto tutto l'iter daccapo ma niente, tutto pulito. intanto però il sistema a volte si riavviava dopo schermata blu, la navigazione era lentissima, iexplorer si era aperto tutte le porte su online armor (i cui log sono tutti completamente illeggibili!), i file sul desktop sono TUTTI spariti tranne le icone di collegamento. solo avira ha in un secondo momento, facendo una scansione, trovato delle infezioni nei punti di ripristino che avevo riabilitato DOPO le varie scansioni con tutti i softrware. segno inequivocabile, direi, che qualcosa che non va c'è ancora e che nessuno (nemmeno prevx free impostato al massimo dell'euristica) aveva visto. gmer però si pianta. mi dà schermata blu con errore c000021a - 0xc00000005 (0x00000000 0x00000000). facendolo girare con poche spunte per volta, però, in safe mode non dava problemi, tutto pareva liscio. al successivo riavvio in modalità normale, però, altre stranezze del sistema (e cose tipo avira che da solo decide di fare una scansione... mai visto prima!). rilancio gmer e appena faccio partire la scansione con la terza, quarta e quinta (mi pare) voci selezionate, vedo una scritta GIALLA che dice: warning!!! ... detected hidden... e boh non ho fatto in tempo a leggere altro che bummm schermata blu con l'errore di cui sopra. al successivo riavvio mille altri problemi a rilanciare gmer (non si caricava un driver nei file temp che però era nascosto visto che nel frattempo avevo fatto pulizia, boh) e poi ce l'ho fatta ma stavolta tutto pulito. peccato che nel frattempo il sistema è andato in pappa e di nuovo, da solo, schermata blu. ora sono su col live cd di ubuntu e non so proprio cosa fare, se non formattare, dato che non ho idea di come intercettare sto maledetto COSO e di come farlo fuori. se qualcuno ha qualche idea avrà la mia sempiterna adorazione. domanda da ignorantissimo: se attacco una periferica esterna per salvare i dati prima del format la infetto? se invece masterizzo i file su cd, i file stessi sono infetti e rischio di contaminare il pc futuro pulito se poi li ricopio su hd? non ho mica idea di come funzionino queste cose... altra domanda ignorantissima: il router sembra a posto, non ho visto nulla di diverso dal solito, ma: rischia di essere in qualche modo compromesso? mi conviene resettarlo? ho un netgear. a proposito, ho dato una scorsa ai log del netgeare sono stracarichi di port scan udp sempre verso una stessa porta, praticamente, e attacchi dos... oltre al fatto che noto che il server dns primario (prima quello di alice, poi quello di opendns, che ho impostato dopo), fanno un port scan udp... ma è normale?? non mi pare di aver mai visto nulla del genere... linko una parte dei log insieme a quelli di combofix e di gmer e di hijackthis, gli unici che possano dire qualcosa: combofix http://pastebin.com/RpMGiy2i edit: combofix l'ho fatto girare in safe mode gmer (ma non durante la rilevazione del file nascosto) http://pastebin.com/tt1u6wET hijackthis http://pastebin.com/Rwf0CRG3 netgear http://pastebin.com/8KydEyyf a proposito di hijackthis, l'unica cosa diversa da prima che noto è la ripetizione del servizio ctfmon. prima compariva una volta soltanto, ne sono sicuro, la chiave hkus non c'era... non so se c'entri ma tant'è... scusate per lo sproloquio ma sono davvero alla frutta, spero in qualche vostro consiglio altrimenti mi do al format... Ultima modifica di k0s : 16-03-2010 alle 20:47. |
|
|
|
|
17-03-2010, 08:52
|
#1168 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
17-03-2010, 09:36
|
#1169 | |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Quote:
dal log di mbam non si capisce se hai eliminato le voci manca il log di cureit Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (  )_______________________________________________________________________________ Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema. Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli. Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico. Le eventuali voci O16 dovranno essere fixate con IE chiuso. Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Logfile of Trend Micro HijackThis v2.0.2 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18882) Codice:
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} (System Requirements Lab Class) - http://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect .cab
Windows all'ultimo service pack non si vede o è disattivato un buon firewall (non quello di windows ovviamente) per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 20-03-2010 alle 23:38. |
|
|
|
|
|
17-03-2010, 09:37
|
#1170 |
|
Junior Member
Iscritto dal: Mar 2010
Messaggi: 1
|
XP DEFENDER
Grazie veramente per la vostra guida che mi è risultata fondamentale.
Nei giorni scorsi il mio PC è stato infettato da uno o più Trojan che hanno attivato il rogue XP Defender (e questo sebbene il sistema sia protetto con Viruscan di McAfee aggiornato; è probabile tuttavia che sotto attacco da molteplici Trojans abbia risposto in modo errato ai messaggi di errore). Seguendo le istruzioni spero di aver ripulito completamente il PC e vi allego i file di log postati su Wikisend: http://wikisend.com/download/454644/rkill.txt http://wikisend.com/download/473076/...(17-11-11).txt http://wikisend.com/download/544456/...316-172034.txt http://wikisend.com/download/448712/cureit filtrato.txt http://wikisend.com/download/593070/hijackthis.txt Adesso sembra tutto funzionare bene. Mi chiedevo solamente cosa fare dei virus/trojans messi in quarantena (soprattutto da DrWeb). Posso cancellarli direttamente da Windows? Grazie |
|
|
|
|
17-03-2010, 09:39
|
#1171 | |
|
Junior Member
Iscritto dal: Mar 2010
Messaggi: 22
|
Quote:
Ultima modifica di k0s : 17-03-2010 alle 09:47. |
|
|
|
|
|
17-03-2010, 09:42
|
#1172 | ||
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Quote:
__________________
Try again and you will be luckier.
|
||
|
|
|
|
17-03-2010, 09:56
|
#1173 | |
|
Junior Member
Iscritto dal: Mar 2010
Messaggi: 22
|
Quote:
il forum resta comunque ricchissimo di spunti ottimi per i neofiti e ringrazio tutti per questo. buon lavoro. |
|
|
|
|
|
17-03-2010, 10:00
|
#1174 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
17-03-2010, 10:11
|
#1175 | |
|
Junior Member
Iscritto dal: Mar 2010
Messaggi: 22
|
Quote:
|
|
|
|
|
|
17-03-2010, 10:29
|
#1176 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Ribadisco se desideri pubblica i log richiesti e sulla base degli stessi possiamo ragionare, altrimenti non c'è altro da aggiungere.
__________________
Try again and you will be luckier.
|
|
|
|
|
|
17-03-2010, 10:38
|
#1177 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Gli elementi infetti presenti nella quarantena di CureIt non possono nuocere, in teoria potresti anche non eliminarli, per scrupolo cestina l'eseguibile di CureIt e relativa cartella C:\Documents and Settings\nomeutente\DoctorWeb solo dopo un uso massivo del PC Per il resto i log sono OK
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 17-03-2010 alle 10:43. |
|
|
|
|
|
17-03-2010, 13:08
|
#1178 |
|
Member
Iscritto dal: Mar 2009
Messaggi: 67
|
|
|
|
|
|
17-03-2010, 13:53
|
#1179 |
|
Senior Member
Iscritto dal: May 2003
Città: alessandria
Messaggi: 8714
|
l'ho appena beccato semplicemente guardando un video su youtube..ho appena lanciato drweb..speriamo di fare qualcosa..il bello e' che non stavo facendo assolutamente nulla..
__________________
http://www.youtube.com/cantaraffaele?gl=IT&hl=it |
|
|
|
|
17-03-2010, 14:26
|
#1180 |
|
Senior Member
Iscritto dal: May 2003
Città: alessandria
Messaggi: 8714
|
dopo rkill ora mbam parte di nuovo..per ora ne ha trovati 3..speriamo..
__________________
http://www.youtube.com/cantaraffaele?gl=IT&hl=it |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 03:32.
