|
|||||||
|
|
|
 |
|
|
Strumenti |
02-01-2010, 21:48
|
#1 |
|
Member
Iscritto dal: Oct 2008
Messaggi: 41
|
whataboutadog malaware non identificato: completare la disinfezione
Salve, lunga storia:
un hp pavillon con winXP sp2 Sintomi:
L'antivirus istallato era avg8 aggiornato (apparentemente) Fatto un primo giro con Malwarebytes Anti-Malware in modalità provvisoria e non trovato nulla, visto che l'hd era pieno, e era pieno di programmi in avvio automatico penso a un problema di boot, inizio a fare ordine , seguo la guida per velocizzare il boot ma nulla. In questa direzione uso Hijackthis e posto nella relativa sezione. Apparentemente poco di strano ma Gle89(grazie  ) mi dice che sono infettissimo e di seguire la guida alla disinfezione già usata in altri casi con successo.Comincio le scansioni faticosamente e nel frattempo backuppo i dati per avere meno file da scansionare, ma nessun programma della lista trova nulla nè in modalità provvisoria nè in modalità normale. provo anche avira resue disk: nulla inizio a ripensare che sia un problema di avvio e vado a rivedere il log di hijackthis: le uniche voci che dall'analisi automatica mi sembrano veramente strane a me non esperto del programma sono le trusted-zone whataboutadog.com e whataboutarabit.com così faccio una ricerca in google e trovo un treadh qui nel forum dove si parla di un virus da trattare con FindAWF  Disperato provo anche questo, PUR NON AVENDO TROVATO ALTRI SEGNI DI INFEZIONE, e trovo le cartelle duplicate:Codice:
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
1187840 11 Oct 2005 "C:\WINDOWS\SMINST\bak\RecGuard.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
344064 10 Nov 2005 "C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe"
421888 16 Sep 2007 "C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe"
49152 16 Feb 2005 "C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe"
94208 12 Dec 2005 "C:\Programmi\HP\QuickPlay\bak\QPService.exe"
233534 1 Aug 2005 "C:\Programmi\HPQ\Default Settings\bak\cpqset.exe"
729178 19 Jun 2005 "C:\SWSETUP\Touchpad\SynTPEnh.exe"
729178 19 Jun 2005 "C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe"
729178 19 Jun 2005 "C:\Programmi\Synaptics\SynTP\Media\SynTPEnh.exe"
36975 10 Nov 2005 "C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe"
49263 9 Nov 2006 "C:\Programmi\Java\jre1.5.0_10\bin\bak\jusched.exe"
Fixo anche qualche voce di registro fuori posto e sto procedendo a rifare scansioni di controllo.  attualmente il boot continua a impiegare 4 minuti,
riguardo al punto 2, visto che dovrò istallare il service pack 3, pensate che basti fare questo? Ditemi quali log possono essere utili... nel frattempo allego quelli attuali di gmer gmerlog.txt e quello autostart che non ho capito se è compreso... gmer Autostart 2010-01-02 20-34.txt grazie in anticipo dell'attenzione e del tempo a tutti coloro che sono arrivati fin qui a leggere e a tutti coloro che mi aiuteranno.. Aiutoooo!!!!! 
Ultima modifica di mmmx : 03-01-2010 alle 23:13. Motivo: corretto link ai log |
|
|
|
03-01-2010, 00:21
|
#2 | |
|
Member
Iscritto dal: Oct 2008
Messaggi: 41
|
Quote:
splashscreen di windows per circa 80 secondi poi tutto nero per circa un altro minuto poi schermata hp e subito menù utenti di windows clikkato sull'utente 45 secondi per caricare il desktop e poi un altro minuto prima di poter dare altri comandi... che ne pensate? 
|
|
|
|
|
|
03-01-2010, 21:24
|
#3 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Modalità di pubblicazione dei log:
Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.
__________________
Try again and you will be luckier.
|
|
|
|
|
03-01-2010, 23:15
|
#4 | |
|
Member
Iscritto dal: Oct 2008
Messaggi: 41
|
Quote:
 scusate tutti... mi erà sfuggito... ho corretto |
|
|
|
|
|
03-01-2010, 23:24
|
#5 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Come suggerito da Gle89 segui la Guida alla disinfezione
http://www.hwupgrade.it/forum/showpo...&postcount=224
__________________
Try again and you will be luckier.
|
|
|
|
|
04-01-2010, 01:26
|
#6 | |
|
Member
Iscritto dal: Oct 2008
Messaggi: 41
|
Quote:
, nell'ordine: # Malwarebytes Anti-Malware # A-Squared Free v4.x # F-Secure OnLine # Dr.Web CureIT # ESET SysInspector # Gmer # Prevx 3.0 e inoltre: #avira rescue disk #spybot #tgsoft virit come ho già detto con FindAWF ho trovato e eliminato alcuni file che si erano sostituiti ai processi legittimi. Ora vorrei
riguardo al boot che faccio? riparo l'istallazione di Xp? basta che istallo sp3? grazie ancora a tutti. |
|
|
|
|
|
04-01-2010, 09:41
|
#7 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Senza vedere i log (nella Guida è espressamente indicato come produrli ed allegarli) come possiamo risponderti?
__________________
Try again and you will be luckier.
|
|
|
|
|
04-01-2010, 17:49
|
#8 | |
|
Member
Iscritto dal: Oct 2008
Messaggi: 41
|
Quote:
mbam-log-2009-12-29 (20-14-24).txt a2scan_091231-123457_ok.txt F-secure Online: nulla da segnalare... cureit filtrato.txt SysInspector-GADEA_HP-100101-1258.xml hijackthis.log iniziale hijackthis.log successivo alla pulizia con FindAWF gmerlog.txt e quello autostart che non ho capito se è compreso... gmer Autostart 2010-01-02 20-34.txt Prevx: nulla FindAWF log AutoRuns.txt attuale hijackthis.log i file sospetti sono tutti stati eliminati ormai tranne Codice:
C:\Programmi\Common Files\Motive\MCCWrapper.dll probabile infezione da DLOADER.Trojan Questi quelli di Trend syscan: REPORT.LOG sysclean.log e quello di spybot spybot.txt se serve altro, tipo qualcosa da bootvis per il problema del boot e la riconfigurazione dei servizi di win xp (ho già fixato il registro con comodo registry cleaner), fatemi sapere... e ancora grazie mille dell'attenzione e della pazienza.. |
|
|
|
|
|
05-01-2010, 16:51
|
#9 |
|
Member
Iscritto dal: Oct 2008
Messaggi: 41
|
Ho infranto (mio malgrado
) qualche altre regola?
|
|
|
|
|
05-01-2010, 17:48
|
#10 | |
|
Senior Member
Iscritto dal: Aug 2007
Città: Lucca Sesso: FEMMINA
Messaggi: 2495
|
Quote:
Inoltre puoi anche allegare il log di prevx anche se non è stato segnalato niente?  grazie
|
|
|
|
|
|
05-01-2010, 18:45
|
#11 | |
|
Member
Iscritto dal: Oct 2008
Messaggi: 41
|
Quote:
5-1-10_hijackthis.log e questo è quello di prevx appena sfornato (quello iniziale non lo avevo salvato) prevx.log Ultima modifica di mmmx : 05-01-2010 alle 19:00. |
|
|
|
|
|
05-01-2010, 20:36
|
#12 | ||
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
 Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco Quote:
__________________
Try again and you will be luckier.
|
||
|
|
|
|
05-01-2010, 22:42
|
#13 | |
|
Member
Iscritto dal: Oct 2008
Messaggi: 41
|
Quote:
Avenger non ha trovato la bak quindi forse awfinder è veramente riuscito nell'operazione. o pensi che sia meglio che mi procuro un ctfmon.exe nuovo? AWF: Codice:
Find AWF report by noahdfear ©2006
Version 1.40
bak folders found
~~~~~~~~~~~
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
end of report
Ultima modifica di mmmx : 05-01-2010 alle 22:45. |
|
|
|
|
|
05-01-2010, 22:51
|
#14 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
06-01-2010, 19:14
|
#15 | |
|
Member
Iscritto dal: Oct 2008
Messaggi: 41
|
Quote:
ahaaa sto seriamente pensando di provare a riparare l'istallazione e se non funziona reistallare tutto da zero. ma non esiste un modo per tornare alle impostazioni predefinite di windows? Aspetto un tuo parere prima di partire con la riparazione o reistallazione ex novo grazie mille dell'attenzione, il tempo è veramente tiranno... |
|
|
|
|
|
06-01-2010, 20:40
|
#16 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
06-01-2010, 21:55
|
#17 | |
|
Member
Iscritto dal: Oct 2008
Messaggi: 41
|
Quote:
la situazione del boot non è cambiata... 5 6 minuti prima di poter interagire col pc... splashscreen di windows per circa 80 secondi poi tutto nero per circa un altro minuto ( questo su altri pc non lo avevo mai visto e è comparso dopo smanettamenti e disistallazioni di toolbar etc, prima della disinfezione) poi schermata hp e subito menù utenti di windows clikkato sull'utente 45 secondi per caricare il desktop e poi altri minuti prima di poter dare altri comandi... Pensi che qualche info da bootvis possa essere utile? [processore amd turion a 1750 mhz e 1gb di ram] |
|
|
|
|
|
07-01-2010, 09:21
|
#18 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Mi sembra strano, hai 2 processi che partono all'avvio.
__________________
Try again and you will be luckier.
|
|
|
|
|
07-01-2010, 14:15
|
#19 | |
|
Member
Iscritto dal: Oct 2008
Messaggi: 41
|
Quote:
ho anche reistallato i driver della scheda video ma nulla è cambiato appena posso provo a disabilitare i servizi di terze parti da msconfig e vedo che succede... |
|
|
|
|
|
07-01-2010, 18:26
|
#20 | |
|
Member
Iscritto dal: Oct 2008
Messaggi: 41
|
Quote:
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 15:36.
