sono in una botnet e non posso formattare il pc! Help

[Staralfur_84]

Ciao a tutti,
prima di aprire una nuova discussione ho usato la funzione di ricerca nel forum ma non ho trovato altre discussioni simili, quindi spero di non violare nessuna regola del sito.

Spiego il problema,
io ho un sistema operativo winxp.
Mi connetto ad internet tramite una connessione wi-fi dell'università.
Oggi pomeriggio nn riuscivo più a connettermi, e usando un altra connessione ho scoperto una mail che mi hanno mandato dal servizio informatico dell'uni dicendomi questo:
che il mio pc a scaricato ripetutamente eseguibili maligni e sono entrato a far parte di una botnet, così mi hanno messo in quarantena (cioè non mi fanno più collegare alla rete) e mi consigliano di formattare il pc perchè dicono che gli antivisur non servono.

Mi chiedevo, esiste un altro modo per uscire da questa botnet?
Io sto scrivendo la tesi di laurea in questo momento, e non posso permettermi di perdere tempo cercando qualcuno che mi formatti il pc..
Help!!

[Staralfur_84]

Quote:

Originariamente inviato da [Claudio]

Ciao.
La procedura da seguire è questa: Guida alla disinfezione per Infetti.
Ti auguro di risolvere il problema senza dover ricorrere alla formattazione.

Ciao Claudio,
grazie di avermi risposto.
Ora ho letto la guida e inizio a fare le varie scansioni.

[xcdegasp]

ottimo
certo che il messaggio che invista a formattare il pc non è che sia molto istruttivo e non impedisce che avvenga nuovamente. in università potrebbero anche usare una delle blacklist gratuite per impedire che gli utenti si infettino invece di attendere come falchi le prede da metttere in quarantena

[Staralfur_84]

Dopo due giorni di scansione ho concluso la procedura contenuta nella guida

allego di seguito i vari log:

-Malwarebytes Anti-Malware:
http://www.filedropper.com/mbam-log-...4-0113-08-44_1

-Emsisoft Anti-Malware 5.x:
http://www.filedropper.com/a2scan120401-173843_1

-Kaspersky Virus Removal Tool & Dr.Web CureIT, non riesco a scaricare il programma per snellire i log, mi dice pagina "not found", cosa faccio?
nel mentre allego i rispettivi log interi:
http://www.filedropper.com/log_2
http://www.filedropper.com/cureit

-ESET SysInspector:
http://www.filedropper.com/sysinspec...to-120403-1345

-HiJackThis:
http://www.filedropper.com/hijackthislog_1

-Gmer:
http://www.filedropper.com/gmerlog_1

-Prevx 3.0:
log- http://www.filedropper.com/log-1_1

ps: volevo anche dire che prima della vostra risposta avevo provato a fare una scansione con psybot che mi ha rilevato un certo win32 muollo (nel mentre che spybot scansionava si è anche attivato avira che lo ha messo in quarantena), ho provato ad eliminarlo ma alla successiva scansione è ricormparso.
Poi ho eseguito la vostra procedura, e ho lasciato perdere per il momento.

[xcdegasp]

ti chiedo di farmi una scansione completa con avira, poi pubblica il log

disinstalla la toolbar ask, basta che vain in "installa/rimuovi applicazioni"
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Programmi\Yontoo Layers Runtime\YontooIEClient.dll (file missing)
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [PlusService] C:\Programmi\Yuna Software\Messenger Plus!\PlusService.exe
O4 - HKLM\..\Run: [ApnUpdater] "C:\Programmi\Ask.com\Updater\Updater.exe"
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

non hai impostato i dns come richiesto dalla guida e questo non aiuta di certo a impedire che l'infezione si rigeneri..

[Staralfur_84]

Quote:

Originariamente inviato da xcdegasp

ti chiedo di farmi una scansione completa con avira, poi pubblica il log

disinstalla la toolbar ask, basta che vain in "installa/rimuovi applicazioni"
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.

non hai impostato i dns come richiesto dalla guida e questo non aiuta di certo a impedire che l'infezione si rigeneri..

Cavolo, la parte dei dns non l'avevo letta , li ho impostati ora.

Cmq, ho disinstallato la toolbar ask, rieseguito HiJackThis e fatto quello che mi hai chiesto, cioè fixare le righe che mi hai indicato.
Il log della nuova scansione di avira, invece, è questo qui:
-http://wikisend.com/download/308318/...3-A8A56448.LOG

Ora che si fa

[xcdegasp]

ora si installa avira 2012 visto che il tuo è vecchio

[Staralfur_84]

Quote:

Originariamente inviato da xcdegasp

ora si installa avira 2012 visto che il tuo è vecchio

Lo faccio subito!

[Staralfur_84]

Quote:

Originariamente inviato da xcdegasp

ora si installa avira 2012 visto che il tuo è vecchio

Ho installato la versione 2012 di avira e fatto la nuova scansione completa:

http://www.filedropper.com/avscan-20...31605-d5d4c4fa

come faccio a capire se sono uscito dalla famigerata botnet?

[xcdegasp]

forse è un po' troppo drastica un'impostazione dell'antivirus in prima azione ripara e seconda azione elimina, sarebbe meglio mettere in quarantena

per ilr esto continua pure a usare i dns di www.opendns.com che male non fanno mai e buona navigazione. il pc è pulito

[Staralfur_84]

Quote:

Originariamente inviato da xcdegasp

forse è un po' troppo drastica un'impostazione dell'antivirus in prima azione ripara e seconda azione elimina, sarebbe meglio mettere in quarantena

per ilr esto continua pure a usare i dns di www.opendns.com che male non fanno mai e buona navigazione. il pc è pulito

fortuna che ci siete voi, poi ogni volta imparo qualcosina in più su come proteggere il pc!

Chiedo un ultimo consiglio.
Nella mail che mi hanno mandato dall'uni, quella in cui mi hanno messo in quarantena per intenderci, c'è scritto che mi ridaranno la connessione solamente quando proverò che il pc è pulito!
Come dovrei fare secondo te?
Non posso mica copiare e incollare tutti i vari log? Non credo che lì accettino l'invio con i link esterni come voi.. figurarsi che nella mail c'era un log lunghissimo copiato e incollato, neanche allegato..

[xcdegasp]

Quote:

Originariamente inviato da Staralfur_84

fortuna che ci siete voi, poi ogni volta imparo qualcosina in più su come proteggere il pc!

Chiedo un ultimo consiglio.
Nella mail che mi hanno mandato dall'uni, quella in cui mi hanno messo in quarantena per intenderci, c'è scritto che mi ridaranno la connessione solamente quando proverò che il pc è pulito!
Come dovrei fare secondo te?
Non posso mica copiare e incollare tutti i vari log? Non credo che lì accettino l'invio con i link esterni come voi.. figurarsi che nella mail c'era un log lunghissimo copiato e incollato, neanche allegato..

io risponderei a quell'email con la richiesta di farti ottenere i dati per i quali loro sostengono che il tuo pc sia infetto e che sia parte di una botnet, inoltre gli suggerisci di attivare contromisure preventive bloccando le richieste dns a siti/indirizzi ritenuti pericolosi anzicchè intervenire localmente disabilitando account che non hanno nulla di infettivo.

se non ti dessero ascolto l'unica sarà dialogare con il magnifico Direttore del dipartimento facendo presente che puoi dimostrare con questi log che il tuo pc è pulito.


edit: allega quel log (come file) che ti hanno messo in email.. il problema è capire se quell'ip era realmente assegnato a te

[Staralfur_84]

Quote:

Originariamente inviato da xcdegasp

io risponderei a quell'email con la richiesta di farti ottenere i dati per i quali loro sostengono che il tuo pc sia infetto e che sia parte di una botnet, inoltre gli suggerisci di attivare contromisure preventive bloccando le richieste dns a siti/indirizzi ritenuti pericolosi anzicchè intervenire localmente disabilitando account che non hanno nulla di infettivo.

se non ti dessero ascolto l'unica sarà dialogare con il magnifico Direttore del dipartimento facendo presente che puoi dimostrare con questi log che il tuo pc è pulito.


edit: allega quel log (come file) che ti hanno messo in email.. il problema è capire se quell'ip era realmente assegnato a te

Il contenuto della email è troppo lungo per poterla allegare qui, ora ne ho postato una parte.
Nel resto della email c'è un log del mio traffico e anche un log dal titolo "estratto ngrep una delle attivita' collegata a botnet".