[win XP] whataboutadog

[juninho85]

da hijackthis devi eliminare soltanto questo

Quote:

O2 - BHO: IE - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\WinBudget\bin\matrix.dll

ma non trarrai grossi benefici,bisogna far fuori il componente rootkit

[tempestasolare]

gmer autostart
http://www.zshare.net/download/59601342088ff0/

gmer rootkit
http://www.zshare.net/download/59601728c95719/

[tempestasolare]

caro juninho85,
mi sa che ci hai preso!!

La directory c\program files\winbudget l'avevo cancellata ieri con tutti i files e le sotto directories perchè mi pareva "fasulla".
Quando hai scritto

Quote:

da hijackthis devi eliminare soltanto questo
Quote2 - BHO: IE - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\WinBudget\bin\matrix.dll

ma non trarrai grossi benefici,bisogna far fuori il componente rootkit

sono andato a controllare....
ed ecco magicamente ricomparsa la directory.

Adesso che si fa?

[Riverside]

Quote:

Originariamente inviato da tempestasolare

ecco il log Hjthis ......... ragazzi sono un pò scoraggiato! ......

Allora, io credo di scrivere ancora in italiano: ti avevo indicato di fixare da HThis, tutte quelli voci corrispondenti alla sezione O15 (Trusted zone) ma nell'ultimo log che hai pubblicato le vedo ancora li.
Se vuoi fare di testa tua, dillo, cosi evitiamo di proseguire e di perdere, inutilmente, del tempo.

Quote:

O2 - BHO: IE - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\WinBudget\bin\matrix.dll

Questa, m...... per ora, non la toccare.

Fixa quelle stramaledette voci della sezione O15 e poi allega un nuovo log di Hthis.

[juninho85]

i 15 apparte i soliti 2 noti e gli IP per far girare la sua rete lan dovrebbero essere innocui.
piuttosto io ho chiesto il log completo di gmer,probabilmente ti sei confuso con l'olimpo informatico

[Riverside]

Quote:

Originariamente inviato da juninho85

piuttosto io ho chiesto il log completo di gmer,probabilmente ti sei confuso con l'olimpo informatico

Sarà che siamo sotto le feste e gli effetti non sono ancora stati smaltiti completamente, Juninho
A proposito di feste, Socio: hai passato un buon Natale?.

[tempestasolare]

Ragazzi io non sono esperto come voi!
non ho fixato tutte le voci 15 perchè avevo capito che erano da fixare quelle non volontariamente inserite..........

fixo tutto ?

Quote:

piuttosto io ho chiesto il log completo di gmer,probabilmente ti sei confuso con l'olimpo informatico

il log completo come si ottiene?

[Riverside]

Fixa quelle voci come te lo devo dire? in una lingua diversa da quella che presumo saper ancora scrivere in maniera corretta?
Ed allega un nuovo log di Hthis: hai ancora un AdAware che gira per il P.C. e lo dobbiamo rimuovere.

[tempestasolare]

fixato tutte le voci 15
log
http://www.zshare.net/download/5961303e6417d7/

ma una curiosità?
Perchè sei così "diretto" nei miei confronti?
ho scritto qualcosa che ti ha urtato?
non bastava dire: fixa tutte le voci 015?

Io ti ringrazio per la disponibilità, ma siccome probabilmente sono un bel po' più vecchietto di te e non sono un'esperto di informatica, perchè trattarmi in maniera così "aspra"?
Posso aiutarti?

[Riverside]

Quote:

Originariamente inviato da tempestasolare

ma una curiosità? Perchè sei così "diretto" nei miei confronti?
ho scritto qualcosa che ti ha urtato? non bastava dire: fixa tutte le voci 015?

Spero tu stia scherzando: te lo ho detto non una ma, ben quattro volte.

Quote:

Originariamente inviato da tempestasolare

Posso aiutarti?

Certo che puoi: fai quello che ti viene suggerito; mi appare una strada semplice da percorrere.
Non possiamo stare qui tre giorni per risolvere un problema che si sarebbe potuto risolvere in 30 minuti.

C'è da risolvere un ultimo problema: c'è un adaware che corrisponde a questa voce che dobbiamo rimuovere:

O2 - BHO: IE - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\WinBudget\bin\matrix.dll

Rilancia Hthis e fixa anche quella voce

Poi procedi in questa maniera:
scarica ed installa SUPER ANTI SPYWARE: clicca qui per il download
● una volta installato, clicca sulla voce Scan you Computer
● nella finestra successiva, nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibiità di salvare il log che verrà rilasciato
Allega il log

scarica GMER: clicca qui per il download
è una utility Antirootkit in grado di rilevare molte informazioni nascoste di Windows
Allega il log che verrà rilasciato a termine della scansione (leggi la nota sotto)

Quote:

GMER fornisce anche un’ottima funzionalità di LOG, attraverso il pulsante COPY che è possibile trovare solitamente vicino al pulsante SCAN. Cliccando il tasto COPY viene copiato tra gli appunti tutto ciò che la schermata di GMER mostra all’utente. Basta dunque aprire un qualunque editor di testo (Blocco note, Word, Wordpad, etc…), fare MODIFICA - INCOLLA e avrete esportato tutti i dati elencati da GMER.

Al termine, allega un nuovo log di HThis

[tempestasolare]

log SAS
http://www.zshare.net/download/59637964c889fe/
log GMER
http://www.zshare.net/download/5963904b5f58b1/
log Hjthis
http://www.zshare.net/download/5963946e1c21aa/

[Chill-Out]

Riavvia il PC in modalita provvisoria F8 e fai girare Combofix
http://www.techsupportforum.com/sect...s/ComboFix.exe
http://download.bleepingcomputer.com...a/ComboFix.exe
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)

Al termine oltre ad allegare il log di ComboFix allega un nuovo log di HJT,ciao.

[juninho85]

Quote:

Originariamente inviato da Riverside

Sarà che siamo sotto le feste e gli effetti non sono ancora stati smaltiti completamente, Juninho
A proposito di feste, Socio: hai passato un buon Natale?.

natale si relax e abbuffate in casa,si un OTTIMO natale!

[juninho85]

Quote:

Originariamente inviato da tempestasolare

log SAS
http://www.zshare.net/download/59637964c889fe/
log GMER
http://www.zshare.net/download/5963904b5f58b1/
log Hjthis
http://www.zshare.net/download/5963946e1c21aa/

non ci siamo
questo è gmer

tu devi fare lo scan avendo spuntate tutte le caselle sulla destra,come da immagine

[tempestasolare]

lo scan è stato effettuato spuntando tutte le checkbox presenti!
scanso di equivoci lo rifaccio.
http://www.zshare.net/download/597688529ac691/

Saluti
DA

[Riverside]

Quote:

Originariamente inviato da tempestasolare

lo scan è stato effettuato spuntando tutte le checkbox presenti!

Poi non mi dire che è diventato un fatto personale
Qui siamo in presenza di un problema molto più serio rispetto a quello che ha il tuo P.C.: il problema è che tu non leggi quello che ti viene suggerito (cosa, questa che ci fa perdere, inutilmente, del tempo).

Ti è stato chiesto (vedi post #32) di scaricare COMBO FIX: clicca qui per il download
● completata la prima fase della scansione il sistema verrà riavviato automaticamente; dopo il riavvio, verranno creati due log in Risorse del Computer - Disco Locale C:
● combofix.txt
● comboFix-quarantined-files.txt
allega, entrambi i log che verranno rilasciato

Note: Durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)

Vediamo se, prima dell'avvento del nuovo anno, saremo riusciti a riolvere questo problema.

[xcdegasp]

marmottra è sto l'unico a richiedere i log della "Guida alla disinfezione degli infetti" e nonostante questo nessuno lo ha tenuto in considerazione!
mi meraviglio della grande coesione d'assistenza e sopratutto per come vi imbronciate se vi faccio notare le metodologie che usate..
qualcuno mi criticò su questi fronti cercando di porsi come vittima ma tanto è sempre il moderatore a sbagliare...

vorrà dire che dovrò diventare più fiscale e questo per non creare confusione e anarchia nelle assistenze agli infetti

[tempestasolare]

ma RIVER, sai che sei proprio un bel "fumino"

Considera che tra una scansione e l'altra, mi tocca anche lavorare, per cui l'attività con combofix pensavo di farlo stasera da casa....

Ti ringrazio comunque per la disponibilità accordata e la competenza con cui sta affrontando la mia criticità.

ciao
DA

Ci sentiamo più tardi.

[juninho85]

....che si sarà fumato gmer?!
comunque ciò che non mi torna è il fatto che findawf ha trovato delle cartelle di backup,dentro i quali però non è presente però nessun file....da ciò dovrei supporre che l'infezione è stata stroncata sul nascere

[Riverside]

Quote:

Originariamente inviato da juninho85

....che si sarà fumato gmer?!

Gmer non si è fumato nulla, Juninho

Quote:

Originariamente inviato da juninho85

comunque ciò che non mi torna è il fatto che findawf ha trovato delle cartelle di backup,dentro i quali però non è presente però nessun file....da ciò dovrei supporre che l'infezione è stata stroncata sul nascere

Infatti doveva essere cosi.
Se ricontrolli i diversi log di Hthis successivi al primo pubblicato, dopo aver eseguito FindAWF, nel settore O15 erano presenti solo le voci che, dopo una sorta di battaglia, il nostro amico si è deciso a rimuovere.
A quel punto, il problema doveva essere non risolto ma strarisolto.

Invece, dall’ultimo log pubblicato, cosa ti salta fuori?

Questa, che tutto sommato, potrebbe essere anche spiegabile, dopo aver ripulito l’intera trusted zone:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;*.local;*.pv.telecomitalia.it;*.rete.telecomitalia.it;*.dre;*.dg.telecomita lia.it; ...... ecc. ecc.

e queste che non sono spiegabili, se non con il fatto che, dopo 5 minuti, il nostro amico ci è ricascato e si è, nuovamente infettato:

O15 - Trusted Zone: *.doginhispen.com

O15 - Trusted Zone: *.whataboutadog.com

Come abbia potuto, non è dato a sapersi

Quote:

Originariamente inviato da tempestasolare

ma RIVER, sai che sei proprio un bel "fumino" ...... considera che tra una scansione e l'altra, mi tocca anche lavorare .......

Tre suggerimenti gratis:
1) non navigare in Rete con un P.C. aziendale: non è davvero il caso.
E, se proprio non puoi o non vuoi rinunciare, cerca di avere una navigazione molto accorta;
2) se vuoi risolvere questo problema, trovati tre ore di tempo, perchè fare le cose a pezzettini non serve a nulla e, soprattutto, non si risolve niente.
3) ricominciamo tutto dall'inizio, che forse è meglio.