[win XP] Avast, Windows Firewall, e connessione TUTTO bloccato

scusa ma se dalla modalità provvisoria provi a rinominare l estensione (tipo in txt), riavviare e cancellare la dll manualmente te lo fa fare? in alcuni casi a me ha funzionato...

[xcdegasp]

allora rimane da eliminarla con avenger dove lo script da creare è il seguente:

Codice:

Files to delete:
C:\WINDOWS\system32\comaddinu.dll

[koanstudio]

purtroppo questo file sta resistendo a tutto:

- se lo rinomino, in qualsiasi modo, dopo due secondi si autorigenera accanto con il solito nome.

- anche the avenger fallisce, semplicemente sembra che non riesca a toccarlo, questo è il log che ha lasciato.

[Chill-Out]

Quote:

Originariamente inviato da koanstudio

purtroppo questo file sta resistendo a tutto:

- se lo rinomino, in qualsiasi modo, dopo due secondi si autorigenera accanto con il solito nome.

- anche the avenger fallisce, semplicemente sembra che non riesca a toccarlo, questo è il log che ha lasciato.

per favore un log nuovo di HJT

[xcdegasp]

ma quella dll è in quel percorso vero?
ce ne erano 2 di dll che ti avevo segnalato, per me ci siamo concentrati su quella che è scatenata dalla infezione ma non è colei che la innesca...

[Chill-Out]

Quote:

Originariamente inviato da xcdegasp

ma quella dll è in quel percorso vero?
ce ne erano 2 di dll che ti avevo segnalato, per me ci siamo concentrati su quella che è scatenata dalla infezione ma non è colei che la innesca...

O20 - Winlogon Notify: gqgoitby - C:\WINDOWS\SYSTEM32\comaddinu.dll

bisogna falciare la chiave di registro che innesca il caricamento al boot, ovvero gqgoitby, è per questo che ho chiesto un nuovo log di HJT.

[koanstudio]

ecco il nuovo log di HJT, eseguito in mod prov, perchè la normale non va più:

log hijackthis

[xcdegasp]

ma lo avevo già dato da fare su quella voce O20 e si ricrea...

potresti mandarmi in pvt questi due bat?
O4 - HKLM\..\Run: [wrcbvxdc] C:\rcsuahqp.bat
O4 - HKLM\..\Run: [oemgwiio] C:\jgkjqyeg.bat



non posso nemmeno credere che i bitcomet si ricreino come voci... dopo un po' ci si stanca

[koanstudio]

si ma il problema è che se si fixa quella voce, al successivo scan quella riga è di nuovo lì in buona salute... io non capisco se sono io che sbaglio qualcosa o se anche hjt non riesce a fermare questa robaccia.

[xcdegasp]

mandami in due bat in pvt

[koanstudio]

mandati, grazie mille!

[Chill-Out]

Avenger http://swandog46.geekstogo.com/avenger.zip
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.
Script tutto quello che è all'interno del Quote:

Quote:

Files to delete:
c:\windows\system32\comaddinu.dll
C:\WINDOWS\SYSTEM32\comaddinu.dll

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gqgoitby
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F333BCEC-FE0D-4067-8310-9D19295AA86F}

al termine log di Avenger + nuovo log di HJT, ciao.

[koanstudio]

ecco i log richiesti:

log avenger

log hjt

i sintomi persistono e continuano a formarsi files bat con nomi strani in c:\

[Chill-Out]

Scarica i seguenti tool e falli girare:

Combofix
http://download.bleepingcomputer.com...a/ComboFix.exe
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
N.B: da eseguire in modalità provvisosria F8

VundoFix
Download: http://www.atribune.org/public-beta/VundoFix.exe

FixVundo
Download: http://securityresponse.symantec.com...r/FixVundo.exe

VirtumundoBeGone
Download: http://secured2k.home.comcast.net/to...undoBeGone.exe
N.B: da eseguire in modalità provvisosria F8

al termine oltre ai log dei tool, nuovo log di Prevx CSI + HJT, ciao.

[koanstudio]

ho fatto tutto tranne prevx csi perchè sembra che abbia bisogno dela connessione internet (che non ho più causa virus): c'è un modo di fare un manual update? o di farlo funzionare senza connessione?

[Chill-Out]

Quote:

Originariamente inviato da koanstudio

ho fatto tutto tranne prevx csi perchè sembra che abbia bisogno dela connessione internet (che non ho più causa virus): c'è un modo di fare un manual update? o di farlo funzionare senza connessione?

lascia stare Prevx, log dei tool + HijackThis

[koanstudio]

ecco qua: tutti i log si trovano a questa cartella:

http://www.koanstudio.com/temp/logs/new

non ce l'ha fatta neanche combofix...
quel comaddinu.dll è una fortezza........

[xcdegasp]

scarica e installa prevx2.0-trial e con la connessione internet attiva fai una scansione profonda includendo tutti i files (non solo i conosciuti) e gli archivi compressi

[koanstudio]

Quote:

Originariamente inviato da xcdegasp

scarica e installa prevx2.0-trial e con la connessione internet attiva fai una scansione profonda includendo tutti i files (non solo i conosciuti) e gli archivi compressi

..ma non ho la connessione internet sul pc infetto...
ormai si avvia solo in mod prov.

[koanstudio]

sono riuscito a rimuovere comaddinu.dll!!!
ho usato semplicemente unlocker.
il problema è che quel file dat nella cartella c:\windows\system32\drivers non riesce a eliminarlo, ne a spostarlo/rinominarlo... rimane lui

almeno però ora il sistema si avvia in mod normale, pur senza connessione, lan, firewall, e conuna latenza di circa 4 minuti prima che compaiano le icone sul desktop...

questo mi ha permesso di installare kaspersky con aggiornamento manuale alla data di 2 giorni fa. scansione in corso. posto qui il risultato + hjt log al termine.

grazie a tutti e BUON ANNO!