|
|||||||
|
|
|
 |
|
|
Strumenti |
03-09-2008, 16:03
|
#1 |
|
Member
Iscritto dal: Aug 2007
Messaggi: 89
|
Sono infetto help
Salve ho un portatile Asus con 2 sitemi operativi
in c: c'è windows Vista in d: c'è windows xp Ieri aprendo vista o notato che si era creato un altro account iuser_admin con una password ho provato a cancellarlo ma puntualmente ritorna quindi ho pensato che c'era qualcosa che non andava. Ho seguito le istruzioni nella guida Malwarebytes Anti-Malware ----> scansione riuscita posto il log A-Squared Free v3.x ----> avviato ma ad un certo punto si blocca ho un log parziale F-Secure OnLine ----> non riesco a farlo partire si blocca all'installazione degli ActiveX Dr.Web CureIT ----> scansione riuscita posto il log (nel file zip c'e l'originale) ESET SysInspector ----> scansione riuscita posto log Gmer ----> scansione riuscita posto log PrevxCSI ----> scansione riuscita posto log Log.zip Aspetto vostre notizie a-squared a2scan_080903-130815.txt Dr.Web CureIT http://www.hwupgrade.helloweb.eu/Par...2878501284.txt gmer gmer.log hijackthis hijackthis.log Anti-Malware mbam-log-2008-09-03 (12-59-41).txt PrevxCSI PrevxCSI.log SysInspector SysInspector-PC-WHISKY-080903-1623.xml Ultima modifica di Druiser : 03-09-2008 alle 19:58. |
|
|
|
03-09-2008, 19:39
|
#2 |
|
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
fai kaspersky-tool in alternativa a quella online, poi riscrema il log di dr.web con il parser (usabile anche per kaspersky-tool) facendo attenzione al link che mostra nella sua finestra principale, basta che copi quel link
 poi ripubblica tutti i log appunto preferendo la modalità di inviarli su un server per poi pubblicare il link al donwload, nelle Regole di Sezione hai tutte le spiegazioni che ti servono
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
|
|
|
03-09-2008, 23:47
|
#3 |
|
Member
Iscritto dal: Aug 2007
Messaggi: 89
|
Ecco il log di kaspersky-tool:
http://www.hwupgrade.helloweb.eu/Par...-681835813.txt Grazie in anticipo |
|
|
|
|
04-09-2008, 17:21
|
#4 |
|
Member
Iscritto dal: Aug 2007
Messaggi: 89
|
Ora appen a avvio Vista
mi esce un msg RunDll Errore del caricamento del file yayxwUmj.dll impossibile trovare il modulo specificato |
|
|
|
|
04-09-2008, 17:50
|
#5 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
la tua situazione è alquanto complessa... stento a crederci che nonostante avessi nod, ti siano entrate tutte quelle cose.. innanzitutto cosa hai fatto con le cose che kaspersky ti ha trovato? eliminato? quarantena? dal log nn risulta che azione hai intrapreso (cmq il log è un po strano sinceramente.....) fai girare un tool (anche perchè quella dll mi sa di vundo...nn è che ti appaiono finestre di IE anche se nn navighi?) http://download.bleepingcomputer.com/sUBs/ComboFix.exe NB: ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete,chiudendo tutti gli altri programmi (emule,msn o altro) e infine disabilitando antivirus e altri software di sicureza in realtime Doppio click su combofix.exe e segui le istruzioni Allegare il log C:\combofix.txt N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire) vediamo cosa trova è fondamentale che il ripristino configurazioen sistema sia ancora disattivato __________________ |
|
|
|
|
|
04-09-2008, 18:47
|
#6 |
|
Member
Iscritto dal: Aug 2007
Messaggi: 89
|
Allora ecco il log
http://wikisend.com/download/669532/ComboFix.txt i file trovati da kaspersky sono salvati in backup Mi e stato consigliato di levare il nod32 e mettere AntiVir e anche quelli che ha trovato sono in quarantena P.S. combofix a creato delle cartelle in c: che non ha cancellato le lascio? |
|
|
|
|
04-09-2008, 18:57
|
#7 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
nn cancellare combofix e nessuna cartella se avira ti rileva combofix coem minacccia, digli ignora mi puoi postare il log di avira? |
|
|
|
|
|
04-09-2008, 19:01
|
#8 |
|
Member
Iscritto dal: Aug 2007
Messaggi: 89
|
ecco il log sono nelle tue mani
AVSCAN-20080904-154218-3C832178.LOG |
|
|
|
|
04-09-2008, 19:21
|
#9 |
|
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
bene ecco cosa ha ripulito
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
|
|
|
04-09-2008, 19:21
|
#10 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
sono sempre piu sconvolto....
nn ho mai visto forse un pc ridotto come il tuo.... devi imparare a scaricare meno crack e keygen....oppure ti beccherai il bagle che ti dar' dei grossi problemi al pc....  allora, disattiva avira, chiudi tutti i programmi e disconnettiti da internet poi, apri il blocco note di windows ed incollaci dentro questo: Quote:
chiudi il note e salvalo col nome CFScript.txt ora trascina il txt sull'icona di combofix e lascia lavorare il soft.. alla fine ti rilascerà un log che posterai qui... guarda la figura  attendiamo questo log ciao |
|
|
|
|
|
04-09-2008, 20:17
|
#11 |
|
Member
Iscritto dal: Aug 2007
Messaggi: 89
|
|
|
|
|
|
04-09-2008, 20:26
|
#12 | ||
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
riesegui le stesse operazioni di prima inserendo questa volto solo questo script Quote:
come prima, trascina questo log su combofix NB antivirus disattivato, macchina dedicata e disconnesso da internet posta il log che ti rilascia grazie |
||
|
|
|
|
04-09-2008, 21:14
|
#13 |
|
Member
Iscritto dal: Aug 2007
Messaggi: 89
|
nuovo log
ComboFix3.txt Quando riavvio antivir rileva 2 cose c:\Windows\Nircmd.exe e il combofix e normale giusto?(io metto ignore) Ultima modifica di Druiser : 04-09-2008 alle 21:33. |
|
|
|
|
04-09-2008, 22:22
|
#14 |
|
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
@ murack83pa:
sei un ottimista a dire non ho visto nulla del genere  poteva fare di meglio considerando le sue abitudini  - inteso come ironia, meglio ridere che piangere - @ Druiser: è il caso di pensare ai programmi free/opensource che non fanno rimpiangere di certo quelli commerciali a maggior ragione quando non vè intenzione di spendere soldi per una licenza quindi tieni a mente questo thread che potrebbe agevolarti oltre che mantenerti pulito: http://www.hwupgrade.it/forum/showthread.php?t=668898 nod32 non ha fatto il suo dovere forse perchè arriva sempre da lidi di dubbia provenienza e senza regolare licenza.. ad ogni modo Avira oltre che a possedere una versione free ottima è pure un ottimo antivcirus e superiore a nod32 penserei alla sostituzione
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
|
|
|
05-09-2008, 01:35
|
#15 |
|
Member
Iscritto dal: Aug 2007
Messaggi: 89
|
gia sostituito sia nod32 che spaybot
una volta usato il combofix cosa devo fare? |
|
|
|
|
05-09-2008, 09:21
|
#16 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
procedi alla disinstallazione di combofix cosi: start, esegui e digita: combofix /u premi invio NB: prima di fare ciò, disattiva Avira, altrimenti ti blocca il processo di disinstallazione in quanto rileva quel eseguibile, nircmd.exe dopo aver disinstallato combofix, procedi ad una pulizia del sistema e anche del registro con CCleaner: è molto importante avvia Hijackthis e procedi in questo modo per la pulizia degi ADS: ● clicca sulla voce Open the misc tool section ● clicca su Open ads spy ● togli la spunta alla voce Quick scan (windows base folder only) ● clicca su Scan ● a fine scansione, se spunta un elenco di file (NB: nn devi preoccuparti dei nomi dei file che compaiono, perchè i file NON vengono cancellati), ne selesioni uno col pulsate destro, gli dici seleziona tutti e poi clicca sul pulsante remove fatto questo, clicca sul pulsante in basso Main Menu e rifai una nuova scansione e posta qui il log esegui una nuova scansione con prevx csi e un altro con gmer: posta entrambi i log qui in conclusione devi postare questi 3 log: hijackthis prevx csi gmer grazie |
|
|
|
|
|
05-09-2008, 10:27
|
#17 |
|
Member
Iscritto dal: Aug 2007
Messaggi: 89
|
hijackthis: hijackthis2.txt
prevx csi: PrevxCSI2.log gmer: gmer2.log Grazie a te P.S. in c: e rimasta una cartella combofix con dentro un file srizbi.md5 si puo cancellare o lo lascio li? Ultima modifica di Druiser : 05-09-2008 alle 10:30. |
|
|
|
|
05-09-2008, 10:35
|
#18 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Per il momento non disinstallare ComboFix
fai girare questo tool http://www.pointstone.com/products/ADS-Scanner/ Edit: vedo che hai già provveduto alla disinstallazione fai girare il tool che ti ho indicato
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 05-09-2008 alle 10:41. |
|
|
|
|
05-09-2008, 10:43
|
#19 | |
|
Member
Iscritto dal: Aug 2007
Messaggi: 89
|
Quote:
Grazie |
|
|
|
|
|
05-09-2008, 10:45
|
#20 |
|
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
fixa:
Codice:
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Netlog Music Tool] "C:\Program Files\Netlog Music Tool\NetlogMusicTool.exe"
O23 - Service: AFinding Service (AFinding) - Unknown owner - C:\Windows\system32\afinding.exe
O23 - Service: afisicx Manages messages (afisicx) - Unknown owner - C:\Windows\system32\afisicx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: mabidwe Service (mabidwe) - Unknown owner - C:\Windows\system32\mabidwe.exe
O23 - Service: macidwe Service (macidwe) - Unknown owner - C:\Windows\system32\macidwe.exe
O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\Windows\system32\Nobicyt.exe
O23 - Service: noxtcyr Manages messages (noxtcyr) - Unknown owner - C:\Windows\system32\noxtcyr.exe
O23 - Service: noytcyr Service (noytcyr) - Unknown owner - C:\Windows\system32\noytcyr.exe
O23 - Service: perfmons - Unknown owner - C:\Windows\system32\perfs.exe
O23 - Service: perfs Service (perfs) - Unknown owner - C:\Windows\system32\perfs.exe
O23 - Service: routing Service (routing) - Unknown owner - C:\Windows\system32\routing.exe
O23 - Service: roxtctm Manages messages (roxtctm) - Unknown owner - C:\Windows\system32\roxtctm.exe
O23 - Service: roytctm Service (roytctm) - Unknown owner - C:\Windows\system32\roytctm.exe
O23 - Service: sobicyt Service (sobicyt) - Unknown owner - C:\Windows\system32\sobicyt.exe
O23 - Service: sotpeca Co. Ltd. (sotpeca) - Unknown owner - C:\Windows\system32\sotpeca.exe
O23 - Service: soxpeca Service (soxpeca) - Unknown owner - C:\Windows\system32\soxpeca.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: tdxdowkc Service (tdxdowkc) - Unknown owner - C:\Windows\system32\tdxdowkc.exe
O23 - Service: tdydowkc Service (tdydowkc) - Unknown owner - C:\Windows\system32\tdydowkc.exe
O23 - Service: WServing Service (WServing) - Unknown owner - C:\Windows\system32\wserving.exe
O23 - Service: wsldoekd Event propagation service (wsldoekd) - Unknown owner - C:\Windows\system32\wsldoekd.exe
dovresti spiegarmi come hai disinstallato nod32 e norton internet security perchè almeno nod32 non lo hai per nulla disinstallato! per eliminare i residui del NortonInternetSecurity segui questa semplice procedura: http://www.hwupgrade.it/forum/showthread.php?t=1630445 poi riavvia e rifai la scansione con hijackthis, prevxcsi e gmer
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:53.
