Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Torniamo a combattere contro winfile?

2 pages: 1 [2]
Torniamo a combattere contro winfile? Opzioni
Topic Precedente · Topic Sucessivo
r16
Inviato: Monday, May 04, 2009 11:05:03 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Pensavo che avessi formattato.
Apri un file di testo sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe]
"Debugger"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe]
"Debugger"=-

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
Torna in alto
 
passodellupo
Inviato: Tuesday, May 05, 2009 10:04:44 PM
Rank: AiutAmico

Iscritto dal : 9/21/2003
Posts: 38
No, no. E' che non sto mica sempre a casa del mio amico. E lui non ci sa fare tanto.
Adesso gli diamo la medicina e poi ti faccio sapere.
Torna in alto
 
passodellupo
Inviato: Tuesday, May 12, 2009 9:59:59 PM
Rank: AiutAmico

Iscritto dal : 9/21/2003
Posts: 38
Ciao r16, rieccomi qui.
Finalmente sono riuscito a dare l'antidoto al pc del mio amico.
ecco il log di Combofix:
ComboFix 09-05-03.6 - Leonardo 08/05/2009 21.22.23.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.511.181 [GMT 2:00]
Eseguito da: c:\documents and settings\Leonardo\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Leonardo\Desktop\CFScript.txt
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\_000021_.tmp.dll
c:\windows\system32\_000022_.tmp.dll
c:\windows\system32\_000023_.tmp.dll
c:\windows\system32\_000024_.tmp.dll

.
((((((((((((((((((((((((( Files Creati Da 2009-04-08 al 2009-05-08 )))))))))))))))))))))))))))))))))))
.

2009-05-08 19:14 . 2009-05-08 19:14 -------- d-----w c:\windows\LastGood
2009-05-02 14:35 . 2008-04-21 21:14 219136 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-05-02 14:34 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-05-02 14:34 . 2009-03-06 14:19 286208 -c----w c:\windows\system32\dllcache\pdh.dll
2009-05-02 14:34 . 2009-02-09 11:22 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-05-02 14:34 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-05-02 14:34 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-05-02 14:34 . 2009-02-09 10:51 683520 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-05-02 14:34 . 2009-02-09 10:51 734720 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-05-02 14:34 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-05-02 14:34 . 2009-02-09 10:51 736256 -c----w c:\windows\system32\dllcache\ntdll.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-17 19:49 . 2009-04-04 12:02 -------- d-----w c:\programmi\Malwarebytes' Anti-Malware
2009-04-06 13:32 . 2009-04-04 12:02 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2009-04-04 12:02 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-04 12:17 . 2009-02-25 17:52 -------- d-----w c:\programmi\File comuni\Acronis
2009-04-04 12:06 . 2008-11-23 19:34 -------- d-----w c:\programmi\Java
2009-04-04 12:05 . 2001-08-31 12:00 63402 ----a-w c:\windows\system32\perfc010.dat
2009-04-04 12:05 . 2001-08-31 12:00 425804 ----a-w c:\windows\system32\perfh010.dat
2009-04-04 12:00 . 2009-04-04 12:00 -------- d-----w c:\programmi\Trend Micro
2009-04-04 11:57 . 2008-06-02 19:13 -------- d-----w c:\programmi\CCleaner
2009-03-09 03:19 . 2008-11-23 19:34 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-06 14:19 . 2009-05-02 14:34 286208 ----a-w c:\windows\system32\SET45.tmp
2009-02-25 17:53 . 2009-02-25 17:53 971584 ----a-w c:\windows\system32\drivers\tdrpm147.sys
2009-02-25 17:53 . 2009-02-25 17:53 540000 ----a-w c:\windows\system32\drivers\timntr.sys
2009-02-25 17:53 . 2009-02-25 17:53 44704 ----a-w c:\windows\system32\drivers\tifsfilt.sys
2009-02-10 17:02 . 2004-08-19 15:34 2069760 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 14:04 . 2004-08-19 13:31 1846784 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:23 . 2004-08-19 13:34 2192768 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:22 . 2004-08-19 13:39 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2004-08-19 13:39 734720 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2009-05-02 14:34 401408 ----a-w c:\windows\system32\SET44.tmp
2009-02-09 10:51 . 2004-08-19 13:39 683520 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2004-08-19 13:38 736256 ----a-w c:\windows\system32\ntdll.dll
2008-11-23 19:28 . 2008-11-23 19:28 4900376 ----a-w c:\programmi\LimeWireWin.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-05-04_19.03.53 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-08 14:56 . 2009-05-08 14:56 16384 c:\windows\Temp\Perflib_Perfdata_480.dat
- 2008-11-16 20:18 . 2007-08-10 07:20 26488 c:\windows\system32\spupdsvc.exe
+ 2008-11-16 20:18 . 2008-07-09 07:42 26488 c:\windows\system32\spupdsvc.exe
- 2008-12-15 20:20 . 2007-11-30 11:19 18808 c:\windows\system32\spmsg.dll
+ 2008-12-15 20:20 . 2008-07-09 07:42 18808 c:\windows\system32\spmsg.dll
+ 2001-08-31 12:00 . 2009-02-06 10:39 35328 c:\windows\system32\sc.exe
+ 2004-10-07 10:39 . 2008-06-12 14:21 91648 c:\windows\system32\mtxoci.dll
- 2004-10-07 10:39 . 2008-04-14 02:13 91648 c:\windows\system32\mtxoci.dll
- 2004-10-07 10:39 . 2008-04-14 02:13 58880 c:\windows\system32\msdtclog.dll
+ 2004-10-07 10:39 . 2008-06-12 14:21 58880 c:\windows\system32\msdtclog.dll
+ 2001-08-31 12:00 . 2009-02-06 10:39 35328 c:\windows\system32\dllcache\sc.exe
+ 2008-06-12 14:21 . 2008-06-12 14:21 91648 c:\windows\system32\dllcache\mtxoci.dll
+ 2008-06-12 14:21 . 2008-06-12 14:21 66560 c:\windows\system32\dllcache\mtxclu.dll
+ 2008-06-12 14:21 . 2008-06-12 14:21 58880 c:\windows\system32\dllcache\msdtclog.dll
+ 2008-05-05 05:25 . 2008-05-05 05:25 3072 c:\windows\system32\xpsp4res.dll
+ 2004-10-07 10:39 . 2008-06-12 14:21 956928 c:\windows\system32\msdtctm.dll
- 2004-10-07 10:39 . 2008-04-14 02:13 956928 c:\windows\system32\msdtctm.dll
+ 2008-12-16 12:30 . 2008-12-16 12:30 354304 c:\windows\system32\dllcache\winhttp.dll
+ 2008-06-12 14:21 . 2008-06-12 14:21 161792 c:\windows\system32\dllcache\msdtcuiu.dll
+ 2008-06-12 14:21 . 2008-06-12 14:21 956928 c:\windows\system32\dllcache\msdtctm.dll
+ 2008-06-12 14:21 . 2008-06-12 14:21 428032 c:\windows\system32\dllcache\msdtcprx.dll
+ 2008-11-17 18:23 . 2009-02-09 11:23 2192768 c:\windows\system32\dllcache\ntoskrnl.exe
+ 2008-11-17 18:23 . 2009-02-09 11:23 2027520 c:\windows\system32\dllcache\ntkrpamp.exe
- 2008-11-17 18:23 . 2008-08-14 13:22 2027520 c:\windows\system32\dllcache\ntkrpamp.exe
+ 2008-11-17 18:23 . 2009-02-10 17:02 2069760 c:\windows\system32\dllcache\ntkrnlpa.exe
- 2008-11-17 18:23 . 2008-08-14 13:22 2069760 c:\windows\system32\dllcache\ntkrnlpa.exe
- 2008-11-17 18:23 . 2008-08-14 13:22 2148864 c:\windows\system32\dllcache\ntkrnlmp.exe
+ 2008-11-17 18:23 . 2009-02-09 11:22 2148864 c:\windows\system32\dllcache\ntkrnlmp.exe
+ 2008-11-17 18:23 . 2009-02-09 11:23 2192768 c:\windows\Driver Cache\i386\ntoskrnl.exe
+ 2008-11-17 18:23 . 2009-02-09 11:23 2027520 c:\windows\Driver Cache\i386\ntkrpamp.exe
- 2008-11-17 18:23 . 2008-08-14 13:22 2027520 c:\windows\Driver Cache\i386\ntkrpamp.exe
- 2008-11-17 18:23 . 2008-08-14 13:22 2069760 c:\windows\Driver Cache\i386\ntkrnlpa.exe
+ 2008-11-17 18:23 . 2009-02-10 17:02 2069760 c:\windows\Driver Cache\i386\ntkrnlpa.exe
- 2008-11-17 18:23 . 2008-08-14 13:22 2148864 c:\windows\Driver Cache\i386\ntkrnlmp.exe
+ 2008-11-17 18:23 . 2009-02-09 11:22 2148864 c:\windows\Driver Cache\i386\ntkrnlmp.exe
+ 2008-11-19 19:14 . 2009-04-06 14:57 24921544 c:\windows\system32\MRT.exe
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="c:\programmi\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 143360]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 339968]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 49152]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-01-30 1601304]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2003-9-16 237568]
NETGEAR WG111v2 Smart Wizard.lnk - c:\programmi\NETGEAR\WG111v2\WG111v2.exe [2008-11-16 1261568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-01-30 18:04 10520 ----a-w c:\windows\system32\avgrsstx.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"MIDI2"= SYNCOR11.DLL
"wave1"= serwvdrv.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Acrobat Assistant.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R2 spupdsvc;Windows Service Pack Installer update service;c:\windows\system32\spupdsvc.exe [2008-07-09 26488]
R3 ALI5261;ALi Based Ethernet NT Driver;c:\windows\system32\DRIVERS\ALILAN.SYS [2003-09-05 29184]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys [2007-02-06 194304]
S0 ALiAGP;ALi AGP Bus Filter Driver;c:\windows\system32\DRIVERS\ALiAGP.sys [2003-08-05 29056]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2009-01-30 325128]
S1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2009-01-30 107272]
S2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2009-01-30 903960]
S2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-01-30 298264]

.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-08 21:25
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(472)
c:\windows\system32\RtlGina2.dll
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2009-05-08 21.28.15
ComboFix-quarantined-files.txt 2009-05-08 19:28
ComboFix2.txt 2009-05-04 19:06
ComboFix3.txt 2009-05-04 18:36

Pre-Run: 107.433.918.464 byte disponibili
Post-Run: 107.422.855.168 byte disponibili

173 --- E O F --- 2009-05-08 19:18

serve altro o è tutto pulito?
Torna in alto
 
r16
Inviato: Tuesday, May 12, 2009 10:18:52 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Ok, le chiavi infette sono state eliminate.
Disinstalla combofix in questo modo:
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di combofix (qoobox)

Esegui queste operazioni di pulizia:
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121
Riavvia il pc.
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.
Se non risconta ulteriori problemi, direi che è tutto a posto.
Ciao!
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: 1 [2]

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Torniamo a combattere contro winfile?


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.