Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » virus Trojan.Mebroot.B. Aiutoo !!!!

2 pages: 1 [2]
virus Trojan.Mebroot.B. Aiutoo !!!! Opzioni
Topic Precedente · Topic Sucessivo
jossgp
Inviato: Thursday, March 11, 2010 6:11:32 PM
Rank: Member

Iscritto dal : 3/10/2010
Posts: 24
Il pc funziona piuttosto bene ora.

Per malware ok rimuovo i 3 file nelle mie cartelle , ma anche quello che c'è in system volume information ? , posso ?

Quando ho lanciato ComboFix mi ha rimosso AVG dalla statusbar ( in fondo a dx ). lo reinstallo con opzione repair ?

Un altro paio di cose , se posso :

1. Ogni tanto mentre ho la connessione aperta sento il disco che lavora. Posso sapere che cosa fa , nel senso di sapere a quale sito è connesso e cosa sta aggiornando ?
2. Oppure posso sapere dei processi attivi quali sono connessi a internet in modo attivo ?, ciè che stanno operando.
3. Mi spieghi quella opzione di reg lock su ASNA ?

Non so si può dire che abbiamo finito , Intanto ti ringrazio un mondo per l'aiuto che mi stai dando.


EDIT :
Scusa non avevo visto la opzione di rimozione di malware bytes. fatta! , valgono le altre domande .

Aggiungo : I programmi che mi hai fatto lanciare ComboFix e findyKill li posso lanciare periodicamente a scopo preventivo ?


EDIT2 :
Devo riattivare help assistant e la gestione rispristino configurazione sistema ?
Torna in alto
 
r16
Inviato: Thursday, March 11, 2010 6:31:08 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121
Spegni il pc.
Avvia il pc.
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo
Questa operazione riguarda l'eliminazione dei punti di ripristino.
Per AVG, riavviando il pc, dovrebbe tornare tutto a posto.
Commenta:
Mi spieghi quella opzione di reg lock su ASNA ?

Era infetta da rootkit.
Commenta:
Aggiungo : I programmi che mi hai fatto lanciare ComboFix e findyKill li posso lanciare periodicamente a scopo preventivo ?

No, non puoi.
Perchè sono programmi di una certa pericolosità, in mano ad utenti poco esperti.
Anzi:
FindKill lo puoi disistallare lanciandolo e scegli l'opzione 3 (Desinstaller FindyKill: Disinstallare FindyKill)
Per Combofix:
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.
Torna in alto
 
jossgp
Inviato: Thursday, March 11, 2010 6:59:08 PM
Rank: Member

Iscritto dal : 3/10/2010
Posts: 24
Ho letto la guida , ma conoscevo già cosa faceva.
quindi ora :

1. spengo il pc e riavvio
2. disintallo FindKill
3. lancio OTC + riavvio
4. Abilito risptino configurazione e cre un muovo punto

E' corretto ?

E per quello che ti ho chiesto circa conoscere i pgm che si connetto, come , chi, quando e dove ?

grazie

EDIT:

Sono andato nel ripristino configurazione del sistema per abilitarlo ma era già attivato. Può essere per via dei punti di ripristino creati dalle varie utility ???
comunque io l'ho disattivato e poi ho riavviato. Sono nuovamente andato per riattivarlo ed era gia attivo.
Domanda : ma è così , cioè si reimposta da solo ? io mi aspettavo che uno doveva andare a mano a togliere la spunta ?
Torna in alto
 
paolopa
Inviato: Thursday, March 11, 2010 7:48:17 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
ci ha pensato combo.
Torna in alto
 
r16
Inviato: Thursday, March 11, 2010 7:49:25 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Facciamo così:
Disistalla Combofix, con il tooll che ti ho indicato.
Dai una pulita (registro compreso)con CCleaner: http://www.aiutamici.com/software?ID=11223
Nella schermata iniziale di CCleaner, clicca su Opzioni e poi Avanzate, togli il segno di spunta a: Cancella i file in Windows Temp solo se più vecchi di 48 ore. (poi esegui le pulizie)

Poi scarica questa versione di Combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Disattiva l'antivirus, fai una scansione e posta il log.
Torna in alto
 
jossgp
Inviato: Thursday, March 11, 2010 9:05:01 PM
Rank: Member

Iscritto dal : 3/10/2010
Posts: 24
Okay ora lo faccio.
Torna in alto
 
jossgp
Inviato: Thursday, March 11, 2010 9:18:35 PM
Rank: Member

Iscritto dal : 3/10/2010
Posts: 24
eccolo qui :

ComboFix 10-03-11.02 - Joss 11/03/2010 21.39.25.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.3070.2461 [GMT 1:00]
Eseguito da: e:\antivirus\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2010-02-11 al 2010-03-11 )))))))))))))))))))))))))))))))))))
.

2010-03-11 18:25 . 2010-03-11 18:25 -------- d-----w- e:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\GHISLER
2010-03-11 18:10 . 2010-03-11 18:26 -------- d-----w- E:\BackupRegistro
2010-03-11 08:17 . 2010-03-11 08:17 -------- d-----w- e:\windows\system32\KB905474
2010-03-11 08:17 . 2009-03-10 21:26 1437568 ----a-w- e:\windows\system32\KB905474\wganotifypackageinner.exe
2010-03-11 08:17 . 2009-03-10 21:18 454016 ----a-w- e:\windows\system32\KB905474\wgasetup.exe
2010-03-11 08:16 . 2010-02-12 10:03 293376 ------w- e:\windows\system32\browserchoice.exe
2010-03-11 08:15 . 2009-12-04 18:22 455424 -c----w- e:\windows\system32\dllcache\mrxsmb.sys
2010-03-11 08:11 . 2009-12-09 10:07 2192896 -c----w- e:\windows\system32\dllcache\ntoskrnl.exe
2010-03-11 08:11 . 2009-12-09 10:07 2148864 -c----w- e:\windows\system32\dllcache\ntkrnlmp.exe
2010-03-11 08:11 . 2009-12-09 10:07 2027520 -c----w- e:\windows\system32\dllcache\ntkrpamp.exe
2010-03-10 17:18 . 2010-03-11 18:00 -------- d-----w- E:\FyK
2010-03-10 12:30 . 2010-03-09 21:02 77312 ----a-w- E:\mbr.exe
2010-03-10 12:24 . 2010-03-10 12:24 -------- d-----w- e:\documents and settings\Administrator\DoctorWeb
2010-03-09 22:19 . 2010-03-09 22:19 53136 ----a-w- e:\windows\system32\PxSecure.dll
2010-03-09 22:19 . 2010-03-09 22:19 47664 ----a-w- e:\windows\system32\drivers\pxrts.sys
2010-03-09 22:19 . 2010-03-09 22:19 30280 ----a-w- e:\windows\system32\drivers\pxscan.sys
2010-03-09 22:19 . 2010-03-09 22:19 24496 ----a-w- e:\windows\system32\drivers\pxkbf.sys
2010-03-09 22:19 . 2010-03-09 22:19 -------- d-----w- e:\programmi\Prevx
2010-03-09 22:02 . 2010-03-10 23:14 -------- d-----w- e:\documents and settings\All Users\Dati applicazioni\PrevxCSI
2010-03-09 21:53 . 2010-03-11 20:11 -------- d-----w- E:\AntiVirus
2010-02-27 07:37 . 2010-02-25 07:43 5115824 ----a-w- E:\mbam-setup.exe
2010-02-25 14:48 . 2010-02-25 14:48 95024 ----a-w- e:\windows\system32\drivers\SBREDrv.sys
2010-02-25 14:45 . 2010-02-26 17:41 -------- d-----w- e:\documents and settings\All Users\Dati applicazioni\Lavasoft
2010-02-25 12:05 . 2010-03-11 08:47 -------- d-----w- e:\documents and settings\HelpAssistant
2010-02-25 11:29 . 2010-03-11 17:23 3777280 ----a-w- e:\documents and settings\All Users\Dati applicazioni\avg9\update\backup\setup.exe
2010-02-25 11:29 . 2010-03-11 17:23 1260800 ----a-w- e:\documents and settings\All Users\Dati applicazioni\avg9\update\backup\avgfrw.exe
2010-02-25 11:27 . 2010-02-25 11:27 -------- d-----w- E:\$AVG
2010-02-25 11:27 . 2010-02-25 11:27 360584 ----a-w- e:\windows\system32\drivers\avgtdix.sys
2010-02-25 11:27 . 2010-02-25 11:27 12464 ----a-w- e:\windows\system32\avgrsstx.dll
2010-02-25 11:27 . 2010-02-25 11:27 333192 ----a-w- e:\windows\system32\drivers\avgldx86.sys
2010-02-25 11:27 . 2010-02-25 11:27 28424 ----a-w- e:\windows\system32\drivers\avgmfx86.sys
2010-02-25 11:27 . 2010-03-11 17:24 -------- d-----w- e:\windows\system32\drivers\Avg
2010-02-25 11:26 . 2010-03-11 17:22 -------- d-----w- e:\documents and settings\All Users\Dati applicazioni\avg9
2010-02-25 11:26 . 2010-02-25 11:26 -------- d-----w- e:\programmi\AVG
2010-02-25 11:18 . 2010-03-10 09:52 -------- d-----w- E:\temp
2010-02-25 10:22 . 2010-02-25 10:22 -------- d-----w- e:\documents and settings\Joss.JOSS_XPHP\Dati applicazioni\Malwarebytes
2010-02-25 08:28 . 2010-01-07 15:07 38224 ----a-w- e:\windows\system32\drivers\mbamswissarmy.sys
2010-02-25 08:28 . 2010-02-27 07:37 -------- d-----w- e:\programmi\Malwarebytes' Anti-Malware
2010-02-25 08:28 . 2010-01-07 15:07 19160 ----a-w- e:\windows\system32\drivers\mbam.sys
2010-02-25 08:12 . 2010-02-25 08:12 -------- d-----w- e:\documents and settings\Administrator\Dati applicazioni\Malwarebytes
2010-02-24 18:46 . 2009-10-05 23:00 588288 ----a-w- e:\windows\system32\Notepad.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-11 18:29 . 2003-04-08 12:00 80428 ----a-w- e:\windows\system32\perfc010.dat
2010-03-11 18:29 . 2003-04-08 12:00 480668 ----a-w- e:\windows\system32\perfh010.dat
2010-03-11 08:19 . 2010-03-11 08:19 -------- d-----w- e:\programmi\MSXML 4.0
2010-02-04 23:16 . 2009-06-04 14:37 -------- d-----w- e:\programmi\Microsoft ActiveSync
2010-01-26 18:07 . 2008-09-29 12:03 -------- d-----w- e:\programmi\File comuni\ASNA Shared
2010-01-20 15:54 . 2009-01-16 10:58 -------- d-----w- e:\documents and settings\Joss.JOSS_XPHP\Dati applicazioni\U3
2010-01-20 08:28 . 2010-01-20 08:28 -------- d-----w- e:\documents and settings\Joss.JOSS_XPHP\Dati applicazioni\UltraVNC
2010-01-11 13:56 . 2010-01-08 17:06 162816 ----a-w- e:\windows\system32\fmod.dll
2010-01-07 19:52 . 2008-10-29 15:50 63584 ----a-w- e:\documents and settings\Joss.JOSS_XPHP\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-01-07 19:47 . 2010-01-07 19:47 125936 ----a-w- e:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\FontCache3.0.0.0.dat
2010-01-05 09:53 . 2008-04-13 17:13 832512 ------w- e:\windows\system32\wininet.dll
2010-01-05 09:53 . 2008-04-13 17:13 78336 ----a-w- e:\windows\system32\ieencode.dll
2010-01-05 09:53 . 2008-04-13 17:13 17408 ----a-w- e:\windows\system32\corpol.dll
2009-12-31 16:50 . 2008-04-13 10:15 353792 ----a-w- e:\windows\system32\drivers\srv.sys
2009-12-17 14:02 . 2009-12-17 14:02 133648 ----a-w- e:\windows\system32\VBoxNetFltNotify.dll
2009-12-17 14:02 . 2009-12-17 14:02 110096 ----a-w- e:\windows\system32\drivers\VBoxNetFlt.sys
2009-12-17 14:02 . 2009-04-13 18:31 99152 ----a-w- e:\windows\system32\drivers\VBoxNetAdp.sys
2009-12-17 14:02 . 2008-10-17 11:48 41616 ----a-w- e:\windows\system32\drivers\VBoxUSBMon.sys
2009-12-17 14:02 . 2008-10-17 11:48 123280 ----a-w- e:\windows\system32\drivers\VBoxDrv.sys
2009-12-17 07:40 . 2008-09-14 13:05 346112 ----a-w- e:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2008-04-13 17:13 33280 ----a-w- e:\windows\system32\csrsrv.dll
2008-10-28 15:31 . 2008-10-28 15:31 3162 ----a-w- e:\programmi\iohv.txt
.

------- Sigcheck -------

[-] 2008-09-14 . 3316C8A8EC07A9D4C0BE10310809A9E5 . 1571840 . . [5.1.2600.5512] . . e:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="e:\windows\system32\NvCpl.dll" [2008-09-14 8527872]
"nwiz"="nwiz.exe" [2008-09-14 1626112]
"NvMediaCenter"="e:\windows\system32\NvMcTray.dll" [2008-09-14 81920]
"SMSERIAL"="e:\programmi\Motorola\SMSERIAL\sm56hlpr.exe" [2007-01-16 634880]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-09 16854528]
"SynTPStart"="e:\programmi\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400]
"QlbCtrl"="e:\programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-12-06 202032]
"UnlockerAssistant"="e:\programmi\Unlocker\UnlockerAssistant.exe" [2008-10-28 15872]
"WHITNEY_S2P"="e:\programmi\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe" [2005-02-15 69632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

e:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
BTTray.lnk - e:\programmi\WIDCOMM\Bluetooth Software\BTTray.exe [2007-2-6 561213]
Microsoft Office.lnk - e:\programmi\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-02-25 11:27 12464 ----a-w- e:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"e:\\WINDOWS\\system32\\LMabcoms.exe"=
"f:\\Programmi\\12-Voip\\{app}\\12Voip.exe"=
"f:\\Programmi\\eMule0.49b\\emule.exe"=
"e:\\WINDOWS\\system32\\mmc.exe"=
"f:\\Programmi\\uTorrent\\uTorrent.exe"=
"e:\programmi\Microsoft ActiveSync\rapimgr.exe"= e:\programmi\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"e:\programmi\Microsoft ActiveSync\wcescomm.exe"= e:\programmi\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"e:\programmi\Microsoft ActiveSync\WCESMgr.exe"= e:\programmi\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"f:\\Programmi\\totalcmd750\\TOTALCMD.EXE"=
"e:\\WINDOWS\\system32\\dpvsetup.exe"=
"f:\\Progetti_PDA\\PDALab\\_TCPFileTransfer\\FileTransfer\\Server\\bin\\Debug\\FileServer.exe"=
"f:\\Progetti_PDA\\PDALab\\_TCPFileTransfer\\FileTransfer\\Server\\bin\\Release\\FileServer.exe"=
"e:\\Programmi\\AVG\\AVG9\\avgemc.exe"=
"e:\\Programmi\\AVG\\AVG9\\avgupd.exe"=
"e:\\Programmi\\AVG\\AVG9\\avgnsx.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"2059:TCP"= 2059:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"7710:TCP"= 7710:TCP:Services

R0 pxscan;pxscan;e:\windows\system32\drivers\pxscan.sys [09/03/2010 23.19.46 30280]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;e:\windows\system32\drivers\avgldx86.sys [25/02/2010 12.27.19 333192]
R1 AvgTdiX;AVG Free Network Redirector;e:\windows\system32\drivers\avgtdix.sys [25/02/2010 12.27.22 360584]
R1 VBoxDrv;VirtualBox Service;e:\windows\system32\drivers\VBoxDrv.sys [17/10/2008 12.48.36 123280]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;e:\windows\system32\drivers\VBoxUSBMon.sys [17/10/2008 12.48.39 41616]
R2 Acceler8DB Server;Acceler8DB Server;e:\programmi\ASNA\ADB Engine 4.7\adbntsvc.exe [29/09/2008 13.04.37 501408]
R2 avg9emc;AVG Free E-mail Scanner;e:\programmi\AVG\AVG9\avgemc.exe [25/02/2010 12.27.01 906520]
R2 avg9wd;AVG Free WatchDog;e:\programmi\AVG\AVG9\avgwdsvc.exe [25/02/2010 12.26.58 285392]
R2 pxrts;pxrts;e:\windows\system32\drivers\pxrts.sys [09/03/2010 23.19.46 47664]
R3 pxkbf;pxkbf;e:\windows\system32\drivers\pxkbf.sys [09/03/2010 23.19.46 24496]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;e:\windows\system32\drivers\VBoxNetAdp.sys [13/04/2009 19.31.00 99152]
R3 VBoxNetFlt;VBoxNetFlt Service;e:\windows\system32\drivers\VBoxNetFlt.sys [17/12/2009 15.02.34 110096]
S3 FreeOTFE;FreeOTFE;f:\programmi\FreeOTFE\x86\FreeOTFE.sys [17/12/2009 14.01.38 31856]
S3 FreeOTFECypherAES_ltc;FreeOTFECypherAES_ltc;f:\programmi\FreeOTFE\x86\FreeOTFECypherAES_ltc.sys [17/12/2009 14.01.38 47216]
S3 FreeOTFECypherBlowfish;FreeOTFECypherBlowfish;f:\programmi\FreeOTFE\x86\FreeOTFECypherBlowfish.sys [17/12/2009 14.01.38 25200]
S3 FreeOTFECypherCAST5;FreeOTFECypherCAST5;f:\programmi\FreeOTFE\x86\FreeOTFECypherCAST5.sys [17/12/2009 14.01.38 31088]
S3 FreeOTFECypherCAST6_Gladman;FreeOTFECypherCAST6_Gladman;f:\programmi\FreeOTFE\x86\FreeOTFECypherCAST6_Gladman.sys [17/12/2009 14.01.38 29808]
S3 FreeOTFECypherDES;FreeOTFECypherDES;f:\programmi\FreeOTFE\x86\FreeOTFECypherDES.sys [17/12/2009 14.01.38 56816]
S3 FreeOTFECypherMARS_Gladman;FreeOTFECypherMARS_Gladman;f:\programmi\FreeOTFE\x86\FreeOTFECypherMARS_Gladman.sys [17/12/2009 14.01.38 26480]
S3 FreeOTFECypherRC6_ltc;FreeOTFECypherRC6_ltc;f:\programmi\FreeOTFE\x86\FreeOTFECypherRC6_ltc.sys [17/12/2009 14.01.38 26096]
S3 FreeOTFECypherSerpent_Gladman;FreeOTFECypherSerpent_Gladman;f:\programmi\FreeOTFE\x86\FreeOTFECypherSerpent_Gladman.sys [17/12/2009 14.01.38 29168]
S3 FreeOTFECypherTwofish_ltc;FreeOTFECypherTwofish_ltc;f:\programmi\FreeOTFE\x86\FreeOTFECypherTwofish_ltc.sys [17/12/2009 14.01.38 31856]
S3 FreeOTFEHashMD;FreeOTFEHashMD;f:\programmi\FreeOTFE\x86\FreeOTFEHashMD.sys [17/12/2009 14.01.38 16880]
S3 FreeOTFEHashRIPEMD;FreeOTFEHashRIPEMD;f:\programmi\FreeOTFE\x86\FreeOTFEHashRIPEMD.sys [17/12/2009 14.01.38 32624]
S3 FreeOTFEHashSHA;FreeOTFEHashSHA;f:\programmi\FreeOTFE\x86\FreeOTFEHashSHA.sys [17/12/2009 14.01.38 26224]
S3 FreeOTFEHashTiger;FreeOTFEHashTiger;f:\programmi\FreeOTFE\x86\FreeOTFEHashTiger.sys [17/12/2009 14.01.38 22128]
S3 FreeOTFEHashWhirlpool;FreeOTFEHashWhirlpool;f:\programmi\FreeOTFE\x86\FreeOTFEHashWhirlpool.sys [17/12/2009 14.01.38 30704]
S3 kqemu;KQEMU virtualisation module for QEMU;e:\windows\system32\drivers\kqemu.sys [15/09/2008 19.30.35 123939]
S3 qcusbser;ACER USB Device for Legacy Serial Communication;e:\windows\system32\drivers\qcusbser.sys [08/01/2010 19.06.10 112672]
S3 VBoxUSB;VirtualBox USB;e:\windows\system32\drivers\VBoxUSB.sys [11/11/2009 21.14.56 32016]
S4 CSIScanner;CSIScanner;e:\programmi\Prevx\prevx.exe [09/03/2010 23.19.45 6259392]
S4 NDISKIO;NDISKIO;\??\e:\docume~1\ADMINI~1\IMPOST~1\Temp\281e49d7.nmc\nse\bin\ndiskio.sys --> e:\docume~1\ADMINI~1\IMPOST~1\Temp\281e49d7.nmc\nse\bin\ndiskio.sys [?]
S4 UnhookMBRS;UnhookMBRS;\??\e:\docume~1\ADMINI~1\IMPOST~1\Temp\281e49d7.nmc\nse\bin\unhookmbrs.sys --> e:\docume~1\ADMINI~1\IMPOST~1\Temp\281e49d7.nmc\nse\bin\unhookmbrs.sys [?]
.
Contenuto della cartella 'Scheduled Tasks'

2010-03-11 e:\windows\Tasks\WGASetup.job
- e:\windows\system32\KB905474\wgasetup.exe [2010-03-11 21:18]
.
.
------- Scansione supplementare -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:5555
TCP: {46B013CF-128D-45CA-A2D6-0B8E71F4A2D5} = 8.8.8.8,8.8.4.4
TCP: {8C779A80-D815-4F88-BC54-834B33B63913} = 8.8.8.8,8.8.4.4
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-11 21:40
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\ASNA\Shared\Security Provider*Wrong guess again!]
"<No Name>"="{2450E0A7-8BD3-4937-B823-E80C371897F8}"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(3876)
e:\windows\system32\WININET.dll
e:\windows\system32\btmmhook.dll
.
Ora fine scansione: 2010-03-11 21:41:34
ComboFix-quarantined-files.txt 2010-03-11 20:41
ComboFix2.txt 2010-03-11 20:15

Pre-Run: 17.758.552.064 byte disponibili
Post-Run: 17.745.481.728 byte disponibili

- - End Of File - - 7FBE84E83CF51006C366F28308266653


EDIT:
OOPS ! ho dimenticato il registro . Che faccio te lo rifaccio ?
Ho visto che chè un sacco di roba . devo lasciare tutte le spunte ? .. estensioni, dll orfane ... etc,..

EDIT2: ho rifatto il tutto il post di combo è l'ultimo dopo pulizia chiavi reg.
Torna in alto
 
r16
Inviato: Thursday, March 11, 2010 9:48:30 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Il log è messo bene.
Devi solo eliminare la cartella in rosso:
e:\documents and settings\HelpAssistant
Se non riscontri problemi, direi che abbiamo finito.
Torna in alto
 
jossgp
Inviato: Thursday, March 11, 2010 9:58:51 PM
Rank: Member

Iscritto dal : 3/10/2010
Posts: 24
Okay ,

Puoi dirmi solo qualcosa in merito al rispristino, cioè alla spunta. Quando la si mette questa deve rimanere o al prossimo avvio viene tolta dal sistema ?

Puoi anche darmi due dritte su quelle richieste su qualche utility che ti ho chiesto prima sulle connessioni ?

Ancora grazie di tutto , qui la parola "aiutiamoci ha un senso!".

PS . rilancio OTC ?
Torna in alto
 
r16
Inviato: Thursday, March 11, 2010 10:21:53 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Deve rimanere la spunta, anche dopo il riavvio.
Quando hai messo la spunta nel quadrettino: "Disattiva Ripristino...... hai confermato nelle varie richieste con OK?

Commenta:
1. Ogni tanto mentre ho la connessione aperta sento il disco che lavora. Posso sapere che cosa fa , nel senso di sapere a quale sito è connesso e cosa sta aggiornando ?
2. Oppure posso sapere dei processi attivi quali sono connessi a internet in modo attivo ?, ciè che stanno operando

1) La prima domanda, non l'ho capita, o meglio, non capisco cosa intendi dire.
2) La seconda,riguardo i "processi attivi" connessi a internet: IDEM.
3) Per eliminare Combofix, rilancia OTC.
4)E non dirmi che sono "tardo" Whistle
Torna in alto
 
jossgp
Inviato: Thursday, March 11, 2010 10:37:01 PM
Rank: Member

Iscritto dal : 3/10/2010
Posts: 24
Mi sono espresso male! , rifo :

E' possibile conoscere in un dato momento quale sono i processi attivi che sono collegati a qualche sito internet e qauli sono questi siti?
mi piacerebbe un programmino/utility che lancio allo startup e mi informa di questo. Non so se è una cavolata , ma mi piacerebbe.

Per il rispristino , ho riprovato. Tutto Ok , la spunta è mantenuta.
Torna in alto
 
r16
Inviato: Thursday, March 11, 2010 11:24:14 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Mi dispiace, ma non sò esaudire le tue richieste.
Sò che si può risalire attraverso il Registro Eventi, la causa dei vari Crash di un pc, ma non processi attivi che sono collegati a qualche sito internet .
Comunque non escludo niente, magari qualcun altro è più ferrato di me, in queste cose.
N.B:
Se vuoi riattivare il ripristino, devi levare la spunta.
Ciao.
Torna in alto
 
jossgp
Inviato: Thursday, March 11, 2010 11:28:27 PM
Rank: Member

Iscritto dal : 3/10/2010
Posts: 24
Ciao , e grazie,

Salutami quel bimbo/a che compare nella immagine col gatto!
Torna in alto
 
fdaccc
Inviato: Friday, March 12, 2010 2:10:52 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
è suo figlio =)
Torna in alto
 
jossgp
Inviato: Saturday, March 13, 2010 9:58:00 AM
Rank: Member

Iscritto dal : 3/10/2010
Posts: 24
scusate ragazzi , forse non sono ancora fuori,

Stamattina ho acceo il pc ho noato che non avevo la iconna di AVG ho cntrollato con Autorun le impostazioni e mi sembravano Ok.
Ho riavviato il pc e mi sono trovato lo schermo BLU ( BSOD )

Sono di nuovo fermo , Aiuto !!!
Torna in alto
 
jossgp
Inviato: Saturday, March 13, 2010 10:21:48 AM
Rank: Member

Iscritto dal : 3/10/2010
Posts: 24
A dire il vero un cosa l'ho fatta. prima di contattare voi l'altro giorno un mio collega mi aveva suggerito di installare Prevx 3.0 e che tanto non andava in conflitto con nulla.

Io , poi, mi sono dimenticato di dirlo a r16. Ora che mi ricordo quando l'ho installato oscurava la icona nella try di AVG. Dopo avere fatto tutta la manutenzione con r16 avevo disattivato prevx, ma avevo dimanticato tre oggettini che non avevo visto in autorun.
Così stamattina ho pensato che forse era per quello che non vedevo la icona di AVG e ho tolto la spunta , ho salvato e ho riavviato.

Non so se è una spiegazione che sta in piedi , forse aiuta.

nel frattempo sto tirando su l'immagine ( DriveImageXML + BartPE) che mi sono salvato dopo che con r16 sambrava tutto ok.
Torna in alto
 
jossgp
Inviato: Saturday, March 13, 2010 10:53:47 AM
Rank: Member

Iscritto dal : 3/10/2010
Posts: 24
Ho ripristinato la immagine e poi ho lanciato mbr con questo risultato:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !

EDIT
i tre oggetti che ho SOLO disattivato sono :

e:\windows\system32\drivers\pxkbf.sys
e:\windows\system32\drivers\pxrts.sys
e:\windows\system32\drivers\pxscan.sys

avevo anche disattivato e:\programmi\prevx\prevx.exe

EDIT2
Ho controllato i files con su virustotal e me li danno buoni. Però non posso disabilitarli perchè altrimenti si schianta. Va beh!. pero sono questi che mi oscurano AVG.

Poi .. il fatto che mi dia questo :
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !

Ho trovato (cioè dicono ) che effettivamente mbr ha trovato un driver dopo il mbr e suggeriscono di verificare almeno che sia innocuo , se non è possibile rimuoverlo.
Vorrei il tuo parere in merito per essere sicuro di non avere ancora qualcosa.

PS: ora dopo avere riabilitato i 3 files la macchina funzione di nuovo.
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: 1 [2]

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » virus Trojan.Mebroot.B. Aiutoo !!!!


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.