|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
START->esegui->digita CMD
Scrivi:
sc delete AMService
Clicca INVIO
Poi ripeti:
sc delete Remote Packet Capture Protocol v.0
Clicca invio
Digita exit e poi Invio.
Posta un nuovo log di HijackThis
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Devo andare. Ti riprendo domani. Segui anche queste indicazioni: Scarica Defogger: http://download.bleepingcomputer.com/jpshortstuff/Defogger.exeSi tratta di un programma che serve per disattivare temporaneamente i driver impiegati da software per l'emulazione di CD/DVD. (Alcohol 120 per esempio) Eseguilo, e clicca su " Disable", premi "Yes" per confermare, quindi attendi la fine della procedura. Defogger può richiedere, un riavvio (reboot ) del pc. Poi prova una scansione con Combofix. Se non funziona in Modalità normale prova in Modalità provvisoria. Le indicazioni sono le stesse della pagina precedente. (combofix)
|
|
Rank: AiutAmico
Iscritto dal : 10/26/2005
Posts: 158
|
Allora punto della situazione: Ho eseguito passo passo tutto ciò che mi hai detto di fare negli ultimi tuoi due post. Combofix in modalità normale non ne ha voluto proprio sapere di avviarsi quindi l'ho lanciato in modalità provvisoria. Finalmente è partito ma prima di iniziare la scansione si è aperta questa finestra ed ho cercato di copiare quello che vi era scritto: You are infected with ROOTKIT. ZEROACCESS! It has inserted itself into the TCP/IP STACK. This is a particulary difficult infection. If for any reason that you're unable to connect to the internet after running combofix, reboot once and see if that... etc etc non sono riuscita più a copiare perchè il pc si è riavviato per far partire nuovamente combofix (e qui mi è venuto il dubbio se spegnere il router per eliminare la connessione... cosa che non sono riuscita a fare). Sotto posto il log di combofix. ComboFix.txtE questo è il nuovo log di Hijackthis hijackthis.logVisto che mi son trovata in modalità provvisoria ho provato a lanciare avast per la scansione che ieri mi hai chiesto di fare e fino ad ora è ancora in funzione. Certo che si inizia bene la giornata quando ti si apre una finestra che ti dice che il tuo pc è infettato da un rootkit che tra l'altro è anche difficile eliminare.... manco non lo avessi capito 
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:ROOTKIT. ZEROACCESS! Lo sapevo......  La peggiore infezione che potevi imbarcare. Devo trovare dove si annida il rootkit. Fammi una cortesia, prova a ripetere la scansione con SystemscanPosta il log.
|
|
Rank: AiutAmico
Iscritto dal : 10/26/2005
Posts: 158
|
Ok quindi devo arrestare la scansione con avira? Devo lanciare sistemscan sempre in modalità provvisoria?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Arresta Avira. (contro questa infezione non c'è antivirus che tenga)
Prova in modalità normale.
Metti la spunta a tutte le opzioni.
|
|
Rank: AiutAmico
Iscritto dal : 10/26/2005
Posts: 158
|
Mi viene da piangere... è più di un'ora che provo a far girare systemscan ma sia in modalità normale che in provvisoria, dopo ripetuti tentativi in entrambi i modi, si blocca sempre alla voce Alternate Data Stream... non so quanto può servire ma posto ugualmente il report che mi ha lasciato finchè non si bloccasse. (Ecco... dal pc infettato non riesco nemmeno a caricare il report su wikisend... passo sul portatile e lo posto) report.txt
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Per ogni evenienza, crea un punto di ripristino. Prova in modalità normale questo script. Se non funziona prova in "provvisoria". Apri un file di testo con il Block Note sul Desktop Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txtCode:ClearJavaCache::
KillAll::
DirLook::
C:\WINDOWS\$NtUninstallKB2641653$
C:\WINDOWS\$hf_mig$
Driver::
szkg
fpqqmpaq
npggsvc
NetSvcs::
szkg
Folder::
C:\Programmi\AVG
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
RegLock::
[HKEY_USERS\S-1-5-21-1547161642-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88CE03C9-EB24-36D0-A710-4629553AE078}*]
e trascinalo sull'icona di ComboFix. Attendi la fine dei lavori, senza toccare tastiera, mouse o altro. Posta il log aggiornato di combofix
|
|
Rank: AiutAmico
Iscritto dal : 10/26/2005
Posts: 158
|
Io ho disabilitato il ripristino configurazione sitema... posso crearlo ugualmente un punto di ripristino? mi sa che sono un pò in difficoltà in questo....
|
|
Rank: AiutAmico
Iscritto dal : 10/26/2005
Posts: 158
|
Eppure avevo messo la spunta su Disattiva ripristino ora non c'è più... bah
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Si lo abiliti.
Poi:
Start
Programmi
Accessori
Utilità di sistema
Ripristino configurazione di sistema
Crea un punto di ripristino
Clicca Avanti
Inserisci una descrizione (metti Loredana)
Clicca Crea e attendi pazientemente la fine delle operazioni
|
|
Rank: AiutAmico
Iscritto dal : 10/26/2005
Posts: 158
|
ok avviato combofix in modalità normale ed è partito... mi avvisa che c'è avira che potrebbe far contrasto ma io l'ho disinstallato.... poi mi è uscita la stessa finestra che mi avvisa del rootkit.... appena finisce posto il log
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:mi avvisa che c'è avira che potrebbe far contrasto Non ci badare, e continua . Il log di Systemscan non è sevito perchè si blocca proprio nel momento di visualizzare i file nascosti. Vediamo cosa dice Combofix.
|
|
Rank: AiutAmico
Iscritto dal : 10/26/2005
Posts: 158
|
Ecco il nuovo log di combofix che mi hai chiesto ComboFix.txtRitorno fra trenta minuti... grazie di tutto.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Quando puoi: Scarica aswMBR.exe sul desktop. http://public.avast.com/~gmerek/aswMBR.exeFai doppio clic aswMBR.exe per eseguirlo Clicca sul pulsante Scan per avviare la scansione Al termine della scansione clicca su Save log,e salvalo sul desktop. Postalo qui.
|
|
Rank: AiutAmico
Iscritto dal : 10/26/2005
Posts: 158
|
Se clicco su quel link mi dice che l'indirizzo non è valido 
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Vai su Google e digita aswMBR
Scaricalo dal primo link . (in alto)
|
|
Rank: AiutAmico
Iscritto dal : 10/26/2005
Posts: 158
|
Ecco il log
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-03-15 21:53:12
21:53:12.515 OS Version: Windows 5.1.2600 Service Pack 3
21:53:12.515 Number of processors: 2 586 0xF06
21:53:12.515 ComputerName: C5BBB6BA231C47F UserName: principale
21:53:13.109 Initialize success
21:53:25.500 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
21:53:25.500 Disk 0 Vendor: MAXTOR_STM3320820AS 3.AAE Size: 305245MB BusType: 3
21:53:25.500 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP3T0L0-10
21:53:25.500 Disk 1 Vendor: Maxtor_6Y080L0 YAR41BW0 Size: 78167MB BusType: 3
21:53:25.515 Disk 0 MBR read successfully
21:53:25.515 Disk 0 MBR scan
21:53:25.515 Disk 0 Windows XP default MBR code
21:53:25.515 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 305234 MB offset 63
21:53:25.531 Disk 0 scanning sectors +625121280
21:53:25.578 Disk 0 scanning C:\WINDOWS\system32\drivers
21:53:32.484 Service scanning
21:53:43.000 Modules scanning
21:53:48.968 Disk 0 trace - called modules:
21:53:48.984 ntoskrnl.exe CLASSPNP.SYS disk.sys xfilt.sys ACPI.sys hal.dll sfsync02.sys atapi.sys videX32.sys PCIIDEX.SYS
21:53:48.984 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a66eab8]
21:53:48.984 3 CLASSPNP.SYS[f7637fd7] -> nt!IofCallDriver -> [0x8a6b2ed0]
21:53:48.984 5 xfilt.sys[f7728026] -> nt!IofCallDriver -> \Device\00000092[0x8a672f18]
21:53:48.984 7 ACPI.sys[f75ae620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8a6e9d98]
21:53:48.984 \Driver\atapi[0x8a71d800] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> sfsync02.sys[0xf771fd60]
21:53:48.984 Scan finished successfully
21:55:15.921 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\principale\Desktop\MBR.dat"
21:55:15.953 The log file has been saved successfully to "C:\Documents and Settings\principale\Desktop\aswMBR.txt"
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Bene. Hai ancora TDSSKiller sul desktop vero? Se no: Scarica TDSSKiller.zip sul desktop: http://support.kaspersky.com/viruses/solutions?qid=208280684Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe clicca su "Start Scan" Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue". Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue". Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc) Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo. Il log lo trovi in C:\ Postalo qui. (con Wikisend)
|
|
Rank: AiutAmico
Iscritto dal : 10/26/2005
Posts: 158
|
|
|
|
Guest |