Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

problemi con trojan Opzioni
r16
Inviato: Wednesday, March 14, 2012 10:44:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
START->esegui->digita CMD
Scrivi:
sc delete AMService

Clicca INVIO

Poi ripeti:
sc delete Remote Packet Capture Protocol v.0
Clicca invio

Digita exit e poi Invio.

Posta un nuovo log di HijackThis
r16
Inviato: Wednesday, March 14, 2012 10:52:17 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Devo andare.
Ti riprendo domani.
Segui anche queste indicazioni:
Scarica Defogger:
http://download.bleepingcomputer.com/jpshortstuff/Defogger.exe
Si tratta di un programma che serve per disattivare temporaneamente i driver impiegati da software per l'emulazione di CD/DVD. (Alcohol 120 per esempio)
Eseguilo, e clicca su "Disable", premi "Yes" per confermare, quindi attendi la fine della procedura.
Defogger può richiedere, un riavvio (reboot ) del pc.

Poi prova una scansione con Combofix.
Se non funziona in Modalità normale prova in Modalità provvisoria.
Le indicazioni sono le stesse della pagina precedente. (combofix)
loredana74
Inviato: Thursday, March 15, 2012 6:36:05 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Allora punto della situazione:

Ho eseguito passo passo tutto ciò che mi hai detto di fare negli ultimi tuoi due post. Combofix in modalità normale non ne ha voluto proprio sapere di avviarsi quindi l'ho lanciato in modalità provvisoria. Finalmente è partito ma prima di iniziare la scansione si è aperta questa finestra ed ho cercato di copiare quello che vi era scritto:
You are infected with ROOTKIT. ZEROACCESS! It has inserted itself into the TCP/IP STACK. This is a particulary difficult infection. If for any reason that you're unable to connect to the internet after running combofix, reboot once and see if that... etc etc non sono riuscita più a copiare perchè il pc si è riavviato per far partire nuovamente combofix (e qui mi è venuto il dubbio se spegnere il router per eliminare la connessione... cosa che non sono riuscita a fare). Sotto posto il log di combofix.

ComboFix.txt

E questo è il nuovo log di Hijackthis

hijackthis.log

Visto che mi son trovata in modalità provvisoria ho provato a lanciare avast per la scansione che ieri mi hai chiesto di fare e fino ad ora è ancora in funzione.

Certo che si inizia bene la giornata quando ti si apre una finestra che ti dice che il tuo pc è infettato da un rootkit che tra l'altro è anche difficile eliminare.... manco non lo avessi capito Brick wall
r16
Inviato: Thursday, March 15, 2012 6:45:03 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
ROOTKIT. ZEROACCESS!

Lo sapevo......Sick
La peggiore infezione che potevi imbarcare.

Devo trovare dove si annida il rootkit.
Fammi una cortesia, prova a ripetere la scansione con Systemscan
Posta il log.
loredana74
Inviato: Thursday, March 15, 2012 6:46:34 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Ok quindi devo arrestare la scansione con avira? Devo lanciare sistemscan sempre in modalità provvisoria?
r16
Inviato: Thursday, March 15, 2012 6:50:53 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Arresta Avira. (contro questa infezione non c'è antivirus che tenga)
Prova in modalità normale.
Metti la spunta a tutte le opzioni.
loredana74
Inviato: Thursday, March 15, 2012 8:12:03 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Mi viene da piangere... è più di un'ora che provo a far girare systemscan ma sia in modalità normale che in provvisoria, dopo ripetuti tentativi in entrambi i modi, si blocca sempre alla voce Alternate Data Stream... non so quanto può servire ma posto ugualmente il report che mi ha lasciato finchè non si bloccasse. (Ecco... dal pc infettato non riesco nemmeno a caricare il report su wikisend... passo sul portatile e lo posto)


report.txt
r16
Inviato: Thursday, March 15, 2012 8:37:18 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Per ogni evenienza, crea un punto di ripristino.

Prova in modalità normale questo script.
Se non funziona prova in "provvisoria".

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Code:
ClearJavaCache::

KillAll::

DirLook::
C:\WINDOWS\$NtUninstallKB2641653$
C:\WINDOWS\$hf_mig$

Driver::
szkg
fpqqmpaq
npggsvc

NetSvcs::
szkg

Folder::
C:\Programmi\AVG

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

RegLock::
[HKEY_USERS\S-1-5-21-1547161642-152049171-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88CE03C9-EB24-36D0-A710-4629553AE078}*]

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
loredana74
Inviato: Thursday, March 15, 2012 8:40:20 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Io ho disabilitato il ripristino configurazione sitema... posso crearlo ugualmente un punto di ripristino? mi sa che sono un pò in difficoltà in questo....
loredana74
Inviato: Thursday, March 15, 2012 8:42:37 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Eppure avevo messo la spunta su Disattiva ripristino ora non c'è più... bah
r16
Inviato: Thursday, March 15, 2012 8:43:57 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Si lo abiliti.
Poi:

Start

Programmi

Accessori

Utilità di sistema

Ripristino configurazione di sistema

Crea un punto di ripristino

Clicca Avanti

Inserisci una descrizione (metti Loredana)

Clicca Crea e attendi pazientemente la fine delle operazioni
loredana74
Inviato: Thursday, March 15, 2012 8:49:31 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
ok avviato combofix in modalità normale ed è partito... mi avvisa che c'è avira che potrebbe far contrasto ma io l'ho disinstallato.... poi mi è uscita la stessa finestra che mi avvisa del rootkit.... appena finisce posto il log
r16
Inviato: Thursday, March 15, 2012 8:54:30 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
mi avvisa che c'è avira che potrebbe far contrasto

Non ci badare, e continua .
Il log di Systemscan non è sevito perchè si blocca proprio nel momento di visualizzare i file nascosti.
Vediamo cosa dice Combofix.



loredana74
Inviato: Thursday, March 15, 2012 9:12:25 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Ecco il nuovo log di combofix che mi hai chiesto

ComboFix.txt

Ritorno fra trenta minuti... grazie di tutto.
r16
Inviato: Thursday, March 15, 2012 9:27:11 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Quando puoi:
Scarica aswMBR.exe sul desktop.

http://public.avast.com/~gmerek/aswMBR.exe

Fai doppio clic aswMBR.exe per eseguirlo
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui.
loredana74
Inviato: Thursday, March 15, 2012 9:40:48 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Se clicco su quel link mi dice che l'indirizzo non è valido Think
r16
Inviato: Thursday, March 15, 2012 9:43:35 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Vai su Google e digita aswMBR
Scaricalo dal primo link . (in alto)
loredana74
Inviato: Thursday, March 15, 2012 9:54:41 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Ecco il log



aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-03-15 21:53:12

21:53:12.515 OS Version: Windows 5.1.2600 Service Pack 3
21:53:12.515 Number of processors: 2 586 0xF06
21:53:12.515 ComputerName: C5BBB6BA231C47F UserName: principale
21:53:13.109 Initialize success
21:53:25.500 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
21:53:25.500 Disk 0 Vendor: MAXTOR_STM3320820AS 3.AAE Size: 305245MB BusType: 3
21:53:25.500 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP3T0L0-10
21:53:25.500 Disk 1 Vendor: Maxtor_6Y080L0 YAR41BW0 Size: 78167MB BusType: 3
21:53:25.515 Disk 0 MBR read successfully
21:53:25.515 Disk 0 MBR scan
21:53:25.515 Disk 0 Windows XP default MBR code
21:53:25.515 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 305234 MB offset 63
21:53:25.531 Disk 0 scanning sectors +625121280
21:53:25.578 Disk 0 scanning C:\WINDOWS\system32\drivers
21:53:32.484 Service scanning
21:53:43.000 Modules scanning
21:53:48.968 Disk 0 trace - called modules:
21:53:48.984 ntoskrnl.exe CLASSPNP.SYS disk.sys xfilt.sys ACPI.sys hal.dll sfsync02.sys atapi.sys videX32.sys PCIIDEX.SYS
21:53:48.984 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a66eab8]
21:53:48.984 3 CLASSPNP.SYS[f7637fd7] -> nt!IofCallDriver -> [0x8a6b2ed0]
21:53:48.984 5 xfilt.sys[f7728026] -> nt!IofCallDriver -> \Device\00000092[0x8a672f18]
21:53:48.984 7 ACPI.sys[f75ae620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8a6e9d98]
21:53:48.984 \Driver\atapi[0x8a71d800] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> sfsync02.sys[0xf771fd60]
21:53:48.984 Scan finished successfully
21:55:15.921 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\principale\Desktop\MBR.dat"
21:55:15.953 The log file has been saved successfully to "C:\Documents and Settings\principale\Desktop\aswMBR.txt"


r16
Inviato: Thursday, March 15, 2012 10:01:54 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Bene.
Hai ancora TDSSKiller sul desktop vero?
Se no:
Scarica TDSSKiller.zip sul desktop:
http://support.kaspersky.com/viruses/solutions?qid=208280684
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui. (con Wikisend)
loredana74
Inviato: Thursday, March 15, 2012 10:06:08 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.