Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiuto sono infettato (BDS zero acces e Win32 Agent?) Opzioni
grinta
Inviato: Saturday, March 09, 2013 7:45:48 PM

Rank: Member

Iscritto dal : 8/8/2007
Posts: 27
Combofix ancora niente;Junction si ma in provvisoria.Ti allego il log
log.txt
shapiro
Inviato: Saturday, March 09, 2013 7:59:17 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164



devo prepararti una procedura per lo sblocco intanto prova ad inserire il codice in otl come ho gia' scritto nell'altro post, vedi se parte
shapiro
Inviato: Saturday, March 09, 2013 8:22:52 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

vediamo se ricordo la procedura


scarica INHERIT sul desktop >>> http://www.2shared.com/complete/xq3v_aKp/INHERIT.html

clicca sul secondo download quello piu' piccolo


Vai su start-esegui e incolla uno per volta i seguenti comandi e dai ok.



Code:
"%userprofile%\desktop\Inherit.exe" " c:\\d35b6c213583de74cd4ea421\Windows6.0-KB970158-x86.cab "

"%userprofile%\desktop\Inherit.exe"c:\\d35b6c213583de74cd4ea421\Windows6.0-KB970158-x86.xml "


"%userprofile%\desktop\Inherit.exe"c:\\d35b6c213583de74cd4ea421\WSUSSCAN.cab "


"%userprofile%\desktop\Inherit.exe" "c:\\f860a9d7eb2ad0d991\Windows6.0-KB970158-x86.cab"


"%userprofile%\desktop\Inherit.exe" "c:\\f860a9d7eb2ad0d991\Windows6.0-KB970158-x86.xml"


"%userprofile%\desktop\Inherit.exe" "c:\\f860a9d7eb2ad0d991\WSUSSCAN.cab"



una volta terminato prova se combofix riesci a farlo partire
grinta
Inviato: Sunday, March 10, 2013 10:14:26 AM

Rank: Member

Iscritto dal : 8/8/2007
Posts: 27
Se ho ben capito dovevo: copiare il comando,incolarlo su esegui,dare ok per 6 volte,una per ciascun comando.Ho fatto così e mi sono comparse 6 finestre nere con scritto "enter roll no".Ho poi riprovato combofix ma si è bloccato al solito punto.
shapiro
Inviato: Sunday, March 10, 2013 11:59:43 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164



da start esegui scrivi msconfig e vai nel tab avvio togli tutte le spunte e lascia solo quella relativa all'antivirus

apri otl e incolla questo codice


Code:
:Files
C:\$Recycle.Bin\S-1-5-18\$ed001e6bc7de8df218a57a39ae386d41\@
C:\$Recycle.Bin\S-1-5-18\$ed001e6bc7de8df218a57a39ae386d41\L
C:\$Recycle.Bin\S-1-5-18\$ed001e6bc7de8df218a57a39ae386d41\U

[Reboot]


premi RUN FIX
grinta
Inviato: Sunday, March 10, 2013 6:30:55 PM

Rank: Member

Iscritto dal : 8/8/2007
Posts: 27
Fatto,mi ha generato questo log:
03102013_182805.log
shapiro
Inviato: Sunday, March 10, 2013 7:20:26 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

Bene
Ora che otl ha ripreso a funzionare copia questo testo ed esegui il fix come il precedente



Code:
:OTL
SRV - (Application Updater) -- C:\Programmi\Application Updater\ApplicationUpdater.exe (Spigot, Inc.)
IE - HKLM\..\URLSearchHook: {9bb815eb-3f9f-4e11-9150-cb70e29b40fc} - C:\Programmi\Radio_Bar_2\tbRadi.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-1964839612-41541757-475487781-1000\..\URLSearchHook: {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Programmi\IObit Toolbar\IE\6.9\iobitToolbarIE.dll (Spigot, Inc.)
IE - HKU\S-1-5-21-1964839612-41541757-475487781-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\offerboxffx@offerbox.com: C:\Users\Benetollo\AppData\Roaming\OfferBox\offerboxffx@offerbox.com [2013/03/03 12.03.04 | 000,000,000 | ---D | M]
O2 - BHO: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Programmi\IObit Toolbar\IE\6.9\iobitToolbarIE.dll (Spigot, Inc.)
O2 - BHO: (Radio Bar 2 Toolbar) - {9bb815eb-3f9f-4e11-9150-cb70e29b40fc} - C:\Programmi\Radio_Bar_2\tbRadi.dll (Conduit Ltd.)
O2 - BHO: (OfferBox) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Programmi\OfferBox\OfferBoxBHO.dll (Secure Digital Services Limited)
O3 - HKLM\..\Toolbar: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Programmi\IObit Toolbar\IE\6.9\iobitToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (Cercato Toolbar) - {545D2280-F50E-4F81-BF5A-CD04A6512CE2} - C:\Programmi\PopCorn\it\Toolbar\PopCorn.dll (E-Kanopi)
O3 - HKLM\..\Toolbar: (Radio Bar 2 Toolbar) - {9bb815eb-3f9f-4e11-9150-cb70e29b40fc} - C:\Programmi\Radio_Bar_2\tbRadi.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1964839612-41541757-475487781-1000\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-21-1964839612-41541757-475487781-1000\..\Toolbar\WebBrowser: (Radio Bar 2 Toolbar) - {9BB815EB-3F9F-4E11-9150-CB70E29B40FC} - C:\Programmi\Radio_Bar_2\tbRadi.dll (Conduit Ltd.)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKU\S-1-5-21-1964839612-41541757-475487781-1000..\Run: [Ylizulynke] C:\Users\Benetollo\AppData\Roaming\Fiurxi\uqudz.exe ()
O13 - gopher Prefix: missing
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL) - File not found
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Program Files\SUPERAntiSpyware\SASSEH.DLL File not found
[2013/03/06 19.58.57 | 000,000,000 | ---D | C] -- C:\Users\Benetollo\AppData\Roaming\SpeedyPC Software
[2013/03/06 19.54.38 | 000,000,000 | ---D | C] -- C:\ProgramData\SpeedyPC Software
[2013/03/01 20.34.27 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Spigot(4289)
[2013/03/01 20.34.27 | 000,000,000 | ---D | C] -- C:\Program Files\IObit Toolbar(4386)
[2013/02/13 13.36.04 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Spigot
[2013/02/13 13.36.04 | 000,000,000 | ---D | C] -- C:\Program Files\IObit Toolbar
[2011/07/15 18.43.41 | 000,011,658 | -HS- | C] () -- C:\Users\Benetollo\AppData\Local\hw1bknq874beni6e51i228tag
[2011/07/15 18.43.41 | 000,011,658 | -HS- | C] () -- C:\ProgramData\hw1bknq874beni6e51i228tag
[2012/10/23 11.06.46 | 000,000,000 | -H-D | M] -- C:\Users\Benetollo\AppData\Roaming\EmoticoonsToolbar
[2012/11/08 15.53.40 | 000,000,000 | ---D | M] -- C:\Users\Benetollo\AppData\Roaming\OfferBox
[2013/03/06 19.58.57 | 000,000,000 | ---D | M] -- C:\Users\Benetollo\AppData\Roaming\SpeedyPC Software
@Alternate Data Stream - 568 bytes -> C:\Windows\System32\drivers\ycarakha.sys:changelist
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:D1B5B4F1
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:DFC5A2B2
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:5C321E34

:Files
C:\Users\Benetollo\AppData\Roaming\Fiurxi
C:\Users\Benetollo\AppData\Roaming\Uspywe
C:\Users\Benetollo\AppData\Roaming\Syopi
C:\Users\Benetollo\AppData\Roaming\Beugl
C:\Users\Benetollo\AppData\Roaming\Acwimo
C:\Users\Benetollo\AppData\Roaming\Arwup
C:\Users\Benetollo\AppData\Roaming\Eqamev
C:\Users\Benetollo\AppData\Roaming\Fudol
C:\Users\Benetollo\AppData\Roaming\Fyebo
C:\Users\Benetollo\AppData\Roaming\Geko
C:\Users\Benetollo\AppData\Roaming\HiYo
C:\Users\Benetollo\AppData\Roaming\Izsox
C:\Users\Benetollo\AppData\Roaming\Wepuga
C:\ProgramData\RbPBJipVqHrR
C:\ProgramData\-RbPBJipVqHrRr
C:\ProgramData\-RbPBJipVqHrR
C:\ProgramData\5606191.pad
C:\ProgramData\-RbPBJipVqHrRr
C:\ProgramData\-RbPBJipVqHrR
C:\ProgramData\RbPBJipVqHrR
C:\ProgramData\5606191.js
C:\ProgramData\5606191.pad
C:\ProgramData\87_fg.pad
C:\ProgramData\0tbpw.pad
C:\Users\Benetollo\AppData\Roaming\Qiis
ipconfig /flushdns /c


:commands
[purity]
[emptytemp]
[Reboot]


clicca su RUN FIX e allega il rapporto
grinta
Inviato: Sunday, March 10, 2013 8:14:30 PM

Rank: Member

Iscritto dal : 8/8/2007
Posts: 27
Niente da fare,OTL si blocca dopo pochi secondi.Mi blocca tutto il pc e devo chiuderlo manualmente.
shapiro
Inviato: Sunday, March 10, 2013 8:52:41 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
procurati una una pennetta formattata

scarica nella pennetta questo file:

questo file (per S.O a 64 bit)

questo file (per S.O a 32 bit)

Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (tasto F8)
Clicca su Ripristina il computer tra le opzioni disponibili (in alto)
Seleziona la lingua
Seleziona il tuo account
Saranno ora disponibili le seguenti opzioni


Code:
===========================================================
Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt
===========================================================



Seleziona Prompt Dei Comandi

Nel Prompt dei Comandi scrivi notepad e premi Invio.

Si aprirà un file di testo

Nel menu in alto clicca file e seleziona Apri.

Cerca la lettera a cui è riferita la pennetta usb.

Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.

Una volta identificata la lettera della pennetta:

Nel Prompt dei comandi digita E:\frst.exe dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.

Clicca Invio

Il tool si avvierà.

Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXT
Allega il log che rilascia
grinta
Inviato: Sunday, March 10, 2013 9:19:18 PM

Rank: Member

Iscritto dal : 8/8/2007
Posts: 27
Ho dato invio a ripristina il computer,viene la schermata caricamento file in corso....ma non mi pare carichi nulla,forse è bloccato....quanto dovrebbe durare l'operazione?
r16
Inviato: Sunday, March 10, 2013 9:24:30 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
quanto dovrebbe durare l'operazione?

Poco.
Ma abbi un po di pazienza.
Possiedi il CD\DVD d'installazione di Vista?
grinta
Inviato: Sunday, March 10, 2013 9:33:23 PM

Rank: Member

Iscritto dal : 8/8/2007
Posts: 27
No ma penso che reinstallerò W7.Martedì formatterò con l'aiuto di un amico.Grazie tante per la disponibilità
r16
Inviato: Sunday, March 10, 2013 9:37:26 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Vuoi provare a fare un'altro tentativo?
Fai una scansione con OTL.
Posta il log con Wikisend.
colpodifrusta
Inviato: Sunday, March 10, 2013 10:04:37 PM

Rank: AiutAmico

Iscritto dal : 11/4/2010
Posts: 682
grinta ha scritto:
No ma penso che reinstallerò W7.Martedì formatterò con l'aiuto di un amico.Grazie tante per la disponibilità


La tua è una decisione giusta e sensata. Così almeno non stai più a tribolare.
r16
Inviato: Sunday, March 10, 2013 10:14:23 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
colpodifrusta ha scritto:

La tua è una decisione giusta e sensata. Così almeno almeno non stai più a tribolare.

Ma che te frega a te......Whistle
Fino a Martedì si poteva anche provare un altro paio di tentativi.
Tanto il pc non lo usa, e almeno si poteva provare a rimetterlo in sesto.
Ma tu "godi" quando un utente formatta....Sick
Pensa che personaggio che sei.



colpodifrusta
Inviato: Sunday, March 10, 2013 10:52:04 PM

Rank: AiutAmico

Iscritto dal : 11/4/2010
Posts: 682
L'avevo gia detto nella prima pagina che gli conveniva formattare e reinstallare. Detto questo non capisco perchè sei sempre così astioso nei confronti degli altri utenti. Accetta lo stato dei fatti e fai bei sogni.
ankora
Inviato: Monday, March 11, 2013 8:10:19 AM
Rank: Newbie

Iscritto dal : 4/8/2010
Posts: 1
ciao a tutti

Attenzione:in questi casi la formattazione potrebbe non rimuovere l'infezione.
Forse ansora non si è capito qual'è il problema principale che non permette l'esecuzione di tdsskiller,combofix,ecc.
Il pc è infetto da rootkit come recita il log di rogue killer
2 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 488395120 | Size: 0 Mo
Va eliminata questa partizione ripristinando la partizione attiva su quella di sistema.
Se l'utente ha ancora voglia di continuare deve eseguire questa breve scansione e allegare il log.

Scarica questo tool http://download.bleepingcomputer.com/farbar/ListParts.exe sul desktop .
Clicca su scan-allega il log.
r16
Inviato: Monday, March 11, 2013 5:57:24 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
ankora ha scritto:
ciao a tutti

Attenzione:in questi casi la formattazione potrebbe non rimuovere l'infezione.

Ciao.
La formattazione basta e avanza in quanto l'utente cambia S.O. (e fà bene)

grinta ha scritto:
Commenta:
No ma penso che reinstallerò W7


Attualmente ha Vista.

colpodifrusta ha scritto:
Commenta:
L'avevo gia detto nella prima pagina che gli conveniva formattare e reinstallare.

Non sai dire altro.....Eh?
Fosse per te, questa sezione (ma anche le altre) potrebbe essere chiusa con le tue indicazioni.
Non ti entra nella zucca che gli utenti non sono tutti come te ,che la tua soluzione è solo ed esclusivamente il format.

Per farti un piccolo esempio, ha più aiutato ankora, in un'unico post, che tu, da quando frequenti il forum.

colpodifrusta
Inviato: Monday, March 11, 2013 6:55:51 PM

Rank: AiutAmico

Iscritto dal : 11/4/2010
Posts: 682
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.