Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

problemi con trojan Opzioni
r16
Inviato: Thursday, March 15, 2012 10:08:55 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Adesso vediamo che danni ha quello che dice Combofix: (tcpip)
scarica Scanner Servizio Farbar sul desktop :
http://download.bleepingcomputer.com/farbar/FSS.exe
Metti un segno di spunta in tutte le caselle sul lato sinistro.
Clicca su "Scan".
Si creerà un log (FSS.txt) nella stessa directory in cui viene eseguito lo strumento.
Posta il log.
loredana74
Inviato: Thursday, March 15, 2012 10:28:14 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Ecco il log (non riesco a caricarlo su wikisend)


Farbar Service Scanner Version: 01-03-2012
Ran by principale (administrator) on 15-03-2012 at 22:28:07
Running from "C:\Documents and Settings\principale\Desktop"
Microsoft Windows XP Professional Service Pack 3 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Yahoo IP is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============

Windows Update:
============

File Check:
========
C:\WINDOWS\system32\dhcpcsvc.dll
[2004-08-30 21:00] - [2008-04-13 18:13] - 0126976 ____A (Microsoft Corporation) 699EE7F752A25180AEB92C3A0EAEE440

C:\WINDOWS\system32\Drivers\afd.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\netbt.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\tcpip.sys => MD5 is legit
C:\WINDOWS\system32\Drivers\ipsec.sys => MD5 is legit
C:\WINDOWS\system32\dnsrslvr.dll
[2004-08-30 21:00] - [2009-04-20 18:18] - 0045568 ____A (Microsoft Corporation) B7A1162B1A26DF7B60D5D9500006096C

C:\WINDOWS\system32\ipnathlp.dll
[2004-08-30 21:00] - [2008-04-13 18:13] - 0332288 ____A (Microsoft Corporation) 152C0555925DFE028E3148FD215146BB

C:\WINDOWS\system32\netman.dll
[2004-08-30 21:00] - [2008-04-13 18:13] - 0198144 ____N (Microsoft Corporation) 02815B70FC4CA8611A926176F1C39FC2

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2008-11-12 11:29] - [2008-04-13 18:13] - 0145408 ____A (Microsoft Corporation) 40911E98D0F1CBB1015F2101982F1DDF

C:\WINDOWS\system32\srsvc.dll
[2008-11-12 11:31] - [2008-04-13 18:13] - 0171520 ____N (Microsoft Corporation) B3E3DA70A7A76E69B872DE3D06D32C19

C:\WINDOWS\system32\Drivers\sr.sys
[2008-11-12 11:31] - [2008-04-13 17:56] - 0073472 ____A (Microsoft Corporation) 618718CAE288BF7CBD8FCBAB2577D932

C:\WINDOWS\system32\wscsvc.dll
[2004-08-30 21:00] - [2008-04-13 18:13] - 0080896 ____A (Microsoft Corporation) 926D921C93CFF1E19EF4DE3E4C8368CA

C:\WINDOWS\system32\wbem\WMIsvc.dll
[2008-11-12 11:29] - [2008-04-13 18:13] - 0145408 ____A (Microsoft Corporation) 40911E98D0F1CBB1015F2101982F1DDF

C:\WINDOWS\system32\wuauserv.dll
[2008-11-12 11:31] - [2008-04-13 18:13] - 0006656 ____A (Microsoft Corporation) CC48415E6C7CBAA441A3D6A6DCCBCFA6

C:\WINDOWS\system32\qmgr.dll
[2008-11-12 11:31] - [2008-04-13 18:13] - 0409088 ____N (Microsoft Corporation) 48C4763A9C8990FB48B73445BEB15D6A

C:\WINDOWS\system32\es.dll
[2004-08-30 21:00] - [2008-07-07 21:27] - 0253952 ____N (Microsoft Corporation) 8360CB9756E598A5C6214EACFB3677C3

C:\WINDOWS\system32\cryptsvc.dll
[2004-08-30 21:00] - [2008-04-13 18:13] - 0062464 ____N (Microsoft Corporation) B6FCBB157E9C8ABDCA4134C535535A8B

C:\WINDOWS\system32\svchost.exe
[2004-08-30 21:00] - [2008-04-13 18:14] - 0014336 ____N (Microsoft Corporation) BB8363ABEC09AA2F9B363484E282117C

C:\WINDOWS\system32\rpcss.dll
[2004-08-30 21:00] - [2009-02-09 11:51] - 0401408 ____N (Microsoft Corporation) BC4E0226341AAEC1222336B3AED86BAB

C:\WINDOWS\system32\services.exe
[2004-08-30 21:00] - [2009-02-09 12:22] - 0111104 ____N (Microsoft Corporation) 26845F272435302E0F3322E660A24F7D


Extra List:
=======
Gpc(3) IPSec(5) NetBT(6) PSched(7) Tcpip(4) VBoxNetFlt(8)
0x09000000050000000100000002000000030000000400000009000000060000000700000008000000
IpSec Tag value is correct.

**** End of log ****
r16
Inviato: Thursday, March 15, 2012 10:37:20 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ma qui è tutto a posto.......Whistle

Prova a fare un'altra scansione con Combofix, per vedere se si lamenta ancora dello STACK TCPIP.

Male che vada, reistalliamo il protocollo. (domani)

Ma come funziona sto cavolo di pc?

Noti problemi ? (a parte Combofix)
loredana74
Inviato: Thursday, March 15, 2012 10:39:41 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Oltre al problema che mi dice che c'è un rootkit io non riscontro alcun problema.... magari dimmi come devo avviare combofix che domattina lo faccio... ti ho fatto fare anche tardi e mi dispiace farti tirare così per le lunghe, non voglio approfittarne.
loredana74
Inviato: Thursday, March 15, 2012 10:41:25 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
PS: il mio pc è bischero come chi lo possiede Dancing
r16
Inviato: Thursday, March 15, 2012 10:47:39 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
ti ho fatto fare anche tardi e mi dispiace farti tirare così per le lunghe, non voglio approfittarne.

Ma no....non ti preoccupare.
Questa infezione è attualmente la più difficile da eliminare.
Per cui, vale la pena tirare tardi.
Comunque, Loredana, stiamo vincendo.
Vorrei postarti la procedura per reistallare il protocollo TCPIP, leggila bene, ma non fare nulla:

Si sviluppa in varie fasi:

REISTALLARE il protocollo tcp.


1.Start\ Esegui
2. Digita regedit, e poi OK.
3.Segui il percorso di queste chiavi, cliccando sul + di ogni voce.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
Arrivato alla cartella Winsock cliccaci sopra con il tasto destro, e scegli Elimina.
Stessa cosa con la cartella Winsock2
4. Per confermare l'eliminazione, scegli Sì.
Riavvia il pc (molto importante)

Poi:


1) Fai Start\Esegui\ copia-incolla questo comando:

notepad c:\windows\inf\nettcpip.inf

Si aprirà un un file di testo.

Sotto TCP/IP Primary Install cerca questa sezione:

Characteristics=0xA0

Modifica 0XA0 e rimpiazzalo con 0x80 (sostituisci la A con 8).

Clicca in alto su "File" e clicca "Salva"
Chiudi il file di testo.

2)
Start\Pannello di controllo\ e fai doppio click su "connessione di rete.

Tasto destro sulla tua connessione,e clicca "Proprietà".

Sul tab generale clicca su:

Installa

Seleziona : "Protocollo"
Clicca "Aggiungi"
clicca su "Disco driver"
Copia-incolla questo:
c:\windows\inf
E clicca OK

3) Adesso, esegui la stessa procedura del punto 1 , però devi cambiare 0x80 con 0xA0. (sostituisci 8 con la A ).

Clicca in alto su "File" e poi clicca "Salva".

Chiudi il file di testo .


4)Start\Pannello di controllo\ e fai doppio click su "connessione di rete.

Tasto destro sulla tua connessione,e clicca "Proprietà".

Sul tab generale clicca su:
Installa
Clicca su:
protocollo
Seleziona Internet Protocol(TCP/IP) e poi clicca ok.
Aspetta fino a quando ti chiede il riavvio del pc, e quindi riavviare come richiesto.

loredana74
Inviato: Thursday, March 15, 2012 10:50:18 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Stiamo vincendo? Stai vincendo....

Ok per ora non faccio nulla.... lancerò domattina prima combofix.... ma com'è? come la prima volta o la seconda? Grazie ancora e buonanotte...
r16
Inviato: Thursday, March 15, 2012 10:55:20 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Come quando ha funzionato.
Possibilmente, in modalità normale.
Buonanotte anche a te.
davix
Inviato: Thursday, March 15, 2012 11:38:39 PM

Rank: AiutAmico

Iscritto dal : 2/4/2011
Posts: 4,198
R16, hai un PM.

Ciao
loredana74
Inviato: Friday, March 16, 2012 11:06:59 AM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Allora inserendo il comando in start/esegui Combofix non mi è partito... sono riuscita solo trascinando lo script sull'eseguibile. Mi è apparsa la solita finestra con la scritta che il mio pc è infestato da un rootkit zeroaccess d'oh! . In seguito un ulteriore finestra con la scritta (stavolta in italiano) "Cpmbofix ha rilevato la presenza di attività rootkit ed è neccessario riavviare il pc" e poi al termine dell'eseguibile questo è il log che mi ha rilasciato.

ComboFix.txt

PS Un altro problema che riscontro è che non riesco a completare la scansione con Avira... a metà mi va in crash il pcThink (l'ho riprovata a fare perchè Avira continua ad avvisarmi che c'è un oggetto nascosto o un programma indesiderato e che urge una scansione)
r16
Inviato: Friday, March 16, 2012 5:26:31 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Prima di installare il protocollo tcpip segui queste indicazioni:
Apri Farbar Service Scanner (FSS)
Nel box bianco (search) digita tcpip
poi clicca su "Export Service".
Verrà generato un file di testo.
Copialo e incollalo qui. (sarebbe meglio se usassi Wikisend)

loredana74
Inviato: Friday, March 16, 2012 5:32:56 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Eccolo

FSS.txt
r16
Inviato: Friday, March 16, 2012 5:36:31 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ok.
Adesso segui le indicazioni per il protocollo tcpip.
Se non capisci qualcosa, oppure hai dei problemi, ti fermi e chiedi.
loredana74
Inviato: Friday, March 16, 2012 6:00:01 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
ok ho fatto tutto quello che mi hai chiesto di fare e nuovamente non riesco a collegarmi ad internet.... son dovuta passare sul portatile. Se vado sull'icona della mia connessione c'è un triangolino giallo con punto esclamativo d'oh!
r16
Inviato: Friday, March 16, 2012 6:09:33 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Start\Esegui\digita cmd
Nel prompt dei comandi digita:
netsh winsock reset catalog (e poi Invio)
netsh int ip reset reset.log (e poi Invio)
ipconfig /flushdns (e poi Invio)
Digita exit e poi invio.
Riavvia il pc.

Apri OTL, e clicca su Cleanup.
Si disistallerà sia OTL che Combofix.
Se ti rimane l'icona di combofix (rinominato) eliminala.

Scarica MiniToolBox salvalo sul desktop:
http://download.bleepingcomputer.com/farbar/MiniToolBox.exe
Metti la spunta a tutte le caselle.
Clicca GO.
Posta il log.




loredana74
Inviato: Friday, March 16, 2012 6:24:57 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Ecco fatto...

Result.txt
r16
Inviato: Friday, March 16, 2012 6:34:41 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
La connessione funziona?
loredana74
Inviato: Friday, March 16, 2012 6:35:46 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
No... se apro explorer la finestra si richiude da sola... mozzilla mi esce la scritta "impossibile contattare il server"
loredana74
Inviato: Friday, March 16, 2012 6:39:33 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Rettifico... ora la finestra di explorer resta aperta ma mi da impossibile visualizzare la pagina ed il triangolino giallo sempre sulla connessione
r16
Inviato: Friday, March 16, 2012 6:42:02 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Da Pannello di controllo, vai in connessioni di rete.
Clicca con il tasto destro sulla tua connessione e scegli "Ripristina".
Se non funziona:
Apri Farbar Service Scanner (FSS)
digita winsock
Posta il log.

Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.