Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

problemi con trojan Opzioni
loredana74
Inviato: Friday, March 16, 2012 10:25:04 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Volevo dare la risposta prima che r16 lo facesse ma purtroppo il ravvio del pc me lo ha impedito. Quest'ironia gratuita e di cattivo gusto se la poteva risparmiare kaiman e comunque se avessi avuto il disco del SO avrei già fatto da me... Portare il pc in assistenza significherebbe doverlo formattare e perdere tutto ciò che ho salvato quindi RINGRAZIO MILLE VOLTE la pazienza e la tenacia di r16 che mi sta aiutando da giorni. Il fatto che non si riesca a debellare il rootkit questo non è colpa di nessuno.... r16 fin dal primo momento mi aveva avvisata che sarebbe stato difficilissimo.... e poi penso che son problemi nostri se alla quinta pagina non ci siamo ancora riusciti... tu (kaiman) puoi anche fare a meno di leggerci. Grazie per il tuo intervento Applause
kaiman
Inviato: Friday, March 16, 2012 10:26:39 PM

Rank: AiutAmico

Iscritto dal : 12/9/2011
Posts: 430
r16 ha scritto:
kaiman ha scritto:
Commenta:
Il rootkit deve trovarsi in qualche chiave\servizio che riguarda la connessione.


Loredana visto che dopo cinque pagine di prova questo e prora quello il rootkit ancora non è stato debellato (forse il dottore non è all'altezza della situazione) non hai pensato di salvare il salvabile e installare pulito il SO ??


Ma si può essere così deficienti?
Si capisce il perchè, cerco di scrivere il meno possibile in questo forum?
Con questi personaggi che "infestano" il forum, che non sono di nessun aiuto per nessuno, e scrivono solo per disturbare , cosa si aspetta a "bonificare" il forum?


Mi sa che il deficiente sei tu che la stai portando in giro gia da diversi giorni e senza venire a capo di niente.
Io ho espresso il mio pensiero e ho dato il mio suggerimento che sicuramente è più giusto delle tue cazz..te che continui a sfornare.
davix
Inviato: Friday, March 16, 2012 10:30:28 PM

Rank: AiutAmico

Iscritto dal : 2/4/2011
Posts: 4,198
kaiman ha scritto:

Loredana visto che dopo cinque pagine di prova questo e prora quello il rootkit ancora non è stato debellato (forse il dottore non è all'altezza della situazione) non hai pensato di salvare il salvabile e installare pulito il SO ??


Si vede che all'utente richiedente aiuto sta bene così!!


kaiman ha scritto:

Cos' facendo potresti fare una immagine pulita del disco di Sistema e utilizzarla in casi analoghi a questo!!


Perla di saggezza!
r16
Inviato: Friday, March 16, 2012 10:35:06 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
che la stai portando in giro gia da diversi giorni e senza venire a capo di niente.

Ma leggiti per bene le pagine . (grosso problema per te che non sai nemmeno scrivere)
Commenta:
prova questo e prora quello

La connessione l'hai ripristinata tu?Think
Le altre infezioni che erano accompagnate al rootkit, le hai eliminate tu?Think
Qui, c'è solo un virus che non si vuole debellare, e quel virus sei tu.

@ loredana74
Vuoi provare a continuare oppure molli?


loredana74
Inviato: Friday, March 16, 2012 10:35:22 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Vabbè visto che per la seconda volta Hijackthis si è interrotto perchè il pc si è riavviato credo che sia inutile far perdere ancora altro tempo ad r16 che davvero le ha provate tutte e per questo lo ringrazio di cuore... come ringrazio tutte le persone che in questo forum, tempo addietro mi hanno aiutato per altri problemi. Buona serata a tutti.
loredana74
Inviato: Friday, March 16, 2012 10:36:47 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Per r16

Io non mollo se tu non molli.... e che mi dispiace per te.... dico davvero!!!!
davix
Inviato: Friday, March 16, 2012 10:38:13 PM

Rank: AiutAmico

Iscritto dal : 2/4/2011
Posts: 4,198
loredana74 ha scritto:
Per r16

Io non mollo se tu non molli.... e che mi dispiace per te.... dico davvero!!!!



Applause Applause Applause
r16
Inviato: Friday, March 16, 2012 10:46:01 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
loredana74 ha scritto:
Per r16

Io non mollo se tu non molli.... e che mi dispiace per te.... dico davvero!!!!

Se per noi và bene continuare, continuamo.
Qualcuno non ci arriva, che se troviamo la soluzione, può essere d'aiuto per i casi futuri.
Di certo, la formattazione può essere una soluzione, ma non per chi avrà in futuro questo tipo di infezione, e non può formattare.

Scarica DDS sul desktop
Disattiva l'antivirus, e tutti i software in tempo reale
http://download.bleepingcomputer.com/sUBs/dds.scr
Link alternativo:
http://download.bleepingcomputer.com/sUBs/dds.com
Doppi clik su dds ed eseguilo.
Verranno rilasciati 2 log.
Posta solo DDS.txt .

Poi, fai questa scansione con il tool specifico: (non illuderti, raramente ha funzionato, ma provare non costa nulla)

Segui alla lettera queste indicazioni:
Scarica il tool specifico antiZ.Access:
http://anywhere.webrootcloudav.com/antizeroaccess.exe
Clicca Y e poi Invio , per avviare la scansione.
Finita la scansione dovrebbe rilevarti il Rootkit ZeroAccess .
Con una seconda scansione, dovrebbe darti l'opzione di pulire il pc.
loredana74
Inviato: Friday, March 16, 2012 10:50:20 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Bene.. continuiamo Dancing

Questo è il log..


dds.txt
loredana74
Inviato: Friday, March 16, 2012 11:02:13 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Fatto l'esecutivo di ZeroAccess alla fine mi dice

Warning! One or more error occurend! Your sistem is not infect by ZeroAccessThink pero vicino alla voce di alcuni file mi da Error in rosso

Questo pare sia il log


AntiZeroAccess_Log.txt
r16
Inviato: Friday, March 16, 2012 11:12:42 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Creati un punto di ripristino.

Poi:

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Code:
KillAll::

Driver::
wkscfgsrv
XDva344
XDva370
mfc42w
gupdate

NetSvcs::
wkscfgsrv

Registry::
[-HKEY_LOCAL_MACHINE\system\controlset001\services\wkscfgsrv]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{063950C7-58D6-08B0-2B17-4B674FA1170F}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{095E7D52-5C65-362A-60B4-209230625CAB}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{77016AEA-6EAF-155B-0CB1-2266154243C8}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"=-



e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix


ASPETTA a fare lo script che leggo il log:

Scarica ListParts :
http://download.bleepingcomputer.com/farbar/ListParts.exe
Esegui lo strumento, fai clic su Scan e allega il log (Result.txt).
loredana74
Inviato: Friday, March 16, 2012 11:46:26 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Vabbè ormai combofix l'avevo già lanciato e il log lo posto ugualmente....(purtroppo la finestra maledetta è uscita ugualmente)

ComboFix.txt


E questo è il log di Listparts


Result.txt

r16
Inviato: Saturday, March 17, 2012 12:28:32 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
scarica Scanner Servizio Farbar sul desktop : (questa è una versione aggiornata rispetto a quella che hai già sul desktop, se ti chiede di sostituirla, acconsenti)
http://download.bleepingcomputer.com/farbar/FSS.exe
Metti un segno di spunta in tutte le caselle sul lato sinistro.
Clicca su "Scan".
Si creerà un log (FSS.txt) nella stessa directory in cui viene eseguito lo strumento.
Posta il log.
loredana74
Inviato: Saturday, March 17, 2012 12:49:21 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Ecco fatto questo è il log

FSS.txt


PS: oggi pomeriggio e domani non ci sarò.... ulteriori indicazioni le eseguirò lunedì mattina.
r16
Inviato: Saturday, March 17, 2012 2:25:13 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Quando puoi:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt


Code:
KillAll::

DirLook::
c:\documents and settings\all users\dati applicazioni\~0
C:\abc14231a

Driver::
qfcoresvc

NetSvcs::
qfcoresvc
FireHook
axskbus

File::
c:\programmi\Uninstall_CDS.exe
c:\programmi\022011none.bat

Folder::
c:\vexplite

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VIRIT LITE MONITOR"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{73594453-695E-62EF-3FF2-49A11A112DA0}]

Rootkit::


e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.

Poi:
Apri Scanner Servizio Farbar (FSS)
Nel box bianco digita NetSvcs poi clicca Export Service.
Posta il log.
Ripeti l'operazione e digita Afd poi clicca Export Service
Ripeti l'operazione e digita IPSec clicca Export Service
Ripeti l'operazione e digita Netbt clicca Export Service

N.B:
Queste operazioni, devono essere eseguite con la connessione attiva.

Postami i risultati con Wikisend.
loredana74
Inviato: Monday, March 19, 2012 12:09:45 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Rieccomi.... posto i log che mi hai chiesto.

Questo è quello di combofix

ComboFix.txt


Questi sono quelli di FSS

FSS.txt

FSS1.txt

FSS2.txt

FSS3.txt


Poi volevo chiedere una cosa... stamattina aprendo il programma CCcleaner, ho notato un programma che porta come data di installazione quella di oggi che si chiama Akamai Netsession... io non ho installato nulla... cos'è???Think
r16
Inviato: Monday, March 19, 2012 5:56:04 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
, ho notato un programma che porta come data di installazione quella di oggi che si chiama Akamai Netsession... io non ho installato nulla... cos'è???

Se non hai installato nulla lo eliminiamo.
In caso hai sempre un punto di ripristino vicino vero?

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt


KillAll::

Code:
Driver::
Akamai

File::
c:\windows\system32\drivers\viragtlt.sys
c:\documents and settings\principale\Impostazioni locali\Dati applicazioni\Akamai\netsession_win.exe
c:\programmi\file comuni\akamai/netsession_win_7de0ed9.dll

Folder::
c:\documents and settings\all users\dati applicazioni\~0
c:\documents and settings\principale\Impostazioni locali\Dati applicazioni\Akamai

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Akamai NetSession Interface"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1046:TCP"=-
"5000:UDP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]



e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.

Volevo chiederti una cosa:
Hai la possibiltà di scrivermi con precisione quello che Combofix dice riguardo l'attività rootkit che trova?
Ti chiede di riavviare il pc?
loredana74
Inviato: Monday, March 19, 2012 6:00:19 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Quando avvio Combofix mi apre una prima finestra nella quale mi dice che ha rilevato un Rootkit ZeroAccess... poi in seguito un'altra finestra in cui mi dice che Combofix ha bisogno di riavviarsi.
r16
Inviato: Monday, March 19, 2012 6:06:57 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Allora dopo lo script, fai una scansione con Combofix in Modalità Provvisoria.
Quando ti chiede di riavviarlo, (oppure si riavvia da solo) entra ancora in Modalità Provvisoria, e rifai la scansione.
Non lasciare che il pc si riavvii in modalità normale.
Mi sono spiegato decentemente?
loredana74
Inviato: Monday, March 19, 2012 6:31:56 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Questo è il log dopo lo script


ComboFix.txt

Si ho capito... lancio combofix in modalità provvisoria... appena finito ti posto il log.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.