|
|
Rank: Member
Iscritto dal : 2/29/2012
Posts: 28
|
ciao a tutti, sono un nuovo iscritto, anche se altre volte il vostro forum mi è stato utilissimo. vi illustro la mia situazione, è da qualche tempo che il mio pc mi da noie con vari malware, inizialmente mi si era installato questo fake antivirus, system check, che mi mandava avvisi e apriva finestre in continuo impedendo di fatto ogni tipo di attività; tra l'altro mi si erano nascoste tutte le sottocartelle e la maggior parte dei file nell'hd, che ho recuperato con unhide. dopo un po' di traffici e scansioni varie pensavo di aver risolto, i log sembravano puliti e quantomeno system check è andato via. il pc però continuava a essere molto lento, perciò ricomincio a fare scansioni e noto qualche malware qui e lì e inoltre non riesco a far funzionare combofix (neanche in modalità provvisoria) che quando scansiona mi dice all'inizio "failed to get data for enable lua" poi mi rileva che sono infetto dal rootkit zero access e lo sta contrastando e alla fine mi chiede di riavviare e non mi salva nessun log. il log di antizeroaccess è pulito, non trova nulla e così quello di tdss. ieri il log di malwarebytes trovava ancora qualche zozzeria (vi allego il log), stamattina non trova più nulla. per quanto riguarda hijack vi allego il log di ieri, oggi purtroppo non l'ho rigirato e in questo momento sono in ufficio e non a casa, perciò potrò girarlo di nuovo stasera. stamattina però ho fatto in tempo a girare gmer di cui vi allego il log. in definitiva vi allego in ordine: 1) hijack http://wikisend.com/download/996738/hijackthis.txt2) malwarebytes (di ieri, stamattina risulta pulito) http://wikisend.com/download/524174/mbam-log-2012-02-27.txt3) antizeroaccess, anche se è pulito http://wikisend.com/download/785772/AntiZeroAccess_Log.txt4) gmer di stamattina http://wikisend.com/download/574768/gmer_autostart.txthttp://wikisend.com/download/472446/gmer_rootkit.txttdss, come detto è pulito e combofix non va. grazie infinitamente per l'aiuto che mi darete. max
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Scarica MBRCheck, e e salvalo sul desktop. http://ad13.geekstogo.com/MBRCheck.exeChiudi tutti i programmi.Doppio click su MBRCheck, che hai scaricato sul desktop, ed eseguilo. Attendi la fine della scansione. Finita la scansione (dura pochissimo) posta il log che troverai sul desktop Vai in "Gestione Disco" e controlla se vedi qualche partizione sospetta. (di pochi Mb)
|
|
Rank: Member
Iscritto dal : 2/29/2012
Posts: 28
|
intanto grazie mille, ti allego il log. in gestione disco non c'è nulla, a parte il disco c il d che è il recovery. http://wikisend.com/download/622936/MBRCheck_02.29.12_20.58.01.txtgrazie max
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Scarica aswMBR.exe sul desktop. http://public.avast.com/~gmerek/aswMBR.exeFai doppio clic aswMBR.exe per eseguirlo Clicca sul pulsante Scan per avviare la scansione Al termine della scansione clicca su Save log,e salvalo sul desktop. Postalo qui.
|
|
Rank: Member
Iscritto dal : 2/29/2012
Posts: 28
|
ecco il log http://wikisend.com/download/559628/aswMBR.txtpenso avesse finito, era fermo da un bel po' e si poteva salvare il log...il cd di vista dovrei averlo, dato che il pc l'ho comprato nuovo tipo 3 anni fa, solo che chissà dov'è...:(
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Oltre al MBR infetto, come vedi, ci sono altre infezioni:
File: C:\Users\max\AppData\Local\temp\755122.exe **INFECTED** Win32:Zbot-OBJ [Trj]
File: C:\Users\max\AppData\Local\temp\759896.exe **INFECTED** Win32:Zbot-OBJ [Trj]
File: C:\Users\max\AppData\Local\temp\764841.exe **INFECTED** Win32:Zbot-OBJ [Trj]
File: C:\Users\max\AppData\Local\temp\775808.exe **INFECTED** Win32:Zbot-OBJ [Trj]
File: C:\Users\max\AppData\Local\temp\779490.exe **INFECTED** Win32:Zbot-OBJ [Trj]
File: C:\Users\max\AppData\Local\temp\782235.exe **INFECTED** Win32:Zbot-OBJ [Trj]
File: C:\Users\max\AppData\Local\temp\786323.exe **INFECTED** Win32:Zbot-OBJ [Trj]
File: C:\Users\max\AppData\Roaming\Rapyy\ubovg.exe **INFECTED** Win32:Zbot-OBJ [Trj]
La voce "Rapyy" è una cartella .
Si deve eliminare.
Segui il percorso ed elimina i file in rosso.
Rifai la scansione con aswMBR.exe e posta il log. (non confonderlo con quello della prima scansione.
Quando hai trovato il CD\DVD d'installazione di Vista si procederà a riscrivere un nuovo MBR.
|
|
Rank: Member
Iscritto dal : 2/29/2012
Posts: 28
|
scusa l'ignoranza, come elimino i file in questione? tra l'altro ora che ci penso ho il recovery manager di hp, quindi posso utilizzare quello presumo...
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Scarica Avenger, e scompattalo in una sua cartella non temporanea e non sul desktop: http://swandog46.geekstogo.com/avenger.zipAvvia AVENGER Clicca Ok Inserisci queste righe (fai copia-incolla) nel riquadro bianco: Code:Files to delete:
C:\Users\max\AppData\Local\temp\755122.exe
C:\Users\max\AppData\Local\temp\759896.exe
C:\Users\max\AppData\Local\temp\764841.exe
C:\Users\max\AppData\Local\temp\775808.exe
C:\Users\max\AppData\Local\temp\779490.exe
C:\Users\max\AppData\Local\temp\782235.exe
C:\Users\max\AppData\Local\temp\786323.exe
C:\Users\max\AppData\Roaming\Rapyy\ubovg.exe
Folders to delete:
C:\Users\max\AppData\Roaming\Rapyy Togli la spunta da Scan for Rootkit Clicca su Execute e aspetta... Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu. Al termine dell'operazione, posta qui il risultato di Avenger Poi: Fai una nuova scansione con aswMBRTerminata la scansione clicca sul pulsante FIXMBR Ti comparirà questa finestra: Commenta:WARNING!!!
Writing a new master boot record to your system partition could damage your partition tables and cause your partitions to become inaccessible. This appliction writes standard Windows MBR code.
Are you sure you want to fix the MBR? Accetta l'iscrizione di un nuovo MBR, cliccando affermativamente (Ok o Yes) la modifica. Aspetta che abbia terminato, chiudi aswMBR, e poi riavvia il pc. Esegui un'altra scansione con aswMBR e posta il log ( non confonderlo con il log precedente)
|
|
Rank: Member
Iscritto dal : 2/29/2012
Posts: 28
|
|
|
Rank: Member
Iscritto dal : 2/29/2012
Posts: 28
|
ed ecco la seconda scansione di aswmbr http://wikisend.com/download/299350/aswMBR.txtin effetti ho salvato il log anche se forse non aveva ancora finito, ma la parte diciamo 'critica', dove aveva trovato errori precedentemente, era passata...
|
|
Rank: Member
Iscritto dal : 2/29/2012
Posts: 28
|
ok ora la scansione l'ha terminata del tutto e pare ok... http://wikisend.com/download/361746/aswMBR.txtche faccio ora? riprovo combofix? nel frattempo buonanotte e a domani grazie max
|
|
Rank: Member
Iscritto dal : 2/29/2012
Posts: 28
|
nel frattempo in modalità provvisoria sono riuscito a far girare junction (in modalità normale non parte proprio), anche se non penso sia stato molto utile... http://wikisend.com/download/373132/Junction.txtallego anche i log di otl eseguito sempre in provvisoria (ma è meglio con o senza rete?) http://wikisend.com/download/314774/OTL.Txthttp://wikisend.com/download/563188/Extras.Txt
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:nel frattempo in modalità provvisoria sono riuscito a far girare junction Ciao. Ti pregherei di non prendere iniziative personali durante la bonifica. E se possibile, nemmeno suggerimenti esterni. Questo eviterà di fare confusione. Grazie. Vai in "Programmi e funzionalità" (da Pannello di controllo) e disistalla TUTTE le versioni Java che trovi. Fai una pulizia con CCleaner (registro compreso) Riavvia il pc. Scarica e installa l'ultima versione di Java: http://www.java.com/it/download/index.jspPoi: Avvia OTL. Sotto " Custom Scans\Fixes" copia-incolla questo codice: Code::OTL O4 - HKU\S-1-5-21-2584441294-2225399178-1546368443-1000..\Run: [{F41D5114-E333-AD7E-E376-3715F9E71408}] C:\Users\max\AppData\Roaming\Rapyy\ubovg.exe File not found O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} http://cdn.scan.onecare.live.com/resource/download/scanner/it-it/wlscctrl2.cab (Windows Live OneCare safety scanner control) O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab (Facebook Photo Uploader 5 Control) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_25-windows-i586.cab (Java Plug-in 1.6.0_25) O18 - Protocol\Handler\msdaipp - No CLSID value found [2012/02/28 19.27.10 | 000,000,000 | ---D | C] -- C:\Users\max\AppData\Roaming\Xayb [2012/02/27 18.51.04 | 000,000,000 | ---D | C] -- C:\Users\max\AppData\Roaming\Udifykk [2012/02/19 23.43.53 | 000,000,192 | ---- | M] () -- C:\ProgramData\~RQ5w5qGO4ZjHJyr [2012/02/19 16.23.34 | 000,000,312 | ---- | C] () -- C:\ProgramData\~RQ5w5qGO4ZjHJy [2012/02/19 16.23.34 | 000,000,192 | ---- | C] () -- C:\ProgramData\~RQ5w5qGO4ZjHJyr [2012/02/19 16.22.02 | 000,000,456 | ---- | C] () -- C:\ProgramData\RQ5w5qGO4ZjHJy @Alternate Data Stream - 243 bytes -> C:\ProgramData\Temp:DFC5A2B2 @Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:A8ADE5D8 :commands [Reboot] Clicca sul pulsante RUN FIX. Lascia fare la scansione senza interferire. Il pc si riavvierà da solo. Poi: Scarica Defogger: http://download.bleepingcomputer.com/jpshortstuff/Defogger.exeSi tratta di un programma che serve per disattivare temporaneamente i driver impiegati da software per l'emulazione di CD/DVD. Eseguilo, e clicca su " Disable", premi " Yes" per confermare, quindi attendi la fine della procedura. Defogger può richiedere, un riavvio (reboot ) del pc. Poi : Apri OTL e clicca su CleanUP. Si disistallerà sia OTL che Combofix. Scarica Combofix (usa Internet Explorer) http://download.bleepingcomputer.com/sUBs/ComboFix.exeSalvalo sul desktop. ( è obbligatorio) Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione. Doppio click su combofix.exe ( se usi Vista: tasto destro su Combofix.exe e clicca su: " Esegui come Amministratore" ) Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO. E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali, e prosegui con la scansione. Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni. Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.
|
|
Rank: Member
Iscritto dal : 2/29/2012
Posts: 28
|
scusami è solo che avevo abbastanza fretta di risolvere la situazione...ora eseguo tutto e ti dico, nel frattempo grazie ancora
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ho aggiunto altre indicazioni. (disistallare TUTTE le versioni Java)
Eseguile perchè sono importanti.
|
|
Rank: Member
Iscritto dal : 2/29/2012
Posts: 28
|
ho eseguito tutto alla lettera, eppure combofix non va, al solito rileva il rootkit e poi si riavvia. se può essere utile come info, stavolta però ci ha impiegato il triplo...
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Riscarica OTL, http://oldtimer.geekstogo.com/OTL.exe Salvalo sul desktop. Doppio click sulla sua icona. Metti la spunta su SCAN ALL USERS. Sotto output spunta minimal outputSotto Extra Registry , seleziona Use SafeList. Sotto Standard Registry metti All. Clicca sulla freccettina di File Age e seleziona 60 Days Metti la spunta a LOP Check e Purity Check. Sotto "Custom Scans\Fixes" copia-incolla questo codice: Code:netsvcs
/ Md5start
atapi.sys
csrss.exe
explorer.exe
lsass.exe
regedit.exe
services.exe
svchost.exe
userinit.exe
winlogon.exe
/ Md5stop
% SystemRoot% \ *. / Mp / s
% SystemRoot% \ system32 \ *. sys / 90
% SystemRoot% \ system32 \ *. exe / lockedfiles
% SystemRoot% \ system32 \ drivers \ *. sys / lockedfiles
% ALLUSERSPROFILE% \ Application Data \ *. exe Clicca su Run ScanLascia che il programma, venga eseguito, senza interruzioni. Posta i log.
|
|
Rank: Member
Iscritto dal : 2/29/2012
Posts: 28
|
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Avvia OTL. Sotto " Custom Scans\Fixes" copia-incolla questo codice: Code::OTL
SRV - (rpcapd) Remote Packet Capture Protocol v.0 (experimental) -- C:\Program Files\WinPcap\rpcapd.exe (CACE Technologies)
[2012/02/26 23.16.14 | 000,000,000 | ---D | C] -- C:\ProgramData\HitmanPro
[2012/02/19 23.53.44 | 000,000,000 | ---D | C] -- C:\Users\max\AppData\Roaming\f-secure
[2012/02/19 17.04.56 | 000,000,000 | -HS- | C] () -- C:\Windows\System32\dds_trash_log.cmd
@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:A8ADE5D8
:commands
[purity]
[emptytemp]
[RESETHOSTS]
[Reboot] Clicca sul pulsante RUN FIX. Il pc si riavvierà, Lascia fare la scansione senza interferire. Scarica TDSSKiller.zip sul desktop: http://support.kaspersky.com/viruses/solutions?qid=208280684 Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe clicca su " Start Scan" Se trova qualche infezione di default avrai l'opzione " Cure" per cui, clicca su " Continue". Se un file sospetto viene trovato,l'azione di default sarà " skip",clicca su " Continue". Se è richiesto il riavvio,(Reboot) acconsenti. ( per eliminare l'infezione è necessario riavviare il pc) Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo. Il log lo trovi in C:\ Postalo qui. Commenta:eppure combofix non va, al solito rileva il rootkit Mi puoi dire esattamente cosa dice il messaggio di Combofix quando rileva il rootkit?
|
|
|
Guest |