Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Infezione vundo e relativi problemi Opzioni
kos21
Inviato: Thursday, September 26, 2013 8:49:21 PM
Rank: AiutAmico

Iscritto dal : 6/11/2008
Posts: 39
ciao,
su un notebook con XP, Malwarebytes ha trovato infezioni vundo che ho eliminato. Ho scansionato anche con altri scanner, allego i log.

Nella finestra di avvio di XP normalmente ho due account utente.
Entrando in mod. provvisoria non ho trovato uno dei due, quello che uso abitualmente per entrare in windows.
C'è l'account "amministratore" (che dovrebbe essere quello di default della mod. provvisoria) e poi soltanto l'altro account.
Invece nella mod. normale vedo regolarmente i due account utente. Sarà una cosa dovuta all'infezione?

Chiedo un aiuto per controllare il pc. Grazie

mbam-log-2013-09-19 (18-30-05).txt
Extras.Txt
OTL.Txt
hijackthis 2013-09-26.txt
ComboFix.txt
Sponsor
Inviato: Thursday, September 26, 2013 8:49:21 PM

 
r16
Inviato: Thursday, September 26, 2013 9:22:37 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Scarica Adwcleaner sul desktop:
http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner
Chiudi tutti i browser, (è importante IE,Firefox Chrome ecc...)
Clicca sul pulsante "Scan".
Finita la scansione clicca su "Clean"
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.

Non pensi sia il momento di aggiornare l'antivirus? (AVG8)
Praticamente è talmente vecchio, che è come non l'avessi.
kos21
Inviato: Thursday, September 26, 2013 11:05:36 PM
Rank: AiutAmico

Iscritto dal : 6/11/2008
Posts: 39
ciao r16, grazie

.txt]AdwCleaner[S1].txt

ho provveduto ad aggiornare Avg e scansionando in real time mi ha anche segnalato infetto il file: prpgrid3.ocx

ma non ho eliminato in quanto non avevo certezza e malwarebyte non lo segnala

attendo altre tue eventuali indicazioni
r16
Inviato: Friday, September 27, 2013 6:54:21 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
La versione di Adwcleaner, non è quella che ti ho indicato io.
Stai usando una versione vecchia?
Se sì scarica l'ultima versione:
http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner
Clicca sul pulsante "Scan".
Finita la scansione clicca su "Clean"
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.

Pi rifai la scansione con OTL.
Posta il log.
misterboss
Inviato: Friday, September 27, 2013 7:23:21 PM

Rank: AiutAmico

Iscritto dal : 9/14/2012
Posts: 98
@kos21 ............ salve :O)

l'infezione vundo si elimina principalmente con Combofix
Rimuove i flile temporanei i cookie e la cronologia, svuota il cestino e solo dopo comincia il suo lavoro

si consiglia di disattivare il ripristino di sistema


salut :O)
kos21
Inviato: Friday, September 27, 2013 7:47:56 PM
Rank: AiutAmico

Iscritto dal : 6/11/2008
Posts: 39
r16
Inviato: Friday, September 27, 2013 8:43:01 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Code:
:OTL
PRC - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe (Lavasoft)
SRV - (aawservice) -- C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe (Lavasoft)
DRV - (PCIUtil) -- C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\PCIUtil.sys File not found
O8 - Extra context menu item: SmarThru4 Acquisisci selezione - C:\Programmi\SmarThru 4\WebCapture.dll2.htm File not found
O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Programmi\SmarThru 4\WebCapture.dll2.htm File not found
O8 - Extra context menu item: SmarThru4 Salva come HTML - C:\Programmi\SmarThru 4\WebCapture.dll1.htm File not found
O8 - Extra context menu item: SmarThru4 Salva testo selezionato - C:\Programmi\SmarThru 4\WebCapture.dll.htm File not found
O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Programmi\SmarThru 4\WebCapture.dll1.htm File not found
O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Programmi\SmarThru 4\WebCapture.dll.htm File not found
O8 - Extra context menu item: SmarThru4 Web Capture - C:\Programmi\SmarThru 4\WebCapture.dll File not found
O9 - Extra 'Tools' menuitem : Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
[2008/06/17 19.50.28 | 000,001,755 | ---- | C] () -- C:\Documents and Settings\All Users\Dati applicazioni\QTSBandwidthCache
[2008/04/02 19.58.44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dati applicazioni\sapdb
[2010/12/27 17.36.22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Renato\Dati applicazioni\SmarThru4

:Files
C:\Programmi\Lavasoft
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.

@Mao:
Commenta:
l'infezione vundo si elimina principalmente con Combofix

Una notiziona.....Whistle
Magari se rileggi il topic, forse vedi che Combofix è già stato usato.

kos21
Inviato: Friday, September 27, 2013 10:34:14 PM
Rank: AiutAmico

Iscritto dal : 6/11/2008
Posts: 39
r16
Inviato: Friday, September 27, 2013 10:35:50 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Come funziona il pc?
kos21
Inviato: Friday, September 27, 2013 10:40:44 PM
Rank: AiutAmico

Iscritto dal : 6/11/2008
Posts: 39
Direi che adesso non noto anomalie.
Sono libero da infezioni?

Devo riprovare a entrare in mod provvisoria per controllare se ritrovo l'utente principale che come ho scritto nel primo post era scomparso.
r16
Inviato: Friday, September 27, 2013 10:47:58 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Sono libero da infezioni?

Sì.

Da Installazione Applicazioni, disinstalla TUTTE le versioni Java che trovi.
Fai una pulizia con CCleaner (registro compreso)

Apri OTL e clicca su CleanUP.
Si disistallerà sia Combofix che OTL:
Ti chiederà il riavvio: acconsenti.

Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)

SVUOTA IL CESTINO

Apri CCleaner.
Clicca su "Strumenti".
Clicca su "Ripristino Sistema"
Seleziona TUTTI i punti di ripristino e poi clicca "Rimuovi".

N.B:
Il punto segnalato in grigio (il primo) non lo puoi eliminare per motivi di sicurezza.

Scarica l'ultima versione di Java:
http://www.java.com/it/download/index.jsp

Se il pc funziona bene abbiamo concluso.

Commenta:
Devo riprovare a entrare in mod provvisoria per controllare se ritrovo l'utente principale che come ho scritto nel primo post era scomparso.

Non credo lo trovi; ma prova.
kos21
Inviato: Friday, September 27, 2013 10:57:03 PM
Rank: AiutAmico

Iscritto dal : 6/11/2008
Posts: 39
Niente, in mod. provvisoria non trovo l'utente principale. Cioè vedo Administrator e il secondo utente, che non viene più usato e che potrei togliere.
Ma ritieni sia normale non trovare un utente in mod provvisoria?


r16
Inviato: Friday, September 27, 2013 11:01:51 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
kos21 ha scritto:
Niente, in mod. provvisoria non trovo l'utente principale. Cioè vedo Administrator e il secondo utente, che non viene più usato e che potrei togliere.
Ma ritieni sia normale non trovare un utente in mod provvisoria?

Non ti azzardare ad eliminare l'account Administrator.
Potresti fare danni irreversibili.

Fai:
Start
Esegui
Copia-incolla questo comando:
control userpasswords2
clicca Invio.
Dimmi quanti account vedi e come si chiamano.
kos21
Inviato: Friday, September 27, 2013 11:09:07 PM
Rank: AiutAmico

Iscritto dal : 6/11/2008
Posts: 39
Allora sono 3:

Administrator Utenti debugger; Administrators
pdi***** Amministrators; Users
Renato Administrators; Users

nota: * sono lettere del cognome
r16
Inviato: Friday, September 27, 2013 11:13:18 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Sono regolari.
L'account che non trovi in Modalità provvisoria, è quello con ***** ?
kos21
Inviato: Friday, September 27, 2013 11:19:02 PM
Rank: AiutAmico

Iscritto dal : 6/11/2008
Posts: 39
No!
Non trovo "Renato", che è quello principale che ho sempre usato e che voglio lasciare attivo.
Mentre in mod provv vedo Administrator (che è di default, credo!) e "pdi******" che nella della pagina iniziale di XP è indicato come "Guest1".
E quest'ultimo vorrei anche eliminarlo perché non più usato.

Grazie per il tuo gentile interessamento!
r16
Inviato: Friday, September 27, 2013 11:23:22 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Proviamo a eliminare "pdi******" ?
kos21
Inviato: Friday, September 27, 2013 11:28:51 PM
Rank: AiutAmico

Iscritto dal : 6/11/2008
Posts: 39
Si provo ad eliminarlo e ti dico. Però l'Administrator in mod provvisoria mi chiedeva per entrare una password che non ho più. Forse è meglio se tolgo prima questa pass attraverso la finestra control userpasswords2? Devo lasciare bianco o mettere asterisco?
r16
Inviato: Friday, September 27, 2013 11:34:28 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Forse è meglio se tolgo prima questa pass attraverso la finestra control userpasswords2?

Togli la password. Sai come fare?

Per eliminare l'account lo devi selezionare e poi cliccare "Rimuovi.
Conferma tutto e riavvia il pc.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.