|
Rank: Member
Iscritto dal : 12/6/2010 Posts: 12
|
ciao a tutti! spero possiate aiutarmi... ieri credo di essermi beccato un virus. mentre navigavo avira mi segnala un infezione. faccio una scansione con malwarebytes, e viene effettivamente confermata. metto in quarantena. nel pomeriggio scansiono anche con superantispyware. anche qui un infezione nel registro. riavvio e mi compare un nuovo account: Account Help Assistant Desktop. controlloda start\esegui con control userpassword2 ed effettivamente ho questo nuovo account, così come una cartella HelpAssistant sotto documents and settings. a livello di funzionamento non noto granchè. il pc non si blocca. forse solo un lieve rallentamento (e ogni tanto la finestra dove mi trovo diventa inattiva come se si attivasse qualche processo in background). ad ogni modo faccio una breve ricerca e sembra trattasi di un virus. è anche vero però che sul sito microsoft è scritto che questo account potrebbe esistere in caso di assistenza remota (chiaramente io non l'ho mai richiesta). su un forum ho letto che la cosa potrebbe essere dovuta semplicemente ad un aggiornamento di windows. questa cosa mi ha fatto pensare, perchè poco prima della segnalazione di avira ieri ero stato sul sito della rai e nel tentativo di guardare un video mi era apparso il messaggio dove si richiedeva l'aggiornamento di silverlight. io ho lasciato stare e sono uscito, ma non vorrei che qualche aggiornamento sia partito. tra l'altro sempre da ieri all'avvio non mi appare più la fastidiosa icona dello scudo che mi ricorda che gli aggiornamenti automatico sono disattivati. ad ogni modo, seguendo la procedura per la rimozione di eventuali minacce, ho fatto una scansione con hijack (riuscita), ma non riesco ad avviare combofix (lo avvio dal desktop con tutte le applicazioni chiuse e il modem spento). mi appaiono delle finestre col suono tipico del crash di sistema dove con riferimento a dei file (iexplore.exe, hidec, n.pif) mi si dice "impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie". Dopo aver clickato per una ventina di volte OK appare un'altra finestra di windows "Impossibile aprire il file: nircmd.cfxxe". mi si chiede se cercare su internet o sfogliare l'applicazione. a quel punto faccio annulla (3 volte), e si chiude il programma. cosa posso fare? avete idea cosa possa essere?
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007 Posts: 11,016
|
Commenta:avete idea cosa possa essere? Sì che ce l'ho un'idea di cos'è.... Quello che non ho una minima idea, è il S.O che usi. Per proseguire, ho bisogno di saperlo.
|
|
Rank: Member
Iscritto dal : 12/6/2010 Posts: 12
|
eheh.. certo: xp sp2, antivirus avira + comodo firewall
|
|
Rank: Member
Iscritto dal : 12/6/2010 Posts: 12
|
ecco il log di malwarebytes di ieri (scansione veloce, quella completa mi dura un'eternità) http://www.freefilehosting.net/mbam-log-2010-12-0512-12-03 ed il log di hijack: http://www.freefilehosting.net/hijackthis_61
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007 Posts: 11,016
|
Allora: Assicurati di avere accesso a file e cartelle nascosti (Pannello di controllo-> Opzioni Cartella-> Visualizzazione) 1) Metti la spunta su: Visualizza file e cartelle nascoste2) Togli la spunta: nascondi file protetti di sistema (consigliato) Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121Start\Esegui\digita control userpasswords2Rimuovi l'Account Help Assistant Vai in C:\ Documents and Settings e elimina TUTTE le cartelle Help Assistant che trovi. Scarica MBR:EXE direttamente nella Directory C:\ (Devi scaricarlo obligatoriamente in C: ) http://www2.gmer.net/mbr/mbr.exeClicca Start Clicca Esegui... Digita: cmdsi apre la finestra DOS, digita: CD \premi invio digita: mbr -f (fai il Copia -incolla perchè c'è da rispettare uno spazio ) premi invio Poi digita: exitpremi invio Riavvia il pc Posta qui il contenuto del log C:\mbr.log
|
|
Rank: Member
Iscritto dal : 12/6/2010 Posts: 12
|
tutto fatto, grazie. ecco il contenuto di mbr.log: Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.netWindows 5.1.2600 Disk: Maxtor_6Y080L0 rev.YAR41BW0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007 Posts: 11,016
|
Ok. Elimina quello che ha trovato Malwarebytes. (dovevi fare la scansione completa, NON veloce) Adesso: Scarica Combofix ( usa Internet Explorer) http://download.bleepingcomputer.com/sUBs/ComboFix.exeSalvalo sul desktop. ( è obligatorio) Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali. Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO. Importante: Rinomina combofix prima di salvarlo sul desktop in abc.exePer rinominare il file, quando lo scarichi ti chiede dove salvarlo, e ti compare la casella "nome file" ,basta che cambi il nome che ti appare li in abc.exe) Una volta scaricato il programma, clicca su Start\ Esegui \ nel box bianco copia e incolla questo comando, scritto in rosso, virgolette comprese: "%userprofile%\desktop\abc.exe" /killallPremi OK Dovrebbe partire la scansione. Durante la scansione non usare il pc. (nemmeno il mouse) Posta il log
|
|
Rank: Member
Iscritto dal : 12/6/2010 Posts: 12
|
l'avevo già scaricato con chrome. per cancellarlo devo usare l'OTC, giusto? e riscaricarlo con explorer?
P.S. ho provato ora ad avviare l'explorer, e mi si chiude subito (non lo usavo più da mesi tra l'altro). se lo scarico con firefox va bene? oppure dovrei usare il notebook e copiarlo attraverso chiavetta...
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007 Posts: 11,016
|
pablohoney ha scritto:P.S. ho provato ora ad avviare l'explorer, e mi si chiude subito (non lo usavo più da mesi tra l'altro). se lo scarico con firefox va bene? Prova, ma con Firefox possono esserci (non è sicuro) delle difficoltà. Usa Chrome piuttosto.
|
|
Rank: Member
Iscritto dal : 12/6/2010 Posts: 12
|
ma porc@!#... niente, stesso esito. con chrome lo avevo già scaricato ieri. ora ho provato con firefox e niente. lo avvio (dopo aver spento il modem, chiudo il firewall e disattivato il guard di avira), ma alla fine della barra iniziale con scritto combofix mi spuntano delle finestre di crash (quelle con la x rossa per intenderci). intestazione 32788R22FWJFW/iexplore.exe oppure hidec.exe o n.pif, con scritto "impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie". ad ogni click di ok ne spunta un'altra. dopo una ventina di OK appare una finestra di windows "Impossibile aprire il file: nircmd.cfxxe". mi si chiede se cercare su internet o sfogliare l'applicazione. a quel punto faccio annulla (3 volte), e si chiude il programma.
nel togliere ieri combofix con OTC, non me lo rimuoveva se non rinominavo nuovamente da abc a combofix. ho fatto qualche errore? e comunque, in C: mi è rimasta una cartella, creata proprio da combofix chiamata 32788R22FWJFW.
ad ogni modo, adesso che faccio? rimuovo di nuovo con OTC come fatto ieri e riscarico con explorer dall'altro pc (explorer come scritto non mi funziona, si chiude da solo dopo qualche secondo)? oppure uso TDSSKiller?
|
|
Rank: Member
Iscritto dal : 12/6/2010 Posts: 12
|
su indicazione di un altro utente ho scaricato ed eseguito il TDSSKILLER. ha trovato un'infezione (backdoor.win32.sinowal.knf) e 6 file sospetti. quindi ho riprovato con combofix, e niente. ho riavviato in modalità provvisoria, e combofix finalmente è partito! la scansione è durata 7-8 minuti. quindi ha riavviato. riavviando si sono però avviati anche tutti i programmi (antivirus, firewall e smart defrag). il comodo ha iniziato a bloccare l'applicazione. io sapendo di non dover far niente, ho ignorato, pensando che combofix riuscisse a superare il firewall. dopo una decina di minuti sulla finestra dos di combofix è apparso "accesso negato". a quel punto ho premuto il CONSENTI sulla finestra di comodo, e il combofix ha continuato a lavorare, fino a creare il report. ecco i report di tdsskiller e di combofix... :) http://www.freefilehosting.net/tdsskiller2410107122010103738log http://www.freefilehosting.net/combofix_7 grazie per il supporto. attendo altre istruzioni :)
|
|
Rank: Member
Iscritto dal : 12/6/2010 Posts: 12
|
pablohoney ha scritto:eheh.. certo: xp sp2, antivirus avira + comodo firewall a proposito, per la precisione: il mio SO è xp PROFESSIONAL (SP2). non so, magari è influente... un'altra cosa: il combofix o il tdsskiller (non ricordo) mi hanno segnalato come virus, se non erro, il file autorun.inf in h: (cioè nel mio hard disk portatile western digital). è un file che avira mi ha sempre segnalato (non appena aprivo la finestra risorse del computer). l'ho sempre ignorato proprio perchè me l'ha fatto sin dall'inizio, pensando fosse qualche falso allarme. ora infatti non mi appare più il messaggio di avira quando apro risorse del computer... possibile fosse davvero pericoloso?
|
|
Rank: Member
Iscritto dal : 12/6/2010 Posts: 12
|
r16, mi hai abbandonato?... scherzo! comunque, quando hai un attimo dai un'occhiata a quei log, e mi dici cosa devo fare? grazie!
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007 Posts: 11,016
|
Elimina Combofix (compresa la cartella 32788R22FWJFW) Installa il service pack3 di Windows XP : http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=itInstalla Internet Explorer 8http://www.microsoft.com/downloads/details.aspx?FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b&displaylang=itPoi: Dai una pulita (registro compreso)con CCleaner http://www.aiutamici.com/software?ID=11223Poi: Provvedi a svuotare del suo contenuto la cartella Prefetch : clicca su Risorse del Computer clicca su Disco locale C: cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella) SVUOTA IL CESTINO Poi: Lancia Hijackthis e pulisci gli ADS in questo modo:(esclusivamente, su partizioni in NTFS): clicca sulla voce Open the misc tool section clicca su Open ads spy togli la spunta alla voce Quick scan (windows base folder only) clicca su Scan. Aspetta pazientemente la fine della scansione. se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected Fai uno ScanDisk, e una deframmentazione del HD. Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo. Posta un nuovo log di HiJackThis.
|
|
Rank: Member
Iscritto dal : 12/6/2010 Posts: 12
|
posso saltare l'aggiornamento al sp3? ho paura che vada qualcosa storto... in fondo il mio sistema operativo è piuttosto stabile... o magari farlo dopo. magari mi leggo prima qualche guida, per essere pronto in caso di problemi?...
la cartella 32788R22FWJFW è scomparsa nel momento in cui sono riuscito ad avviare il combofix da provvisoria. per eliminare il combofix uso OTC, giusto? ma devo rinominare il file da abc a combofix? perchè quando ho provato 2 giorni fa non mi eliminava il file se lasciavo abc come nome...
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007 Posts: 11,016
|
pablohoney ha scritto:posso saltare l'aggiornamento al sp3? ho paura che vada qualcosa storto... in fondo il mio sistema operativo è piuttosto stabile... o magari farlo dopo. magari mi leggo prima qualche guida, per essere pronto in caso di problemi?...
la cartella 32788R22FWJFW è scomparsa nel momento in cui sono riuscito ad avviare il combofix da provvisoria. per eliminare il combofix uso OTC, giusto? ma devo rinominare il file da abc a combofix? perchè quando ho provato 2 giorni fa non mi eliminava il file se lasciavo abc come nome... Se non scarichi l'SP3, il tuo pc sarà sempre ad alto rischio di infezioni. I virus attaccano preferibilmente i bug, (falle o "buchi") che ha l'SP2. Vedi tu. Per eliminare Combofix, rinominalo in Combofix, e poi usa OTC. Poi con la funzione "Cerca" di Windows, digita in ambedue i campi la parola Combofix ed elimina tutto quello che trova.
|
|
Rank: AiutAmico
Iscritto dal : 12/7/2010 Posts: 269
|
@r16: hai un PM. Scusate l'intromissione, ciao.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007 Posts: 11,016
|
himaco ha scritto:@r16: hai un PM.
Non mi è arrivato nessun PM.
|
|
Rank: Member
Iscritto dal : 12/6/2010 Posts: 12
|
fatto tutto. al momento sembra tutto stabile e veloce. nel fare lo scan con hijack, non mi pare dovessi chiudere i programmi di sicurezza, quindi non l'ho fatto. mi ha dato subito un errore, chiedendomi se volevo trasmetterlo a loro per l'analisi. cliccando sì, ha proseguito e redatto il log. eccolo: http://www.freefilehosting.net/hijackthis_62
|
|
Guest |