Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

VIRUS - PC AZIENDALE - WINDOWS SECURITY ALERT Opzioni
cerax
Inviato: Friday, June 17, 2011 12:01:52 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
ciao

ecco il nuovo log di OTL
OTL.Txt
fammi sapere
r16
Inviato: Friday, June 17, 2011 5:58:24 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Non ci sono tracce del fake WINDOWS SECURITY ALERT.
E non ci sono infezioni attive dal log di OTL.

Potresti provare a cambiare browser. (installare Firefox)

Prova a vedere, se questa chiave è infetta:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
Arrivato alla cartellina Associations la apri cliccandoci 1 volta.
Guarda se nella pagina a destra, vedi la voce Nome: LowRiskFileTypes
Se c'è, cliccaci sopra con il tasto destro e scegli Elimina.
Chiudi il registro.
Riavvia il pc.

Commenta:
ma non c'è un modo per disabilitare momentaneamente il Panda ?

Non lo posso sapere, visto che non si trova installato nel pc.
Commenta:
Se è sul server, non è che magari scollegando la rete aziendale cambia qualcosa? io la butto lì .......

Se vuoi provare.......ma non me la sento di darti una risposta affermativa.
Non saprei le conseguenze.

In pratica, da quello che ho capito, il problema è IE vero?
Tutto il resto, funziona regolarmente?
cerax
Inviato: Saturday, June 18, 2011 10:54:38 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
la prova sulla chiave di sistema la faccio. (anche se non sono molto pratico di chiavi di sistema)

ma non c'è solo I.E. come problema:
purtroppo il PC è ancora un po' lento,
ho perso tutte le impostazioni personali,
non vedo il menù start/programmi ecc per vedere il contenuto delle cartelle devo sempre spuntare la casella "visualizza file nasconti" e cmq tutte le icone mi rimangono "opache" non visualizzate correttamente ...
e il Panda mi trova quel file test.reg che manda in quarantena ad ogni avvio .......
r16
Inviato: Saturday, June 18, 2011 12:36:01 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
scarica questo tooll sul desktop:
http://download.bleepingcomputer.com/grinler/unhide.exe

Doppio click sull'icona Unhide.exe .
Finita la scansione,ti esce una finestra in cui ti dice, che i file sono visibili, (Your files should now be visible )clicca ok, e chiudi il programma.
Riavvia il pc.

Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Poi:
Scarica DDS sul desktop.
http://download.bleepingcomputer.com/sUBs/dds.scr
Link alternativo:
http://download.bleepingcomputer.com/sUBs/dds.com

Doppio clic per avviarlo.
Finita la scansione, troverai 2 log.
Salva entrambe le relazioni sul desktop.
DDS.txt
Attach.txt
Postali qui con :
http://www.wikisend.com/

Poi, Il Panda, te lo blocca Combofix, oppure si limita a segnalarlo come una minaccia ?


cerax
Inviato: Saturday, June 18, 2011 6:05:00 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
ok, grazie
lunedì mattina faccio tutto questo che mi hai scritto.

poi ri-scarico e lancio anche ComboFix (aggiornato) e ti dico esattamente che problema mi da.

per fare quella verifica sulla chiave di sistema devo fare:
START -> ESEGUI, scrivere REGEDIT e poi premere il tasto invio.
giusto?
r16
Inviato: Saturday, June 18, 2011 9:48:01 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
per fare quella verifica sulla chiave di sistema devo fare:
START -> ESEGUI, scrivere REGEDIT e poi premere il tasto invio.
giusto?

Sì.
Poi clicca sul + di ogni voce finchè trovi la cartellina Associations
La apri cliccandoci sopra 1 volta e nella pagina a destra, vedi se trovi LowRiskFileTypes
cerax
Inviato: Monday, June 20, 2011 9:46:42 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
Una cosa che ancora non ti avevo segnalato:
quando si sta avviando Windows, prima che il appaiano le icone sul desktop esce in alto a sx una finestra che dice:
caricamento impostazioni personalizzate
MSN search provider

E poi, altro esempio: Skype non parte perché non vengo “autenticato”.

--
Trovato ed eliminato la chiave di sistema che mi avevi detto.
--
Fatto unhide.exe
Sono riapparsi un po’ di programmi nel menù, ma non tutti. Per esempio non ci sono + i file che aprivo in ”esecuzione automatica” e non ci sono nemmeno cose “stupide” tipo gli accessori (calcolatrice ecc).

Infatti quando la è uscita la finestrella finale diceva che, se non era tutto visualizzato, bisognava disattivare l’antivirus, e poi far ripartire il tutto.
--
ecco i log del programma dds.scr
dds.txt
attach.txt
--

--
fatto tutte queste cose.
- Panda trova sempre lo stesso file (allego anche immagine) MA OGGI HA TROVATO PURE UN NUOVO TROJAN (vedi file allegato)
Cattura-4-trojan.jpg
- mentre navigo (in modalità provvisoria) spesso quando clicko da Google invece di aprirsi la pagina giusta, partono altre pagine.
- Ti allego linko anche due altre immagine: in C:\ c’è una cartella (Qoobox) che proprio non so cosa sia
Cattura-5-C.jpg
Cattura-6-qoobox.jpg

ciao
cerax
Inviato: Monday, June 20, 2011 9:48:44 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
si scusa:
qoobox mi deve essere stata creata da Combofix quando avevo provato a lanciarlo.

provo a farlo partire di nuovo, oppure prima vuoi che faccio altre cose?
cerax
Inviato: Monday, June 20, 2011 4:37:21 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
MA è NORMALE CHE CI SIA SEMPRE TRA I PROCESSI IN CORSO SUL MIO PC
iexplore.exe ?

considerando soprattutto il caso in cui non sto navigando …


e poi una altra cosa: come detto alcuni programmi sembravano ritornati, ma in realtà il collegamento al programma non c'è: nel menù di avvio ci sono solo cartelle che alla fine ... sono vuote. (spero che tu abbia capito ... sennò posto una immagine)

ma puo' essere che il virus abbia eliminato tutte queste mie impostazioni personali??
oggi ho rifatto una scansione con MalawareBytes e non ha trovato nulla di strano.
solo che questi problemi di pagine che si aprono da sole su internet significano che qualcosa ancora c'è che mi rompe le scatole .......
speriamo di trovarlo.
r16
Inviato: Monday, June 20, 2011 7:54:23 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
I vari problemi, si possono risolvere.
Ma prima, bisogna levare le infezioni che ci sono in quel pc.
Scarica e installa la versione Free di SuperAntispyware:
http://www.superantispyware.com/
lo configuri come da immagini :
http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
Esegui una scansione completa.
Posta il log.

Segui questo percorso ed elimina la cartella in rosso:
c:\windows\XSxS
Elimina anche questo file in rosso:
c:\documents and settings\all users\dati applicazioni\STiHfQsWqJ.exe

Se lo stramaledetto Panda del C.... permettesse di fare una scansione con Combofix, avremmo già risolto.

Posta anche un log di HiJackThis
http://www.aiutamici.com/software?ID=11175
shapiro
Inviato: Monday, June 20, 2011 9:07:36 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Commenta:
Se lo stramaledetto Panda del C.... permettesse di fare una scansione con Combofix, avremmo già risolto.


Drool buon lavoro r16 sei troppo forte Drool
cerax
Inviato: Monday, June 20, 2011 9:34:26 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
scaricato tutto.
domani mattina faccio tutto e posto.
grazie !
cerax
Inviato: Tuesday, June 21, 2011 11:58:28 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
Ecco i log di Supera (che ha trovato due Cookie sospetti) e di HJT

SUPERAntiSpyware Scan Log - 06-21-2011 - 09-27-29.log

hijackthis.log

Cancellato la cartella che dici. Il file.exe l’avevo già cancellato nei giorni scorsi, e oggi non c’era +.

Ieri ho scaricato FireFox e così riuscivo a navigare abbastanza bene senza dover andare in modalità provvisoria. Ma dopo poco ha iniziato ad aprire pagine a caso, quando inizio a digitare un indirizzo nella tendina che si apre sotto mi suggerisce gli ultimi siti visitati … e poi un sacco di indirizzi IP strani come
64.15.72.104….click.php
64.11.211.171
64.188.52.125 ………
che evidentemente saranno gli indirizzi aperti a mia insaputa …
E oggi invece non mi è possibile aprire nessun collegamento dopo le ricerche di Google: appena clicco mi apre un sito sconosciuto e poi ritorno a Google.
Ho provato a fare le ricerche con Bing … e per ora sembra andare bene

ciao
r16
Inviato: Tuesday, June 21, 2011 6:10:22 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":

O4 - HKCU\..\Run: [STiHfQsWqJ] C:\Documents and Settings\All Users\Dati applicazioni\STiHfQsWqJ.exe

Fai una pulizia con CCleaner. (registro compreso.)

Poi:

Scarica Restore Accessories group sul Desktop:
http://www.winxptutor.com/download/accrestore.zip
Estrai i file sul Desktop
Doppio click sull'icona Accrestore:
Eseguilo.
Controlla che le opzioni siano tutte con la spunta.
Clicca Restore.
Quando ha finito (dura pochissimo) riavvia il pc.

Per ultimo:
Scarica Systemscan.
scaricalo sul desktop
http://www.zeusnews.it/zz_upload/PSV/sys36982.exe.zip
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"
Finita la scansione verrà rilasciato (sempre sul desktop all'interno della cartella suspectfile)un report.
Postalo qui con WikiSend: http://www.wikisend.com/
cerax
Inviato: Tuesday, June 21, 2011 6:43:56 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
Fai una pulizia con CCleaner. (registro compreso.)

quali caselle devo spuntare in particolare ??
r16
Inviato: Tuesday, June 21, 2011 7:59:53 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ecco la guida dettagliata:
http://www.aiutamici.it/software?ID=11223
cerax
Inviato: Wednesday, June 22, 2011 9:03:41 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
- fatto FixChecked su HJT
- pulito registro con Ccleaner
- lanciato AccRestore (è uscita una finestrella che parlava di "76 path")
- riavviato
- lanciato SystemScan

ecco il log
report.txt

ciao
r16
Inviato: Wednesday, June 22, 2011 6:23:23 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ok.
L'unica cosa che non quadra, è l'MBR.
Scarica TDSSKiller.zip sul desktop:
http://support.kaspersky.com/viruses/solutions?qid=208280684
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Non dirmi che il Panda non permette la scansione.
Questa scansione è importante.

Finita la scansione, dimmi quanti e quali problemi riscontri.
cerax
Inviato: Thursday, June 23, 2011 8:45:21 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
mi spiace darti brutte notizie ... ma TDSSKiller non parte proprio
faccio doppio clic ed è come se non l'avessi fatto
ci avevo già provato dopo aver trovato i tuoi post su un altro forum.
Probabilmente non parte perchè non ho i diritti di "administator" ...

porca miseria ......
r16
Inviato: Thursday, June 23, 2011 6:08:17 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
cerax ha scritto:
mi spiace darti brutte notizie ... ma TDSSKiller non parte proprio
faccio doppio clic ed è come se non l'avessi fatto

Neanche in modalità provvisoria?

Se non parte neanche in modalità provvisoria, siamo fregati.
O ti procuri un CD originale XP (non importa se Home o Professional) con il SP2 o SP3 , o l'MBR non si ripara.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.