Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiuto sono infettato (BDS zero acces e Win32 Agent?) Opzioni
grinta
Inviato: Saturday, March 09, 2013 2:29:31 PM

Rank: Member

Iscritto dal : 8/8/2007
Posts: 27
mbam-log-2013-03-09 (12-22-23).txt

Purtroppo TDSS Killer.exe non riesco ad aprirlo(all'inizio del post avevo segnalato che non riesco ad aprire nessun antivirus ,neanche quelli che fanno scansioni online) ,probabilmente viene bloccato dal virus.Ho provato anche a rinominare il file in iexplore.exe ma niente
r16
Inviato: Saturday, March 09, 2013 2:56:28 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Vedi se Combofix parte così:
Scarica Combofix (salvalo sul desktop.)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Rinomina combofix prima di salvarlo sul desktop in abc.exe
Per rinominare il file, quando lo scarichi ti chiede dove salvarlo, e ti compare la casella "nome file" ,basta che cambi il nome che ti appare li in abc.exe)
Una volta scaricato il programma, clicca su start\ esegui nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK.
Ignora gli eventuali messaggi di allarme, e prosegui con la scansione.
Durante la scansione non usare il pc. (nemmeno il mouse)
Posta il log
shapiro
Inviato: Saturday, March 09, 2013 4:06:43 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
in aggiunta se combofix non parte nemmeno cosi' scarica rkill da uno dei link qui sotto ed eseguilo col tasto destro e come emministratore


link 1

link 2

link 3

se durante la scansione si apre una finestra ignorala (non chiuderla)
Rifai partire rkill.com, e lascia che continui la scansione.
Se ricompare ancora la finestra, tu continui a far ripartire rkill.com . (senza MAI chiudere la finestra) la scansione deve andare fino in fondo

ora riprova combofix

@ r16

se non parte combofix forse sarebbe il caso di usare systemscan

altra cosa per grinta

prova se riesci seguendo il percorso ed elimina manualmente questi

C:\ProgramData\5606191.js
C:\ProgramData\5606191.pad
C:\ProgramData\87_fg.pad
C:\ProgramData\0tbpw.pad
r16
Inviato: Saturday, March 09, 2013 4:13:22 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
se non parte combofix forse sarebbe il caso di usare systemscan

Certo.
Ma poi bisogna vedere de parte Avenger. Angel
shapiro
Inviato: Saturday, March 09, 2013 4:14:49 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Commenta:
Certo.
Ma poi bisogna vrdere de parte Avenger



eliminando i file in rosso dovrebbe partire

comunque bel ''tocco'' Rogue killer ;)
r16
Inviato: Saturday, March 09, 2013 4:17:46 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Sai una cosa Shap?
Potrebbe funzionare anche FRST (tramite chiavetta)
La procedura è la stessa per Win 7.
shapiro
Inviato: Saturday, March 09, 2013 4:20:17 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Commenta:
Sai una cosa Shap?
Potrebbe funzionare anche FRST (tramite chiavetta)
La procedura è la stessa per Win 7.


ottima mossa r16 Applause

r16
Inviato: Saturday, March 09, 2013 4:24:23 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Comunque per me c'è anche un rootkit nel MBR.
Guarda cosa segnala Rouge Killer:
[MBR] 6ec0745909dfc7b92bae73b95ae268bc
[BSP] 71696f6a6471a3a09c8f7fc413b16420 : Windows Vista MBR Code [possible maxSST in 2!]
La scansione con TDSSKiller sarebbe stata molto utile.
shapiro
Inviato: Saturday, March 09, 2013 4:27:51 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164



si ho visto ha preso una ''bestiaccia''... o piu' di una

sarebbe il caso di rimuovere subito adobe da pannello di controllo

Code:
Probabilmente preso da una richiesta di installazione di adobe reader (!!!) mi ritrovo il pc molto lento,
r16
Inviato: Saturday, March 09, 2013 4:29:28 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Di virus, (vedendo il log di OTL) ne ha parecchi.
Vediamo se parte Combofix.
ruffolo
Inviato: Saturday, March 09, 2013 4:38:19 PM
Rank: Member

Iscritto dal : 2/11/2013
Posts: 15
Commenta:
si ho visto ha preso una ''bestiaccia''... o piu' di una


Hai ragione, due "bestiacce" sicuramente le ha prese. Sono queste le più pericolose.
grinta
Inviato: Saturday, March 09, 2013 5:07:39 PM

Rank: Member

Iscritto dal : 8/8/2007
Posts: 27
Intanto ho riprovato combofix come suggerito ma niente:il programma parte,comincia a lavorare,dopo 1 minuto mi dice:"avira desktop è ancora attivo" e che devo disattivarlo(in realtà avevo già disinstallato avira,avevo anche provato poi ad utilizzare il removing tool di avira ma anche in questo caso non mi si era aperto al doppio click);allora do ok e vado avanti lo stesso,combofix mi avverte che lo faccio a mio rischio e pericolo,dopodichè compare una finestra blu che mi dice più o meno così:"la scansione dura circa 10 minuti ma in caso di importanti infezioni il tempo può raddoppiare",e da li la schermata resta bloccata.Ieri ho aspettato ore!!!.Adesso provo l'ultimo suggerimento di Shapiro e poi vi so dire.
grinta
Inviato: Saturday, March 09, 2013 5:16:27 PM

Rank: Member

Iscritto dal : 8/8/2007
Posts: 27
Questo è il log rkill:
Rkill.txt
shapiro
Inviato: Saturday, March 09, 2013 5:19:26 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164


ora prova ad eliminare a mano i file in rosso poi riprova con combofix
grinta
Inviato: Saturday, March 09, 2013 5:47:40 PM

Rank: Member

Iscritto dal : 8/8/2007
Posts: 27
Niente da fare,combofix parte regolarmente,mi pare facca un back up di registro e poi si blocca alla schermata blu.Ragazzi che bestiaccia!!!!
shapiro
Inviato: Saturday, March 09, 2013 5:50:23 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164


hai eliminato i files in rosso?
grinta
Inviato: Saturday, March 09, 2013 5:55:29 PM

Rank: Member

Iscritto dal : 8/8/2007
Posts: 27
Si certo
shapiro
Inviato: Saturday, March 09, 2013 5:59:13 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164


ora cerca ed elimina queste cartelle

C:\$Recycle.Bin\S-1-5-18\$ed001e6bc7de8df218a57a39ae386d41\@
C:\$Recycle.Bin\S-1-5-18\$ed001e6bc7de8df218a57a39ae386d41\L
C:\$Recycle.Bin\S-1-5-18\$ed001e6bc7de8df218a57a39ae386d41\U
grinta
Inviato: Saturday, March 09, 2013 6:11:40 PM

Rank: Member

Iscritto dal : 8/8/2007
Posts: 27
Non le trovo:in C:\ c'è la cartella SRECYCLE.BIN (appare di un giallino + tenue rispetto alle altre) che contine all'nterno l'icona "cestino"(vuoto anche se non lo è!?!)
shapiro
Inviato: Saturday, March 09, 2013 6:12:33 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
nel frattempo esegui questa procedura

vai nel pannello di controllo e rimuovi adobe reader


scarica sul desktop questo file

http://wikisend.com/download/519248/poit.com

e' combofix modificato, vedi se riesci ad avviarlo, tasto destro e come amministratore


se combofix non parte

Scarica junction.zip >>> http://download.sysinternals.com/files/Junction.zip

Decomprimi e metti Junction.exe in C:\Windows.
Vai su esegui e copia il seguente testo :

cmd /c junction -s c:\ >log.txt&log.txt& del log.txt

Inizierà lo scan del sistema.Un trattino lampeggiante su sfondo nero apparirà. Aspetta che si apra un file di log. Salvalo e allegalo nel prossimo post.
(qualora non parta in mod. normale eseguilo in provvisoria)
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.