| Precedente :: Successivo |
| Autore |
Messaggio |
toto'
Mortale devoto
Registrato: 13/12/08 12:01
Messaggi: 5
|
 Inviato: 13 Dic 2008 13:10 Oggetto: probabile infezione |
 |
|
 ciao a tutti sono nuovo del forum quindi mi scuserete se commetto qualche errore o sbaglio procedura. ho da qualche giorno un problema che ora vado ad illustrarvi : con il computer da tavolo ero su un forum di telefonia e sono stato indirizzato su una pagina che pubblicizzava un prog.BB5 a questo punto il mio antivirus mi avverte di qualcosa ma nn faccio in tempo a leggere che mi si spegne e si riavvia il computer.Risultati :non mi connetto piu ad internet nn riconosce il modem alice( sto usando il potatile con alice quindi il modem funziona), non apriva antivirus,e andando su GESTIONI PERIFERICHE vedo le schede di rete con punto esclamativo su sfondo giallo.Prendendo la discussione con SIRA214 sono pian piano riuscito a far ripartire antivirus che mi hanno trovato di tutto ma bagle no. Scannerizzato con tutti i tipi di antivirus sembra che il pc sia pulito ma anche disinstallando le schede e riavviato il pc riconosce le schede ma nn me le fa usare(sempre punto esclamativo su sfondo giallo) cioe il modem nn viene riconosciuto.Cosa posso fare ancora senza dover formattare?. Con hjt ho trovato un file sospetto mi sapete dire cosa è? 
O23 - Service: AST Service (astcc) - Unknown owner -C:\WINDOWS\system32\AstSrv.exe (file missing)
Grazie a tutti siete forti. |
|
| Top |
|
 |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 13 Dic 2008 21:23 Oggetto: |
|
|
Ciao toto' e benvenuto...
Dobbiamo essere sicuri che non si tratta del bagle, quindi procedi con queste scansioni:
- Pulisci i files temporanei con ATF-Cleaner e/o
CCleaner
- Segui le istruzioni di questo topic per usare MBAM.
- Segui le istruzini di questo topic per eseguire combofix.
- Segui le istruzioni di questo topic per postare il log di HiJackThis.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
Se non riesci a scaricare i programmi suddetti, mettili in una periferica e trasferiscili poi sul PC infetto. |
|
| Top |
|
|
toto'
Mortale devoto
Registrato: 13/12/08 12:01
Messaggi: 5
|
| Inviato: 14 Dic 2008 14:46 Oggetto: |
|
|
 ciao sante62 grazie per l'interessamento e per l'aiuto,
ho fatto le scansioni che mi hai suggerito (anche se purtroppo non avevo la possibilita di aggiornare) ma devo informarti di questo:
ieri sera ho installato il prog F-SECURE ANTI-VIRUS ( mi rilevato "RISKTOOL.WIN32.REBOOT") e durante la scansione di mbam si apriva una finestra - "bloccata azione di reboot in..."
e durante lo scan di combofix il pc si è riavViato.
ho installato "O&O DISKSTAT" per vedere le cartelle indicate da F-AV ed ho trovato file .exe in diverse cartelle tipo :
c:\system volume information\...\RP5\a00005282.exe.
non è propiro un virus cosa è ?
ti invio i log richiesti.
grazie ancora.
mbam-log-2008-12-14 (11-55-16).txt
hijackthis14.log
combofixlog.txt |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 14 Dic 2008 16:37 Oggetto: |
|
|
| toto' ha scritto: | | ieri sera ho installato il prog F-Secure ANTI-VIRUS ( mi rilevato "RISKTOOL.WIN32.REBOOT") e durante la scansione di mbam si apriva una finestra - "bloccata azione di reboot in..." |
Questo messaggio da parte di chi? di F-secure Anti-virus?
| toto' ha scritto: | ed ho trovato file .exe in diverse cartelle tipo :
c:\system volume information\...\RP5\a00005282.exe. |
Quelle sono cartelle utilizzate dal Rispristino di configurazione di sistema di Windows XP.
EDIT:
cos'è il disco F: ? |
|
| Top |
|
|
toto'
Mortale devoto
Registrato: 13/12/08 12:01
Messaggi: 5
|
| Inviato: 14 Dic 2008 19:34 Oggetto: |
|
|
chemicalbit ,si il messaggio era da parte di f-sec
| chemicalbit ha scritto: | | Quelle sono cartelle utilizzate dal Rispristino di configurazione di sistema di Windows XP |
quindi cosa vuol dire che succede?
Il disco è ripartito in C ed F |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 15 Dic 2008 12:27 Oggetto: |
|
|
Toto, per cortesia, non fare scansioni con programmi diversi da quelli indicati, altrimenti facciamo confusione. Comunque, da tutti non è stato rilevato niente di particolare.
Quando fai le scasnioni con i tool indicati, devi tenere disattivati antivirus e firewall, perchè possono interferire.
Intanto per sicurezza, disattiva il ripristino di sistema e lascialo disattivato per adesso.
Fai una scansione con Superantispyware dopo averlo aggiornato.
Nella prossima risposta, precisa quali problemi riscontri adesso, per regolarci sul modo di procedere. |
|
| Top |
|
|
toto'
Mortale devoto
Registrato: 13/12/08 12:01
Messaggi: 5
|
| Inviato: 15 Dic 2008 18:03 Oggetto: |
|
|
ok sante62 ,
il ripristino di sistema l'avevo disattivato quando ho iniziato a far girare gli antivirus ma controllando adesso si è attivato ,perché? il problema è che non posso accedere ad internet non riconosce la scheda di rete e quando inserisco il modem fa un suono strano non lo riconosce,come faccio ad aggiornare l'antivirus? se vuoi ti posso mandare anche il log del primo hjt (quando pensavo di potercela fare da solo)  ,da questo puoi fare il confronto e vedere cosa ho cancellato.
ciao e grazie. 
http://wikisend.com/download/617610/hijackthis.log[/url] |
|
| Top |
|
|
toto'
Mortale devoto
Registrato: 13/12/08 12:01
Messaggi: 5
|
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 15 Dic 2008 21:41 Oggetto: |
 |
|
Cos'è questa roba? Ti sei reinfettato....
Fixa con HJT queste righe:
| Citazione: | R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
O1 - Hosts: 80.190.241.30 home.edonkey.com
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) |
Riavvia il PC e rifai il log di HJT. Attenzione a non visitare determinati siti scoperto da antivirus. Disattiva nuovamente il ripirstino di sistema e rifai la scansione con Superantispyware Kasper removal tool.
Probabilmente, dovrai anche disinstallare i driver/file relativi al modem e reinstallare tutto, perchè i malware ti hanno modificato le impostazioni del modem stesso. Comunque prima prova a vedere se funziona. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
