| Precedente :: Successivo |
| Autore |
Messaggio |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
 Inviato: 13 Gen 2009 02:20 Oggetto: Cadregun secondo PC infetto |
 |
|
B - secondo Pc - win xp - antivirus Symante server corp.
logfile di MBAM: mbam-log.txt
logfile di COMBOFIX: log_combofix.txt
logfile di HJACKTHIS: hijackthis.log |
|
| Top |
|
 |
cadregun
Eroe in grazia degli dei
Registrato: 03/12/07 16:11
Messaggi: 82
|
| Inviato: 13 Gen 2009 12:05 Oggetto: |
|
|
| aspetto indicazioni per questo pc..... grazie. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 13 Gen 2009 12:43 Oggetto: |
|
|
disattiva il ripristino di sistema e avvia il PC in modalità provvisoria
Avvia Hijackthis, seleziona questa riga e clicca su fix checked:
| Citazione: | | O4 - HKLM\..\Run: [bit4id store register] RUNDLL32.EXE "C:\WINDOWS\system32\bit4cnsp.dll",RegisterMyPhysicalStore |
C'è da cessare anche questo servizio perchè mi sembra sospetto;
Al limite fallo analizzare su Virustotal caricando il file sul sito ed attendi il responso dei vari antivirus:
| Citazione: | | C:\WINDOWS\SYSTEM32\PLSRemote.exe |
Copia e incolla quì il ruisultato. Poi vedremo se disattivarlo ed eliminarlo in base al responso.
Poi, Usa KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione
Installa KASPERSKY VIRUS REMOVAL TOOL:
verrà creata una apposta cartella sul Desktop
all?interno della cartella è presente la classica icona (una K) di Kaspersky
clicca sull?icona per lanciare il tool
imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato
Nota 1: Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: non possiede una funzione di aggiornamento automatico delle firme
Posta tutti i risultati alla fine dei lavori. |
|
| Top |
|
|
cadregun
Eroe in grazia degli dei
Registrato: 03/12/07 16:11
Messaggi: 82
|
| Inviato: 13 Gen 2009 13:31 Oggetto: |
|
|
ok procedo.....
intanto posto il risultato di Virustotal per il file PLSremote.exe QUI
domanda...
su questo pc ho installato il prg di scanzione online di Kaspersky...
ma.... | Citazione: | | Nota 1: Il tool è incompatibile se si hanno già prodotti Kaspersky installati |
come mi comporto...? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 13 Gen 2009 19:06 Oggetto: |
|
|
| cadregun ha scritto: | ok procedo.....
intanto posto il risultato di Virustotal per il file PLSremote.exe QUI |
Termina quel servizio dal pannello di controllo->Prestazioni e manutenzione->Strumenti di amministrazione e scegli->servizi;
identifica il suddetto servizio alla colonna Nome;
cliccaci col tasto destro->proprietà;
alla voce Tipo di Avvio scegliDisabilitato e clicca su applica;
Su percorso file eseguibile trova l'eseguibile ed eliminalo dalla modalità provvisoria;
| cadregun ha scritto: |
domanda...
su questo pc ho installato il prg di scanzione online di Kaspersky...
ma.... | Citazione: | | Nota 1: Il tool è incompatibile se si hanno già prodotti Kaspersky installati |
come mi comporto...? |
Se non hai installato altri prodotti simili puoi procedere.... |
|
| Top |
|
|
cadregun
Eroe in grazia degli dei
Registrato: 03/12/07 16:11
Messaggi: 82
|
| Inviato: 14 Gen 2009 10:16 Oggetto: |
|
|
ho tolto la riga che mi hai indicato con Hjackthis....
ho fatto la scansione con Kaspersky removal tool e il report che ne è uscito è di dimensioni un pò corpulente .... circa 80mb.... 
ho fatto l'immagine delle videate e te le posto.... se poi vuoi il report vero e prorpio.... vedro di inserirlo da qualche parte..... (speriamo di no...) 
 
ora termino il servizio come mi hai indicato....
aspetto lumi....
ciao |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 14 Gen 2009 12:23 Oggetto: |
|
|
Nella schermata sulla destra ci sono dei file infetti contrassegnati dal punto esclamativo rosso. Devi controllare se sono in quarantena o meno.
Cortesemente postami un log aggiornato di Hijackthis. |
|
| Top |
|
|
cadregun
Eroe in grazia degli dei
Registrato: 03/12/07 16:11
Messaggi: 82
|
| Inviato: 14 Gen 2009 13:08 Oggetto: |
|
|
ciao...
eccoti un Hjackthis aggiornato... QUI
i file infetti me li ha cancellati.... vedi prima immagine
alla fine della scansione mi ha chiesto se volevo cancellarli e gli ho detto SI
la sezione quarantena è vuota.
ps. ricordati anche dell'altro pc.....  grazie. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
|
| Top |
|
|
cadregun
Eroe in grazia degli dei
Registrato: 03/12/07 16:11
Messaggi: 82
|
| Inviato: 14 Gen 2009 15:16 Oggetto: |
|
|
dunque.... i rallentamenti improvvisi che avevo fino all'altro giorno non ci sono più.... parliamo piano....
mi hai fatto dare una bella ripulita.....
ora installo il prg che mi hai indicato.... lo lancio e poi ti dico il risultato... |
|
| Top |
|
|
cadregun
Eroe in grazia degli dei
Registrato: 03/12/07 16:11
Messaggi: 82
|
| Inviato: 16 Gen 2009 10:32 Oggetto: |
|
|
eccomi qua.....
dunque ho fatto scnasione con Superantispyware...
e il risultato è stato:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 01/15/2009 at 06:33 PM
Application Version : 4.24.1004
Core Rules Database Version : 3710
Trace Rules Database Version: 1685
Scan type : Complete Scan
Total Scan Time : 01:25:23
Memory items scanned : 456
Memory threats detected : 0
Registry items scanned : 6470
Registry threats detected : 0
File items scanned : 28369
File threats detected : 5
Adware.Tracking Cookie
C:\Documents and Settings\Administrator\Cookies\administrator@www.googleadservices[1].txt
C:\Documents and Settings\Administrator\Cookies\administrator@imrworldwide[2].txt
C:\Documents and Settings\Administrator\Cookies\administrator@s3.shinystat[2].txt
C:\Documents and Settings\Administrator\Cookies\administrator@ad.yieldmanager[2].txt
C:\Documents and Settings\Administrator\Cookies\administrator@casalemedia[2].txt
ho cancellato i cookie cliccando sulla freccia destra....
adesso...?
-----------------------------
altro quesito...
ieri sera ad unc erto punto i collegamenti sul desktop hanno smesso di funzionare...
mi spiego meglio....
sul desktop ho delle cartelle che però si trovano in altre parti del pc....
e quindi mi sono fatto dei collegamenti....
lo stesso prg."esplora risorse" non andava.....
ci cliccavo sopra.... e invece di aprirsi non succedeva nulla.
quando ho spento il pc, nel momento in cui fa i salvataggi ....
mi appare nel mezzo dello schermo una finestrella dove dice che sta terminando il
"proxy desktop" perché mal funzionante...... finisce si spegne.... e finita...
da cosa è dovuto questo mal funzionamento...?
grazie. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 16 Gen 2009 12:38 Oggetto: |
|
|
Vedi se le cartelle originali, senza il collegamento, funzionano.
Fai poi la scansione con Systemscan e posta il log generato come
indicato quì |
|
| Top |
|
|
cadregun
Eroe in grazia degli dei
Registrato: 03/12/07 16:11
Messaggi: 82
|
| Inviato: 16 Gen 2009 15:40 Oggetto: |
|
|
eccomi.....
dunque.... le cartelli originali funzionano....
non funzionano solo i collegamenti che ho sul desktop... 
ho fatto girare il prg Systemscan come mi hai suggerito....
e questo è il log ottenuto.... --> QUI
aspetto lumi.
ciao e grazie.... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 16 Gen 2009 19:28 Oggetto: |
|
|
Pulisci un altra volta i file temporanei con CCleaner, perchè ve ne sono di sospetti;, nei precedenti log di HJT questi file non c'erano, quindi fai attenzione, altrimenti ti reinfetti di continuo.
successivamente, prova a ricreare i collegamenti sul desktop, cancellando ovviamente quelli vecchi e vedi come va.
Infine, rifai un altro log di HJT. |
|
| Top |
|
|
cadregun
Eroe in grazia degli dei
Registrato: 03/12/07 16:11
Messaggi: 82
|
| Inviato: 17 Gen 2009 15:50 Oggetto: |
|
|
| Sante62 ha scritto: | Pulisci un altra volta i file temporanei con CCleaner, perchè ve ne sono di sospetti;, nei precedenti log di HJT questi file non c'erano, quindi fai attenzione, altrimenti ti reinfetti di continuo.
successivamente, prova a ricreare i collegamenti sul desktop, cancellando ovviamente quelli vecchi e vedi come va.
Infine, rifai un altro log di HJT. |
l'altra volta mi avevi fatto usare ATF..... va bene ugualmente...? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 17 Gen 2009 19:01 Oggetto: |
|
|
| Si va anche bene, solo che con CCleaner pulisci anche il registro di sistema. |
|
| Top |
|
|
cadregun
Eroe in grazia degli dei
Registrato: 03/12/07 16:11
Messaggi: 82
|
| Inviato: 19 Gen 2009 11:02 Oggetto: |
|
|
fatta la pulizia con ATF
e questo il log nuovo di hjackthis... QUI
attendo info.... |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 19 Gen 2009 13:58 Oggetto: |
|
|
Il log sembra pulito....
Dimmi se riscontri altri problemi.
Ora ti faccio utilizzare un piccolo tool che serve a chiudere alcune porte considerate più vulnerabili da eventuali malintenzionati, ma ovviamente sempre occorre prudenza, perchè ormai l'installazione di virus, prende varie vie:
| Citazione: | * DCOM RPC (port 135)
* RPC Locator (port 445)
* NetBIOS (ports 137/138/139) M
* UPNP (port 5000)
* Messenger service (uses RPC/NetBIOS ports) |
Windows Worms Doors Cleaner
Avvialo, e clicca sulle voci che appaiono in rosso per correggerle;
ti chiederà di riavviare, riavvia;
avvia nuovamente il tool per controllare che tutte le voci siano verdi.
Ovviamente lo puoi utilizzare anche sull'altro PC. |
|
| Top |
|
|
cadregun
Eroe in grazia degli dei
Registrato: 03/12/07 16:11
Messaggi: 82
|
| Inviato: 19 Gen 2009 16:04 Oggetto: |
|
|
Per ora di problemi non ne ho riscontrati...... (parlo sottovoce....  )
Ho fatto girare il WWDC..... avevo rosse 3 porte... (le prime tre)
le ho fatte chiudere.... ha rinuttato....
ho rifatto girare il prg.... mi ha detto "congratualzioni il tuo pc è una fortezza....." o qualche cosa di simile..... 
e poi mi ha fatto vedere ancora lo schemino delle porte..... era tutte verdi tranne NetBios che era gialla....! |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 19 Gen 2009 17:01 Oggetto: |
 |
|
Per chiudere la porta 139 procedi così:
| Citazione: | 1)Apri Pannello di controllo->Rete e connessioni internet->Connessioni di rete;
2)Ora,scegli la connessione su cui chiudere la porta(tipo CONNESSIONE ALLA RETE LOCALE LAN) ecc
3)Fai click destro-> Proprietà
4)Dove c'è scritto"LA CONNESSIONE UTILIZZA I COMPONENTI SEGUENTI" vai giù a tutte e clicca 1 volta su TCP/IP->Proprietà
5)Ora, sotto a tutto premi AVANZATE...
6)Seleziona la linguetta WINS
7)Sotto dove c'è la voce: IMPOSTAZIONE NETBIOS clicca sul cerchietto:
DISABILITA NETBIOS!
8)Fai OK e chiudi connessioni di rete;
9)Disconnettiti e Riconnettiti
Ora la porta 139 è chiusa. |
Nel caso qualcosa non dovesse funzionare, fai la procedura inversa per riabilitare la porta 139. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
