Precedente :: Successivo |
Autore |
Messaggio |
moverz Mortale pio

Registrato: 19/01/09 11:26 Messaggi: 20
|
Inviato: 19 Gen 2009 11:38 Oggetto: trojanTR/Crypt.XPACK.Gen |
|
|
Riverside ha scritto: | Adoro i sofware che fanno il loro dovere 8)
Citazione: | SUPERAntiSpyware Scan Log
http://<a href="http://www.zeusnews.it">www</a>.superantispyware.com
Generated 01/17/2009 at 06:46 PM
Application Version : 4.24.1004
Core Rules Database Version : 3714
Trace Rules Database Version: 1689
Scan type : Complete Scan
Total Scan Time : 01:05:59
Memory items scanned : 426
Memory threats detected : 0
Registry items scanned : 5617
Registry threats detected : 1
File items scanned : 17907
File threats detected : 155
Trojan.DNSChanger-Codec HKU\S-1-5-21-151916293-1706337160-2170665182-1006\Software\fcn |
|
Salve a tutti!!
Sono nuovo! Scusate l'intrusione ma da 2 giorni ho scoperto di avere un maledetto Trojan che mi fà aprire Pop-up e finestre insolite.
Le scansioni che eseguo con Superantispyware mi danno lo stesso risultato del LOG quà sopra.
HKU\S-1-5-21..blablabla\software\fcn
SOno entrato nel resgistro di sistema andnado su ESEGUI-->REGEDIT e dopo aver trovato la voce FCN, ho cancellato tutta la cartella.Purtroppo al riavvio la cartella è di nuovo lì!
Non riesco a capire se si tratta di un programma che ho realmente installato o se è qualcosa installato da questo maledetto Trojan!
Premetto che come antivirus uso Antivir, e ho fatto tantissime scansioni con Spybot, Superantispyware, Malwarebytes ed ho usato anche Tune-up 2009.
Ma il maledetto è sempre lì purtroppo!
Grazie per l'attenzione!!
Saluti!
edit by bdoriano: discussione splittata per evitare confusione con i logs.
proviene da qui |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 19 Gen 2009 12:06 Oggetto: |
|
|
moverz ha scritto: | Salve a tutti!! Sono nuovo! Scusate l'intrusione ma da 2 giorni ho scoperto di avere un maledetto Trojan che mi fà aprire Pop-up e finestre insolite ........ |
Tante informazioni meno quella più importante: che sistema operativo è in uso sul tuo Computer?. |
|
Top |
|
 |
moverz Mortale pio

Registrato: 19/01/09 11:26 Messaggi: 20
|
Inviato: 19 Gen 2009 12:12 Oggetto: |
|
|
Riverside ha scritto: | moverz ha scritto: | Salve a tutti!! Sono nuovo! Scusate l'intrusione ma da 2 giorni ho scoperto di avere un maledetto Trojan che mi fà aprire Pop-up e finestre insolite ........ |
Tante informazioni meno quella più importante: che sistema operativo è in uso sul tuo Computer?. |
Chiedo venia! hai ragione!
Si tratta di Windows xp service pack 3! |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 19 Gen 2009 14:25 Oggetto: |
|
|
moverz ha scritto: | Windows xp service pack 3! |
Allora segui la stessa procedura che ho suggerito ad Antalba (la trovi nel terzo post ovvero la mia prima risposta nella discussione). |
|
Top |
|
 |
moverz Mortale pio

Registrato: 19/01/09 11:26 Messaggi: 20
|
Inviato: 19 Gen 2009 15:07 Oggetto: |
|
|
OK!! grazie!!
Appena procedo con l'operazione posto i log!  |
|
Top |
|
 |
moverz Mortale pio

Registrato: 19/01/09 11:26 Messaggi: 20
|
Inviato: 19 Gen 2009 19:03 Oggetto: |
|
|
Ecco i miei log!!
http://wikisend.com/download/831346/Superantispyware.txt
http://wikisend.com/download/481902/Malwarebytes.txt
http://wikisend.com/download/532656/hijackthis.log
Ps. Dopo aver effettuato la scansione con CCCleaner ed aver riparato i problemi trovati, ho anche avviato la pulizia dei problemi trovati in precedenza!
nel frattempo vi ringrazio infinitamente per l'aiuto e la collaborazione!  |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 20 Gen 2009 11:34 Oggetto: |
|
|
moverz ha scritto: | Ecco i miei log!! |
Superantispyware ha spazzato via un trojan
Citazione: | Trojan.DNSChanger-Codec HKU\S-1-5-21-1409082233-308236825-725345543-1004\Software\fcn |
Dal log di Hthis ho visto che utilizzi Avira Antivir: scarica la Guida per configurare Avira Antivir: clicca qui per il download
e dopo averlo configurato, esegui una scansione completa del sistema, salva il report che verrà rilasciato ed allegalo. |
|
Top |
|
 |
moverz Mortale pio

Registrato: 19/01/09 11:26 Messaggi: 20
|
Inviato: 20 Gen 2009 13:16 Oggetto: |
|
|
In realtà Superantispyware li spazza sempre via i Trojan che trova.
In particolare Adawarecookie (o qualcosa del genere!) e Trojan.DNSChanger-Codec!
li mette in quarantena e poi io li elimino manualmente con un successivo restart della macchina che eseguo per sicurezza!
Il problema però è che poi li ritrovo puntualemtne alla scansione successiva (praticamente 10 minuti dopo!)
In ogni caso uso Avira Antivir da anni e non ho mai beccato virus o trojan troppo dannosi, sempre robetta.Proverò a configurarlo con le istruzioni che mi hai dato e ti farò sapere subito!!
Intanto rinnovo i ringraziamenti!  |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 20 Gen 2009 14:50 Oggetto: |
|
|
moverz ha scritto: | In realtà Superantispyware li spazza sempre via i Trojan che trova ...... li mette in quarantena e poi io li elimino manualmente con un successivo restart della macchina che eseguo per sicurezza! ....... Il problema però è che poi li ritrovo puntualemtne alla scansione successiva (praticamente 10 minuti dopo!) |
Eh certo 8) se li elimini della quarantena è sicuro che te li ritroverà sempre (ma che ti elimini ).
Dopo aver configurato ed eseguito la scansione con Avira, scarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe di COMBOFIX che hai scaricato
● Riavvia ed accedi al sistema in modalità provvisoria, con l'account Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
● se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log
Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
Verranno creati due log in C:\
● combofix.txt
● ComboFix-quarantined-files.txt
Riavvia il sistema in modalità normale ed allega tutti i log (i due rilasciati da Combofix e quello rilasciato da Avira)
Poi:
1) disinstalla ComboFix in questa maniera:
● Start
● Esegui
● nella casella di dlialogo copia ed incolla questo comando: combofix /u
2) vai in Disco Locale C: e, elimina questa cartella: QooBox
3) elimina la cartella che avevi creato sul Desktop |
|
Top |
|
 |
moverz Mortale pio

Registrato: 19/01/09 11:26 Messaggi: 20
|
Inviato: 20 Gen 2009 15:09 Oggetto: |
|
|
AHUAUHAHUAUH.. anche tu hai ragione!!
Appena ho il pc sottomano procedo come mi hai detto e poi allego il tutto.
La cosa strana è che ho formattato il Pc 10 giorni fà più o meno, proprio perchè non riuscivo a togliere un maledetto VUNDO che mi impallava tutto!
Ho installato poco o niente sulla macchina, eppure ora ho beccato questo... andrà a finire che prendo, riformatto tutto e tanti saluti!  |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 20 Gen 2009 16:47 Oggetto: |
|
|
Per favore, non quotare i miei interventi, non serve.
Allega i log che ti ho richiesto; non escludo che il computer sia, nuovamente, infettato da Vundo/Virtumonde. |
|
Top |
|
 |
moverz Mortale pio

Registrato: 19/01/09 11:26 Messaggi: 20
|
Inviato: 21 Gen 2009 16:24 Oggetto: |
|
|
Ecco i miei log:
http://wikisend.com/download/500616/Avira Antivir.txt
http://wikisend.com/download/652984/ComboFix.txt
http://wikisend.com/download/616354/ComboFix-quarantined-files.txt
Mentre lanciavo Combofix, mi è apparso più volte un messaggio che diceva di stoppare prima il servizio di scansione di Antivir.Aprendo la console di Avira però, il servizio risultava essere abbattuto.Infatti l'iconcina era rossa, e invece di "Deactivate", accanto al pulsante "Service" c'era "START SERVICE".
In ogni caso ho ignorato e Combofix ha cominciato la sua scansione.
Appena ha finito è apparso il log ma il PC non si è riavviato da solo.Dopo aver atteso vari minuti, ho riavviato io manualmente dal pulsante RESET sul case...ho fatto male??
Altra cosa anomala: ho aperto la casella di dialogo "ESEGUI" ed ho incollato il comnado che mi hai postato tu: combofix /u
Premendo OK, mi dava però un messaggio di errore "Impossibile trovare COMBOFIX, verificare che il percorso sia giusto...".
grazie anticipatamente! |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 22 Gen 2009 12:53 Oggetto: |
|
|
moverz ha scritto: | Mentre lanciavo Combofix, mi è apparso più volte un messaggio che diceva di stoppare prima il servizio di scansione di Antivir. |
Questo perchè non seguite ciò che vi viene suggerito: ti avevo detto di fare girare Combofix in modalità provvisoria.
Citazione: | Appena ha finito è apparso il log ma il PC non si è riavviato da solo.
Dopo aver atteso vari minuti, ho riavviato io manualmente dal pulsante RESET sul case...ho fatto male?? |
Certo che hai fatto male: Combofix stava concludendo le operazioni (ed anche questo è precisato nella procedura).
Citazione: | Altra cosa anomala: ho aperto la casella di dialogo "ESEGUI" ed ho incollato il comnado che mi hai postato tu: combofix /u
Premendo OK, mi dava però un messaggio di errore "Impossibile trovare COMBOFIX, verificare che il percorso sia giusto...". |
Per forza ......
Riesegui la scansione con Combofix, accedendo al sistema in modalita provvisoria e con l'account Amministratore e:
1) gli lasci terminare il suo lavoro;
2) alleghi il nuovo log che verrà rilasciato. |
|
Top |
|
 |
moverz Mortale pio

Registrato: 19/01/09 11:26 Messaggi: 20
|
Inviato: 22 Gen 2009 13:44 Oggetto: |
|
|
Infatti io ho eseguito la scansione in modalità provvisoria come mi hai detto di fare. Ma il messaggio di errore usciva lo stesso!
Nota: all'avvio in modalità provvisoria avevo la scelta tra 2 account:ADMINISTRATOR e SUPER.
Scegliendo il primo, non mi mostrava la cartella creata sul Desktop, mentre con il secondo sì!
Quando ho poi riavviato normalmente, ho constatato che l'account SUPER è in realtà un'utenza amministratrice.
Ho seguito tutta la tua procedura, ma non pensavo che dopo l'apertura automatica del log dovessi attendere molto.
Chiedo venia...rifarò la scansione!
grazie di nuovo! |
|
Top |
|
 |
moverz Mortale pio

Registrato: 19/01/09 11:26 Messaggi: 20
|
Inviato: 22 Gen 2009 20:22 Oggetto: |
|
|
prima di effettuare una nuova scansione e riavviare in modalità provvisoria, disattivato Antivir e così facendo non ho ricevuto nessun messaggio di errore o avvertimento.
Ho seguito tutte le tue istruzioni e l'ho lasciato scansionare.Appena è apparso il log ho atteso circa una quindicina di minuti ma si è ripresentata la stessa situazione di ieri! ovvero, ho chiuso il file log ed ho atteso altri 15-20 minuti, ed è rimasta la schermata completamente nera con solo la cornice di modalità provvisoria! nessun'icona o altro! A quel punto ho provato a controllare il task manager e non c'era nessun'applicazione al lavoro! Ho dovuto quindi riavviare manalmente con il pulsante reset!
E' strano, eppure nel file log c'è scritto "ora fine scansione 18:53", quindi più o meno 3 minuti dopo l'avvio di scansione! Suppongo quindi che ho riavviato dopo che la scansione fosse finita da un pezzo!
ecco comunque i nuovi file Log:
http://wikisend.com/download/631876/ComboFix.txt
http://wikisend.com/download/732486/ComboFix-quarantined-files.txt |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 22 Gen 2009 23:56 Oggetto: |
|
|
Ok, prova a disinstallare Combofix:
● Start
● Esegui
● nella casella di dlialogo copia ed incolla questo comando: combofix /u
2) vai in Disco Locale C: e, elimina questa cartella: QooBox
3) elimina la cartella che avevi creato sul Desktop
Se non ti fa eseguire l'operazione, procedi in questa maniera:
● Start
● Cerca
nella casella di dialogo digita Combofix ed elimina tutto ciò che verrà trovato e svuota il cestino
Poi:
● Start
● Cerca
nella casella di dialogo digita QooBox ed elimina tutto ciò che verrà trovato
Esegui una pulizia dei problemi con CCleaner (la ripeti fino a quando non verranno rilevati più problemi) ed al termine riavvia il sistema.
Poi allega un nuovo log di Hthis.
● nella casella di dlialogo copia ed incolla questo comando: combofix /u
2) vai in Disco Locale C: e, elimina questa cartella: QooBox |
|
Top |
|
 |
moverz Mortale pio

Registrato: 19/01/09 11:26 Messaggi: 20
|
Inviato: 23 Gen 2009 00:14 Oggetto: |
|
|
Fatto!!
Ecco l'ultimo log di hijackthis: http://wikisend.com/download/930714/hijackthis.log |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 23 Gen 2009 00:22 Oggetto: |
|
|
Prosegui cosi:
> Start
> Esegui
> nella casella di dialogo digita msconfig e conferma con OK
> nella maschera che si aprirà accedi alla scheda Servizi
> metti la spunta in basso su Nascondi tutti i servizi Microsoft
> cerca, nell'elenco, PsExec , togli la spunta nella casella corrispondente e conferma con OK
> riavvia il Computer, dopo il riavvio ti apparirà una finestra con un messaggio: spunta l?unica casella disponibile e clicca su OK
Allega un nuovo log di Hthis. |
|
Top |
|
 |
moverz Mortale pio

Registrato: 19/01/09 11:26 Messaggi: 20
|
Inviato: 23 Gen 2009 00:34 Oggetto: |
|
|
Ok grazie, eseguito alla lettera!
ecco il log: http://wikisend.com/download/572488/hijackthis1.txt |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 23 Gen 2009 00:59 Oggetto: |
|
|
Rilancia Hthis e fixa queste voci (devi spuntare la casellina a fianco di ogni singola voce che ti indico e, una volta spuntate tutte le voci, clicca sul tasto FixChecked):
O4 - HKCU\..\Run: [StartCCC] C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
Una volta fixate le voci, da Installazione Applicazioni, disinstalla:
1) Adobe Reader;
2) Adobe Flash Player e tutte le eventuali versioni marcate Macromedia;
3) JavaSun
per tutti e tre ti farò installare le versioni aggiornate.
Inoltre, disinstalla tutte le toolbar che risultassero installate.
Una volta eseguite le disinstallazioni:
1) esegui una pulizia dei problemi con CCleaner (ripetila più volte fino a quando non verranno più rilevati problemi);
2) riavvia il computer;
3) installa le versioni aggiornate di:
Adobe Reader: clicca qui per il download
Adobe Flash Player: clicca qui per il download
JAVASun: clicca qui per il download
Fai attenzione: in fase di installazione, tutti e tre i software richiederanno se vuoi installare, anche, la toolbar di Google;
non la installare (quindi togli la spunta alla relativa voce).
Al termine, allega un nuovo log di Hthis. |
|
Top |
|
 |
|