| Precedente :: Successivo |
| Autore |
Messaggio |
caio
Eroe in grazia degli dei
Registrato: 15/08/08 11:58
Messaggi: 147
|
 Inviato: 03 Dic 2009 10:46 Oggetto: Infezione multipla |
 |
|
Chiedo per cortesia aiuto agli esperti del Forum per cercare di risolvere il mio caso. Ho scoperto di avere nel mio PC numerosi virus. dopo una serie di scansioni con Avira, Asqaure e Prevex mi trovo nelle seguenti condizione:
Prevex segnala la presenza di 7 minacce (allego immagine dell'avviso di Prevex). Purtroppo la disinfezione con questo programma avviene solo a pagamento (se necessario e se me lo consigliate sono disposto ad acquistare la licenza).
analisi con HijackThis allegata.
come devo procedere?
Ringrazio fin da ora chi mi vorrà aiutare
Immagine jpg del messaggio di Prevex
http://wikisend.com/download/5518
Log HijackThis
http://wikisend.com/download/487690/hijackthis.log |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 03 Dic 2009 11:04 Oggetto: |
|
|
| L'immagine di PrevX non esiste... probabilmente hai sbagliato a postare il link. |
|
| Top |
|
|
caio
Eroe in grazia degli dei
Registrato: 15/08/08 11:58
Messaggi: 147
|
| Inviato: 03 Dic 2009 12:04 Oggetto: |
|
|
Innanzitutto grazie bdoriano di avermi risposto. Ti sono sempre grato per gli aiuti validissimi che mi hai fornito in passato tirandomi fuori dai "pasticci" informatici !!!
Chiedo scusa per il link imperfetto. Ecco quello giusto.
http://wikisend.com/download/588958/Prevex lista virus.jpg
aggiungo log di Combofix eseguito nel frattempo
http://wikisend.com/download/467034/Combo-log-03-11.txt |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 03 Dic 2009 15:31 Oggetto: |
|
|
Apri il Blocco note e crea un file di testo con le seguenti istruzioni:
| Codice: | File::
c:\documents and settings\Bargoni\Dati applicazioni\System\lsass.exe
c:\documents and settings\All Users\Documenti\Settings\cbss.dll
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SearchSettings"=-
"SunJavaUpdateSched"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbssreg] |
Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:
Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro. 
Posta il log aggiornato di combofix.
Nello screenshot di PrevX ho intravisto anche qualcosa di strano... 
Fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato. |
|
| Top |
|
|
caio
Eroe in grazia degli dei
Registrato: 15/08/08 11:58
Messaggi: 147
|
| Inviato: 03 Dic 2009 17:16 Oggetto: |
|
|
Bdoriano ho fatto il file CFScript.txt e allego il log di ComboFix.
Per quanto riguarda SystemScan succede un fatto strano... non riesco a fare il download del file exe. Ti posto quanto compare nella pagina del browser (firefox 3.0.0.12). Magari provo a fare il download con IE.
Messaggio di Firefox al DL di Systemscan
http://wikisend.com/download/936170/SystemScan.txt
Log comboFix
http://wikisend.com/download/545862/ComboFix.txt
allego anche log di MBAM esguito dopo Combofix
http://wikisend.com/download/442128/mbam-log-2009-12-03_new.txt
Grazie!!!!! |
|
| Top |
|
|
caio
Eroe in grazia degli dei
Registrato: 15/08/08 11:58
Messaggi: 147
|
| Inviato: 03 Dic 2009 17:54 Oggetto: |
|
|
Risolto il problema di download di SistemScan. Ecco il log dello scan del PC
SystemScan-log.txt
aggiungo per comodità il log di Combofix (già presente nel messaggio precedente)
Combo-log-03-11.txt
Grazie |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 04 Dic 2009 10:02 Oggetto: |
|
|
Ok, il log di combofix va già meglio. 
Fai questa scansione con Kaspersky e, alla fine, posta un log aggiornato di SystemScan. |
|
| Top |
|
|
caio
Eroe in grazia degli dei
Registrato: 15/08/08 11:58
Messaggi: 147
|
| Inviato: 04 Dic 2009 17:46 Oggetto: |
|
|
Bdoriano, ho (cercato) di fare come mi hai detto!. L'icona di Kasperski on line è diversa da quella presente nel tutorial e anche le modalità di installazione mi sembrano diverse. Infatti in modalità provvisoria non è possibile vedere l'icona setup_x.x.x.xxx_gg.mm.aaaa_hh-mm.exe sul desktop e quindi ho fatto lo scan in modalità normale... spero che possa andar bene lo stesso. Non ho proceduto alla disinfezione, come suggerisce il tutorial, in attesa di un tuo suggerimento.
Grazie
avz_sysinfo.htm |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 04 Dic 2009 18:01 Oggetto: |
|
|
Ok, hanno cambiato alcune modalità e le informazioni presenti nel log... ma direi che è tutto a posto.
appena posso, aggiorno la procedura di funzionamento
Appena puoi, posta il log di SystemScan. |
|
| Top |
|
|
caio
Eroe in grazia degli dei
Registrato: 15/08/08 11:58
Messaggi: 147
|
| Inviato: 04 Dic 2009 18:18 Oggetto: |
|
|
| Grazie Bdoriano...procedo |
|
| Top |
|
|
caio
Eroe in grazia degli dei
Registrato: 15/08/08 11:58
Messaggi: 147
|
| Inviato: 07 Dic 2009 12:14 Oggetto: |
|
|
Bdoriano, dopo la pausa forzata del sabato e domenica, posto lo scan fatto con SystemScan.
Incrocio le dita e attendo .... fiducioso.
GRAZIE !!!!
SuspectFile_04_12.txt |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 09 Dic 2009 23:24 Oggetto: |
|
|
Nel log di SystemScan ci sono alcuni drivers di cui non conosco la funzionalità/origine.
Hai utilizzato Spy Sweeper precedentemente?
Inoltre, il buon firewall Sygate non è più supportato... non ti converrebbe cambiarlo con qualcosa di più recente ed efficace? |
|
| Top |
|
|
caio
Eroe in grazia degli dei
Registrato: 15/08/08 11:58
Messaggi: 147
|
| Inviato: 10 Dic 2009 00:42 Oggetto: |
|
|
Bdoriano, mi domandi funzioni e origine di alcuni drivers. Se fossi così gentile da dirmi quali, ti potrei dire che cosa sono (se lo so!!!)
Ho usato spy sweeper prima di scrivere al forum per il soccorso. Quindi a conti fatti .... l'ho usato il 3 dicembre.
Infine se il firewall Sygate è superato, per cortesia, dimmi quale devo mettere e lo faccio subito (anche a casa e nel PC di mia moglie).
Aggiungo che le stranezze, che prima del tuo intervento faceva il PC, come quello di chiedere continuamente accesso tramite firewall alla rete per internet expolrer e in alternativa per un altro "coso .exe" non avvengono più.
Comunque, per cortesia Bdoriano, dimmi quali drivers sono e quale firewall consigli. Ti ringrazio infinitamente |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 10 Dic 2009 01:05 Oggetto: |
|
|
Scusa, mi sono dimenticato di specificarli nel messaggio precedente:
| Citazione: | -----HKLM\system\currentcontrolset\services-----
001) "76034271" - 76034271
---> STAT = (RUNNING) Started by "IoInitSystem" function
---> FILE = system32\DRIVERS\76034271.sys
---> TYPE = KERNEL_DRIVER
002) "76034272" - 76034272 Boot Guard Driver
---> STAT = (RUNNING) Started by operating system loader
---> FILE = system32\DRIVERS\76034272.sys
---> TYPE = KERNEL_DRIVER
185) "SSFS0509" - Spy Sweeper File System Filer Driver: 0509
---> STAT = (RUNNING) Started by operating system loader
---> FILE = SYSTEM32\Drivers\SSFS0509.SYS
---> TYPE = KERNEL_DRIVER |
L'ultimo deve essere un rimasuglio di Spy Sweeper... ma sui primi 2 non ho trovato informazioni utili per poterli identificare...
Per quanto riguarda il firewall, puoi guardare questo elenco presente sul forum.
Per farti un'indea sull'efficacia dei vari firewall, ti consiglio una visita sul sito Matousec. |
|
| Top |
|
|
caio
Eroe in grazia degli dei
Registrato: 15/08/08 11:58
Messaggi: 147
|
| Inviato: 10 Dic 2009 10:40 Oggetto: |
|
|
Bdoriano IoInitSystem e Boot Guard Driver non sono programmi installati. Ho cercato nella Cartella programmi e in giro nel computer ma non c'è traccia d iquei nomi nei programmi installati. Aggiungo che ho un Hard Disk esterno perennemente collegato. Che fare?????
Grazie per l'elenco del firewall. Andrò a valutare le caratteristiche per operare la scelta. Escludo Comodo che avevo in passato e mi sembrava andare benissimo, ma entrava in conflitto con Avira antivirus. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 10 Dic 2009 15:08 Oggetto: |
|
|
I files da verificare sono, in realtà, 76034271.sys e 76034272.sys di cui non ho trovato informazioni in merito.
Potrei anche farteli disabilitare per vedere cosa accade...
Per quanto riguarda Comodo+Avira non mi risultano incompatibilità recenti... potresti provare a installare la nuova versione di Comodo per vedere come si comporta con Avira. |
|
| Top |
|
|
caio
Eroe in grazia degli dei
Registrato: 15/08/08 11:58
Messaggi: 147
|
| Inviato: 10 Dic 2009 20:59 Oggetto: |
|
|
Molto bene bdoriano, fammeli disabilitare, se poi succede qualche inconveniente li riabilito. Come si fa a disabilitarli?
Grazie del suggerimento Comodo (nuova versione) +Avira Provo domani sul mio. Se tutto va bene passo all'installazione di quelli famigliari.
Grazie bdoriano a presto!!! |
|
| Top |
|
|
caio
Eroe in grazia degli dei
Registrato: 15/08/08 11:58
Messaggi: 147
|
| Inviato: 11 Dic 2009 10:33 Oggetto: |
|
|
Bdoriano, ho pensato di sottoporre ad analisi online di virustotal i due files incriminati. Sembrerebbero gli esiti della scansione fatta a suo tempo con Kasperski.
Non so se sia però una metodica di analisi valida.... a te la sentenza!!!
Grazie
VirusTotal -76034271.pdf
VirusTotal -76034272.pdf |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 11 Dic 2009 16:08 Oggetto: |
|
|
Dal controllo che hai fatto fare risulta che i due files "sospetti" fanno parte del pacchetto Kaspersky:
| Citazione: | File 76034271.sys ricevuto il 2009.12.11 08:21:46 (UTC)
publisher....: Kaspersky Lab
copyright....: Copyright (c) Kaspersky Lab 1997-2009.
product......: Kaspersky Anti-Virus
description..: Kaspersky Unified Driver
original name: KL1.SYS
internal name: KL1
file version.: 6.4.0.11
comments.....: n/a
signers......: Kaspersky Lab
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 2:59 PM 9/25/2009
verified.....: - |
| Citazione: | File 76034272.sys ricevuto il 2009.12.11 08:25:22 (UTC)
publisher....: Kaspersky Lab
copyright....: Copyright (c) Kaspersky Lab 1997-2009.
product......: Kaspersky Anti-Virus
description..: Kaspersky Lab Boot Guard Driver
original name: KLBG.SYS
internal name: KLBG
file version.: 9.1.0.0
comments.....: n/a
signers......: Kaspersky Lab
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 10:54 AM 10/22/2009
verified.....: - |
Quindi, dovrebbero essere rimasugli della scansione che ti ho fatto fare con Kaspersky Offline Scanner. 
Giusto per non lasciare rimasugli in giro per il pc, fai queste operazioni:
- Avvia nuovamente SystemScan
- metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
- clicca su Removal Script
- Nel riquadro inserisci il seguente script:
| Codice: | Drivers to unload:
76034271
76034272
SSFS0509 |
e clicca Proceed with removal
******
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
******
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di SystemScan. |
|
| Top |
|
|
caio
Eroe in grazia degli dei
Registrato: 15/08/08 11:58
Messaggi: 147
|
| Inviato: 12 Dic 2009 01:35 Oggetto: |
 |
|
Bdoriano, dunque cerco di relazionare su quanto accaduto il più fedelmente possibile. Dopo aver scollegato dalla rete il PC e aver inattivato Avira (non ho ancora proceduto al cambio del firewall. Lo voglio fare quando mi dirai che il PC è pulito) ho lanciato SystemScan nella modalità che hai detto copiano e incollando lo script.
attimo di panico.... dopo lo sfarfallamento dello schermo il PC si è spento. L'ho riacceso e dopo un boot apparentemente normale (comparsa dell'icona di windows con i pallini verdi in progressione ecc. compare il desktop senza nessuna icona dei programmi e nemmeno le icone sulla barra in basso!!!!!!Ho spento il PC tenendo premuto il tasto d'avvio. Si è ripresentata la stessa scena. Ho ripetuto l'operazione e finalemnte sono state caricate le icone e la funzionalità sembrava normale. E' regolare quanto accaduto?
Solo dopo l'avvio, diciamo efficace del PC, è comparso il log di avanger, mentre la cartella sul desktop creata da SystemScan contiene il file avrunner.ini. Questo file non saprei come ...fartelo vedere.
Scusa la prolissità ma desideravo che tu comprendessi bene gli eventi nella loro dinamica per un possibile giudizio.
Come sempre grazie
avenger.txt |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
