| Precedente :: Successivo |
| Autore |
Messaggio |
Gius_66
Eroe in grazia degli dei
Registrato: 01/09/09 21:36
Messaggi: 101
Residenza: Saki Kawa
|
 Inviato: 07 Apr 2010 23:46 Oggetto: PC infettato, allego log HJT |
 |
|
Il PC risulta parecchio infettato, non so se conviene di più formattare o provare a pulire..
Allego i log di HJT (non sono riuscito a scaricare l'ultima versione aggiornata), qualcuno può verificarli e suggeririmi come procedere?
Sistema operativo in uso Windows XP Home, antivirus Avast.
Ciao
http://wikisend.com/download/485008/hijackthis log070410.txt |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 08 Apr 2010 14:29 Oggetto: |
|
|
Ciao.
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
O1 - Hosts: 95.143.192.205 u07012010u.com
O2 - BHO: &Security Update - {C73FD00D-A099-405C-92B4-8997710D187D} - C:\WINDOWS\system32\win32extension.dll
O4 - HKCU\..\Run: [PersonSecurity] C:\Programmi\PersonSecurity\psecurity.exe
NON RIAVVIARE IL PC.
Scarica ed avvia rkill.com per terminare i processi in esecuzione del malware .
link
Poi, senza riavviare il pc prova a fare questa scansione:
Segui le istruzioni di questo topic per usare MBAM:
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Elimina i file infetti trovati.
NB:
Se, finita la scansione di Malwarebytes, ti chiede di riavviare il pc, questa volta acconsenti. (lo riavvii)
Carica il log di, MBAM, su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
link |
|
| Top |
|
|
Gius_66
Eroe in grazia degli dei
Registrato: 01/09/09 21:36
Messaggi: 101
Residenza: Saki Kawa
|
| Inviato: 09 Apr 2010 05:25 Oggetto: |
|
|
Ho eseguito quanto da te indicato. Inoltre ho installato Avira al posto di Avast.
Allego log MBAM e HJT.
Mi pare ci sia ancora qualcosa che non gira nel verso giusto..
Che ne dici??
mbam-log-2010-04-09 (02-49-35).txt
HJT 090410.txt
Ciao |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
Gius_66
Eroe in grazia degli dei
Registrato: 01/09/09 21:36
Messaggi: 101
Residenza: Saki Kawa
|
| Inviato: 09 Apr 2010 21:54 Oggetto: |
|
|
Ho usato Combofix, di seguito il log:
log Combo-fix 090410.txt
Attendo un tuo riscontro, notte |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 09 Apr 2010 22:49 Oggetto: |
|
|
Anche Combofix ha fatto un'altra strage
E non è finita.
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe e poi clicca Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
| Codice: | KillAll::
File::
c:\windows\system32\certoko.dll
Folder::
c:\programmi\SweetIM
c:\documents and settings\All Users\Dati applicazioni\SweetIM
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SweetIM"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"=-
Driver::
dmoko
ipokoraid |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix |
|
| Top |
|
|
Gius_66
Eroe in grazia degli dei
Registrato: 01/09/09 21:36
Messaggi: 101
Residenza: Saki Kawa
|
| Inviato: 11 Apr 2010 22:15 Oggetto: |
|
|
Ciao R1, ecco il log aggiornato:
combo-fix log 110410.txt
resto in attesa di un tuo riscontro
notte |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 11 Apr 2010 22:24 Oggetto: |
|
|
Ok.
Riscontri problemi? |
|
| Top |
|
|
Gius_66
Eroe in grazia degli dei
Registrato: 01/09/09 21:36
Messaggi: 101
Residenza: Saki Kawa
|
| Inviato: 11 Apr 2010 22:34 Oggetto: |
|
|
Mi sembra vada tutto bene e senza problemi.
Sono state debellate tutte le infezioni? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
Gius_66
Eroe in grazia degli dei
Registrato: 01/09/09 21:36
Messaggi: 101
Residenza: Saki Kawa
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 12 Apr 2010 00:06 Oggetto: |
|
|
Dovresti scrivere le versione dei seguenti programmi installati:
Java Runtime Environment
Adobe Reader
Adobe FlashPlayer
Poi, ci sarebbero da disabilitare alcuni programmi in esecuzione automatica per rendere più rapido l'avvio del pc. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 12 Apr 2010 00:18 Oggetto: |
|
|
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
Da Installazione Applicazioni, disinstalla le versioni installate di Abobe Reader, Adobe Flash Player (comprese quelle marcate Macromedia) e Javasun ( (tutte le versioni eventuamente presenti) .
Fai una pulizia con CCleaner.
Dopo la disinstallazione, installa le versioni aggiornate di:
Adobe Reader:
link
Una volta installato Adobe Reader lancialo.
nella barra degli strumenti clicca sul ?
clicca su Ricerca aggiornamenti ed esegui gli aggioramenti che veranno proposti.
Per aggiornare FlashPlayer segui questa procedura:
Scarica il programma di disinstallazione di FlashPlayer
link
Scarica l'ultima versione di FlashPlayer per IE
link
Scarica l'ultima versione di FlashPlayer non per IE
link
Scarica l'ultima versione di Java:
link
Se in fase di installazione, ti venisse rchiesta l'installazione di qualche Toolbar, non la installare.
Chiudi tutti i browser (IE, Opera, Firefox, Chrome, etc) |
|
| Top |
|
|
Gius_66
Eroe in grazia degli dei
Registrato: 01/09/09 21:36
Messaggi: 101
Residenza: Saki Kawa
|
| Inviato: 13 Apr 2010 01:02 Oggetto: |
|
|
Grazie R1 per l'aiuto preciso e Bdoriano per la dritta.
Adesso il pc è quasi una scheggia...
Mentre eseguivo le ultime indicazioni ricevute, ho notato una cosa che desidero evidenziare.
Quando sono andato su Installazione Applicazioni per cancellare le applicazioni indicate da R1, ho notato che esiste un enorme spazio all'interno dell'elenco delle applicazioni , vedi screenshot allegato.
Avete visto il cursore dell'elenco come deve scendere per trovare la successiva applicazione? Non credo sia normale. E' possibile normalizzare?
Allego anche l'ultimo log aggiornato di HJT.
Mi fate sapere?
Notte |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Apr 2010 12:19 Oggetto: |
|
|
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
| Citazione: | | ho notato che esiste un enorme spazio all'interno dell'elenco delle applicazioni , |
E' possibile che tu abbia gli aggiornamenti nascosti.
Metti la spunta nel tag, (in alto) a "Mostra aggiornamenti". |
|
| Top |
|
|
Gius_66
Eroe in grazia degli dei
Registrato: 01/09/09 21:36
Messaggi: 101
Residenza: Saki Kawa
|
| Inviato: 13 Apr 2010 18:56 Oggetto: |
|
|
Ho provato con e senza aggiornamenti, il risultato non cambia.
Stasera posto log HJT aggiornato, ciao |
|
| Top |
|
|
Gius_66
Eroe in grazia degli dei
Registrato: 01/09/09 21:36
Messaggi: 101
Residenza: Saki Kawa
|
| Inviato: 14 Apr 2010 00:29 Oggetto: |
 |
|
ecco il log HJT aggiornato.
Per quanto riguarda l'anomalia riscontrata su Installazione Applicazioni puoi aiutarmi? è preferibile aprire un nuovo topic in un altra sezione? |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
