| Precedente :: Successivo |
| Autore |
Messaggio |
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
 Inviato: 24 Set 2010 20:11 Oggetto: Infezione FraudTool, Vundo ecc |
 |
|
Ciao a tutti! pochi giorni fa ho aperto un topic in un'altra sezione perchè sto avendo problemi con la periferica audio (http://forum.zeusnews.com/viewtopic.php?t=51013) non ho ancora risolto la situazione ma oggi facendo una scansione con VirIT ho trovato 7 file infetti... non so se ci sia una relazione con il problema della periferica ma il computer mi sembra ancora infettato anche perchè stranamente non riesco ad aprire MBAM e SUPERAntiSpyware! posto qui di seguito il log di VirIT e di Hijackthis sperando possano essere utili...
VIRIT
HIJACKTHIS
Che posso fare?  grazie in anticipo! |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 24 Set 2010 20:47 Oggetto: |
|
|
Avevi usato Combofix su quel computer?
Di recente?
Se sì, hai il log? |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 24 Set 2010 22:34 Oggetto: |
|
|
Ciao. Ecco il log: SYSTEMSCAN
| chemicalbit ha scritto: | Avevi usato Combofix su quel computer?
Di recente?
Se sì, hai il log? |
Sì l'ho usato ma non di recente, l'ultimo log che ho risale a gennaio... |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 25 Set 2010 12:18 Oggetto: |
|
|
Ciao.
Ci sono delle infezioni, e l' MBR risulta infetto.
Se hai il CD d'installazione di Windows, segui le indicazioni di questo link:
http://forum.zeusnews.com/viewtopic.php?t=43689
Verso fine pagina, ci sono le istruzioni specifiche, per riparare l'MBR. (NON digitare FIXBOOT /? che non serve, ma solo FIXBOOT)
In pratica devi digitare FIXBOOT e poi confermare cliccando S.
Per uscire dalla Console digita exit.
Prima di digitare exit, ricorda di togliere il CD dal lettore.
Poi:
Entra in Modalità provvisoria, e vedi se parte Malwarebytes.
Se funziona, elimina quello che trova.
Posta il log. |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 25 Set 2010 14:17 Oggetto: |
|
|
| Bene, non ho il CD d'installazione di Windows. Non posso fare altro? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 25 Set 2010 14:23 Oggetto: |
|
|
Per il momento prova a vedere se Mbam funziona in Modalità provvisoria.
Per il CD, puoi sempre procurartene uno, da qualche parente o amico.
L'importante è che sia XP. (Non importa se Professional oppure Home) |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 25 Set 2010 16:03 Oggetto: |
|
|
Niente da fare, MBAM non funziona neanche in modalità provvisoria. Vedrò di procurarmi un cd di istallazione...
Domanda da ignorante: ma la console di ripristino può servire a qualcosa in questi casi? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 25 Set 2010 16:07 Oggetto: |
|
|
| Citazione: | | Domanda da ignorante: ma la console di ripristino può servire a qualcosa in questi casi? |
Per ripristinare l'MBR, è fondamentale.
Prova in Modalità provvisoria a fare una scansione con Combofix:
Segui le istruzioni di questo topic per usare Combofix: http://forum.zeusnews.com/viewtopic.php?t=45224
Se funziona posta il log. |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 25 Set 2010 17:24 Oggetto: |
|
|
| R16 ha scritto: |
Per ripristinare l'MBR, è fondamentale.
Prova in Modalità provvisoria a fare una scansione con Combofix:
Segui le istruzioni di questo topic per usare Combofix: http://forum.zeusnews.com/viewtopic.php?t=45224
Se funziona posta il log. |
Ok, non so se sono io che mi sto appanicando, ma non riesco a disattivare Avira in modalità provvisoria. Normalmente uso l'icona sulla barra delle applicazioni ma in modalità provvisoria non c'è e se apro il programma non trovo altre voci per disattivarlo... sono orbo o sono semplicemente impedito?  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 25 Set 2010 20:19 Oggetto: |
|
|
Fregatene di Avira. 
Limitati a disattivarlo dalla modalità normale.
Se te lo permette, continua con la scansione. |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 25 Set 2010 21:44 Oggetto: Re: Infezione FraudTool, Vundo ecc |
|
|
Et voilà...
COMBOFIX
P.S. dopo questa scansione l'audio ha ripreso a funzionare!! |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 25 Set 2010 22:15 Oggetto: |
|
|
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
| Codice: | KillAll::
File::
c:\windows\system32\drivers\17906775.sys
c:\windows\system32\drivers\91179984.sys
c:\windows\system32\0A3923CD42.sys
Folder::
c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab
Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4edd5c14-2d22-4d7a-9748-c975a7fd933b}"=-
[-HKEY_CLASSES_ROOT\clsid\{4edd5c14-2d22-4d7a-9748-c975a7fd933b}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4edd5c14-2d22-4d7a-9748-c975a7fd933b}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4edd5c14-2d22-4d7a-9748-c975a7fd933b}"=-
[-HKEY_CLASSES_ROOT\clsid\{4edd5c14-2d22-4d7a-9748-c975a7fd933b}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{4EDD5C14-2D22-4D7A-9748-C975A7FD933B}"=-
[-HKEY_CLASSES_ROOT\clsid\{4edd5c14-2d22-4d7a-9748-c975a7fd933b}]
Driver::
is-5O8ODdrv
is-KU3G5drv
ColdFusion MX ODBC Agent |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 25 Set 2010 22:55 Oggetto: |
|
|
Ha eliminato "qualcosina"
COMBOFIX |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 26 Set 2010 12:30 Oggetto: |
|
|
Oltre a Kaspersky, (che non ti serviva) disistalla anche Virit:
Per disistallare Virit,fai :
Start\Tutti Programmi, e trovi il suo Unistall.
Segui questo percorso ed elimina la cartella in rosso:
c:\programmi\Softonic_Italia
Proviamo a sistemare l'MBR senza il CD di Windows:
Scarica MBR.EXE direttamente nella Directory C:\ (è importante che venga scaricato in C:\ )
link
Avvia il Pc in modalità provvisoria
Fai: Start - Esegui - copia-incolla questo comando: C:\mbr.exe -f e clicca su OK
Non digitare quel comando; FAI il copia-incolla.(si deve rispettare uno spazio che c'è dopo exe )
La scansione dura solo pochi secondi.
Posta il log, che troverai, dove hai scaricato il Tool, ovvero in C:\ |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 26 Set 2010 14:59 Oggetto: |
|
|
Eccolo...
MBR |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 26 Set 2010 17:44 Oggetto: |
|
|
Ciao.
Ti chiedo scusa, ma ricontrollando il log di Combofix, mi è scappato qualcosa.
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
| Codice: | KillAll::
File::
c:\windows\system32\drivers\SCtri.exe
Driver::
Service Controler Installer |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
In generale, l'MBR sembra a posto.
C'è la segnalazione di un settore danneggiato, ma non tale da compromettere il funzionamento del pc.
Che problemi riscontri? |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
| Inviato: 26 Set 2010 18:26 Oggetto: |
|
|
| R16 ha scritto: | Ciao.
In generale, l'MBR sembra a posto.
C'è la segnalazione di un settore danneggiato, ma non tale da compromettere il funzionamento del pc.
Che problemi riscontri? |
Quando ci sono diversi programmi aperti capita che qualcuno si chiude improvvisamente, lo stesso con le pagine di internet explorer... talvolta finisce che si pianta e bisogna riavviarlo.
Questi sono problemi che ha da un po' e che i vari tecnici hanno sempre imputato alla vecchiaia, non succede di frequente eh... però tipo oggi mi è capitato che avevo 3/4 pagine internet aperte e appena ne ho aperto un'altra durante il caricamento non ha retto e si è chiusa da sola. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 26 Set 2010 18:34 Oggetto: |
|
|
Ciao.
Esegui lo script che ti ho indicato.
Posta il log.
Poi, successivamente, posta anche un log di HJT. |
|
| Top |
|
|
RAIN84
Eroe in grazia degli dei
Registrato: 18/11/08 18:49
Messaggi: 111
|
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
