| Precedente :: Successivo |
| Autore |
Messaggio |
kikio
Mortale adepto
Registrato: 04/12/10 00:35
Messaggi: 37
|
 Inviato: 04 Dic 2010 01:03 Oggetto: sospetta infezione |
 |
|
Buonasera a tutti,
alcuni giorni fa ho aperto un file da emule che mi ha infettato il pc portatile. (credo un trojan) Ho cercato, grazie alle indicazioni del forum, di fare un pò di pulizia.....Ci sono riuscita? Sul mio pc ho installato Avira (ombrellino), mbam e superantispyware. Solo Avira è intervenuto riconoscendo l'intruso.
Allego ultimo file di hjack. Grazie a chi volesse rispondere..... 
hjuffi.txt |
|
| Top |
|
 |
pegifr
Mortale pio
Registrato: 05/09/10 23:55
Messaggi: 25
|
| Inviato: 04 Dic 2010 09:59 Oggetto: |
|
|
Ciao kikio
Il log di HJT non mostra nessuna infezione, puoi stare tranquilla.
Avira ha svolto egregiamente il suo compito e dato che anche MBAM e SAS non tovano altro direi che è tutto ok.
Facendo file sharing l'insidia è dietro l'angolo; un mio consiglio è quello di analizzre quello che si scarica prima di installarlo. |
|
| Top |
|
|
kikio
Mortale adepto
Registrato: 04/12/10 00:35
Messaggi: 37
|
| Inviato: 04 Dic 2010 11:04 Oggetto: |
|
|
Ciao Pegifr,
grazie per la tua risposta. Ti confesso che prima di scaricare file li controllo sempre .....ma, stavolta ....niente non mi hanno rilevato niente quindi sono andata tranquilla.....pazienza! Ultima novità: stamattina dopo scan con Superantispywere detectato Trojan Agent Gen...  ora faccio una scansione con mbam e vediamo cosa succede.....  |
|
| Top |
|
|
pegifr
Mortale pio
Registrato: 05/09/10 23:55
Messaggi: 25
|
| Inviato: 04 Dic 2010 12:16 Oggetto: |
|
|
Scusami kikio, avevo capito che MBAM e SAS non rilevassero nulla.
Scansiona il sistema con entrambi e rimuovi quello che trovano.
Allega i reports per un controllo. Quello di SAS si trova in Preferenze > Statistiche/registri.
Verifica che il pc funzioni correttamente. |
|
| Top |
|
|
kikio
Mortale adepto
Registrato: 04/12/10 00:35
Messaggi: 37
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
kikio
Mortale adepto
Registrato: 04/12/10 00:35
Messaggi: 37
|
| Inviato: 04 Dic 2010 21:17 Oggetto: |
|
|
Ciao R16,
fatto!!!
report.txt[/url] |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 04 Dic 2010 22:37 Oggetto: |
|
|
Ciao.
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
| Citazione: | O2 - BHO: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WI9130~1\ToolBar\SearchquDx.dll
O3 - Toolbar: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WI9130~1\ToolBar\SearchquDx.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WI9130~1\Datamngr\DATAMN~1.EXE
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: setup_9.0.0.722_01.12.2010_00-16.lnk = C:\Documents and Settings\antonella.PC265343266212\Desktop\Virus Removal Tool\setup_9.0.0.722_01.12.2010_00-16\startup.exe
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-j c.cab?e=1240133571272&h=bd5078ab274bdc27c1e914f616bc5f00/&filename=jinstall-6u13 -windows-i586-jc.cab |
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
http://forum.zeusnews.com/viewtopic.php?t=22084
Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch
Segui le istruzioni di questo topic per eliminare gli ADS:
http://forum.zeusnews.com/viewtopic.php?t=45223
Riavvia il pc.
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer e ricorda di scaricarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log. |
|
| Top |
|
|
kikio
Mortale adepto
Registrato: 04/12/10 00:35
Messaggi: 37
|
| Inviato: 05 Dic 2010 15:22 Oggetto: |
|
|
Scusate ho un piccolo problema, il file di Combofix supera i 100 mb così non lo posso postare con wikisend....suggerimenti..? 
Stamattina è successa una cosa strana, dopo aver fatto tutte le varie pulizie mi è apparsa una schermata che mi indicava virus ovunque....nella fretta di chiudere non ho memorizzato la pagina web che si era aperta ..... Resto in attesa di istruzioni..... |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 05 Dic 2010 17:07 Oggetto: |
|
|
Prova con questo a postare il log di Combofix:
link |
|
| Top |
|
|
kikio
Mortale adepto
Registrato: 04/12/10 00:35
Messaggi: 37
|
| Inviato: 05 Dic 2010 18:33 Oggetto: |
|
|
ComboFix2.txt
Ecco il log di combofix.....  |
|
| Top |
|
|
kikio
Mortale adepto
Registrato: 04/12/10 00:35
Messaggi: 37
|
| Inviato: 05 Dic 2010 21:53 Oggetto: |
|
|
 Sorry, ho postato il log sbagliato.....  lo stordimento della domenica..... 
ComboFix.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 05 Dic 2010 22:58 Oggetto: |
|
|
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
| Codice: | KillAll::
File::
c:\windows\system32\drivers\51672132.sys
c:\windows\system32\drivers\5167213.sys
c:\windows\system32\drivers\51672131.sys
Folder::
c:\documents and settings\antonella.PC265343266212\Application Data\FreeFixer
c:\documents and settings\antonella.PC265343266212\Impostazioni locali\Dati applicazioni\FreeFixer
c:\programmi\FreeFixer
c:\documents and settings\antonella.PC265343266212\Application Data\searchqutb
c:\programmi\Windows Searchqu Toolbar
Driver::
51672132
51672131
setup_9.0.0.722_01.12.2010_00-16drv;setup_9.0.0.722_01.12.2010_00-16drv
RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix |
|
| Top |
|
|
kikio
Mortale adepto
Registrato: 04/12/10 00:35
Messaggi: 37
|
| Inviato: 06 Dic 2010 00:58 Oggetto: |
|
|
 
Scusa R16 ma cosa c'era nel mio pc? Il processo di combofix è stato lungo e travagliato.....ad un certo punto pensavo di dover chiamare l'esorcista da tanto scriveva......mi spieghi? 
Allego File
ComboFix.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 06 Dic 2010 18:27 Oggetto: |
|
|
| kikio ha scritto: |
Scusa R16 ma cosa c'era nel mio pc? |
Niente d'importante... 8)
Se mi dici che funziona bene, e non riscontri problemi, possiamo concludere. |
|
| Top |
|
|
kikio
Mortale adepto
Registrato: 04/12/10 00:35
Messaggi: 37
|
| Inviato: 06 Dic 2010 20:23 Oggetto: |
|
|
 Sì mi sembra tutto a posto.....dovrei forse riconfigurare Avira che mi dà già il messaggio della scadenza ....e poi quando accendo che m da la schermata nera con l'opzioni su come avviare il pc....forse dovuto alle troppe modalità provvisorie che ho dovuto fare per gli antivirus...etc |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 06 Dic 2010 20:43 Oggetto: |
|
|
Per la schermata nera prova così:
Clicca su "risorse del computer" con il tasto destro e poi
clicca "Proprietà".
Seleziona il Tab "Avanzate", poi, su "Avvio e ripristino" --> "Impostazioni"
Dal Menu a tendina seleziona il sistema che vuoi far avviare come predefinito, quindi togli il segno di spunta da "Visualizza elenco sistemi operativi per..."
Clicca ok.
Nella finestra che rimane, clicca "Applica" e poi OK.
Riavvia il pc. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 06 Dic 2010 20:43 Oggetto: |
|
|
| Edit. |
|
| Top |
|
|
kikio
Mortale adepto
Registrato: 04/12/10 00:35
Messaggi: 37
|
| Inviato: 16 Dic 2010 19:48 Oggetto: |
|
|
Buona sera di nuovo a tutti! Purtroppo per me sono ancora qui a chiedere un mano. Ieri sera un log di mbam mi ha indicato qualcosa che non va ne pc!!!
Allego il log
mbam-log-2010-12-15 (23-00-49).txt
e, Avira stamattina mi ha segnalato la presenza di un trojan dal nome Bho.Agent.ah .....che devo fare? Anche se mbam e Avira hanno messo in quarantena si accettano suggerimenti ... |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 16 Dic 2010 22:52 Oggetto: |
 |
|
| kikio ha scritto: | Buona sera di nuovo a tutti! Purtroppo per me sono ancora qui a chiedere un mano. Ieri sera un log di mbam mi ha indicato qualcosa che non va ne pc!!!
Allego il log
mbam-log-2010-12-15 (23-00-49).txt
e, Avira stamattina mi ha segnalato la presenza di un trojan dal nome Bho.Agent.ah .....che devo fare? Anche se mbam e Avira hanno messo in quarantena si accettano suggerimenti ... |
Ciao kikio.
Meglio se apri un nuovo topic.
Allega il log anche di Avira. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
