| Precedente :: Successivo |
| Autore |
Messaggio |
Selkit
Mortale devoto
Registrato: 01/11/11 14:16
Messaggi: 12
|
 Inviato: 01 Nov 2011 14:45 Oggetto: Trojan.ZbotR. |
 |
|
Da ieri appena avvo il computer mi da l'avviso di "Modulo gestione attività ha smesso di funzionare", e in automatico consiglia di aggiornare vista con il pack 2, che però mi si blocca al 50%.
Ho utilizzato spybot search & destroy e corretto i file (il problema continua) e fatto la scansione con Avira (qui sotto il log).
Cosa posso fare per risolvere il problema?
Vi ringrazio 
link |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Nov 2011 15:09 Oggetto: |
|
|
Ciao e benvenuto. 
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Poi:
Segui le istruzioni di questo topic per usare MBAM: (ricorda di aggiornarlo prima della scansione)
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Elimina gli eventuali file infetti trovati.
Carica i log di MBAM, e TDSSKiller su link e posta il Forum Link che ti viene assegnato.
N.B:
Visto il tipo di infezione,evita di fare operazioni banking online.
Questa infezione registra tutte le password, (Keylogging) per poi scaricarle in un server remoto. |
|
| Top |
|
|
Selkit
Mortale devoto
Registrato: 01/11/11 14:16
Messaggi: 12
|
| Inviato: 01 Nov 2011 20:11 Oggetto: |
|
|
Ho fatto quello che mi hai detto: l'avviso "modulo di gestione attività..." non viene più visualizzato 
C'era un bel po' di robaccia, ecco i log
p.s. scusa, non sono riuscita a fare i link, prima lo ha fatto in automatico..
link |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Nov 2011 20:36 Oggetto: |
|
|
Ciao.
| Citazione: | p.s. scusa, non sono riuscita a fare i link, prima lo ha fatto in automatico..
|
No, veramente l'ho fatto io manualmente... 
Ho bisogno di una scansione con Combofix:
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Per favore carica il log su :
link
Oppure:
link
Ecco le istruzioni:
Collegati ad internet e vai alla pagina WikiSend: link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
P.S:
Torno a invitarti di cambiare tutte le password che hai nel pc.
Specialmente quelle banking online. |
|
| Top |
|
|
Selkit
Mortale devoto
Registrato: 01/11/11 14:16
Messaggi: 12
|
| Inviato: 02 Nov 2011 00:56 Oggetto: |
|
|
Perdonami  ti ho fatto fare lavoro in più...
ad utilizzarlo, il pc sembra tornato alla normalità
Quindi posso cambiare le password tranquillamente da ora? stavo aspettando in caso non fosse ancora presente qualche spyware superstite!
ecco il log di combofix
logcombo.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 02 Nov 2011 18:53 Oggetto: |
|
|
| Citazione: | | Perdonami ti ho fatto fare lavoro in più... |
Non preoccoparti....no problem. 
| Citazione: | | Quindi posso cambiare le password tranquillamente da ora? |
Sì cambiale tranquillamente.
Ci sono alcune cartelle che vorrei vedere cosa contengono.
E dei rimasugli del Norton da levare.
Per cui:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
| Codice: | KillAll::
DirLook::
c:\users\Sara\AppData\Roaming\Etob
c:\users\Sara\AppData\Roaming\Ycyp
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.
Seguiranno ulteriori indicazioni per le pulizie finali del pc:
Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440 |
|
| Top |
|
|
Selkit
Mortale devoto
Registrato: 01/11/11 14:16
Messaggi: 12
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 03 Nov 2011 18:44 Oggetto: |
|
|
Ciao.
La cartella Etob è vuota.
Ma la cartella Ycyp contiene delle infezioni.
Per cui:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
| Codice: | KillAll::
File::
c:\users\Sara\AppData\Roaming\Ycyp\bytyy.xui
c:\users\Sara\AppData\Roaming\Ycyp\bytyy.tmp
Folder::
c:\users\Sara\AppData\Roaming\Ycyp
c:\users\Sara\AppData\Roaming\Etob |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Se il pc non si riavvia da solo, riavvialo tu.
Posta il log aggiornato di combofix.
Poi:
Hai il SP1 che è obsoleto.
Consiglio di scaricare il Server Pack 2:
link
Da "programmi e funzionalità" (da Pannello di controllo), disinstalla le versioni installate di Abobe Reader, e Javasun ( (tutte le versioni eventuamente presenti) .
Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Dopo la disinstallazione, installa le versioni aggiornate di:
Adobe Reader:
link
Una volta installato Adobe Reader lancialo.
nella barra degli strumenti clicca sul ?
clicca su Ricerca aggiornamenti ed esegui gli aggioramenti che veranno proposti.
Scarica e installa l'ultima versione di Java:
link
Quando hai finito queste operazioni, (lo sò che portano via del tempo, ma servono) posta un nuovo log di HiJackThis. |
|
| Top |
|
|
Selkit
Mortale devoto
Registrato: 01/11/11 14:16
Messaggi: 12
|
| Inviato: 06 Nov 2011 19:21 Oggetto: |
|
|
La disinstallazione di Adobe 8 (il primissimo installato prima della vendita del pc) mi risulta impossibile e mi da errore 20.
Cosa devo fare? procedo con la pulizia con ccleaner?
Questo errore me lo da anche con skype -che mi va in crash con la nuova versione- e l'errore 21 per i rimasugli di norton.
Grazie per la pazienza  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 06 Nov 2011 21:59 Oggetto: |
|
|
Ciao.
Hai eseguito lo script di Combofix?
Se sì, posta il log. |
|
| Top |
|
|
Selkit
Mortale devoto
Registrato: 01/11/11 14:16
Messaggi: 12
|
| Inviato: 07 Nov 2011 01:10 Oggetto: |
|
|
Si, ho eseguito lo script e installato il service pack 2.
combo.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 07 Nov 2011 18:58 Oggetto: |
|
|
| Citazione: | | Questo errore me lo da anche con skype -che mi va in crash con la nuova versione |
Disistalla Skype e reistallalo.
Per Adobe, non ho capito se non si disistalla, oppure non riesci a installarlo.
Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440 |
|
| Top |
|
|
Selkit
Mortale devoto
Registrato: 01/11/11 14:16
Messaggi: 12
|
| Inviato: 07 Nov 2011 20:04 Oggetto: |
|
|
| Non riesco a disinstallare per tutti: una versione di Adobe, skype, norton. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 07 Nov 2011 20:10 Oggetto: |
|
|
Strano.
Nel log di Combofix non risulta nè Norton, nè Adobe, e se non sbaglio, nemmeno Skype.
Posta il log di HJT, e vediamo.
Riscontri altre anomalie? |
|
| Top |
|
|
Selkit
Mortale devoto
Registrato: 01/11/11 14:16
Messaggi: 12
|
| Inviato: 07 Nov 2011 20:14 Oggetto: |
|
|
eccolo qui, lo stavo facendo nel mentre!
hijackthis.log
No, non mi viene in mente altro, a parte essere lento da un po' di mesi ma è anche vecchiotto e mai formattato...
Se il fatto che non si disinstalli Adobe, installo semplicemente la nuova versione. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 07 Nov 2011 20:16 Oggetto: |
|
|
| Citazione: | | e il fatto che non si disinstalli Adobe, installo semplicemente la nuova versione. |
Sì prova.
Controllo il log di HJT, e poi proviamo a velocizzare un po il pc. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 07 Nov 2011 21:45 Oggetto: |
 |
|
Segui le istruzioni di questo topic per rimuovere combofix, e gli altri eventuali tooll installati:
http://forum.zeusnews.com/viewtopic.php?t=47670
Scarica TFC by OldTimer sul desktop
link
chiudi tutti i programmi
avvia TFC, clicca su "start"
al termine della scansione ti chiederà il riavvio, dai ok.
Disattiva il ripristino configurazione di sistema, e per il momento, tienilo disattivato.
http://forum.zeusnews.com/viewtopic.php?t=22084
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":
| Citazione: | R3 - URLSearchHook: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Program Files\Softonic-IT\tbSoft.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Program Files\Softonic-IT\tbSoft.dll
O3 - Toolbar: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Program Files\Softonic-IT\tbSoft.dll
O4 - HKLM\..\Run: [SiSTray] %ProgramFiles%\SiS VGA Utilities\SiSTray.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [Freecorder FLV Service] "C:\Program Files\Freecorder\FLVSrvc.exe" /run
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user') |
Fai una pulizia con CCleaner (registro compreso)
Vai in c:\windows\prefetch.
Cancella tutti i file (anche la cartella readyboot,che verrà ricreata) meno il file layout.ini.
Riattiva il Ripristino configurazione sistema.
N.B:
Nelle primissime fasi, ti sembrerà che il pc sia addirittura più lento di prima.
Non preoccuparti, man mano che lo userai, si velocizzerà. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
