Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Win32/Olmarik.TDL4 trojan
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Mrdepp
Mortale pio
Mortale pio


Registrato: 25/05/12 12:16
Messaggi: 16

MessaggioInviato: 25 Mag 2012 12:38    Oggetto: Win32/Olmarik.TDL4 trojan Rispondi citando

Salve,
da qualche tempo avverto una certa lentezza nel navigare su Internet con qualsiasi Browser e questo mi ha fatto sospettare della presenza di qualche malware.Ho così effettuato un scan completo con Spybot - Search & Destroy che ha rilevato l'effettiva presenza di malware e la velocità di navigazione è migliorata.Tuttavia il mio antivirus (ESET NOD32 Antivirus 5) mi segnala spesso la presenza di una minaccia:
Object:Active boot sector of the 0.Physical disk
Theat:Win32/Olmarik.AYA trojan
Se premo su "clean" mi dà errore.
Oltre alla lenta navigazione,ho notato altri problemi come finestre del browser chiuse improssivamente,banner continui,ecc. ;inoltre ho letto in giro che si tratta di un trojan molto pericoloso.
Vi allego il log di HiJackThis:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:23:40, on 25/05/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\PLFSetI.exe
C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe
C:\Program Files (x86)\Switcher\Switcher.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Common Files\Adobe\Updater6\Adobe_Updater.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&m=aspire_5542&r=27361209v326l0318z175t4811y66p
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/facesmooch3/{DBB49B1A-6D58-4D7A-B1D4-2FDF02E1F307}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O1 - Hosts: 68.168.222.226 www.google-analytics.com.
O1 - Hosts: 68.168.222.226 ad-emea.doubleclick.net.
O1 - Hosts: 68.168.222.226 www.statcounter.com.
O1 - Hosts: 108.163.215.51 www.google-analytics.com.
O1 - Hosts: 108.163.215.51 ad-emea.doubleclick.net.
O1 - Hosts: 108.163.215.51 www.statcounter.com.
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\bh\funmoods.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\funmoodsTlbr.dll
O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [BackupManagerTray] "C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [Switcher] "C:\Program Files (x86)\Switcher\Switcher.exe" /quiet
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe"
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Nello\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3958CDCC-853A-4A34-ABE8-795A9648841C}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O20 - AppInit_DLLs: C:\PROGRA~2\Google\GOOGLE~3\GO36F4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Program Files (x86)\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: GRegService (Greg_Service) - Acer Incorporated - C:\Program Files (x86)\Acer\Registration\GregHSRW.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: MyWinLocker Service (MWLService) - Egis Technology Inc. - C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\\MWLService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NitroPDFDriverCreatorReadSpool (NitroDriverReadSpool) - Nitro PDF Software - C:\Program Files\Common Files\Nitro PDF\Professional\6.0\NitroPDFDriverServicex64.exe
O23 - Service: NTI IScheduleSvc - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2012\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Updater Service - Acer - C:\Program Files\Acer\Acer Updater\UpdaterService.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 12155 bytes
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 25 Mag 2012 13:03    Oggetto: Rispondi citando

Ciao Mrdepp, Ciao
  • Scarica TDSSKiller.zip e salvalo sul desktop
  • Apri il file appena scaricato ed estrai il file TDSSKiller.exe
  • Avvia TDSSKiller.exe
  • Clicca Change parameters
  • metti il segno di spunta a Detect TDLFS file system
  • clicca OK
  • Clicca Start scan e attendi pazientemente la fine dei lavori
  • Se viene rilevata qualche infezione, TDSSKiller ti proporrà direttamente le operazioni da svolgere. In questo caso, clicca Continue
  • Al termine del lavoro di scansione ed ventuale rimozione, clicca Close
  • Il log viene creato nella cartella principale del disco C:
    Es.: C:\TDSSKiller.2.7.35_25.05.2012_13.20.43_log.txt

  • Segui le istruzioni di questo topic per postare il log di combofix

  • Posta i logs creati, caricandoli su uno dei servizi indicato qui
Top
Profilo Invia messaggio privato
Mrdepp
Mortale pio
Mortale pio


Registrato: 25/05/12 12:16
Messaggi: 16

MessaggioInviato: 25 Mag 2012 14:50    Oggetto: Rispondi citando

Ecco il log di Combofix (ci ha messo un'eternità Confused ) ComboFix.txt

Invece,per quanto riguarda TDSSKiller.exe,l'ho scaricato,salvato sul desktop e eseguito come amministratore,però non si apre nulla...possibile che debba avviarlo in safe mode?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 25 Mag 2012 21:56    Oggetto: Rispondi citando

TDSSKiller non ha funzionato. Think

Combofix ha rilevato alcuni problemi, ma non ha identificato il problema principale.
Direi di fare una scansione con un CD live.
Segui le istruzioni di questa discussione (anche se non è aggiornata).
Top
Profilo Invia messaggio privato
Mrdepp
Mortale pio
Mortale pio


Registrato: 25/05/12 12:16
Messaggi: 16

MessaggioInviato: 26 Mag 2012 12:06    Oggetto: Rispondi citando

Ho usato secondo la guida Kaspersky Rescue Disk solo che pochi minuti dopo l'update il pc si spegne.Ho provato anche a effetturare direttamente lo scan,ma succede la stessa cosa.Se provo con un altro CD live cambierebbe qualcosa?

Intanto NOD32 continua ad avvisarmi,ad ogni avvio e anche dopo qualche ora dall'avvio,della presenza di questo trojan.Inoltre ho notato che quando ho aperte delle finestre del browser e poi cerco di aprire delle cartelle,le finestre si chiudono...
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 26 Mag 2012 18:05    Oggetto: Rispondi citando

Mi sembra strano che si spenga dopo aver eseguito l'aggiornamento del live CD. Think

Generalmente preferisco partire con Kaspersky Live CD ma, se non funziona, uso il live CD di Avira.

Vediamo se si ripete lo stesso problema anche con un altro live CD.
Top
Profilo Invia messaggio privato
Mrdepp
Mortale pio
Mortale pio


Registrato: 25/05/12 12:16
Messaggi: 16

MessaggioInviato: 27 Mag 2012 19:30    Oggetto: Rispondi citando

Niente da fare...anche con questo CD live, appena un paio di minuti dopo aver premuto su "Start Scan",il pc si spegne.
Esistono altri modi per effettuare uno scan che rilevi la presenza di questo tipo di minaccia?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 27 Mag 2012 19:38    Oggetto: Rispondi citando

Giusto per tirarmi via un dubbio... Think

fai queste operazioni:
Top
Profilo Invia messaggio privato
Mrdepp
Mortale pio
Mortale pio


Registrato: 25/05/12 12:16
Messaggi: 16

MessaggioInviato: 29 Mag 2012 11:51    Oggetto: Rispondi citando

Ecco il log di MBRCheck MBRCheck_05.28.12_16.42.55.txt

e di gmer rootkit gmer rootkit scan.txt

Per gli altri due scan ho avuto problemi:
aswMBR non mi apre nulla(stesso problema di TDSSKiller...),
mentre la scansione con GMER autostart non va (pur premendo su scan non mi parte nulla).
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 29 Mag 2012 12:31    Oggetto: Rispondi citando

Ok... per modo di dire. Confused

Hai beccato una variante piuttosto rognosa. Evil or Very Mad

Dovresti scaricare aswMBR e TDSSKiller da un altro pc (sicuramente pulito) e rinominarli, dopodiché trasferirli su questo pc con una chiavetta e provare a eseguirli.

Per facilitarti il compito, ho rinominato e zippato i 2 programmi suddetti:
altroRimuovi.zip

Scarica, scompatta e avviali possibilmente in modalità provvisoria:
http://forum.zeusnews.com/viewtopic.php?p=341691#341691
Top
Profilo Invia messaggio privato
Mrdepp
Mortale pio
Mortale pio


Registrato: 25/05/12 12:16
Messaggi: 16

MessaggioInviato: 29 Mag 2012 13:40    Oggetto: Rispondi citando

Ho scaricato questi due programmi che tu gentilmente hai provveduto a rinominarmi e zipparmi da un Mac e li ho scompattati su di una chiavetta...purtroppo nè durante l'esecuzione normale nè in safe mode i programmi vanno...sembra che il tentativo di esecuzione abortisca sul nascere. Sad

Intanto ho notato che effettuando una ricerca sul browser Firefox(cioè direttamente nella barra indirizzo) si apre il risultato di ricerca effettuato da search.babylon.com,probabilmente in quanto tempo fa scaricai per errore questo toolbar dal nome babylon che si rivelò essere un malware.Evidentemente non l'ho rimosso del tutto... Embarassed
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 29 Mag 2012 13:41    Oggetto: Rispondi citando

Scarica anche questi:
Removal_tool_TDL4_Pihar_MAXSS_32-bit_version_and_64-bit_version_.zip

Scompattali ed esegui il seguente programma:
1334231290_BDRemovalTool_TDSS-Clones_x64(1).exe
Top
Profilo Invia messaggio privato
Mrdepp
Mortale pio
Mortale pio


Registrato: 25/05/12 12:16
Messaggi: 16

MessaggioInviato: 29 Mag 2012 13:55    Oggetto: Rispondi citando

Neanche questo si avvia,uguale ai due precedenti. Crying or Very sad a questo punto devo pensare che è stesso il trojan che non li fa eseguire?se è così è davvero un bel problema...

Ho provato pure ad usare utilities di NOD32,scaricate da http://www.eset.com/download/utilities/ :
Olmarik Cleaner che però non posso avviare perchè è solo 32bit;
OlmarikTDL4 / Olmasco Cleaner invece non mi rileva la presenza di nessun trojan di questo tipo(effettuando uno scan di mezzo secondo,tuttavia..)
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 29 Mag 2012 14:18    Oggetto: Rispondi citando

Si, è proprio il virus che impedisce l'avvio dei tools più utili. Mad

Visto che ci siamo, proviamo con quest'altro:
link (link)

Un'alternativa (forse poco praticabile) potrebbe essere:
  • smontare il disco fisso
  • collegarlo via porta usb a un altro pc (pulito)
  • avviare una scansione del disco dal pc pulito
  • al termine della scansione, staccare il disco dalla porta usb
  • rimontare il disco fisso al suo posto


Dimenticavo:
cn3dmdzt.exe questo è gmer rinominato. Se vuoi riprovare...
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 29 Mag 2012 14:24    Oggetto: Rispondi citando

Avvia anche questo:
link
Top
Profilo Invia messaggio privato
Mrdepp
Mortale pio
Mortale pio


Registrato: 25/05/12 12:16
Messaggi: 16

MessaggioInviato: 29 Mag 2012 16:55    Oggetto: Rispondi citando

Sono contento di dirti che forse ci siamo! Smile
Allora rootkitremover si è avviato ma non mi ha rilevato alcuna presenza di minacce;
gmer "rinominato" non ha funzionato nella sua funzione rootkit;
l'idea di smontare il disco fisso sinceramente non l'ho presa proprio in considerazione per mancanza di esperienza Confused
Per fortuna alla fine ho usato come mi hai detto Doctor Web:è partito,ha effettuato lo scan,dopo pochi minuti mi ha rilevato la presenza di
Active OS/2 or WinNT Boot Sector HDD1 (Stato:trojan.tdlbkfs.1)
e di un altro malware e alla fine dello scan mi ha chiesto se intendevo curarli("e ci mancherebbe!" Laughing ) ,riavviando il pc per poterlo fare.
Ora,il programma alla fine non mi ha dato un file log da postarti,ma posso dirti che ora il problema delle finestre del browser che si chiudevano all'improvviso sembra scomparso,NOD32 non mi ha allertato all'avvio della presenza del trojan,e soprattutto ora i due programmi (TDSS rootkit removing tool e avast! Antirootkit)...partono Very Happy che dici,pensi che il problema si sia risolto a questo punto?Mi conviene effettuare altri scan?
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 29 Mag 2012 17:25    Oggetto: Rispondi citando

Citazione:
e soprattutto ora i due programmi (TDSS rootkit removing tool e avast! Antirootkit)...partono

Scusate l'intrusione.
Se ti è possibile, posta i log di TDSSKilre e Avast!.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 29 Mag 2012 18:28    Oggetto: Rispondi citando

Ottimo! ok!

Come ti ha già detto R16, effettua una scansione con TDSSKiller e aswMBR. Dopodiché posta i logs generati.
Adesso controllo se e dove drWeb salva i logs, così vediamo di dargli un'occhiata! Wink
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 29 Mag 2012 19:58    Oggetto: Rispondi citando

drWeb CureIt salva il log in
XP: c:\Documents and settings\nomeutente\DoctorWeb
Vista/7 (presumo): c:\users\nomeutente\DoctorWeb

dovresti trovare un file chiamato CureIt.log, postalo secondo le solite modalità.
Top
Profilo Invia messaggio privato
Mrdepp
Mortale pio
Mortale pio


Registrato: 25/05/12 12:16
Messaggi: 16

MessaggioInviato: 29 Mag 2012 19:59    Oggetto: Rispondi

Ecco i logs richiesti:
aswMBR.txt
TDSSKiller.2.7.38.0_29.05.2012_19.55.26_log.txt
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi