Precedente :: Successivo |
Autore |
Messaggio |
splarz Moderatore Hardware e Networking
Registrato: 20/08/06 14:54 Messaggi: 2767
|
Inviato: 30 Set 2011 17:19 Oggetto: Eliminata una backdoor IE non si connette più |
|
|
ciao a tutti!
ho tra le mani un pc con windows xp, avira antivir, un'infezione risolta da Oderoor.A.4 (e un trojan che non ricordo) scansionando con avira tramite un altro pc (ho tolto l'hard disk e l'ho collegato come hd esterno).
Il problema è che IE non riesce più a collegarsi ad Internet, restituisce un messaggio del tipo Codice: | impossibile trovare http://vattelapesca Assicurarsi che il percorso o l'ìindirizzo Internet sia corretto |
questo scherzo lo fa anche con skype o con ccleaner nel tentativo di trovare aggiornamenti. Se apro firefox e provo a navigare, invece, nessun problema.
Di sicuro il virus ha creato qualche danno, ma non riesco a risolverlo e non posso formattare.
Il log di hijackthis non dice niente, quello di combofix è qui |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 30 Set 2011 17:52 Oggetto: |
|
|
Ciao splarz.
Tenta così:
Start\ pannello di controllo\ connessioni di rete
clicca con il tasto destro del mouse sulla tua connessione.
seleziona proprietà.
doppio click su "Protocollo Internet(TCP/IP)
metti la spunta a "ottieni indirizzo server DNS automaticamente".
Clicca OK.
Riavvia il pc.
Oppure:
Apri Internet Explorer.
Clicca su: Strumenti"
Opzioni Internet.
Connessioni.
Impostazioni LAN
Sotto: "Server proxy" Togli la spunta a:
"utilizza un server proxy per le connessioni lan".
Clicca OK.
In questo modo,Internet Explorer dovrebbe funzionare.
Perdonami, il pc è ancora molto infetto.
Non avevo visto il log di Combofix.
Serve uno script per eliminare le infezioni.
Abbi pazienza.
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
Codice: | KillAll::
Driver::
zzfnpg
lcdjnaymq
nhpqjvcuh
oxyyiy
xyysmmkf
jxzfaopg
egdfryc
NetSvcs::
zzfnpg
lcdjnaymq
nhpqjvcuh
oxyyiy
xyysmmkf
jxzfaopg
egdfryc
File::
c:\windows\system32\wbacnw.dll
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6160:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\egdfryc]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\jxzfaopg]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\lcdjnaymq]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\nhpqjvcuh]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\oxyyiy]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\xyysmmkf]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\zzfnpg]
DDS::
TCP: Interfaces\{16CFC79C-41C4-40C3-91A5-2B2F5AA1BF4D}: NameServer = 151.99.125.1,151.99.0.100 |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
N.B:
Forse ci sarà bisogno di un secondo script, in quanto hai un sacco di infezioni in Esecuzione Automatica.
Oppure fai una scansione completa con Malwarebytes.
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Ricorda di aggiornarlo prima della scansione |
|
Top |
|
|
splarz Moderatore Hardware e Networking
Registrato: 20/08/06 14:54 Messaggi: 2767
|
Inviato: 30 Set 2011 19:27 Oggetto: |
|
|
Citazione: | Ciao splarz.
Tenta così:
Start\ pannello di controllo\ connessioni di rete
clicca con il tasto destro del mouse sulla tua connessione.
seleziona proprietà.
doppio click su "Protocollo Internet(TCP/IP)
metti la spunta a "ottieni indirizzo server DNS automaticamente".
Clicca OK.
Riavvia il pc.
Oppure:
Apri Internet Explorer.
Clicca su: Strumenti"
Opzioni Internet.
Connessioni.
Impostazioni LAN
Sotto: "Server proxy" Togli la spunta a:
"utilizza un server proxy per le connessioni lan". | ciao R16
avevo già fatto entrambe le cose ma non andava (i dns poi era mooolto difficile visto che con firefox è sempre andato tutto bene).
a onor del vero aggiornando internet explorer gli errori son scomparsi e ha ripreso a navigare.
Citazione: | Perdonami, il pc è ancora molto infetto. [...] | sei sicuro? perchè quella caterva di infezioni le avevo tolte un sacco di tempo fa (ci avevo messo le mani in passato sullo stesso pc) e di quelle son rimaste solo molte voci (disabilitate) in msconfig.
lunedì ci rimetto mano e faccio come hai detto con combofix
nel frattempo: c'è una qualche guida che mi spieghi come interpretare il log di combofix?
la scansione con malwarebytes son stato costretto ad interromperla, la faccio lunedì.
nel frattempo: grazie mille! |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 30 Set 2011 20:26 Oggetto: |
|
|
Ciao.
Citazione: | sei sicuro? perchè quella caterva di infezioni le avevo tolte un sacco di tempo fa |
Beh...avrò molti difetti, ma sò leggere un log di Combofix.
Ti consiglio di eseguire quello script.
Citazione: | e di quelle son rimaste solo molte voci (disabilitate) in msconfig. |
Vanno eliminate. (tutte le voci random)
Citazione: | c'è una qualche guida che mi spieghi come interpretare il log di combofix? |
No non esiste.
Il creatore del programma, (sUBs)vieta la diffusione sull'uso di Combofix.
Per informazioni più approfondite, si dovrebbe frequentare (non sò se a pagamento) la sua scuola.
Ciao
|
|
Top |
|
|
splarz Moderatore Hardware e Networking
Registrato: 20/08/06 14:54 Messaggi: 2767
|
Inviato: 30 Set 2011 20:56 Oggetto: |
|
|
R16 ha scritto: | Per informazioni più approfondite, si dovrebbe frequentare (non sò se a pagamento) la sua scuola. | o essere più diligenti nel seguire l'olimpo
Citazione: | Vanno eliminate. (tutte le voci random) | 'sta cosa mi interessa: mi ero convinto che fossero voci di registro "inutili", residuati di un'infezione non facilmente eliminabili ma innocui, se privi dell'oggetto cui si riferiscono: nessuno di quelle voci random ha i corrispettivi file presenti nel pc e mi ero fatto l'idea che, dopo che avira et al mi davano ok il pc, e considerato che non ne comparivano più di nuove, la cosa fosse risolta.
non è così? oppure: è così ma quelle voci fanno danno anche senza riferimenti ai file?
(scusa la pedanteria: è puro interesse informatico )
Citazione: | Ti consiglio di eseguire quello script. | come ho scritto sopra, lo faccio lunedì appena ci rimetto mano.
|
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 30 Set 2011 21:11 Oggetto: |
|
|
Citazione: | nessuno di quelle voci random ha i corrispettivi file presenti nel pc |
Sicuro?
E se fossero nascoste da qualche servizio ?
Oppure per qualche arcano motivo, l'utente le ha attivate? (ne basta una)
Oppure potrebbe resuscitarle uno dei virus che si trovano in quel pc ?
Quando ci si trova di fronte a infezioni così piuttosto pesanti, è buona cosa non lasciare MAI nessun tipo di "rimasuglio".
Anche se apparentemente sembra innocuo.
Poi, tieni presente, che quelle voci random, sono eseguibili. (.exe)
Quindi attivabili.
Altra cosa: trattandosi di una backdoor, suggerisco di cambiare TUTTE le password che ci sono in quel pc. |
|
Top |
|
|
splarz Moderatore Hardware e Networking
Registrato: 20/08/06 14:54 Messaggi: 2767
|
Inviato: 01 Ott 2011 00:51 Oggetto: |
|
|
R16 ha scritto: | E se fossero nascoste da qualche servizio ? | quegli exe li avevo levati a mano da distro linux, dopo averli individuati con avira e mbam.
Citazione: | Poi, tieni presente, che quelle voci random, sono eseguibili. (.exe) | le voci che trovo in msconfig o i riferimenti su disco?
Citazione: | Quando ci si trova di fronte a infezioni così piuttosto pesanti, è buona cosa non lasciare MAI nessun tipo di "rimasuglio". | agli ordini
Citazione: | Altra cosa: trattandosi di una backdoor, suggerisco di cambiare TUTTE le password che ci sono in quel pc. | eh, anche su questo hai ragione da vendere |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 01 Ott 2011 12:09 Oggetto: |
|
|
Ciao splarz.
Citazione: | le voci che trovo in msconfig o i riferimenti su disco? |
Le voci che trovi seguendo questo in questi percorsi:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ MSConfig \ startupfolder
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ MSConfig \ startupreg
Aprendo la cartellina startupfolder le trovi.
Controlla anche la cartellina startupreg
Poi se trovi dei riferimenti sul disco (ma non credo) ovviamente li "uccidi". |
|
Top |
|
|
splarz Moderatore Hardware e Networking
Registrato: 20/08/06 14:54 Messaggi: 2767
|
Inviato: 03 Ott 2011 16:49 Oggetto: |
|
|
Citazione: | HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ MSConfig \ startupfolder | aaah ho trovato tutto! |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 03 Ott 2011 16:56 Oggetto: |
|
|
E il log (con script) richiesto di Combofix?
La connesione ora funziona ? |
|
Top |
|
|
splarz Moderatore Hardware e Networking
Registrato: 20/08/06 14:54 Messaggi: 2767
|
Inviato: 04 Ott 2011 17:11 Oggetto: |
|
|
Citazione: | La connesione ora funziona ? | è ripartita già aggiornando il browser.
Citazione: | E il log (con script) richiesto di Combofix? | è qui
non ho quello di mbam perchè quello schifosissimo windows ha riavviato da solo la macchina - c'erano aggiornamenti da win update. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 04 Ott 2011 18:08 Oggetto: |
|
|
Ciao splarz.
Hai eliminato le voci random (esecuzione automatica) DOPO lo script con Combofix?
Perchè le vedo ancora lì.
Vorrei sapere (senza ricorrere a una nuova scansione) cosa contiene questa cartella:
C:\503af810589e0fdae6
Riscontri problemi?
Fai la scansione (appena puoi) con Mbam che può servire.
Per le pulizie, ti arrangi, o vuoi una mano? |
|
Top |
|
|
splarz Moderatore Hardware e Networking
Registrato: 20/08/06 14:54 Messaggi: 2767
|
Inviato: 04 Ott 2011 19:09 Oggetto: |
|
|
Citazione: | Hai eliminato le voci random (esecuzione automatica) DOPO lo script con Combofix? | sì, e infatti non ci sono più in msconfig.
Citazione: | C:\503af810589e0fdae6 | son quasi sicuro sia quella degli aggiornamenti di windows - che, per inciso, non ricordo se è legata ad un service pack oppure al .net framework, ma di sicuro è ineliminabile se non da linux.
Citazione: | Per le pulizie, ti arrangi, o vuoi una mano? | pulizie... ccleaner & co?
cmq l'amico mi ha chiamato che s'è bloccato il pc e dà un messaggio con "system32 su fondo nero", cioè è saltato uno stracazzo di file di sistema.
io 'sto coso lo piallo
domani vedo che c'ha. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 04 Ott 2011 19:49 Oggetto: |
|
|
' Citazione: | è bloccato il pc e dà un messaggio con "system32 su fondo nero |
Rifai la scansione con Combofix.
Se trova una copia da qualche parte del pc la ripristina.
Citazione: | pulizie... ccleaner & co? |
Anche.
Disattivare il ripristino configurazione sistema.
Eliminare i vari tool scaricati.
http://forum.zeusnews.com/viewtopic.php?t=47670
Svuotare la cartella prefetch ( c:\windows\prefetch)
Svuotare il cestino.
Eliminare gli eventuali ADS nocivi:
http://forum.zeusnews.com/viewtopic.php?t=45223
Fare uno scanDisk e una deframmentazione.
Riattivare il ripristino configurazione sistema, e creare un punto di ripristino.
Citazione: | io 'sto coso lo piallo |
E' una soluzione anche quella. |
|
Top |
|
|
splarz Moderatore Hardware e Networking
Registrato: 20/08/06 14:54 Messaggi: 2767
|
Inviato: 04 Ott 2011 20:46 Oggetto: |
|
|
Citazione: | Rifai la scansione con Combofix. | come, se non si avvia? domani vedrò il messaggio, credo manchi un file, di solito lo ripristino da una distro linux.
però è strano: avevo già riavviato il pc più volte e questi giorni ha funzionato egregiamente.
ah ok, routine
Citazione: | E' una soluzione anche quella. | domandone: ha senso pensare che possa avere qualche scazzo hardware? secondo me no, ma fa tiri tanto strani. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 04 Ott 2011 21:37 Oggetto: |
|
|
Citazione: | però è strano: avevo già riavviato il pc più volte e questi giorni ha funzionato egregiamente. |
Bisogna vedere cosa ha fatto dopo il tuo amico.
Ho conosciuto un tizio che formattava 3 volte alla settimana....
Citazione: | domandone: ha senso pensare che possa avere qualche scazzo hardware? secondo me no, ma fa tiri tanto strani. |
No.
Se le cose stanno come mi hai detto, (system32) forse gli è partito l'Userinit.
In ogni caso un file di sistema.
Se vuoi, fammi sapere quale.
Citazione: | di solito lo ripristino da una distro linux. |
Al limite, puoi farlo partire con uno di questi:
http://forum.zeusnews.com/viewtopic.php?t=40144 |
|
Top |
|
|
splarz Moderatore Hardware e Networking
Registrato: 20/08/06 14:54 Messaggi: 2767
|
Inviato: 07 Ott 2011 08:23 Oggetto: |
|
|
non era saltato nessun file di sistema: ho trovato il pc acceso e funzionante.
ora il problema è che "si blocca".
lo formatto, poi penserò eventualmente ad un guasto hardware. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 07 Ott 2011 16:49 Oggetto: |
|
|
l Citazione: | o formatto, poi penserò eventualmente ad un guasto hardware. |
Che buffo....
Quando il più è fatto....formatti.
Il "blocco" può essere anche una cazzata.
Un programma che entra in conflitto, il firewall non settato bene, o danneggiato, qualche software incompatibile, oppure qualche programma in tempo reale, che rompe le scatole.
Certo, se non vuoi, o non puoi, perdere tempo per cercare il problema, il format semplifica tutto.
Ciao! |
|
Top |
|
|
splarz Moderatore Hardware e Networking
Registrato: 20/08/06 14:54 Messaggi: 2767
|
Inviato: 07 Ott 2011 17:03 Oggetto: |
|
|
Citazione: | Un programma che entra in conflitto, il firewall non settato bene, o danneggiato, qualche software incompatibile, oppure qualche programma in tempo reale, che rompe le scatole. | eh ma si blocca vuol dire che faceva gli stessi tiri di prima.
c'era solo avira in tempo reale, niente roba strana all'avvio.
s'è bloccato anche in fase di installazione del sistema operativo, ora sta andando tutto liscio, a parte il fatto che si blocca ogni due per tre nella copia dei dati. a me puzza di danno hard disk (che è un maxtor tra l'altro) o ram.
la formattazione l'ho fatta per questione di tempo, comunque: perdo di più a venire, sistemare, andare via e tornare. |
|
Top |
|
|
splarz Moderatore Hardware e Networking
Registrato: 20/08/06 14:54 Messaggi: 2767
|
Inviato: 14 Ott 2011 19:56 Oggetto: |
|
|
il pc si blocca ancora: le info più dettagliate dicono che compare la scritta "segnale assente" nel monitor così, di punto in bianco, anche se il pc rimane acceso (ma il mouse non emette più "la luce rossa in basso"). fa anche fatica ad avviarsi, nel senso che "gira la ventola" ma non fa bip e resta nero.
a questo punto mi puzza di ram, ma non vorrei che fosse la scheda madre o la scheda video.
posso escludere che la causa sia windows, visto che l'ho appena formattato oppure c'è qualcosa a cui non ho pensato? |
|
Top |
|
|
|