| Precedente :: Successivo |
| Autore |
Messaggio |
baghyyy
Eroe
Registrato: 10/01/09 15:28
Messaggi: 60
|
 Inviato: 10 Gen 2009 15:38 Oggetto: * problemi in Vista (malware, advertisement, rootkit etc) |
 |
|
Ciao...scusatemi se mi intrometto ma per non aprire un altro post uguale mi inserisco in questo, tanto è lo stesso problema!!!!
fatto tutti i passaggi ed allego anche io i log:
http://www.wikisend.com/download/478324/hijackthis.log
http://www.wikisend.com/download/490438/mbam-log-2009-01-10%20(14-17-35).txt
http://www.wikisend.com/download/966360/SUPERAntiSpyware%20Scan%20Log%20-%2001-10-2009%20-%2013-42-32.log |
|
| Top |
|
 |
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 10 Gen 2009 16:47 Oggetto: |
|
|
| baghyyy ha scritto: | | Ciao...scusatemi se mi intrometto ma per non aprire un altro post uguale mi inserisco in questo, tanto è lo stesso problema!!!! |
Scusa, ma su quel computer non è installato alcun antivirus??
Il problema, poi non è lo stesso: sei pieno zeppo di rootkit, tra le altre cose.
Anche tu, scarica ed esegui Combofix clicca qui per il download ed allega il log che verrà rilasciato. |
|
| Top |
|
|
baghyyy
Eroe
Registrato: 10/01/09 15:28
Messaggi: 60
|
| Inviato: 10 Gen 2009 17:07 Oggetto: |
|
|
| Riverside ha scritto: | | baghyyy ha scritto: | | Ciao...scusatemi se mi intrometto ma per non aprire un altro post uguale mi inserisco in questo, tanto è lo stesso problema!!!! |
Scusa, ma su quel computer non è installato alcun antivirus??
Il problema, poi non è lo stesso: sei pieno zeppo di rootkit, tra le altre cose.
Anche tu, scarica ed esegui Combofix clicca qui per il download ed allega il log che verrà rilasciato. |
no l'ho appena cancellato l'antivirus per effettuare queste operazioni poiche non riuscivo a trovare l'opzione per disattivarlo!
rootkit? sarebbero? ok dai eseguo combofix e ti do il log
allora sono piu rovinato degli altri? aiutami...........! 
eccoti il log:
Combofix.txt |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 10 Gen 2009 21:39 Oggetto: |
|
|
| Ho splittato la discussione per evitare confusione con i logs di checcoline. |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 10 Gen 2009 21:57 Oggetto: |
|
|
| baghyyy ha scritto: | | rootkit? sarebbero? |
Un tipo di malware
per dboriano, sante62, riverside, ecc. ecc. : abbiamo una FAQ? |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 10 Gen 2009 23:51 Oggetto: |
|
|
| baghyyy ha scritto: | | rootkit? sarebbero? ok dai eseguo combofix e ti do il log allora sono piu rovinato degli altri? aiutami ...... |
E secondo te cosa sto facendo?.
Combofix ha fatto il suo dovere.
Ora prosegui in questa maniera:
1) disinstalla ComboFix:
● Start
● Esegui
● nella casella di dlialogo copia ed incolla questo comando: combofix /u
2) vai in Disco Locale C: e, elimina questa cartella: QooBox
3) elimina tutti i log che hai eventualmente salvato sul desktop e svuota il cestino.
Disabilitiamo CTFMON, quindi segui questa procedura:
● Start
● Pannello di controllo
● Opzioni internazionali e della lingua
● Seleziona: Lingue---> Dettagli --->Avanzate
● metti la spunta a Disattiva servizi di testo avanzati
● conferma con Applica
poi, verifica se CTFMON.EXE sia, o meno, presente in avvio automatico, quindi:
● Start
● Esegui
● nella finestra di dialogo digita msconfig e conferma con OK
● accedi alla sezione Avvio
● nella lista che apparirà verifica se è presente CTFMON
● se fosse presente, togli la spunta alla relativa casellina e conferma con Applica e, poi con OK
● Riavvia il Computer
● dopo il riavvio verrà mostrata una finestra di messaggio: ● spunta l'unica voce disponibile e conferma.
Disabilitiamo gli AUTORUN (cosi non rischi di prendere vrius inserendo un supporto removibile infetto, che sia avvia in auto) :
scarica PowerToys TweakUI:
clicca qui per il download
Dopo averlo installato, lancialo e nella directory principale scegli:
> MyComputer
> Autoplay e lo espandi per visualizzare Drives
> da li, potrai disattivare o attivare l'Autorun su qualsiasi unità (tu devi disabilitare, togliendo la spunta, tutte le unità che ti interessano).
Esegui questi passaggi, esegui una pulizia dei problemi con CCleaner ed allega un nuovo log di Hthis.
| Citazione: | | per dboriano, sante62, riverside, ecc. ecc. : abbiamo una FAQ? |
Non credo, comunque, spieghiamo di cosa si tratta.
| Citazione: | Un rootkit, (in ambiente Unix per "root" access si intende accesso di livello amministrativo, quindi letteralmente si potrebbe intendere equipaggiamento da amministratore) è un programma software creato per avere il controllo completo sul sistema senza bisogno di autorizzazione da parte di utente o amministratore.
Recentemente alcuni virus informatici si sono avvantaggiati della possibilità di agire come rootkit (processo, file, chiave di registro, porta di rete) all'interno del sistema operativo.
Se è vero che questa tecnologia è fondamentale per il buon funzionamento del sistema operativo, negli anni sono stati creati cavalli di Troia e altri programmi maligni in grado di ottenere il controllo di un computer da locale o da remoto in maniera nascosta, ossia non rilevabile dai più comuni strumenti di amministrazione e controllo.
I rootkit vengono tipicamente usati per nascondere delle backdoor.
Negli ultimi anni, tuttavia, s'è molto diffusa la pratica, tra i creatori di malware, di utilizzare rootkit per rendere più difficile la rilevazione di particolari trojan e spyware, indipendentemente dalla presenza in essi di funzioni di backdoor, proprio grazie alla possibilità di occultarne i processi principali.
I rootkit vengono usati anche per trovare le informazioni personali presenti in un computer e inviarle al mittente del malware ed essere poi utilizzate da esso per scopi personali.
I più comuni rootkit fanno uso di moduli del kernel o librerie su sistemi Unix, e DLL e driver per quelli Windows.
Tra i più noti possiamo annoverare FU e NT Rootkit.
Oltre al rootkit inteso come tecnologia occultativa, esistono dei rootkit virali, ossia dei veri e propri virus che rimangono nascosti, che il nostro computer non riesce a rilevare con i normali antivirus.
Questi "virus", sono letteralmente in grado di "mangiare" i nostri file sul pc, di deteriorare l'HD, e di cambiare le firme dei file. |
Info da Wikipedia |
|
| Top |
|
|
baghyyy
Eroe
Registrato: 10/01/09 15:28
Messaggi: 60
|
| Inviato: 11 Gen 2009 13:45 Oggetto: |
|
|
Riverside, intanto ne approfitto per ringraziarti per la cortese attenzione che mi stai volgendo e delle indicazioni che fin ad ora mi hai indicato e mi indicherai fino ad arrivare sicuramente alla risoluzione dei miei problemucci (o meglio problemoni)!
fatto i passaggi che mi hai indicato tranne che:
- la cartella QooBox non l'ho trovata neanche con la ricerca automatica di start
- CTFMON neanche sono riuscito a farlo poiche nelle opzioni internazionali non mi da alcuna voce per andare in dettagli o avanzate
- CTFMON non era presente nella finestra msconfig
- il passaggio degli autorun non l'ho eseguito poiche in questo computer non inserisco programmi da cd o memorie esterne ma lo uso solo per lavoro e web
http://www.wikisend.com/download/517140/hijackthis.log
ma con questi rootkit è possibile che mandano email a raffica? mi spiego meglio, a me arrivano email che non sono mie ovvero la mia per esempio è [edit] ed oltre a queste per me arrivano anche quelle per [edit] e per altri nomi che con me non hanno nulla a che fare! però sono tutte pubblicita di viagra, orologi e varie!
il bello è che ricevo anche le notifiche di letture di email mandate da me ma di fatto mai mandate! boo! |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 11 Gen 2009 15:10 Oggetto: |
|
|
Intanto rimuovi tutti i messaggi di posta elettronica che non ti servono, compreso tutto lo SPAM e pulisci il cestino della casellla di posta.
Poi, installiamo un antivirus serio, quindi: scarica ed installa Avira Antivir (devi scaricare la versione free): clicca qui per il download
Scarica la Guida per configurare Avira Antivir: clicca qui per il download
Dopo averlo installato e configurato, esegui una scansione completa del sistema, salva il report che verrà rilasciato ed allegalo.
Allega, anche, un nuovo log di Hthis eseguito dopo la scansione. |
|
| Top |
|
|
baghyyy
Eroe
Registrato: 10/01/09 15:28
Messaggi: 60
|
| Inviato: 11 Gen 2009 17:38 Oggetto: |
|
|
eccoti i log:
http://www.wikisend.com/download/500572/AVSCAN-20090111-153414-ABA6C988.LOG
http://www.wikisend.com/download/125220/hijackthis.log |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 11 Gen 2009 20:52 Oggetto: |
|
|
Ok, direi che ci siamo.
Riesegui una scansione con Malwarebytes e Superantispyware (dopo averli, entrambi, aggiornati) ed allega i due log. |
|
| Top |
|
|
baghyyy
Eroe
Registrato: 10/01/09 15:28
Messaggi: 60
|
| Inviato: 12 Gen 2009 12:22 Oggetto: |
|
|
fatto:
http://www.wikisend.com/download/598206/mbam-log-2009-01-12%20(11-16-02).txt
http://www.wikisend.com/download/722630/SUPERAntiSpyware%20Scan%20Log%20-%2001-12-2009%20-%2002-37-42.log
il superantispyware l'ho eseguito due volte e tutte e due volte mi ha trovato le infezioni! |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 12 Gen 2009 12:50 Oggetto: |
|
|
| baghyyy ha scritto: | | il superantispyware l'ho eseguito due volte e tutte e due volte mi ha trovato le infezioni! |
Non sono infezioni ma semplici adware (porcherie che si beccano in fase di navigazione):
| Citazione: | Adware.Tracking Cookie
C:\Users\Casa\AppData\Roaming\Microsoft\Windows\Cookies\casa@doubleclick[1].txt
C:\Users\Casa\AppData\Roaming\Microsoft\Windows\Cookies\casa@serving-sys[2].txt
C:\Users\Casa\AppData\Roaming\Microsoft\Windows\Cookies\casa@bs.serving-sys[2].txt |
Ogni tanto utilizza Superantispyware e fai pulizia.
Ora allega un nuovo log di Hthis, per favore. |
|
| Top |
|
|
baghyyy
Eroe
Registrato: 10/01/09 15:28
Messaggi: 60
|
| Inviato: 12 Gen 2009 13:00 Oggetto: |
|
|
a ho capito quindi è una cosa normale, basta fare una scansione con ilsuperantispyware
http://www.wikisend.com/download/211876/hijackthis.log |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 12 Gen 2009 13:29 Oggetto: |
|
|
Vai in Installazione Applicazioni e disinstalla (ti faccio installare le versioni aggiornate):
1) Adobe Reader;
2) Adobe Flash Player;
3) JavaSun (tutte le eventuali versioni installate);
Disinstalla, anche, tutte le eventuali toolbar installate.
Una volta disinstallato il tutto, esegui una pulizia (sia normale che pulizia dei problemi), con CCleaner, riavvia il sistema e reinstalli il tutto:
Adobe Reader: clicca qui per il download
Adobe Flash Player: clicca qui per il download
JAVASun: clicca qui per il download
Fai attenzione: in fase di installazione, tutti e tre i software richiederanno se vuoi installare, anche, la toolbar di Google; non la installare (quindi togli la spunta alla relativa voce).
Al termine, allega un nuovo log di Hthis. |
|
| Top |
|
|
baghyyy
Eroe
Registrato: 10/01/09 15:28
Messaggi: 60
|
| Inviato: 12 Gen 2009 22:56 Oggetto: |
|
|
ok fatto, allora ci siamo?
http://www.wikisend.com/download/954688/hijackthis.log
mi esce l'icona in basso a destra di avvisi di protezione windows ed in pratica mi chiede un programma per la protezione dagli spyware e malware. lo lascio così ed ogni tanto faccio una scanzione con il superantispyware e malwarebyte? oppure hai un programma da inserirgli? |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 13 Gen 2009 10:13 Oggetto: |
|
|
| baghyyy ha scritto: | | ok fatto, allora ci siamo? |
Rilancia Hthis e fixa queste voci (spunta la casellina in corrispondenza di ogni singola voce che ti inidico e, dopo averle spuntate tutte, clicca sul tasto Fixchecked):
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
Poi c'è un servizio in missing relativo a Symantec da eliminare, quindi procedi cosi:
> Start
> Esegui
> nella casella di dialogo digita o copia ed incolla il seguente comando:
sc stop Symantec Lic NetConnect service
poi di nuovo:
> Start
> Esegui
> nella casella di dialogo digita o copia ed incolla il seguente comando:
sc delete Symantec Lic NetConnect service
| Citazione: | | mi esce l'icona in basso a destra di avvisi di protezione windows ed in pratica mi chiede un programma per la protezione dagli spyware e malware. |
Vai nel Centro Sicurezza P.C. e controlla la relativa impostazione
| Citazione: | | .... ogni tanto faccio una scanzione con il superantispyware ... |
Non ogni tanto ma, spesso e volentieri (e ricorda ti tenerli, costantemente aggiornati).
Dopo aver fixato le voci che ti ho indicato, allega un nuovo log di Hthis. |
|
| Top |
|
|
baghyyy
Eroe
Registrato: 10/01/09 15:28
Messaggi: 60
|
| Inviato: 13 Gen 2009 15:22 Oggetto: |
|
|
fatto!
http://www.wikisend.com/download/574516/hijackthis.log |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 13 Gen 2009 15:56 Oggetto: |
|
|
Ok, direi che, ora, decisamente ci siamo: complimenti sei stato bravo   noti ancora dei problemi? |
|
| Top |
|
|
baghyyy
Eroe
Registrato: 10/01/09 15:28
Messaggi: 60
|
| Inviato: 13 Gen 2009 18:25 Oggetto: |
|
|
| Riverside ha scritto: | | Ok, direi che, ora, decisamente ci siamo: complimenti sei stato bravo noti ancora dei problemi? |
si bravo...bravo tu non io...!!! io ti ho fatto solo il braccio... 
senza il tuo aiuto altro che bravo che sarei stato 
complimenti...
comunque consiglierò questo forum a tutti gli amici poichè veramente è d'aiuto, amministratori e moderatori accoglienti, pazientosi e ben preparati e non come alcuni forum che ti consigliano tanto per parlare e dire qualcosa!
comunque come problema oltre alle email, come già ti ho descritto nelle risposte precedenti, non noto nulla |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 13 Gen 2009 22:59 Oggetto: |
 |
|
| baghyyy ha scritto: | | comunque come problema oltre alle email, come già ti ho descritto nelle risposte precedenti, non noto nulla |
In che senso? continui a ricevere SPAM nella casella di posta o continui ad avere problemi di altro genere? |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
