| Precedente :: Successivo |
| Autore |
Messaggio |
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
 Inviato: 02 Nov 2011 12:50 Oggetto: Trojan PSW. Banker6HYX |
 |
|
Salve ragazzi, la ricetta del giorno è: mi ha chiamato un'amica che ha un portatile Acer con Vista e AVG e, a un certo punto, gli si è aperta una finestra di AVG che l'informava della presenza di un Trojan.
Mi ha detto che (l'avviso) gli appare casualmente, quando gli pare.
L'avviso gli consiglia di mettere in quarantena il virus ma quando lei gli da l'Ok, gli si pianta la macchina e deve riavviare.
Il Trojan pare essere collegato ad un programmino che ha scaricato per estrarre file audio da filmati.
Queste sono le informazioni che AVG fornisce:
| Citazione: | Nome file: C:/ Program Files/ Fox tab Video to MP3/ Uninstall/Unnstall
Nome minaccia: Trojan PSW. Banker6HYX |
Attendo istruzioni.
Grazie. |
|
| Top |
|
 |
menatwork
Dio minore
Registrato: 07/10/11 16:58
Messaggi: 506
|
| Inviato: 02 Nov 2011 14:02 Oggetto: |
|
|
ciao Silent Runner esegui questi passaggi
scarica TDSSKiller sul desktop ed estrai il contenuto
Start > Esegui > copia/incolla il seguente comando e dai OK.
"%userprofile%\Desktop\TDSSKiller.exe"
Clicca su Start Scan.
Se c’è un’infezione, l'azione di default sarà cure. Clicca su continua.
Se c’è il sospetto di un’infezione, l'azione di default sarà skip. Clicca su continua.
Se viene richiesto il riavvio, accetta.
Il rapporto si troverà in C:, sotto queste sembianze: TDSSKiller.[Version]_[Date]_[Time]_log.txt
Se non è stato richiesto il riavvio, chiudi e clicca su report. Salva il contenuto in un file di testo e allegalo
disattiva l'antivirus
scarica ed esegui combofix secondo questa guida
carica i rapporti qui |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 05 Nov 2011 11:53 Oggetto: |
|
|
Salve, scaricato programma ed eseguito. Non trovato assolutamente niente. Poi provato ad aggiungere controllo approfondit fileo tramtite change parameters selezionando scansione drivers digital signatures e detect TDLFS file system ed ho ottentuo questo:
| Citazione: | Threats detected!
Unsigned file
Service:bsubsbser
Suspicious object, medium risk
Unsigned file
Service: PxHelP20
Suspicious object, medium risk |
ho lasciarto su skyp e ho cliccato su continue....
Niente, è finito così.
(Aggiorno via via questo post) |
|
| Top |
|
|
menatwork
Dio minore
Registrato: 07/10/11 16:58
Messaggi: 506
|
| Inviato: 05 Nov 2011 12:04 Oggetto: |
|
|
| mi serve il log completo, compreso quello di combofix |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 05 Nov 2011 13:05 Oggetto: |
|
|
Vedrò di recuperarlo. Ho avviato combofix e subito mi ha trovato il programma che conteneva il trojan. Ho allora scelto di cancellarlo e lui ha iniziato l'operazione.
Al momento Combofix sta lavorando (da quasi un'ora) ma la finestra che è apparsa dichiarando la presenza di un programma contenente il famigerato trojan è lì inamovibile... L'HDD sta ancora frullando e il mouse è disponibile ma non è possibile accedere alla barra in basso per fare qualsivoglia operazione, compresa la chiusura del programma.
In sintesi: Combofix pare girare regolarmente ma non consente accesso al PC e la finestra di avviso del trojan è sempre presente e inamovibile.
Nota:
Adesso sto scrivendo dal mio PC: l'altro, il portatile infettato, è nell'abitazione della mia amica e per agire su di esso devo andare da lei. Questo comporta allungamento dei tempi.
Per questo avevo iniziato a scrivere un post che avrei aggiornato via via. Il PC della mia amica è attualmente scollegato da internet dal momento che ho dovuto disattivare l'antivirus (AVG 8.5 che, appena finito di ripulire verrà sostituito da Avira)  |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 05 Nov 2011 23:25 Oggetto: |
|
|
Ecco qui i due link ai log richiesti: link LOG TDSKILLER
LINK LOG COMBOFIX
Grazie.
L'ultima modifica di Silent Runner il 05 Nov 2011 23:41, modificato 1 volta |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 05 Nov 2011 23:39 Oggetto: |
|
|
| Citazione: | | l'altro, il portatile infettato, è nell'abitazione della mia amica e per agire su di esso devo andare da lei. Questo comporta allungamento dei tempi. |
Ciao Silent.
Non converrebbe che ti prestasse il portatile per una sera, e nel giro di qualche ora (causa scansioni) lo sistemiamo?
Segui le istruzioni di questo topic per usare MBAM: (ricorda di aggiornarlo prima della scansione)
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Elimina gli eventuali file infetti trovati.
N.B:
Collega anche le eventuali periferiche, prima della scansione con Mbam.
Posta il log. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 05 Nov 2011 23:42 Oggetto: |
|
|
Sì, ci avevo pensato.. mi devo solo mettere d'accordo per farmelo dare. Non è un problema, comunque, ne ho già parlao con lei.
Appena ce l'ho ti avviso.
Grazie. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 05 Nov 2011 23:45 Oggetto: |
|
|
Scusa, R16.. quali periferiche sarebbe utile collegare?
Credo che abbia solo una stampante come periferica esterna.
Ah ho già scaricato Avira ma aspetto per eliminare AVG8.5 perché se risultasse difficile come l'altra volta...
Ricordi? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 06 Nov 2011 00:01 Oggetto: |
|
|
| Citazione: | | Scusa, R16.. quali periferiche sarebbe utile collegare? |
Chiavette USb, HD esterni, ... se non ne possiede a parte la stampante....meglio.
| Citazione: | Ah ho già scaricato Avira ma aspetto per eliminare AVG8.5 perché se risultasse difficile come l'altra volta...
Ricordi? |
Quella versione di AVG non dovrebbe creare problemi a Combofix.
Tanto è vero, che la scansione l'hai già eseguita.
Comunque questa è la disistallazione corretta di AVG:
Cessane l'esecuzione dalla Tray bar. (vicino all'orologio)
Vai in "Programmi e funzionalità" (da Pannello di controllo) e lo rimuovi.
Usa questa utility per eliminare eventuali rimasugli:
link
Riavvia il pc.
Installa avira e fai una scansione completa:
Guida e installazione di Avira:
http://forum.zeusnews.com/viewtopic.php?t=42228
Posta il log. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 07 Nov 2011 12:57 Oggetto: |
|
|
Ok, ho fissato per mercoledì, mi consegna il portatile e potrò lavorarci fin dalla mattina. Tu ci sei?  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 07 Nov 2011 19:17 Oggetto: |
|
|
No, alla mattina mi è impossibile.
Posso esserci dopo le 17,00.
Ma se ti risponde menatwork, (per accelerare anche i tempi) và bene lo stesso. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 09 Nov 2011 20:34 Oggetto: |
|
|
| Questo e il file log Log Mbam che però non sembra aver trovato niente mentre Avira, appena caricato ha subito trovato il solito trojan. Che faccio adesso? A parte andare a cena? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 09 Nov 2011 20:47 Oggetto: |
|
|
| Ooops.. mi ero sbagliato il trojan trovato da Avira è TR/Kazy.39453.1 |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 09 Nov 2011 20:52 Oggetto: |
|
|
Non importa.
Mi servono quelle scansioni. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 09 Nov 2011 22:27 Oggetto: |
|
|
Intanto beccati questo....
...E questo!!!
...E questo!
NON CLICCATE SULL'ULTIMO LINK! SCOPPIA TUTTO L'UNIVERSO!!! |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 09 Nov 2011 23:07 Oggetto: |
|
|
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
| Codice: | KillAll::
Driver::
McAfee SiteAdvisor Service
File::
C:\Programmi\Ask.com\Updater\Updater.exe
Folder::
c:\program files\Ask.com
c:\programdata\Ask
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ApnUpdater"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
|
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.
N.B:
Dopo questa operazione controlla se il Guard di Avira è ancora attivo.
Se non è attivo, te lo segnala con l'ombrellino chiuso sulla traybar. |
|
| Top |
|
|
Silent Runner
Supervisor sezione Chiacchiere a 360°
Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra
|
| Inviato: 09 Nov 2011 23:25 Oggetto: |
|
|
Non riesco a fare l'operazione di trascinamento del file sull'icona... é un problema preesistente. quando lo faccio in realtà mi si apre il programma e riparte da capo... (Combofix o qualsiasi altro programma)
Ho guardato nelle impostazioni del mouse ma sembra tutto regolare...
Boh. quello che ho ottenuto è questo...
ah, scusa mi ero dimenticato di postare questo file link
L'ultima modifica di Silent Runner il 09 Nov 2011 23:52, modificato 1 volta |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 09 Nov 2011 23:50 Oggetto: |
 |
|
e te pareva che filasse tutto liscio.....
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
| Codice: | :services
:OTL
PRC - [2011/08/23 20.20.18 | 000,887,976 | ---- | M] (Ask) -- C:\Programmi\Ask.com\Updater\Updater.exe
IE - HKU\S-1-5-21-3753820050-895248321-4206012868-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ironto
O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll File not found
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll File not found
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask)
:commands
[emptytemp]
[EMPTYFLASH]
[Reboot] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Fai una nuova scansione con OTL.
Posta il log. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
