| Precedente :: Successivo |
| Autore |
Messaggio |
splarz
Moderatore Hardware e Networking
Registrato: 20/08/06 15:54
Messaggi: 2767
|
 Inviato: 23 Nov 2012 19:14 Oggetto: Pc affetto da vari malware [RISOLTO] |
 |
|
Buondì!
Un'amica mi dato in mano il suo netbook (win xp, dal quale sto scrivendo), lamentando un'estrema lentezza, impossibilità di collegarsi a internet e mancato riconoscimento del masterizzatore dvd esterno Lg.
Avira era disattivato: l'ho rimosso e installato Avast. Il task manager non era visualizzabile. Mbam era installato ma non aggiornato. Ho eseguito una scansione con quest'ultimo in modalità provvisoria e ha trovato 5 malware differenti, mi sembra tutti adaware. "Mi sembra" perchè son così cretino nell'intimo da aver eliminato accidentalmente i log di mbam.
Al riavvio tutti i problemi erano stati risolti, ad eccezione di Windows Update che continua a segnalare una serie di aggiornamenti da effettuare: una volta dato l'ok per l'installazione la procedura si conclude senza intoppi, salvo riproporre gli stessi identici aggiornamenti due minuti dopo.
Temendo rimasugli di un'infezione, ho effettuato una scansione con SuspectFile (qui il log) e ho pronto Combofix da sfoderare.
Che s'ha da fare?
Grazie in anticipo! |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 23 Nov 2012 19:23 Oggetto: |
|
|
Ciao splarz !!!
Potresti per favore postarmi il log con Wikisend?
Non sò se per colpa mia, ma non riesco ad aprirlo. |
|
| Top |
|
|
splarz
Moderatore Hardware e Networking
Registrato: 20/08/06 15:54
Messaggi: 2767
|
| Inviato: 23 Nov 2012 20:00 Oggetto: |
|
|
ciao R16!
wikisend, non wikifile, ecco come si chiamava 
ho fatto un'altra scansione, che nel frattempo ho eliminato file con ccleaner e slax (quelle cartelle tipo l23er4gth56fgfd6788 che fa windows e sono intuli ed ineniminabili).
ecco il log |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 23 Nov 2012 20:08 Oggetto: |
|
|
Ci sono file sospetti (per me infezioni).
| Citazione: | [MSConfig\startupfolder\C:^Documents and Settings^Alice^Menu Avvio^Programmi^Esecuzione automatica^0.08196068614767449.exe.lnk]
"path"="C:\Documents and Settings\Alice\Menu Avvio\Programmi\Esecuzione automatica\0.08196068614767449.exe.lnk"
"backup"="C:\WINDOWS\pss\0.08196068614767449.exe.lnkStartup"
"location"="Startup"
"command"="C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\Alice\IMPOST~1\Temp\0.08196068614767449.exe,SuppS"
"item"="0.08196068614767449.exe" |
Direi di far partire Combofix.
Posta il log.
Se trovi intoppi fai una scansione con OTL:
http://forum.zeusnews.com/viewtopic.php?t=51382
Se vuoi eliminarli manualmente segui questo percorso del registro:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder
Apri la cartellina startupfolder e li trovi a destra della pagina.
Poi segui questo percorso e vedi se trovi il riferimento:
C:\Documents and Settings\Alice\Menu Avvio\Programmi\Esecuzione automatica\0.08196068614767449.exe.lnk" |
|
| Top |
|
|
splarz
Moderatore Hardware e Networking
Registrato: 20/08/06 15:54
Messaggi: 2767
|
| Inviato: 24 Nov 2012 11:50 Oggetto: |
|
|
Fatto Combofix, ecco il log.
Il riferimento del percorso era inesistente, ho eliminato le chiavi del registro.
Ora sto provando per l'ennesima volta ad installare 'sti aggiornamenti di Windows. |
|
| Top |
|
|
splarz
Moderatore Hardware e Networking
Registrato: 20/08/06 15:54
Messaggi: 2767
|
| Inviato: 24 Nov 2012 12:53 Oggetto: |
|
|
| Niente da fare: aggiornamenti di .net framework 2 e 3.5 in loop continuo. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 24 Nov 2012 13:12 Oggetto: |
|
|
Ciao.
| Citazione: | | Il riferimento del percorso era inesistente, ho eliminato le chiavi del registro. |
Hai eliminato le chiavi dopo la scansione con Combofix?
Te lo chiedo perchè nel log di Combofix ci sono ancora.
| Citazione: | | Niente da fare: aggiornamenti di .net framework 2 e 3.5 in loop continuo. |
Hai controllato se se si sono installati nonostante il loop?
Ti esce qualche messaggio con il codice dell' errore ? |
|
| Top |
|
|
splarz
Moderatore Hardware e Networking
Registrato: 20/08/06 15:54
Messaggi: 2767
|
| Inviato: 25 Nov 2012 13:19 Oggetto: |
|
|
| Citazione: | | Hai eliminato le chiavi dopo la scansione con Combofix? |
sì
| Citazione: | | Hai controllato se se si sono installati nonostante il loop? |
 no
| Citazione: | | Ti esce qualche messaggio con il codice dell' errore ? |
nessun errore: parte l'installazione, si conclude col messaggio che è andato tutto bene e dopo qualche decina di secondi ricompare lo scudo giallo con gli stessi identici aggiornamenti da eseguire. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 25 Nov 2012 14:08 Oggetto: |
|
|
| Citazione: | Hai eliminato le chiavi dopo la scansione con Combofix?
sì |
Per quello allora sono nel log.
| Citazione: | Hai controllato se se si sono installati nonostante il loop?
no |
Se non hai controllato, meglio farlo un controllo.
| Citazione: | | nessun errore: parte l'installazione, si conclude col messaggio che è andato tutto bene e dopo qualche decina di secondi ricompare lo scudo giallo con gli stessi identici aggiornamenti da eseguire. |
Tempo fa ho avuto un caso simile al tuo, ma onestamente non sono riuscito a "cavare il ragno dal buco".
In seguito, facendo delle ricerche in rete, ho visto che molti hanno risolto con la disistallazione del .net framework e la successiva reistallazione.
Non è semplicissimo come può sembrare, ci vuole tutta una procedura da eseguire alla lettera.
Vuoi provare?
In ogni caso, per sicurezza, mi puoi fare una scansione con OTL, per vedere se il pc è privo di virus, o rimasugli.
http://forum.zeusnews.com/viewtopic.php?t=51382 |
|
| Top |
|
|
splarz
Moderatore Hardware e Networking
Registrato: 20/08/06 15:54
Messaggi: 2767
|
| Inviato: 25 Nov 2012 16:08 Oggetto: |
|
|
ho controllato, effettivamente non vengono installati.
faccio partire OTL, poi ti so dire.
mi son scordato di menzionare un'altra cosa: all'avvio parte una finestrella chiamata "seleziona account utente"; ho eliminato l'account asp.net ma a nulla è valso e googlare non mi è stato d'aiuto. ho come l'impressione che sia legato in qualche modo alla (ex?)infezione. |
|
| Top |
|
|
splarz
Moderatore Hardware e Networking
Registrato: 20/08/06 15:54
Messaggi: 2767
|
| Inviato: 25 Nov 2012 17:01 Oggetto: |
|
|
report di OTL: log ed extras
ah, mi imbarco volentieri nella procedura |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 25 Nov 2012 17:05 Oggetto: |
|
|
| Citazione: | | ho eliminato l'account asp.net |
Non mi sembra una mossa azzeccata:
| Citazione: | In fase di installazione del .Net Framework 1.1, viene creato un nuovo Account chiamato: Asp.Net Machine Account oppure aspnet_wp account
Tale account si occupa di eseguire Asp.Net Worker Process usato da Internet Information Service, che permette l'esecuzione delle pagine Asp.Net ospitate nel sito web locale.
Asp.Net è uno dei linguaggi utilizzati per la creazione di applicazioni web basate sul CLR ( Common Language Runtime ) di .Net Framework.
Se eliminato:
Tutte le pagine presenti sul server web locale, create sfruttando la tecnologia Asp.Net, non potranno più essere eseguite. |
| Citazione: | | all'avvio parte una finestrella chiamata "seleziona account utente"; |
C'era un altro modo per eliminare correttamente quella finestra, e avviare il pc direttamente con l'account principale.
| Citazione: | | ho come l'impressione che sia legato in qualche modo alla (ex?)infezione. |
Possibile.
Specialmente se le infezioni dopo la loro eliminazione, hanno recato danni a file di sistema. (esempio i .net framework 2 e 3.5 )
Per questo proponevo la loro disistallazione e successiva reistallazione.
Comunque vediamo cosa dice OTL. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 25 Nov 2012 17:30 Oggetto: |
|
|
Vai in "Installazione Applicazioni" e rimuovi TUTTE le versioni JAVA che trovi.
Fai una pulizia con CCleaner. (registro compreso)
Scarica l'ultima versione di Java:
link
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
| Codice: | killallprocesses
:OTL
IE - HKU\S-1-5-21-2856520603-1079118523-1260927497-1005\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091
[2012/10/01 11.24.16 | 000,006,522 | ---- | M] () -- C:\Programmi\mozilla firefox\searchplugins\babylon.xml
[2010/09/02 09.09.28 | 000,002,486 | ---- | M] () -- C:\Programmi\mozilla firefox\searchplugins\iMeshWebSearch.xml
[2012/11/25 14.51.34 | 000,000,800 | ---- | M] () -- C:\temp854.bat
[2012/11/25 14.51.27 | 000,001,143 | ---- | M] () -- C:\temp413.bat
[2012/11/25 14.18.23 | 000,000,334 | ---- | M] () -- C:\WINDOWS\lgfwup.ini
:Files
ipconfig /flushdns /c
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:commands
[purity]
[emptytemp]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
Controlla se gli aggiornamenti si installano.
Seguirà la procedura per il net framework in caso di esito negativo. |
|
| Top |
|
|
splarz
Moderatore Hardware e Networking
Registrato: 20/08/06 15:54
Messaggi: 2767
|
| Inviato: 25 Nov 2012 18:18 Oggetto: |
|
|
| Citazione: | | C'era un altro modo per eliminare correttamente quella finestra, e avviare il pc direttamente con l'account principale. |
Eh, il problema è che lo sto avviando dall'unico account presente (gli altri erano asp e guest) 
sorry per la sciocchezza dell'utente asp terrò i tentacoli fermi.
cmq ho "risolto" eliminando il programma che chiedeva il permesso, era un inutile software di lg per il masterizzatore esterno. alla peggio reinstallo la periferica, ce ne fosse bisogno.
eseguo tutto e torno a riferire.
intanto grazie per la pazienza  |
|
| Top |
|
|
splarz
Moderatore Hardware e Networking
Registrato: 20/08/06 15:54
Messaggi: 2767
|
| Inviato: 25 Nov 2012 21:30 Oggetto: |
|
|
niente da fare.
la butto lì: non è che formattando faccio prima?
ecco il log di OTL |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 25 Nov 2012 21:48 Oggetto: |
|
|
| Citazione: | | la butto lì: non è che formattando faccio prima? |
Segui queste indicazioni, se non funziona: formatta
scarica il <Net Framework cleanup Tool>
dal seguente link :
link
Scompatta la cartella .zip.
Doppio clic su "cleanup_tool".
Clicca "Yes" le prossime 2 finestre.
Adesso nel menù a tendina seleziona "Net Framework3.5" e "Net Framework 2.0" e clicca su "cleanup Now"
Conferma tutto e chiudi il tool.
Ora scarica Net Framework3.5 dai seguenti link
NET Framework 3.5 Setup:
link
NET Framework 3.5 SP1:
link
Ora vai in Windows Update.
fai partire windows update e istalla i pacchetti framwork mancanti.
Riavvia il pc
controlla di nuovo per aggiornamenti |
|
| Top |
|
|
splarz
Moderatore Hardware e Networking
Registrato: 20/08/06 15:54
Messaggi: 2767
|
| Inviato: 26 Nov 2012 11:40 Oggetto: |
|
|
Ce l'ho fatta 
seguendo la procedura non andava a buon fine l'installazione del net framework 3.5 (errore 1306 a causa della mancanza del net framework 2.0).
ho deciso allora di usare il tool per eliminare tutti i net framework, poi ho pulito con ccleaner e li ho reinstallati tutti con win update, la cosa ha funzinato!
dici che il pc è pulito? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 26 Nov 2012 18:27 Oggetto: |
|
|
Ciao splarz.
| Citazione: | | ho deciso allora di usare il tool per eliminare tutti i net framework |
Era la strategia iniziale che avevo in mente.
Poi ci ho ripensato, e volevo eliminare e reistallare solo il NET Framework 3.5 perchè tale programma comprende anche il NET Framework 2.0.
Mi servirà per la prossima occasione.
Grazie.
| Citazione: | | dici che il pc è pulito? |
Come funziona il pc?
Noti altre anomalie?
Se sì, possiamo fare un'altra scansione con OTL, per vedere se è sfuggito qualcosa. |
|
| Top |
|
|
splarz
Moderatore Hardware e Networking
Registrato: 20/08/06 15:54
Messaggi: 2767
|
| Inviato: 27 Nov 2012 10:28 Oggetto: |
|
|
No no, il pc funziona benissimo
grazie per avermi risparmiato una formattazione, alla prossima  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 27 Nov 2012 18:21 Oggetto: |
 |
|
E' stato un piacere splarz 
Ciao! |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
