Olimpo Informatico

serj · Mortale devoto Registrato: 11/11/12 17:28 Messaggi: 12

ciao ragazzi, sono stato infettato anch'io dal notissimo virus che mi presenta la schermata della polizia di stato con webcam ecc ecc...ho letto qua e là nel forum ma non posso provare la maggior parte delle soluzioni perchè non ho accesso alla rete dal computer (è sbloccato solo se scollego il wireless)

ho windows 7 su un asus, se vi servono altre info chiedete...come faccio a torgliermelo?? grazie!!!

PS come mai AVG (aggiornato) non ha rilevato questo virus??

bdoriano · Inviato: 11 Nov 2012 19:22 Oggetto:

Ciao serj,

vuoi dire che, se disattivi il wireless, la schermata del virus non compare?

Puoi scaricare i programmi da un altro pc collegato alla rete e caricarli sul pc infetto tramite chiavetta?

serj · Mortale devoto Registrato: 11/11/12 17:28 Messaggi: 12

Si esatto non compare

serj · Mortale devoto Registrato: 11/11/12 17:28 Messaggi: 12

Immagino di si..cosa dovrei fare?

serj · Mortale devoto Registrato: 11/11/12 17:28 Messaggi: 12

Immagino di si..cosa dovrei fare?

bdoriano · Inviato: 11 Nov 2012 19:32 Oggetto:

Da un pc pulito, scarica OTL:
clicca qui per scaricarlo e salvalo su una chiavetta.
Collega la chiavetta al pc infetto e copia il file OTL.EXE sul desktop.
Clicca sull'icona di OTL che trovi sul tuo desktop
in Output, assicurati che sia selezionato Minimal Output
metti il segno di spunta a
Scan All Users
LOP Check
Purity Check
in Standard Registry, assicurati che sia selezionato All
in Extra Registry, assicurati che sia selezionato Use SafeList
clicca il bottone Run Scan
verranno generati 2 logs:
OTListIt.txt (aperto)
Extra.txt (minimizzato)
Carica i logs uno dei servizi di hosting indicati in questa discussione

serj · Mortale devoto Registrato: 11/11/12 17:28 Messaggi: 12

innanzi tutto grazie dei consigli...ecco i log ottenuti:

OTL.Txt

Extras.Txt

bdoriano · Inviato: 11 Nov 2012 22:04 Oggetto:

Salva il testo che ti ho indicato qui sotto in un file di testo e salvalo sulla chiavetta, dopodiché copialo sul pc infetto e segui le istruzioni seguenti:

Avvia nuovamente OTL (dal desktop)

Copia e incolla il testo seguente nel riquadro

:

Codice:

:processes
killallprocesses

:OTL
O4 - Startup: C:\Users\Sergio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)
[2012/11/11 16:05:11 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\lsass.exe
[2012/11/11 17:30:40 | 083,023,306 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2012/11/11 16:05:26 | 000,000,822 | ---- | M] () -- C:\Users\Sergio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
[2012/11/11 16:05:11 | 000,044,544 | ---- | M] (Microsoft Corporation) -- C:\ProgramData\lsass.exe

:files
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:Commands
[resethosts]
[EMPTYTEMP]
[EMPTYFLASH]
[EMPTYJAVA]

clicca
Se richiesto, riavvia il pc
clicca
Verrà creato un log tipo ggMMaaaa_hhmmss.log
carica il nuovo log su uno dei servizi di hosting indicati in questa discussione

serj · Mortale devoto Registrato: 11/11/12 17:28 Messaggi: 12

ok ho aggiunto la stringa che mi hai inviato ma OTL mi ha dato un errore irreversibile mentre lavorava e ho riavviato, ma ovviamente non ha portato a termine l'operazione nè creato il log...dopo il riavvio ho riprovato ma sembra bloccato..

bdoriano · Inviato: 11 Nov 2012 23:14 Oggetto:

Segui le istruzioni di questo topic per postare il log di combofix.
Ovviamente, dovrai scaricare combofix dal pc pulito e copiarlo sul pc infetto per fare le varie operazioni.

serj · Mortale devoto Registrato: 11/11/12 17:28 Messaggi: 12

ok ora l'ha fatto, da quanto leggo non ha trovato lsass.exe
se può servire, avevo fatto una scansione con avg e mi diceva che i file lsass.exe e lsass.exe (3496) venivano "eseguiti da posizione errata"

btw, questo è il log

11112012_220304.log

serj · Mortale devoto Registrato: 11/11/12 17:28 Messaggi: 12

scusa non ho letto, ma adesso aveva fatto da solo

bdoriano · Inviato: 12 Nov 2012 08:45 Oggetto:

Probabilmente l'operazione è stata eseguita 2 volte e la prima non ha generato log. Think

Per verifica, fai una nuova scansione con OTL:

Clicca sull'icona di OTL che trovi sul tuo desktop
in Output, assicurati che sia selezionato Minimal Output
metti il segno di spunta a
Scan All Users
LOP Check
Purity Check
in Standard Registry, assicurati che sia selezionato All
in Extra Registry, assicurati che sia selezionato Use SafeList
clicca il bottone Run Scan
verranno generati 2 logs:
OTListIt.txt (aperto)
Extra.txt (minimizzato)
Carica i logs uno dei servizi di hosting indicati in questa discussione

serj · Mortale devoto Registrato: 11/11/12 17:28 Messaggi: 12

ecco i nuovi file

OTL(1).Txt

Extras(1).Txt

ma AVG free lo considero sicuro? perchè il sito visto ieri lo consulto da anni, e con AVG non ho mai preso niente..

bdoriano · Inviato: 12 Nov 2012 14:21 Oggetto:

Bene!

Sembra che il virus sia stato eliminato completamente.
Ora ci sono da fare alcune operazioni e poi dovrai eseguire degli aggiornamenti.

Avvia nuovamente OTL (dal desktop)

Copia e incolla il testo seguente nel riquadro

:

Codice:

:processes
killallprocesses

:OTL

:files
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:Commands
[resethosts]
[EMPTYTEMP]
[EMPTYFLASH]
[EMPTYJAVA]

clicca
Se richiesto, riavvia il pc
clicca
Nella cartella C:\_OTL\MovedFiles\ verrà creato un log tipo ggMMaaaa_hhmmss.log
carica il nuovo log su uno dei servizi di hosting indicati in questa discussione

Dopodiché:

Segui le istruzioni di questo topic per usare MBAM.
scarica e installa la versione Free di SuperAntispyware:
- Carica i logs uno dei servizi di hosting indicati in questa discussione
Segui le indicazioni di questo topic per aggiornare gli altri programmi.
Al termine di queste operazioni, rifai la scansione con OTL e posta i nuovi logs.

Personalmente, non ho una grande opinione di AVG.
L'ho usato anch'io fino a qualche anno fa ma, purtroppo, quando ha cominciato a fare casini e a cancellare file di sistema a gogò, l'ho abbandonato senza ripensamenti.
Al momento, preferisco far installare l'ottimo Avira.
Comunque, se ti trovi bene con AVG, continua pure a usarlo.

serj · Mortale devoto Registrato: 11/11/12 17:28 Messaggi: 12

scansione OTL

11122012_165134.log

bdoriano · Inviato: 12 Nov 2012 20:47 Oggetto:

Ok.
Appena hai finito le altre operazioni, posta i vari logs, così concludiamo l'intervento.

serj · Mortale devoto Registrato: 11/11/12 17:28 Messaggi: 12

le scansioni ci hanno messo un pò Very Happy

mbam-log-2012-11-12 (17-06-16).txt

SUPERAntiSpyware Scan Log - 11-13-2012 - 17-54-16.log

OTLlast.Txt

Extraslast.Txt

per ora non ho installato avira ma farò tesoro del consiglio...grazie dell'aiuto, ti offro una birra virtuale o almeno stasera brinderò alla salute tua e del forum Laughing

bdoriano · Inviato: 13 Nov 2012 21:20 Oggetto:

Ciao serj,

direi che la pulizia è completa. Wink

Ti rimane da controllare la versione di Adobe Flash Player 10 ActiveX che non è aggiornata.

Clicca sull'icona di OTL che trovi sul tuo desktop
clicca il bottone CleanUp

Ora possiamo dire di avere terminato. Razz

Se riscontri problemi, siamo qui. Ciao

serj · Mortale devoto Registrato: 11/11/12 17:28 Messaggi: 12

ok finita

ultima cosa, è il caso che cambi le varie password salvate in giro, o il virus non dovrebbe aver toccato la roba memorizzata?

grazie ancora!