Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
ukash
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
wacom
Mortale devoto
Mortale devoto


Registrato: 21/12/12 10:24
Messaggi: 12
MessaggioInviato: 21 Dic 2012 10:32    Oggetto: ukash Rispondi citando
buongiorno,
anche io sono vittima del virus ukash.
Mi è anche impossibile accedere alla modalità provvisoria, in quanto lo schermo sembra spento fino all'avvio di windows.
Ho provato svariate volte anche spegnendo il pc tramite pressione prolungata, ma non vi è stato verso.
Il mio pc è un Asus N53S con sistema operativo Win7 home edition.
Al momento del blocco avevo due hd collegati di cui uno utilizzato per il lavoro, ma fino ad ora non ancora collegato ad un altro pc per paura di passare il virus.
Qualcuno può aiutarmi per piacere?
Grazie mille
Top
Profilo Invia messaggio privato
wacom
Mortale devoto
Mortale devoto


Registrato: 21/12/12 10:24
Messaggi: 12
MessaggioInviato: 21 Dic 2012 11:31    Oggetto: Rispondi citando
Update

Sono riuscito ad entrare in modalità provvisoria e a far partire OTL generando i due txt:

OTL.Txt

Extras.Txt

Visualizzo in esecuzione automatica un runctf che linka a rundll32 in Windows/system32 ed ad un file wgsdgsdgdsgsd.dll nella cartella user.

Rimane sempre la mia preoccupazione di attaccare l'hd esterno al pc del lavoro. Purtroppo oggi ho una scadenza e sono in seria difficoltà.
Grazie mille
Top
Profilo Invia messaggio privato
wacom
Mortale devoto
Mortale devoto


Registrato: 21/12/12 10:24
Messaggi: 12
MessaggioInviato: 21 Dic 2012 16:42    Oggetto: Rispondi citando
Nessun'anima pia riuscirebbe a darmi una mano per favore?
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 21 Dic 2012 19:01    Oggetto: Rispondi citando
Ciao.
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:


Codice:
:OTL
[2012/12/20 21:26:19 | 000,185,720 | ---- | C] (Корпорация Майкрософт) -- C:\Users\isa\wgsdgsdgdsgsd.dll
@Alternate Data Stream - 1149 bytes -> C:\Users\isa\AppData\Local\Temp:b14frrQpS3gH0bUf95DW
@Alternate Data Stream - 1121 bytes -> C:\Users\isa\AppData\Local\rcf5PZXmYl:9u1zanXBLTrjNiuP38I09gnO
@Alternate Data Stream - 1075 bytes -> C:\Users\isa\AppData\Local\Temp:v3IP7mKOqjSBSGnIgNFSIRSjLG
@Alternate Data Stream - 1047 bytes -> C:\Users\isa\AppData\Local\7rSc2JpKkO9ylZ:I2cMWYWNE2vkEIdcDLVp3mGdl4
@Alternate Data Stream - 1030 bytes -> C:\Users\isa\AppData\Local\WXsoYZbcrDWH:p1iSAo3Z2iIE4G8eakaT5

:Files
C:\ProgramData\dsgsdgdsgdsgw.pad
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.

Avvia il pc in Modalità normale.

Segui le istruzioni di questo topic per usare MBAM: (ricorda di aggiornarlo prima della scansione)
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa. (NON veloce)
Elimina gli eventuali file infetti trovati.
Posta il log.

Citazione:
Rimane sempre la mia preoccupazione di attaccare l'hd esterno al pc del lavoro.

Non "attaccare" niente finchè la bonifica non sia conclusa.
Top
Profilo Invia messaggio privato
wacom
Mortale devoto
Mortale devoto


Registrato: 21/12/12 10:24
Messaggi: 12
MessaggioInviato: 22 Dic 2012 17:10    Oggetto: Rispondi citando
Grazie R16.
Purtroppo ieri mi sono ritrovato, prima della tua risposta, a procedere in questo modo:
- Ho eliminato runctf dall'avvio automatico (tramite startup manager di System Advance Care) e cancellato link in esecuzione automatica e file a cui puntava (wgsdgsdgdsgsd.dll nella cartella user).
- Ho avviato mbam e cancellato quanto rilevato come nocivo.

mbam-log-2012-12-21 (16-53-12).txt

- ho attaccato l'hd al pc del lavoro (mi sembra non sia successo niente. Ma una volta finita la procedura per bonificare il mio, penserò a quello. E' una workstation Dell con Windows 7 pro).
Non avevo la possibilità di attendere, avendo quella consegna.

Dopo aver letto la tua risposta procedo con otl e quanto postato da te, ma dopo il riavvio mi ritrovo una cartella _OTL/MovedFiles.. con all'interno il file host e un FXSAPIDebugLogFile.txt (vuoto) ed un solo file di analisi che si chiama 12222012_125955.

12222012_125955.log

Collego allora tutti gli hd collegati ieri ed avvio mbam.

mbam-log-2012-12-22 (15-58-43).txt

Ha trovato solo i due file di un crack che avevo già da parecchio tempo, quindi non ho optato per la cancellazione.

Con cosa devo procedere ora?
Per l'analisi del pc a lavoro dovrei fare la medisima cosa fatta sul mio?
Grazie mille
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 22 Dic 2012 20:05    Oggetto: Rispondi citando
Citazione:
Con cosa devo procedere ora?

Con una nuova scansione (in Modalità normale) di OTL seguendo le stesse indicazioni di quando lo hai scaricato la prima volta.
Posta il log. (ne rilascerà 1 solo)
Poi mi devi dire come funziona il pc, e se riscontri noie.

Citazione:
Per l'analisi del pc a lavoro dovrei fare la medisima cosa fatta sul mio?

Prima finiamo questo.
Poi ci occupiamo dell'altro.
In ogni caso, in questo forum la filosofia è: "un pc un topic".
Quindi per il pc da lavoro apri un nuovo topic, spiega il problema e posta un log di OTL.
Top
Profilo Invia messaggio privato
wacom
Mortale devoto
Mortale devoto


Registrato: 21/12/12 10:24
Messaggi: 12
MessaggioInviato: 22 Dic 2012 23:49    Oggetto: Rispondi citando
Penso di aver sbaglaito qualcosa, me ne sono usciti due:

OTL.Txt

Extras.Txt

Sembra funzionare tutto, naturalmente con il ripristino dell'host alcuni software non vanno più per ovvi motivi.
In aggiunta ho fatto partire anche uno scan di avast all'avvio su tutti i dischi.
L'unica stranezza è che per un attimo mi è comparsa all'avvio la schermata che la versione di windows era contraffatta (ma non è più comparso niente in seguito. Di questo ho ho una versione autentica.)
Per adesso sembra tutto ok.
Gli hd esterni hanno bisogno di uno scan o basta quello fatto con mbam?
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 23 Dic 2012 13:26    Oggetto: Rispondi citando
Ciao.
Ripuliamo il pc, da scorie e rimasugli di toobar:

Vai in "Programmi e funzionalità e disistalla TUTTE le versioni Java che trovi.
Installa l'ultima versione: (il tuo S.O è a 64 bit)
link

Scarica Adwcleaner sul desktop:
link
Clicca sul pulsante "Elimina".
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.

Apri OTL e clicca su Cleanup.
Si disistallerà OTL .
Ti chiederà il riavvio del pc: acconsenti.

Disattiva il ripristino configurazione di sistema:
http://forum.zeusnews.com/viewtopic.php?t=22084

Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Lo riattivi, e crea un punto di ripristino.

Citazione:
naturalmente con il ripristino dell'host alcuni software non vanno più per ovvi motivi.

Purtroppo con certe infezioni,è meglio resettare il file Hosts per prevenire che il virus si rigeneri.

Citazione:
Gli hd esterni hanno bisogno di uno scan o basta quello fatto con mbam?

Scansionali per sicurezza anche con l'antivirus.
Top
Profilo Invia messaggio privato
wacom
Mortale devoto
Mortale devoto


Registrato: 21/12/12 10:24
Messaggi: 12
MessaggioInviato: 23 Dic 2012 17:45    Oggetto: Rispondi citando
Ciao,
ecco txt di Adwcleaner:

.txt]AdwCleaner[S1].txt

Scansionato anche i due hd, ma mi sorge questo dubbio:
se l'antivirus non ha bloccato ukash,
anche scansionando tutti i dischi non rileverà la minaccia, o sbaglio?

Grazie davvero.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 23 Dic 2012 18:40    Oggetto: Rispondi citando
Citazione:
anche scansionando tutti i dischi non rileverà la minaccia, o sbaglio?

Non sbagli, anche perchè non puoi usare l'antivirus o altro software di difesa, con il pc bloccato, e una volta eliminato, ovviamente l'antivirus non lo rileva.
Al momento nessun antivirus blocca preventivamente questa infezione.
Questo tipo di infezione NON si propaga nelle periferiche.
Come virus, (almeno la variante che hai imbarcato tu) è piuttosto stupido.
Si limita a bloccare il pc, e basta.
Non fà altri danni.
Per cui, si può ragionevolmente pensare, che le periferiche non siano state infettate.
Top
Profilo Invia messaggio privato
wacom
Mortale devoto
Mortale devoto


Registrato: 21/12/12 10:24
Messaggi: 12
MessaggioInviato: 23 Dic 2012 18:59    Oggetto: Rispondi citando
Ottimo allora dovrei riessere apposto, vero?
Grazie mille ancora
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 23 Dic 2012 19:10    Oggetto: Rispondi citando
Citazione:
Ottimo allora dovrei riessere apposto, vero?

Sì; a mio avviso non dovresti avere problemi.
In caso contrario, torna pure qui.
Top
Profilo Invia messaggio privato
wacom
Mortale devoto
Mortale devoto


Registrato: 21/12/12 10:24
Messaggi: 12
MessaggioInviato: 23 Dic 2012 19:30    Oggetto: Rispondi citando
Perfetto,
grazie ancora
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129
MessaggioInviato: 23 Dic 2012 19:50    Oggetto: Rispondi
Di niente.
Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi