| Precedente :: Successivo |
| Autore |
Messaggio |
k2
Mortale pio
Registrato: 13/10/13 01:38
Messaggi: 24
|
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
 Inviato: 13 Ott 2013 12:02 Oggetto: |
 |
|
Ciao k2 e benvenuto. 
Hai imbarcato una brutta infezione.
Comunque, sia mbam che TDSSkiller hanno fatto un buon lavoro.
Mi servono queste 2 scansioni per verificare se il rootkit è ancora attivo, e se ha fatto danni ai vari servizi:
Scarica RougeKiller sul desktop.
link (per S.O 32 bit)
link (per S.O 64 bit)
Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, clicca su "Report" troverai il log sul desktop.
Postalo qui .
Poi:
scarica Scanner Servizio Farbar sul desktop :
link
Metti un segno di spunta in tutte le caselle sul lato sinistro.
Clicca su "Scan".
Si creerà un log (FSS.txt) nella stessa directory in cui viene eseguito lo strumento.
Posta il log.
Seguiranno ulteriori indicazioni. |
|
| Top |
|
|
k2
Mortale pio
Registrato: 13/10/13 01:38
Messaggi: 24
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Ott 2013 13:38 Oggetto: |
|
|
Ciao.
Riesegui RougeKiller
Finita la scansione, clicca su "Delete".
Finita l'eliminazione clicca su "Report".
Postalo qui.
Rifai un'altra scansione con RougeKiller.
Posta il log.
Hai problemi di connessione? |
|
| Top |
|
|
k2
Mortale pio
Registrato: 13/10/13 01:38
Messaggi: 24
|
| Inviato: 13 Ott 2013 16:51 Oggetto: |
|
|
Durante le scansioni ho staccato il cavetto. La connessione mi sembra che va bene.
Quando ho tentato di ripetere la scansione con RougeKiller mi avvisava che era già in funzione, ma io prima lo avevo chiuso. Ho cliccato in start per il riavvio sistema, ma il pc è rimasto fermo sulle sue per molto tempo prima di riavviarsi.
Rifatta la scansione, alla fine si apre una pagina di IE con indirizzo "adlice.com".
_D_10132013_163803.txt]RKreport[0]_D_10132013_163803.txt
_S_10132013_164559.txt]RKreport[0]_S_10132013_164559.txt
Grazie per l'enorme aiuto. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Ott 2013 17:34 Oggetto: |
|
|
Ciao.
| Citazione: | | Durante le scansioni ho staccato il cavetto. |
Ah, per quello il tool mi diceva che ci sono problemi di connessione. (eri sconnesso durante la scansione....  )
Comunque per sicurezza fai una scansione con Scanner Servizio Farbar con la connessione attiva.
Posta il log.
Riscontri problemi sul pc? |
|
| Top |
|
|
k2
Mortale pio
Registrato: 13/10/13 01:38
Messaggi: 24
|
| Inviato: 13 Ott 2013 17:43 Oggetto: |
|
|
Che fortuna!
Non noto problemi, ancora per fortuna!
Forse sento girare un pò troppo l'HD all'inizio quando riavvio o accendo.
Cmq adesso farò una deframmentazione e devo mettere un nuovo antivirus.
Devo cancellare i punti di ripristino che ci sono?
Mille grazie anche per questi ultimi suggerimenti
p.s non avevo letto dell'ultima scansione. Un attimo che posto il log. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Ott 2013 17:47 Oggetto: |
|
|
Ho modificato il mio post in corsa, perchè voglio essere sicuro che non ci siano danni.
Aspetto la scansione con Scanner Servizio Farbar e relativo log. |
|
| Top |
|
|
k2
Mortale pio
Registrato: 13/10/13 01:38
Messaggi: 24
|
| Inviato: 13 Ott 2013 17:54 Oggetto: |
|
|
Ecco
FSS.txt
Se tutto è in ordine, per eliminare i software usati che ho sul desktop, tasto dx elimina ? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Ott 2013 18:04 Oggetto: |
|
|
| Citazione: | | Se tutto è in ordine |
Sì tutto perfetto. (che fortuna !!  )
Ci sarebbe da sistemare alcune cosette che ho visto sul log di OTL. (niente di grave)
Comunque:
| Citazione: | | per eliminare i software usati che ho sul desktop, tasto dx elimina? |
Disattiva il Ripristino configurazione sistema
Cestina Scanner Servizio Farbar.
Idem RougeKiller
Idem JRT.
Per OTL : lo apri e clicca su CleanUP
Adwcleaner ha il suo "Unistall nella schermata principale.
Riattiva il Ripristino configurazione sistema.
Una pulizia con CCleaner (registro compreso) non guasta mai. |
|
| Top |
|
|
k2
Mortale pio
Registrato: 13/10/13 01:38
Messaggi: 24
|
| Inviato: 13 Ott 2013 18:09 Oggetto: |
|
|
Per questa cosa:
"Ci sarebbe da sistemare alcune cosette che ho visto sul log di OTL"
cosa si deve fare? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Ott 2013 18:12 Oggetto: |
|
|
Questa operazione:
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
| Codice: | :OTL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - %SystemRoot%\System32\winrnr.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000030 - %SystemRoot%\System32\winrnr.dll File not found
O15 - HKU\.DEFAULT\..Trusted Ranges: Range1 ([http] in Local intranet)
O15 - HKU\S-1-5-18\..Trusted Ranges: Range1 ([http] in Local intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 10.40.2)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 10.40.2)
O33 - MountPoints2\{3eb1cc47-032c-11e2-88e3-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{3eb1cc47-032c-11e2-88e3-806e6f6e6963}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence
O33 - MountPoints2\{4d004aa8-0328-11e2-afd9-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{4d004aa8-0328-11e2-afd9-806e6f6e6963}\Shell\AutoRun\command - "" = F:\setup_vmb_lite.exe /checkApplicationPresence
O33 - MountPoints2\{aab31ed2-12cb-11e1-8900-001f164d195e}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
:Files
ipconfig /flushdns /c
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log se la esegui. |
|
| Top |
|
|
k2
Mortale pio
Registrato: 13/10/13 01:38
Messaggi: 24
|
| Inviato: 13 Ott 2013 18:46 Oggetto: |
|
|
dopo run fix e il riavvio c'è stata la clessidra circolare per alcuni minuti, poi schermo nero con solo il puntatore per altri 2 minuti e poi la videata che allego.
Vedo riferimenti a Vodafone, che uso per la connesione a internet in un'altra casa...che adesso non posso verificare.
Purtroppo qualcosa è andato storto, perché vedo che non si apre più IE, pagina bianca e non risponde.
Adesso sembra ci sia un problema anche alla connessione, prima attaccando il cavetto accedeva subito alla rete.
10132013_182720.log
Immagine.jpg |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Ott 2013 19:17 Oggetto: |
|
|
Prova a riavviare di nuovo il pc.
Se non funziona,vedi se trovi un Punto di ripristino precedente la scansione con OTL.
| Citazione: | | Purtroppo qualcosa è andato storto, |
Evidentemente sì. |
|
| Top |
|
|
k2
Mortale pio
Registrato: 13/10/13 01:38
Messaggi: 24
|
| Inviato: 13 Ott 2013 19:25 Oggetto: |
|
|
Anche riavviando è uguale. Quindi devo ripristinare. Menomale che non li avevo ancora cancellati.
Ci provo. Un attimo che non ricordo bene qui su vista dove sono i punti di ripristino... |
|
| Top |
|
|
k2
Mortale pio
Registrato: 13/10/13 01:38
Messaggi: 24
|
| Inviato: 13 Ott 2013 19:43 Oggetto: |
|
|
R16, ho effettuato il ripristino a ieri, non compaiono più gli avvisi di errore.
Bisogna adesso rilanciare RougeKiller? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Ott 2013 19:44 Oggetto: |
|
|
| Purtroppo sì. |
|
| Top |
|
|
k2
Mortale pio
Registrato: 13/10/13 01:38
Messaggi: 24
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Ott 2013 20:10 Oggetto: |
|
|
| Citazione: | | Con questa nuove correzioni pensi siamo ritornati allo stato funzionante e pulito antecedente lo script di otl? |
Sì perchè con il ripristino abbiamo ripristinato il Winsock2, insieme al rootkit, e lo abbiamo ri-eliminato con questa scansione.
Rifai la scansione con RougeKiller.
Posta il log.
Le mie scuse ti sono dovute.
E' la prima volta che mi succede di eliminare un Winsock2. (è un servizio fondamentale per la connessione)
Mi dispiace. |
|
| Top |
|
|
k2
Mortale pio
Registrato: 13/10/13 01:38
Messaggi: 24
|
| Inviato: 13 Ott 2013 20:17 Oggetto: |
 |
|
| Di nulla R16, sei gentilissimo e disponibile fino alla fine delle operaioni. L'importante è essere riusciti a recuperare. Adesso riposto il log. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
