| Autore |
 Discussione  |
|
|
Kéntauros
Senior Member
163 Messaggi |
 Inserito il - 09/06/2008 : 20:35:56
|
Salve Amici,
ho un problema su un pc un po' datato che ha come SO Win200Pro sp.4.
Da giorni non si riesce più a lavorare per un infestazione di due virus ed in particolare:
- Trojan horse: TR/Crypt.XPACK.Gen
- Worm : WORM/IrcBot.27907
Pur facendo una scansione con l'antivirus della macchina, ovvero Avira Antivirus e cercando di eliminarli o metterli in quarantena, ogni qual volta si accende il pc questi ripartono, facendo rallentare l'avvio e non permettendo la connessione ad internet, con Firefox, se non dopo circa 20 minuti. Inoltre se ad internet si accede con Explorer, questo si apre su un'altra pagina che non è quella prestabilita, facendo poi comparire molte finestre di siti di casinò e giochi on-line. Alla fine, purtroppo sia con Explorer che con Firefox, non si riesce più a navigare e bisogna spegnere il pc per vari crash del sistema. Premetto che il pc non ha alcun programma di file sharing ne di condivisione, è una macchina prettamente utilizzata per backup. Io di più non riesco fare, o meglio ci sto provando ma con i mezzi che ho, non riesco ad andare avanti, anche se volessi fare una scansione on-line o scaricare un applicativo di rimozione mirata non si riesce, la connessione va in stallo.
Vi allego il file .log :
htt*://[www].sendmefile[.com]/00633328
Scusate se chiedo sempre, ma non so a chi posso rivolgermi se non a Voi.
Grazie.
Alla Prox.
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 10/06/2008 : 06:56:25
|
Il pc è parecchio infetto!
Fai una scansione con kaspersky:
htt*://[www].kaspersky[.com]/service?chapter=161739400
1.Clicca su Kaspersky Online Scanner
2.Scarica un componente ActiveX da Kaspersky, Clicca su "Yes."
3.Attendi la fine del download
4.Clicca su "Next"
5.Clicca su "Scan Settings"
6.Assicurati che siano spuntate le seguenti voci
Scan using the following Anti-Virus database:
Extended
spunta le voci di "Scan options"
Scan Archives
Scan Mail Bases
7.Clicca su "OK"
8.Scegli "My computer"
Attendi la fine della scansione salva il rapporto cliccando su "Save as Text" e postalo caricandolo su [www].sendmefile[.com]
1.Scarica il file - htt*://subs.geekstogo[.com]/ComboFix.exe
2. Doppio click su combofix.exe & e segui le istruzioni
3. Quando avrà finito, creerà log ....
Posta i log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt caricandoli su [www].sendmefile[.com]
scarica questo software:
htt*://[www].malwarebytes.org/mbam/program/mbam-setup.exe lo aggiorni e scegli la modalità scansione completa. Elimina le minacce che ti trova. Alla fine vai nella scheda file di log, apri il file di testo e lo posti secondo le regole del forum
Al termine se rileverò virus ti preparerò la procedura che dovrai seguire  |
 |
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 10/06/2008 : 21:39:17
|
Salve,
Questo è l'unico file .log che sono riuscito a fare:
htt*://[www].sendmefile[.com]/00633560
Infatti non sono riuscito a far eseguire al pc la scansione con Kasperky on-line in quanto vi era un assalto continuo di virus ed il sistema andava in crash; stessa cosa con ComboFix. insomma ho dovuto scaricare Malwarebytes da un altro pc e caricarlo su Win2000Pro con una chiavetta usb, installarlo (dopo circa un'ora di attesa)e fargli fare la scansione e rimozione (vedi il file .log sopra). Ora il pc pare più veloce e non ho avuto ancora sgradite sorprese, ma visto che Win2000Pro è un pc di backup a fini commerciali, l'intento è quello di formattarlo, reinstallare il SO Win2000Pro per licenza e al massimo mettere un antivirus più potente free. Cosa mi consigliate? AVG o altro? Con Antivir Avira non penso che abbia avuro successo. Insomma il pc deve girare all'occorrenza senza essere infestato da virus; l'unica precauzione che vorrei avere è un o dei programmi di sicurezza free e/o con licenza GPL da installare.
Ringrazio molto Leleago per la procedura. Comunque attendo a domani; se secondo l'analisi del file .log si può evitare la formattazione, tanto meglio. Non so, dimmi tu Leleago, che mi consigli?
Grazie.
Alla prox. |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 11/06/2008 : 07:55:16
|
| Elimina i virus che ti ha rilevato malwarebytes e riprova a rieseguire scansioni con kaspersky e combofix |
|
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 16/06/2008 : 21:51:00
|
Salve,
ho fatto la scansione con Kaspersky (che fatica), mentre con Combifix nulla di fatto, non va. Contrariamente con Malwarebytes va tutto ok.
Ho eseguito varie scansioni con altri programmi e tutti hanno rilevato virus e varie, che sono stati eliminati. Di seguito c'è il file con tutti i file .log.
htt*://[www].sendmefile[.com]/00634881
Ora però il problema si ripete perchè non appena libero il pc dai virus, subito ne entrano altri. Insomma è un via vai, è un porto di mare. secondo me è proprio il SO Win200Pro che è labile su questo fronte, non è cosa nuova che tale SO è semère stato attaccato, ma ora è impossibile. Prima qualche virus entrava o cercava di farlo, ora ha le porte spalancate. Forse sarebbe il caso di adottare delle patch di Microsoft o non so che fare. Attendo un maxi consiglio.
Grazie.
Alla prox. |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 17/06/2008 : 07:25:31
|
Elimina i virus che ti ha rilevato MalwareBytes ed eliminali anche dalla Quarantena!
Scarica CCleaner (htt*://[www].filehippo[.com]/download_ccleaner/), Avenger (htt*://swandog46.geekstogo[.com]/avenger.zip)
apri hijack e spunta:
O2 - BHO: (no name) - {47D5B609-2A85-4E72-A3A8-3A46485E5F27} - (no file)
O2 - BHO: {895fe231-4576-c04a-adf4-7e7f32e5965c} - {c5695e23-f7e7-4fda-a40c-6754132ef598} - C:\WINNT\system32\eqfuxqur.dll
O4 - Startup: Piylzq2tOn.lnk = C:\Documents and Settings\Win2000Pro\Impostazioni locali\Temp\kmsirpog.exe
O4 - Startup: Riprendi l'installazione di Windows Update.lnk = C:\Documents and Settings\Ambra\Desktop\ie6\ie6setup.exe
O16 - DPF: {BD0D1F18-5561-11DC-A0D9-692F56D89593} - htt*://faststat.net/code/1050.exe
O20 - Winlogon Notify: xxyvvSjj - xxyvvSjj.dll (file missing)
clicca su fix checked
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto:
files to delete:
C:\WINNT\system32\eqfuxqur.dll
C:\Documents and Settings\Win2000Pro\Impostazioni locali\Temp\kmsirpog.exe
C:\Documents and Settings\Ambra\Desktop\ie6\ie6setup.exe
c:\winnt\system32\ xxyvvSjj.dll
C:\WINNT\system32\bgsmcrli.dll
C:\WINNT\system32\ilrdusbs.dll
C:\WINNT\system32\lbsoadre.dll
C:\WINNT\system32\pftobdni.dll
C:\WINNT\system32\udaptune.dll
D:\Immagini\aqua3d_Screen Saver.exe
D:\Immagini\tweetygala.exe
folders to delete:
C:\Documents and Settings\Ambra\Desktop\ie6
C:\WINNT\system32\ii
C:\WINNT\system32\o
registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyvvSjj
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte). Vai su scheda Registro, trova problemi e ripara selezionati
Scarica htt*://[www].suspectfile[.com]/systemscan
Esegui systemscan clicca su "Scan Now". Finita la scansione, carica il rapporto che trovi in C:\Suspectfile su [www].sendmefile[.com] e posta il link ottenuto.
|
|
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 19/06/2008 : 22:29:57
|
Salve Leleago,
ho eseguito alla lettera la procedura che mi ha indicato:
htt*://[www].sendmefile[.com]/00635616
Comunque, mentre eseguivo le due applicazioni si sono ripresentati altri 2 "intrusi" che ho neutralizzato (forse) con Avira.
Io ho un sospetto, ovvero che nel pc si sia introdotto un utente remoto o un qualcosa che potrebbe controllare i dati sensibili (psw, link, etc....). Dico questo perchè ogni volta che mi collego alla rete, l'inizializzazione di Firefox è lenta e la pagina iniziale va in errore; poi nel controllare la posta, via web, non ti dico il tempo di attesa: un'eternità. Ho dato un'occhiata al file .log di Suspectfile e ho visto molti link mai visitati e tutti con un unico tema: il porno. Spero che non abbia sorprese sui costi di connessione, lo spero proprio. E dire che questo pc è utilizzato per backup e solo qualche volta va in rete. Una curiosità (molto forte): tu sei un esperto in materia, ma come fai a conoscere tutti i passaggi dei programmi che mi indichi? E poi tutte le voci di un file .log, come si interpretano per sapre quello buono e non? Qualcosa l'ho capita anch'io, ma altre voci con altrettanti file sospetti, non riesco ad interpretarli?
Grazie.
Alla prox. |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 20/06/2008 : 07:13:24
|
Per interpretarli ci vuole pratica che si acquisisce dopo un po di tempo...cmq ho imparato girovagando su alcuni siti internet, nn ho studiato su libri..
Oggi o domani ti analizzerò il log di system scan!
Posta anche il log di avenger contenuto in c:\ |
|
|
|
Kéntauros
Senior Member
163 Messaggi |
Inserito il - 20/06/2008 : 23:15:10
|
Salve, detto -> fatto:
htt*://[www].sendmefile[.com]/00635830
Lo so che sapere come interpretare i file di vari programmi è frutto di esperienza e studio delle applicazioni, ma i siti che hai visitati approfondendo le applicazioni, si possono conoscere? Sai, la cosa che mi incuriosisce più di tutte è come saper quali programmi scegliere per i vari problemi a cui rispondi e risolvi; naturalmente dopo mesi e mesi di studio (seppur non sui libri).
Cmq io non mi arrendo, anzi la curiosità è il mio forte e spesso ho "giocato sul filo del rasoio" in tutto ciò che mi circonda (non solo sui pc), ma nella vita vera quella vissuta ogni giorno.
Grazie.
Alla prox. |
|
|
| |
Discussione |
|
|
|
Infestazione da due virus; AIUTO!!!
Forum Bloccato
