| Autore |
 Discussione  |
|
Zibi
Junior Member
68 Messaggi |
 Inserito il - 08/01/2009 : 12:58:49
|
Buongiorno a tutti. Sono a chiedere un consiglio dopo diversi tentativi. Circa due mesi fa il mio pc è stato infettato dal falso positivo di AVG specificato in oggetto. Dopo alcuni tentativi falliti di pulizia, riaccendo oggi il PC in modalità provvisoria. Ho provveduto ad eliminare AVG con la disinstallazione di Windows (sempre in provvisoria), a cancellare qualche programmino inutile qua e là. Volevo fare anche uno scanner on line... ma ecco elencati i problemi che mi si presentano:
1. Kaspersky: vuole l'installazione di Java 1.5 e Java diche che non si installa con le correnti impostazioni di Internet;
2. Bit defender: vuole IE, io uso Mozilla; ho installato l'ultimo IE, ma non riesce a connettersi a Internet perchè dice di controllare le porte htt* (80), htt*S (443) e FTP (21);
3. ho fatto il log di HiJackthis, non mi sembra ci siano particolari problemi;
Concludendo: qualcuno può aiutarmi nei passaggi per capire se il problema causato dal virus (che bloccava il PC) è risolto? come faccio a risolvere gli altri due problemi? sono causa/effetto con il virus o c'è qualcosa di Strano nel log?
ecco il link: htt*://freefilehosting.net/download/43kk5
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 08/01/2009 : 16:22:42
|
Buona sera il log è pulito, ti faccio fare 2 scansioni di controllo e delle pulizie, segui la procedura:
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
poi
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
per postare i report segui questa scaletta:
a) andare sul sito htt*://[www].savefile[.com]/
b) clicca su Upload My file
c) clicca su upload oppure registrarsi per avere più opzioni
d) clicca su browser e scegli il file di log, txt ecc dal tuo computer
e) compila i restanti campi e clicca su Upload File
f) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file:]
g) oppure utilizza questo servizio: htt*://[www].wikisend[.com]
poi
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
Poi prova a connetterti con ie dopo averlo settato come browser predefinito (su ie, strumenti-opzioni-internet-programmi, trovi il tasto per renderlo predefinito) dopo aver disabilitato zone alarm, probabilmente gli sta bloccando l'accesso, se riesci a connetterti, rimuovi il java della sun se è presente (ma non credo) e installa l'ultima versione direttamente da qui htt*://[www].java[.com]/it/download/index.jsp , poi ricordati sempre che quando fai le scansioni on-line, i tuoi programmi di controllo devono essere disabilitati, quindi, anti-virus, zone alarm, eventuali anti-spyware in real time e ovviamente non devi navigare su internet, deve esserci solo la pagina della scansione e basta. |
 |
|
|
Zibi
Junior Member
68 Messaggi |
Inserito il - 08/01/2009 : 17:08:56
|
Citazione:
Messaggio inserito da death
Buona sera il log è pulito, ti faccio fare 2 scansioni di controllo e delle pulizie, segui la procedura:
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
poi
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
per postare i report segui questa scaletta:
a) andare sul sito htt*://[www].savefile[.com]/
b) clicca su Upload My file
c) clicca su upload oppure registrarsi per avere più opzioni
d) clicca su browser e scegli il file di log, txt ecc dal tuo computer
e) compila i restanti campi e clicca su Upload File
f) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file:]
g) oppure utilizza questo servizio: htt*://[www].wikisend[.com]
poi
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
Poi prova a connetterti con ie dopo averlo settato come browser predefinito (su ie, strumenti-opzioni-internet-programmi, trovi il tasto per renderlo predefinito) dopo aver disabilitato zone alarm, probabilmente gli sta bloccando l'accesso, se riesci a connetterti, rimuovi il java della sun se è presente (ma non credo) e installa l'ultima versione direttamente da qui htt*://[www].java[.com]/it/download/index.jsp , poi ricordati sempre che quando fai le scansioni on-line, i tuoi programmi di controllo devono essere disabilitati, quindi, anti-virus, zone alarm, eventuali anti-spyware in real time e ovviamente non devi navigare su internet, deve esserci solo la pagina della scansione e basta.
PROVVEDO IMMEDIATELY!! Posto il log appena finito
THANKS |
|
|
|
Zibi
Junior Member
68 Messaggi |
Inserito il - 08/01/2009 : 20:43:17
|
Eccomi!
Il log di Malwarebites: htt*://freefilehosting.net/download/43l1g
il report di lopSd: htt*://freefilehosting.net/download/43l1j
Mi sembra che il 1° non abbia rilevato nulla; il secondo.. non capisco molto.
Ora proseguo con Ccleaner e gli ultimi passaggi.
Vi aggiorno!
Thanks
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 08/01/2009 : 21:00:38
|
Buona sera, finisci le pulzie poi riesegui lopsd e scegli l'opzione 2, hai questo cliente:
Rootkit Rustock ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\huy32]
Rootkit Rustock ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lzx32]
Rootkit Rustock ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe386]
Riavvia il pc e riesegui lopsd in opzione 1 e riposta il report. |
|
|
|
Zibi
Junior Member
68 Messaggi |
Inserito il - 08/01/2009 : 23:05:00
|
Rieccoci! eseguito tutto alla lettera. Il file lop è al htt*://freefilehosting.net/download/43l34
Mi sembra che i rootkit siano rimasti però..  o mi sbaglio Death? che dici? Poi ho provato a disabilitare tutto per far avviare IE 8, ma il risultato è sempre lo stesso.. htt*://freefilehosting.net/download/43l37 (è l'immagine di quel che mi esce).
Diciamo comunque che IE al momento è il problema secondario.. mi preme che il PC non sia infetto. Grazie dell'aiuto passo passo Death! spero di sentirti presto.
Notte |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/01/2009 : 08:04:26
|
Buon giorno, esegui questi 2 tool:
htt*://[www].greatis[.com]/security/Rustock(lzx32.sys)_free_removal_tool.htm
htt*://[www].uploads.ejvindh.net/rustbfix.exe
Poi rifammi la scansione con lopsd in modalità 1, presumo ci saranno delle cose da rimuovere a mano, vediamo prima cosa eliminano i 2 tool. |
|
|
|
Zibi
Junior Member
68 Messaggi |
 Inserito il - 12/01/2009 : 18:44:26
|
Ciao! Mi sono connesso solamente oggi. ho fatto come mi hai detto... ma il file di Lopsd ha dato gli stessi risultati di prima.. Cosa devo fare con questi rootkit? ho trovato anche come "dovrebbero" funzionare i tool in alcuni approfondimenti su notrace e internet... ma a me non hanno fatto nulla.. Aiutto!!!
ecco il file di lopsd: htt*://freefilehosting.net/download/4415b
ciao a + tardi
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 12/01/2009 : 19:32:27
|
Buona sera, sempre calma, qui non ci si arrende mai a meno di casi estremi, secondo il mio modesto parere hai solo i servizi dell'infezione ma non i files, segui questa procedura:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
|
|
|
|
Zibi
Junior Member
68 Messaggi |
Inserito il - 28/01/2009 : 17:42:52
|
Buonasera!! Sorry ma è stato un periodo allucinante, ho potuto riconnettermi a questo PC solo oggi. Avevo comunque fatto il System Scan. Il risultato è postato: htt*://freefilehosting.net/download/44fdj. Se puoi ancora darmi una mano Death!!
Thanks |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 28/01/2009 : 18:05:17
|
| Certo che ti do una mano, perlomeno tu sei tornato e ti sei scusato anche se non serviva, non hai abbandonato tutto a metà, solo una cortesia, rifammi un lopsd e un systemscan aggiornati a ora, ci metti poco e perlomeno ho la situazione in tempo reale. |
|
|
|
Zibi
Junior Member
68 Messaggi |
Inserito il - 30/01/2009 : 16:19:37
|
Ok, appena esco dal lavoro lo rifaccio.
ciao |
|
|
|
Zibi
Junior Member
68 Messaggi |
Inserito il - 02/02/2009 : 18:49:47
|
Ciao! ecco rifatti scan e i report uploadati: htt*://freefilehosting.net/download/44jl0
htt*://freefilehosting.net/download/44jl3
Mi sembrano uguali a prima... e se cancellassi dal registro quei rootkit??
Ciao!
thanks |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/02/2009 : 19:32:13
|
Uomo di poca fede....dammi il tempo di vedere systemscan e rimuoviamo tutto a manina che facciamo prima 
EDIT:
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\DOCUME~1\Veronika\IMPOST~1\Temp\nsxC.tmp
C:\olttdrxo.bat
C:\RECYCLER\S-1-5-21-1957994488-507921405-682003330-1003\Dc156\Autorun.inf
C:\RECYCLER\S-1-5-21-1957994488-507921405-682003330-1003\Dc179\varie\Autorun.inf
C:\RECYCLER\S-1-5-21-1957994488-507921405-682003330-1003\Dc57\Autorun.inf
C:\windows\system32\lzx32.sys
C:\windows\system32:lzx32.sys
C:\windows\system32\huy32.sys
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\huy32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lzx32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pe3
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AutorunsDisabled | ittxwafr
HKLM\SOFTWARE\Microsoft\windows\currentversion\run | NWEReboot
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
EDIT: mi ero scordato di chiedertelo, come amministratore sul tuo pc trovo questo ARcUoWakHImQwfgd l'hai creato tu? |
Modificato da - death in data 03/02/2009 08:11:19 |
|
|
|
Zibi
Junior Member
68 Messaggi |
Inserito il - 07/02/2009 : 17:56:35
|
Ciao! Ecco il ink di avenger: htt*://freefilehosting.net/download/450ie
Quell'amministratore secondo me è creato dai vari tentativi di aggiornamento di XP non riusciti perchè la copia non è autentica. Ne avevo altre di cartelle simili e le ho cancellate. Forse è opportuno anche per questa...
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 07/02/2009 : 18:13:55
|
Buona sera, avenger è andato a buon fine, per quanto riguarda ARcUoWakHImQwfgd segui questa procedura:
da Start >>>> esegui >>>> digita:
control userpasswords2
e dai l'ok
nella finestra verranno evidenziati gli utenti
lo selezioni e lo elimini
poi
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata
Rifai la scansione con malwarebytes, rimuovi tutto quello che trova e postami il report. |
|
|
|
Discussione |
|
Trojan PSW.banker4.APSA - log Hijackthis
Forum Bloccato
