| Autore |
 Discussione  |
|
pablo_honey
New Member
48 Messaggi |
 Inserito il - 06/12/2010 : 09:26:16
|
Ciao a tutti. Sono nuovo del forum. Ho un problema: ieri, durante la navigazione (ho linkato su un sito di music lyrics che tra l'altro avevo già usato varie volte) avira mi ha rilevato un file infetto. E pensare che sto sempre attento: ho avira più firewall comodo sul pc impostati con massima protezione...
ad ogni modo, ho fatto scansione avira e non mi ha rilevato nulla, con malwarebytes qualcosa ha rilevato, così come successivamente con superantispyware (tra l'altro nel registro).
al riavvio compare nuovo account ACCOUNT HELP ASSISTANT DESKTOP. Ho già letto qualcosa su questo virus. Al momento noto solo un generale rallentamento (niente crash di sistema). Ho già verificato con start/esegui/control userpassword2 che effettivamente c'è questo nuovo account, con tanto di cartella sotto documents settings.
Ho scaricato l'hijack e fatto una prima scansione (senza fixare nulla).
Superantispyware restituisce questo come rilevazione:
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON (TASKMAN -)
non riesco ad allegare i log di Malwarebytes e Hijack...
|
Modificato da - pablo_honey in Data 06/12/2010 09:30:38
|
|
|
pablo_honey
New Member
48 Messaggi |
 Inserito il - 06/12/2010 : 09:39:07
|
ok ce l'ho fatta. ecco il log di malwarebytes:
htt*://[www].freefilehosting.net/mbam-log-2010-12-0512-12-03
e quello di hijack:
htt*://[www].freefilehosting.net/hijackthis_61
help me, please... |
 |
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/12/2010 : 10:29:55
|
ciao e benvenuto
purtroppo malwarebytes non ha eliminato quasi niente dell'infezione, prova a fare questa scansione
scarica combofix sul desktop
alla richiesta se vuoi installare la recovery console clicca su NO
esegui ComboFix.exe
segui le instruzioni
finita la scansione portati in C:\ e allega il rapporto C:\ComboFix.txt nella tua risposta. |
|
|
|
pablo_honey
New Member
48 Messaggi |
Inserito il - 06/12/2010 : 13:04:03
|
ok.
ho letto che devo disabilitare l'antivirus e chiudere TUTTI i programmi aperti(Firewall compreso) e la connessione. è corretto??
(per chiudere tutti i programmi basta andare col tasto destro su tutte le icone accanto all'orologio o bisogna usare il task manager windows?) |
|
|
|
pablo_honey
New Member
48 Messaggi |
Inserito il - 06/12/2010 : 13:06:45
|
intanto ho fatto un'altra scansione con malwarebytes e mi ha trovato un trojan. può darsi che abbia già iniziato a scaricarmi schifezze...
ecco il log:
htt*://[www].freefilehosting.net/mbam-log-2010-12-0612-26-11 |
|
|
|
pablo_honey
New Member
48 Messaggi |
Inserito il - 06/12/2010 : 14:26:25
|
scusate, mi è venuta in mente un'altra cosa: leggendo in vari forum un utente col mio stesso problema (che dice di aver risolto semplicemente disabilitando il nuovo account da strumenti di amministrazione) sostiene che lo stesso sia nato in seguito all'ultimo aggiornamento di windows.
in effetti ieri mattina sono andato sul sito della rai e, cercando di aprire un video, mi si richiedeva l'ultima versione di silverlight. sapendo che è meglio evitare gli aggiornamenti microsoft, a quel punto sono uscito e ho rinunciato. però magari qualche aggiornamento è partito. un altro indizio è che ho notato che da ieri non mi appare più all'avvio la (fastidiosa) icona (scudo rosso con croce bianca) che ti avverte che gli aggiornamenti automatici sono disabilitati.
è possibile che la creazione del nuovo account dipenda proprio da questo? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/12/2010 : 15:49:38
|
| se non vedo il rapporto di combofix sara' un po' difficile darti una mano....segui quello che ti ho consigliato |
|
|
|
pablo_honey
New Member
48 Messaggi |
Inserito il - 06/12/2010 : 15:56:13
|
niente da fare con combofix
mi appaiono delle finestre (accompagnate dal classico suono del crash sistema) da parte di vari file (iexplore.exe, hidec, n.pif) dove testualmente scritto "impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie".
alla pressione del tasto ok mi appare un'altra finestra uguale. dopo aver premuto per una ventina di volte OK mi appare un'altra finestra da parte di windows, con scritto "Impossibile aprire il file: nircmd.cfxxe" con la possibilità di scegliere se fare una ricerca sul web o scegliere l'applicazione se non erro. Premo ANNULLA (3 volte perchè la finestra si ripresenta) e torna al desktop...
che posso fare? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/12/2010 : 16:07:30
|
| ma l'errore te lo da' quando lanci combofix? |
|
|
|
pablo_honey
New Member
48 Messaggi |
Inserito il - 06/12/2010 : 16:11:24
|
| sì. quando lancio combofix. ho seguito credo la procedura corretta, cioè staccato connessione, chiuse tutte le applicazioni (l'antivirus semplicemente disabilitato, cioè rimane l'icone di avira con l'ombrello chiuso), e lanciato combofix dal desktop... |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/12/2010 : 16:17:44
|
rimuovi combofix con OTC by OldTimer
eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI
scaricalo nuovamente da qui
N.B.-
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file" ,basta che cambi il nome che ti appare in abc.exe)
Fatto questo, clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt allega il rapporto e postalo |
Modificato da - shang in data 06/12/2010 16:18:43 |
|
|
|
pablo_honey
New Member
48 Messaggi |
Inserito il - 06/12/2010 : 16:22:36
|
| grazie. lo faccio. solo una precisazione: alla fine dici "riavvia in modalità normale". ma perchè? devo mica eseguire il combofix in modalità provvisoria, oppure intendevi semplicemente di riavviare? |
|
|
|
pablo_honey
New Member
48 Messaggi |
Inserito il - 06/12/2010 : 16:24:16
|
ah, ok. hai modificato... |
|
|
|
pablo_honey
New Member
48 Messaggi |
Inserito il - 06/12/2010 : 17:13:08
|
niente da fare. stesso identico esito della prima volta... |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/12/2010 : 19:33:08
|
ma che errore ti da'
Scarica TDSSKiller
htt*://support.kaspersky[.com]/downloads/utils/tdsskiller.zip
Apri la cartella TDSSKiller, doppio click sul file TDSSKiller e segui le istruzioni a video.
appena finito riprova combofix e se ti da' ancora quell'errore avvialo da provvisoria |
|
|
|
pablo_honey
New Member
48 Messaggi |
Inserito il - 06/12/2010 : 19:48:16
|
|
consultando altri forum, sembra che il combofix vada scaricato con explorer, io l'ho scaricato con chrome. ma che cambia? non capisco... cmq riguardo l'errore, si avvia una barra con scritto combofix. a barra piena, dopo circa 5 secondi, mi spunta quella serie di finestre di crash... ora sto provando a scaricare combofix con firefox, perchè l'explorer comunque mi dà problemi (si chiude dopo qualche secondo dall'avvio)... |
|
|
|
Discussione |
|
Account Help Assistant Desktop
Forum Bloccato
