| Autore |
 Discussione  |
|
fomalhout
Senior Member
144 Messaggi |
 Inserito il - 12/06/2011 : 09:52:10
|
Buongiorno,
ho visto questa mattina strani movimenti sulla mia macchina: finestre che si aprono e chiudono velocemente da sole, etc.....
Ho paura di essere sotto attacco, vorrei fare uno scan generale.
Win Xp3 ed.
Gtazie
Max
|
Modificato da - in Data
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 12/06/2011 : 09:56:09
|
Ciao.
Iniziamo a divertirci ;)
Scarica ed installa Hijackthis: htt*://[www].trendmicro[.com]/ftp/products/hijackthis/HiJackThis.msi
#9679; lancia Hijackthis
#9679; clicca sul pulsante Do a system scan and save a logfile
#9679; verrà rilasciato automaticamente un file di testo: allegalo |
 |
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 12/06/2011 : 11:34:14
|
Ecco
htt*://[www].freefilehosting.net/hijackthis_156
Grazie |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 12/06/2011 : 12:01:16
|
Ciao fomalhout. ;)
Avvia HiJackThis e:
#9679; clicca sul pulsante Do a system scan only/Scan
#9679; metti la spunta accanto ad ogni singola voce indicata sotto
#9679; spuntate le voci, termina tutti i programmi attivi, comprese le pagine Internet
#9679; clicca, in basso a sinistra, sul pulsante Fix checked; potrebbe comparire un'ulteriore finestra durante il fix delle voci: clicca su Sì
Queste sono le voci da fixare:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://search.myheritage[.com]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [IDProtect Monitor] "C:\Programmi\Athena\IDProtect Client\Utils\IDProtect Monitor.exe"
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programmi\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ditto] C:\Programmi\Ditto\Ditto.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Adobe Acrobat Synchronizer] "C:\Programmi\Adobe\Acrobat 10.0\Acrobat\AdobeCollabSync.exe"
O4 - HKUS\S-1-5-18\..\Run: [LightScribe Control Panel] C:\Programmi\File comuni\LightScribe\LightScribeControlPanel.exe -hidden (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [RoboForm] "C:\Programmi\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - htt*://[www].nvidia[.com]/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3 .cab
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - htt*://catalog.update.microsoft[.com]/v7/site/ClientControl/en/x86/MuCatalogWebControl .cab?1199463461265
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - htt*://[www].update.microsoft[.com]/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site .cab?1199462540636
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - htt*://fpdownload2.macromedia[.com]/get/shockwave/cabs/flash/swflash .cab
O23 - Service: PEVSystemStart - Unknown owner - C:\ComboFix\PEV.cfxxe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe (file missing)
Poi:
Start esegui e digita: sc delete experimental premi invio
Poi:
Start esegui e digita: sc delete rpcapd premi invio
Poi:
Start esegui e digita: sc delete PEVSystemStart premi invio
Hai eseguito ComboFix?
Puoi postare il log del programma? Si trova in C: ed ha nome ComboFix.txt
Poi, esegui una scansione completa con Malwarebytes aggiornato, e posta il Report.
Al termine, allega tre log:
Hijackthis
MalwareBytes
ComboFix
Buon lavoro, e buon weekend ;) |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 12/06/2011 : 13:53:37
|
Ecco
htt*://[www].freefilehosting.net/hijackthis_157
htt*://[www].freefilehosting.net/mbam-log-2011-06-1213-45-51
htt*://[www].freefilehosting.net/combofix_29
Grazie |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 12/06/2011 : 14:17:35
|
altra cosa: non mi riesce piu' di cancellare la cartella C:\Qoobox
grazie |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 12/06/2011 : 14:25:25
|
Ciao.
MalwareBytes ha rilevato 7 crack. Hai eliminato tutto quanto trovato dal programma?
C'è un rootkit, con valori annessi, da eliminare.
Scarica Inherit: htt*://download.bleepingcomputer[.com]/sUBs/MiniFixes/Inherit.exe
#9679; posiziona il file nella cartella C:\Qoobox
#9679; trascina la cartella BackEnv sull'icona di Inherit
#9679; clicca sul pulsante OK
#9679; al termine, cestina la cartella Qoobox
Crea un file di testo sul Desktop, chiamalo CFScript.txt, incollaci dentro quanto scritto sotto:
File::
c:\windows\system32\drivers\jdbrrnrs.sys
Driver::
cvgztjk
RegNull::
[HKEY_USERS\S-1-5-21-3996641911-3530121373-4077452365-1013\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9BA7188E-1C5C-380F-5D02-5D08EDDEC54E}*]
salva il file, e trascinalo sull'icona di Combofix, situata sul Desktop: partirà una nuova scansione del programma, posta il Report.
Ciao e buon lavoro! ;)
|
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 12/06/2011 : 16:04:00
|
Ecco
htt*://[www].freefilehosting.net/combofix_30
grazie |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 12/06/2011 : 16:55:40
|
| Ciao. Il PC come va? Posta un log aggiornato di Hijackthis, e carica il log di combofix su Wikisend o simili, perchè non riesco a visualizzarlo. |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 12/06/2011 : 19:23:52
|
Ecco fatto
htt*://[www].freefilehosting.net/hijackthis_158
htt*://[www].freefilehosting.net/combofix_31
non so come si fa con wikisend. Mi sembra la macchina vada meglio, grazie
ciao |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 12/06/2011 : 19:25:35
|
Ecco
htt*://wikisend[.com]/download/236772/ComboFix.txt
htt*://wikisend[.com]/download/236484/hijackthis.log
ciao |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 12/06/2011 : 23:48:29
|
Ciao. Disinstalla tutte le toolbar e:
Esegui la procedura descritta, rigorosamente nel suo ordine, al fine di:
#9679; guadagnare spazio su disco
#9679; ottimizzare le prestazioni del sistema
#9679; mantenere il corretto funzionamento di Windows
Ottimizzazione - post rimozione malware
Il mio consiglio è quello di stampare questa procedura, perché tornerà senz'altro utile in futuro.
Queste operazioni infatti, andrebbero eseguite almeno una volta al mese.
Tieni presente che sarebbe utile formattare il disco fisso almeno una volta ogni due anni, in quanto la maggior parte delle chiavi di registro corrotte e danneggiate non si possono ripristinare correttamente, e l'installazione e la disinstallazione continua dei programmi può causare crash di sistema.
Una formattazione consente di ottenere dei massimi benefici, in termini di velocità, stabilità e prestazioni.
Questa procedura si avvicina maggiormente ai risultati ottenuti tramite una formattazione del disco fisso, ma tieni presente i consigli indicati sopra.
2. Disinstalla i programmi inutilizzati, e tutte le Toolbar
Procedura per Windows XP:
#9679; clicca sul pulsante Start
#9679; apri il Pannello di controllo
#9679; clicca su Installazione applicazioni
#9679; seleziona il programma da disinstallare, e clicca sul tasto Cambia/Rimuovi: partirà la procedura di disinstallazione
Procedura per Windows Vista e Windows Seven:
#9679; clicca sul pulsante Start
#9679; apri il Pannello di controllo
#9679; clicca su Programmi, e su Programmi e funzionalità
#9679; seleziona il programma da disinstallare, e clicca sul tasto Cambia/Disinstalla: partirà la procedura di disinstallazione
******************************
3. Disinstalla dal Pannello di controllo, in particolare, le seguenti applicazioni:
#9679; Adobe Flash Player
#9679; Adobe Reader
#9679; Java (tutte le versioni installate)
Scarica ed installa, dai siti proposti:
#9679; Adobe Flash Player: htt*://get.adobe[.com]/it/flashplayer
#9679; Adobe Reader : htt*://get.adobe[.com]/it/reader
#9679; Java: htt*://java[.com]/it/download/index.jsp
Note - riguardo ai programmi:
#9679; non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce
#9679; alternativamente ad Abobe Reader, software pesante, ingombrante e soprattutto soggetto a vulnerabilità sfruttabili dai malware presenti nella rete per infettare il sistema, puoi scaricare il veloce e leggerissimo Sumatra PDF Reader, che nulla ha da invidiare al prodotto di casa Adobe: htt*://blog.kowalczyk.info/software/sumatrapdf/free-pdf-reader.html
******************************
4. Disattiva il Ripristino Configurazione di Sistema
Procedura per Windows XP:
#9679; clicca sul pulsante Start
#9679; tasto destro del mouse sull'icona Risorse del computer
#9679; seleziona, dal menù a tendina, la voce Proprietà
#9679; apri la scheda Ripristino configurazione di sistema
#9679; metti la spunta alla voce Disattiva Ripristino configurazione di sistema su tutte le unità
#9679; conferma la modifica, con Applica e OK
Procedura per Windows Vista e Windows Seven:
#9679; clicca sul pulsante Start
#9679; tasto destro del mouse sull'icona Computer
#9679; seleziona, dal menù a tendina, la voce Proprietà
#9679; clicca, nel menù a sinistra, su Protezione sistema; compare un avviso relativo al Controllo Account Utente: clicca su Continua
#9679; togli la spunta accanto a tutti i dischi presenti nel riquadro in basso
#9679; clicca su Disattiva Ripristino configurazione di sistema
#9679; conferma la modifica, con Applica e OK
******************************
5. Svuota del suo contenuto la cartella Prefetch
Nota - riguardo alla procedura:
#9679; la cartella Prefetch contiene i file che il sistema operativo esegue; un'operazione di prefetch consiste nel rendere immediatamente disponibili, nella memoria cache, i file utilizzati più spesso e quelli necessari per il processo di avvio del personal computer. Il riavvio successivo sarà un po' lento, ma quelli seguenti saranno senza dubbio più veloci
Procedura per Windows XP:
#9679; clicca sul pulsante Start
#9679; clicca su Risorse del computer
#9679; apri il Disco locale C:
#9679; individua ed apri la cartella Windows
#9679; individua ed apri la cartella Prefetch
#9679; elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella
Procedura per Windows Vista e Windows Seven:
#9679; clicca sul pulsante Start
#9679; clicca su Computer
#9679; apri il Disco locale C:
#9679; individua ed apri la cartella Windows
#9679; individua ed apri la cartella Prefetch
#9679; elimina tutte le voci conservate al suo interno, tranne il file Layout.ini: fai attenzione però, a non eliminare la cartella
******************************
6. Svuota del suo contenuto la cartella Download
Nota - riguardo alla procedura:
#9679; la cartella Download contiene i file di installazione degli aggiornamenti di Windows, che possono essere eliminati senza problemi per recuperare spazio su disco e risolvere fastidiosi problemi di aggiornamenti
Procedura per Windows XP:
#9679; clicca sul pulsante Start
#9679; clicca su Risorse del computer
#9679; apri il Disco locale C:
#9679; individua ed apri la cartella Windows
#9679; individua ed apri la cartella SoftwareDistribution
#9679; individua ed apri la cartella Download
#9679; elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella
Procedura per Windows Vista e Windows Seven:
#9679; clicca sul pulsante Start
#9679; clicca su Computer
#9679; apri il Disco locale C:
#9679; individua ed apri la cartella Windows
#9679; individua ed apri la cartella SoftwareDistribution
#9679; individua ed apri la cartella Download
#9679; elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella
******************************
7. Scarica TFC by OldTimer: htt*://oldtimer.geekstogo[.com]/TFC.exe
#9679; posiziona il tool sul Desktop
#9679; termina tutti i programmi attivi, comprese le pagine Internet
#9679; avvia il tool con un doppio click
#9679; clicca, in basso a sinistra, sul pulsante Start
#9679; scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi
#9679; attendi pazientemente il termine delle operazioni
#9679; clicca, in basso a destra, sul pulsante Exit
#9679; una volta terminate le operazioni, chiudi il programma
Nota: per eseguire correttamente TFC by OldTimer su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore: conferma la richiesta proposta
******************************
8. Scarica ed installa CCleaner: htt*://[www].piriform[.com]/ccleaner/download
Nota - durante l'installazione: non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce
Una volta installato ed avviato, esegui queste operazioni:
#9679; nel menù di sinistra, clicca su Opzioni
#9679; nella finestra successiva, clicca su Impostazioni
#9679; spunta la voce Tipo cancellazione: Sicura (lenta) e nel menù a tendina seleziona la voce DOD 5220.22-M (3 passaggi)
#9679; clicca su Avanzate
#9679; togli la spunta alla voce Cancella file in Windows Temp solo se più vecchi di 24 ore e alla voce Chiedi se salvare un backup dei problemi del registro
#9679; clicca, nel menù a sinistra, su Pulizia: nella sezione Avanzate, metti la spunta alle voci Vecchi dati Prefetch, Disinstallatori Aggiornamenti di Windows e File Log IIS
#9679; apri, in alto, il tab Applicazioni: spunta tutte le voci presenti
#9679; termina tutti i programmi attivi, comprese le pagine Internet
#9679; clicca, in basso a sinistra, sul bottone Analizza, per cercare i file temporanei
#9679; clicca, in basso a destra, sul bottone Avvia Pulizia, per avviare la pulizia dei file temporanei
#9679; nella finestra che compare, metti la spunta alla voce Non mostrare più questo messaggio, e conferma cliccando sul pulsante OK
#9679; terminata la pulizia, nel menù a sinistra, clicca sulla voce Registro
#9679; clicca sul bottone Trova Problemi, per avviare la ricerca delle voci di registro corrotte e danneggiate
#9679; clicca sul bottone Ripara selezionati... e prosegui con la riparazione: la pulizia del registro ripetila più volte, fino a quando non verranno più rilevati problemi da correggere
#9679; una volta terminate le operazioni, chiudi il programma
******************************
9. Lancia Hijackthis e pulisci gli ADS (esclusivamente su partizioni formattate in NTFS):
#9679; clicca sulla voce Open the Misc Tools section
#9679; clicca su Open ADS Spy..., nel tab System tools
#9679; in alto, togli la spunta alla voce Quick scan (Windows base folder only)
#9679; clicca, in basso, sul pulsante Scan
#9679; attendi pazientemente il termine della scansione
#9679; se venissero rilevati molti ADS, clicca con il tasto destro sulla prima casellina, e scegli la voce Select all
#9679; clicca, in basso, sul pulsante Remove selected: conferma con Sì
#9679; una volta terminate le operazioni, chiudi il programma
Nota - riguardo al programma:
#9679; in caso disponga di un sistema operativo a 64 Bit, tralascia la procedura
******************************
10. Scarica OTC by OldTimer: htt*://oldtimer.geekstogo[.com]/OTC.exe
#9679; posiziona il tool sul Desktop
#9679; chiudi tutti i programmi attivi
#9679; avvia il tool con un doppio click
#9679; clicca sul pulsante CleanUp!
#9679; il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte
Note - riguardo al programma:
#9679; OTC by OldTimer va eseguito solamente nel caso tu abbia utilizzato particolari programmi, come ComboFix
#9679; per eseguire correttamente OTC by OldTimer su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore: conferma la richiesta proposta
Ora puoi cancellare i tool che sono rimasti sul Desktop
******************************
11. Riabilita il Ripristino Configurazione di Sistema, seguendo la procedura inversa al punto 4
******************************
Scarica ed installa Defraggler: htt*://[www].piriform[.com]/defraggler/download
Nota - durante l'installazione:
#9679; non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce
Una volta installato, esegui queste operazioni:
#9679; avvia il programma con un doppio click
#9679; seleziona, con il tasto sinistro del mouse, tutte le unità presenti, tranne il Floppy Disk
#9679; clicca, con il tasto destro del mouse, sullo spazio evidenziato in blu
#9679; dal menù contestuale, scegli la voce Deframmenta Drive
#9679; attendi pazientemente il termine delle operazioni
******************************
Note - al termine della procedura:
#9679; riavvia il sistema
#9679; allega un nuovo log di HijackThis
#9679; comunica come funziona il sistema, e quali problemi riscontri attualmente |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 13/06/2011 : 08:35:09
|
ecco il log
htt*://wikisend[.com]/download/899180/hijackthis.log
c'e' un problema, explorer non mi permette piu' di installare flashplayer, quando ci provo, anche venendo su questo sito, mi si chiude e mi da l' errore " l'istruzione a "0x7c05a6c" ha fatto riferimento alla memoria "0x7c05a6c". La memoria non poteva essere "written". Poi si blocca tutto.
Non mi permette di installare flashplayer neanche su firefox
ciao |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 13/06/2011 : 17:46:06
|
Ciao fixa questa voce di HJT:
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
Poi, disinstalla tutte le toolbar installate.
Infine:
Scarica Kaspersky TDSS Killer: htt*://support.kaspersky[.com]/downloads/utils/tdsskiller.exe
#9679; posiziona il file scaricato sul Desktop
#9679; doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan
Giunti a questo punto, inizia la scansione del sistema alla ricerca di software malevolo:
#9679; se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua
#9679; se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua
Una volta terminata la scansione, si presenterà una di queste due opzioni:
#9679; non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo
#9679; è necessario riavviare il sistema: clicca su Riavvia ora
#9679; una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:
TDSSKiller.[Version]_[Date]_[Time]_log.txt |
|
|
|
fomalhout
Senior Member
144 Messaggi |
Inserito il - 14/06/2011 : 07:45:48
|
Ciao,
adesso mi sembra vada tutto bene, vedi un po'
htt*://wikisend[.com]/download/478324/TDSSKiller.2.5.4.0_14.06.2011_07.41.53_log.txt
grazie di tutto!
Max |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 14/06/2011 : 18:30:14
|
|
Ciao. Il PC risulta pulito da Rootkit et similia: se non presenti ulteriori problemi, direi che abbiamo finito. ;) |
|
|
|
Discussione |
|
|
|
Strani movimenti
Forum Bloccato
