| Autore |
 Discussione  |
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 24/11/2008 : 20:18:04
|
|
Su msn puoi starci tranquillo, non esegui nulla di pericoloso suppongo, evita solo di cliccare link che portano a pagine web. |
 |
|
|
Sfigato
Senior Member
133 Messaggi |
Inserito il - 24/11/2008 : 20:22:03
|
ok grazie mille ancora..
allora ti aspetto per domani pomeriggio ok??!!!!!! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/11/2008 : 22:37:42
|
Buona sera, avevo considerato tutte le opzioni tranne una, che avessi tutta la cartella di msn infetta  , dammi tempo in mattinata di preparare qualcosa in dos, non so cosa, ma vedro' di pensarci, hai la cartella system32 duplicata e non è una bella cosa.
EDIT: Buon giorno, segui questa procedura:
Esegui avenger e nella finestra copia/incolla tutto il testo rosso:
files to delete:
C:\WINDOWS\system32\TDSSosvd.dat
C:\WINDOWS\system32\drivers\TDSSpaxt.sys
registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset002\services\TDSSserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Poi apri il blocco note e nella pagina copia/incolla:
[No-Spam]echo off
dir "C:\Programmi\MSN Messenger\bak">C:\msn.txt
dir "C:\WINDOWS\system32\bak">C:\s32.txt
dir "C:\WINDOWS\Temp\bak">C:\tempor.txt
dir "C:\WINDOWS\Temp\bak\bak">C:\tempor1.txt
del pippo.bat
salvalo in c:\ con il nome nome: pippo.bat
tipo di file: tutti i file, chiudi il file, doppio click per eseguirlo, non vedrai molto, solo una finestra nera che si apre e si chiude velocemente.
NOTA BENE: al posto di [No-Spam] devi digitare la chiocciola di internet, il forum la sostituisce in automatico per evitare lo spam.
Poi zippami i 4 files txt e caricali sul web come hai fatto per i report.
Poi esegui questa scansione on-line
scansione on line con Kaspersky
1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.
La scansione richiede il java della sun e l'accettazione del controllo activex
Per effettuare la scansione, portati sulla pagina di kaspersky, devi avere solo quella pagina aperta, disattiva il tuo antivirus, lancia la scansione, dopo che avrà caricato tutti i files del database e comincerà a scansionare puoi anche disconnettere il pc da internet e lasciarlo lavorare.
Rifai una scansione completa con malewarebytes e rimuovi tutto e posta il report.
Solo per curiosità questo user user.USER-91913CB746 l'hai creato tu? o è stato creato in automatico da qualche utility di sistema del pc?
|
Modificato da - death in data 25/11/2008 09:51:17 |
|
|
|
Sfigato
Senior Member
133 Messaggi |
Inserito il - 25/11/2008 : 13:41:49
|
| ciao ! la cartella user.USER-91913CB746 non l'ho creata io !! infatti aprendo quella cartella nn mi fa accedere a nessun file !! comunque adesso inizio a fare cio' ke mi hai detto !! |
|
|
|
Sfigato
Senior Member
133 Messaggi |
Inserito il - 25/11/2008 : 13:48:30
|
htt*://wikisend[.com]/download/522272/avenger2.txt
questo e' il primo report che mi hai chiesto...
una cosa solo non ho capito... al posto di [no-spam] devo mettere la chiocciola.. ma dentro le parentesi o no?? basta solo la chiocciola ?? e dopo la chiocciola devo dare lo spazio !!? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/11/2008 : 14:02:44
|
La chiocciola deve essere al posto di [No-Spam] se no ti scrivevo che andava all'interno e deve essere attaccata a echo off.
Nel mentre ti posto questo così mi dai delle spiegazioni
Users on this computer:
Is Admin? | Username
------------------
Yes | Administrator
| Guest (Disabled)
| HelpAssistant (Disabled)
| SUPPORT_388945a0 (Disabled)
Yes | utente1
### users folders
20/04/2007 09.51.01 (DIR) 0 byte 584 days old -- All Users
20/04/2007 09.52.06 (DIR) 0 byte 584 days old -- Default User
20/04/2007 09.54.53 (DIR) 0 byte 584 days old -- NetworkService
20/04/2007 09.54.59 (DIR) 0 byte 584 days old -- LocalService
20/04/2007 15.23.18 (DIR) 0 byte 584 days old -- LocalService.NT AUTHORITY
20/04/2007 15.23.18 (DIR) 0 byte 584 days old -- NetworkService.NT AUTHORITY
13/11/2008 14.29.33 (DIR) 0 byte 11 days old -- user.USER-91913CB746
13/11/2008 14.40.11 (DIR) 0 byte 11 days old -- Administrator
15/11/2008 16.34.46 (DIR) 0 byte 9 days old -- All Users.WINDOWS
15/11/2008 16.36.19 (DIR) 0 byte 9 days old -- Default User.WINDOWS
15/11/2008 16.40.21 (DIR) 0 byte 9 days old -- NetworkService.NT AUTHORITY.000
15/11/2008 16.40.32 (DIR) 0 byte 9 days old -- LocalService.NT AUTHORITY.000
15/11/2008 19.11.47 (DIR) 0 byte 9 days old -- Administrator.UT-C26BB7483B4B
17/11/2008 13.42.25 (DIR) 0 byte 7 days old -- utente1
Tu sei utente1 immagino, poi vorrei sapere hai eseguito la reinstall di windows senza formattare nulla?
|
Modificato da - death in data 25/11/2008 14:03:06 |
|
|
|
Sfigato
Senior Member
133 Messaggi |
Inserito il - 25/11/2008 : 14:05:46
|
| mi hanno formattatto circa una settimana fa !! mi hanno preso 40euro .. quindi in teoria ha cancellato tutto.. mi ha salvato solo i vecchi documenti che avevo in una cartella ! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/11/2008 : 14:09:21
|
Tra qualche istante ti arriverà un mio messaggio privato con delle informazioni che non ti faranno piacere, leggi bene i dati che ti ho postato e non ti servirà neppure il mio messaggio.  |
|
|
|
Sfigato
Senior Member
133 Messaggi |
Inserito il - 25/11/2008 : 14:11:02
|
htt*://wikisend[.com]/download/569968/Desktop.rar
questi sono i 4 report che mi ha fatto ! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/11/2008 : 14:16:48
|
| Visti, poi quando sono a casa ti lascio una procedura di ricerca da fare, ma credo che siamo salvi, solo per sapere il 1 marzo 2008 ti sei preso un infezione da virus? |
|
|
|
Sfigato
Senior Member
133 Messaggi |
Inserito il - 25/11/2008 : 14:19:24
|
| a questo non te lo so dire !! mi dispiace !! ma adesso faccio lo stesso la scansione con quel programma online e poi con malewarebytes ? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/11/2008 : 14:23:48
|
| Si esegui le scansioni, i files dovrei averli eliminati tutti, ma visto che questa infezione ne crea con nomi random, preferisco che mi fai le scansioni. Poi ci aggiorniamo a scansioni postate. |
|
|
|
Sfigato
Senior Member
133 Messaggi |
Inserito il - 25/11/2008 : 17:56:02
|
ecco il report di kaspersky !!
htt*://wikisend[.com]/download/475510/report kaspersky.html
adesso faccio con malwarebytes,cancello tutto e posto il report |
|
|
|
Sfigato
Senior Member
133 Messaggi |
Inserito il - 25/11/2008 : 20:25:13
|
ed ecco anche l'ultimo report di malwarebytes !! ho eliminato tutto come mi hai detto !! ed oraaa !!?
htt*://wikisend[.com]/download/964730/mbam-log-2008-11-25 (20-17-45) ultimogiusto.txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/11/2008 : 20:36:28
|
Buona sera, log pulito, ti ha rimosso i punti di ripristino infetti, per il resto l'infezione te l'avevo rimossa tutta a mano (fortuna) ora andiamo alla ricerca dei fantasmi delle infezioni passate, dai files txt che mi hai postato le cartelle bak sembrano vuote, ma visto che non mi fido e considerato che il pc non è mio, ti faccio fare l'investigatore, segui questa procedura:
visualizza i files nascosti
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
poi apri queste cartelle e assicurati che siano vuote
C:\Programmi\MSN Messenger\bak
C:\WINDOWS\system32\bak
C:\WINDOWS\Temp\bak
C:\WINDOWS\Temp\bak\bak
se trovi qualcosa postamelo, a me risultano vuote ma tutte con 2 sottocartelle, apri anche quelle, non toccare nessun file, non selezionarlo e non cliccarci sopra.
Fatto questo vediamo di capire cosa c'e' all'interno delle cartelle sotto questo user misterioso user.USER-91913CB746 a tal proprosito vorrei sapere che tipo di pc hai, se desktop o notebook, produttore, sigla eventuale codice numerico.
|
|
|
|
Discussione |
|
Trojan.TDSS
Forum Bloccato
