| Autore |
 Discussione  |
|
blackdevilsat
Junior Member
59 Messaggi |
 Inserito il - 05/12/2008 : 12:53:40
|
Salve,
è da un po che sospetto che i miei 2 computer in rete siano infetti.
Vi allego i risultati di hijackthis e malvarebytes.
1° computer:
htt*://freefilehosting.net/download/42hlf
htt*://freefilehosting.net/download/42hlh
2° computer:
htt*://freefilehosting.net/download/42hli
htt*://freefilehosting.net/download/42hll
Ringrazio sin da ora a chi presterà un aiuto.
|
Modificato da - death in Data 06/12/2008 17:39:02
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/12/2008 : 13:08:28
|
Buon giorno, entrambe infetti ma con infezioni non rilevate dai comuni programmi antivirus, il pc 1 da un infezione che rinomina un file di sistema, il pc di 2 da una infezione su ie/explorer.exe, visto che cercare tutti i files a mano sarebbe una impresa impossibile e lascerei qualcosa di disperso, ti faccio eseguire un tool che odio a morte ma in questi casi è fondamentale, segui le istruzioni, e posta i report successivi sempre differenziandoli:
scarica ComboFix
scarica il programma sul desktop, riavvia i/il pc in modalità provvisoria (vedi specchietto)
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe e segui le istruzioni passo a passo, ricordati di dare invio (se richiesto) dopo i vari passaggi
Al primo passaggio ti verrà chiesto di installare la console di ripristino, rispondi di no
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
NON toccare il mouse e la tastiera durante la scansione, deve restare tutto immobile. |
 |
|
|
blackdevilsat
Junior Member
59 Messaggi |
Inserito il - 05/12/2008 : 14:11:47
|
Ciao,
invio il file combofix del computer 1:
htt*://freefilehosting.net/download/42i08
Il computer 2 invece non mi permette la modalità provvisoria, ogni volta che la seleziono si riavvia. Ho scaricato ora il rescue disk di kaspersky e sto effettuando una scansione in modalità linux. Ti dirò poi il risultato. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/12/2008 : 14:58:38
|
| Buon giorno, per la provvisoria, scarica questo file htt*://[www].didierstevens[.com]/files/data/SafeBoot.zip estrai il file reg adatto al tuo sistema operativo, poi disattiva spybot search & destroy se presente, dopplio click sul file per eseguirlo, accetta le modifiche al registro, poi riavvia, dovrebbe funzionare. |
|
|
|
blackdevilsat
Junior Member
59 Messaggi |
Inserito il - 05/12/2008 : 15:41:51
|
Ciao,
invio anche il file combofix del computer 2:
htt*://freefilehosting.net/download/42i23
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/12/2008 : 16:12:56
|
Buona sera, nelle eliminazioni visibili di combofix non risulta nulla, in ogni caso procediamo in questo modo:
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
esegui questa scansione
scansione on line con Kaspersky
1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.
La scansione richiede il java della sun e l'accettazione del controllo activex
Per effettuare la scansione, portati sulla pagina di kaspersky, devi avere solo quella pagina aperta, disattiva il tuo antivirus, lancia la scansione, dopo che avrà caricato tutti i files del database e comincerà a scansionare puoi anche disconnettere il pc da internet e lasciarlo lavorare.
Posta i report sempre divisi per cortesia.
|
|
|
|
blackdevilsat
Junior Member
59 Messaggi |
Inserito il - 05/12/2008 : 21:25:37
|
il file lop sd del 1° computer
(rimosso)
il file karspersky del 1° computer
htt*://freefilehosting.net/download/42i7h
Il report di lop l'ho rimosso dal web, meglio evitare certi dati. |
Modificato da - death in data 05/12/2008 21:30:15 |
|
|
|
blackdevilsat
Junior Member
59 Messaggi |
Inserito il - 05/12/2008 : 21:41:39
|
Il file lop sd del 2° computer
(rimosso)
vedasi post precedente. |
Modificato da - death in data 05/12/2008 21:54:11 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/12/2008 : 21:57:33
|
Buona sera, a parte i link rimossi, il primo kaspersky ha trovato un'infezione, aspetto il secondo, poi ragiono su come procedere, in entrambe i report hai dei file nascosti in esecuzione, 2 sul primo e 7 sul secondo che posso vedere solo con systemscan.
Nota: eviterei di tenere su hard disk quella montagna di files, non sto a specificare quali, ci siamo capiti, per essere proprio corretto dovrei chiudere la discussione e lasciarti senza supporto, visto che ho prontamente rimosso i link spero l'Admin del sito mi capisca. |
|
|
|
blackdevilsat
Junior Member
59 Messaggi |
Inserito il - 06/12/2008 : 10:45:21
|
ecco il kaspersky del 2° computer:
htt*://freefilehosting.net/download/42ig2 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 06/12/2008 : 12:00:40
|
Buon giorno, ho controllato i 2 report di kaspersky, risultano dei files infetti ma ho la quasi certezza che siano legittimi essendo programmi che possono interferire sul sistema:
Pc 1
C:\Programmi\OO Software\Defrag Professional
Pc 2
F:\Outlook Express\Outlook Express\SPAMfighter.dbx
sul pc 1 viene segnalato come infetto il programma ed il relativo exe, sul pc 2 viene segnalato come infetto il file di salvataggio di spamfighter, lasciali dove sono, non hanno nulla a che vedere con i files che vedevo da hijackthis, vediamo se systemscan mi dà delle certezze, segui questa procedura:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
Voglio solo accertarmi se i files che vengono rilevati nel report di hijackthis siano infetti veramente in realtà non lo siano, esegui la scansione per entrambe i pc.
|
|
|
|
blackdevilsat
Junior Member
59 Messaggi |
Inserito il - 06/12/2008 : 12:03:17
|
Mi sono dimenticato che saltuariamente alla rete viene collegato anche un notebook.
Questi sono i file di malverbytes:
htt*://freefilehosting.net/download/42ih8
e di hijackthis:
htt*://freefilehosting.net/download/42ih9 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 06/12/2008 : 12:11:14
|
Buon giorno di nuovo, il note book è pulito a parte questa voce:
O20 - AppInit_DLLs: ASAPHook
la voce è legittima se hai un software di questa casa produttrice:
The process Cognizance Application Protection Hook belongs to the software Cognizance Identity and Access Management by Cognizance Corporation.
|
|
|
|
blackdevilsat
Junior Member
59 Messaggi |
Inserito il - 06/12/2008 : 14:37:27
|
Buongiorno di nuovo a te.
Ecco il file Suspectfile del computer 1:
(rimosso)
erano presenti troppi dati personali, ho rimosso il link
|
Modificato da - death in data 06/12/2008 17:03:25 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 06/12/2008 : 17:07:34
|
Buona sera, il valore infetto sospetto che era presente presumo sia stato eliminato da spybot, ho anchre trovato i files nascosti...qualche centinaio, questo a motivarti la rimozione del link sopra, su questo pc esegui le pulizie di seguito elencate:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata
Attendo il systemscan del pc 2
|
|
|
|
blackdevilsat
Junior Member
59 Messaggi |
Inserito il - 07/12/2008 : 11:45:03
|
Buongiorno,
finalmente sono riuscito ad eseguire il suspectfile sul computer 2.
Mi si bloccava sempre, ho addirittura lanciato il programma e l'ho lasciato lavorare tutta la notte, ma anche questa mattina era bloccato. Visto che si bloccava sempre su duplicates in BAK folders, ho disattivato quel controllo e tutto è andato liscio poi.
Questo è il log:
htt*://freefilehosting.net/download/42jca
Ho fatto poi ripartire il programma solo con la ricerca in BAK ma non ha trovato nulla.
|
|
|
|
Discussione |
|
Probabile infezione
Forum Bloccato
