| Autore |
 Discussione  |
|
verastato
Average Member
82 Messaggi |
 Inserito il - 09/01/2009 : 12:51:15
|
ciao ragazzi e complimenti per il forum
ho pensato di postare in questo stesso messaggio perche' la situazione e' molto simile e per non aprire nuovi thread...spero di aver fatto bene
ho seguito i passi indicati e vorrei postare i risultati di HJT
mi serve un aiuto perche' ho provato in tutti i modi ma non riesco a liberarmi di questo maledetto tdss...
ecco il log
htt*://wikisend[.com]/download/857670/hijackthis.txt
update del log di malwarebytes
dopo scansione e fix
htt*://wikisend[.com]/download/885418/malwarebytes.txt
confido in un vs. aiuto
grazie mille
|
Modificato da - death in Data 09/01/2009 17:04:49
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 09/01/2009 : 12:54:18
|
il pc continua a aprire pagine attraverso fireworks, l'ultimo pop-up recita cosi:
ATTENTION! If your computer is struck by the spyware, you could suffer data loss, erratic PC behaviour, PC freezes and creahes.
Detect and remove viruses before they damage your computer!
Antivirus 2009 will perform a 100% FREE and quick scan of your computer for Viruses, Spyware and Adware.
Do you want to install Antivirus 2009 to scan your computer for malware now? (Recommended)
tipico direi...
prima ti mettono il virus e poi ti vendono l'antivirus (falso aggiungo io...)
|
 |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/01/2009 : 12:58:21
|
Buon giorno di nuovo, riesegui malwarebytes e rimuovi tutto come ti ho detto, poi esegui questa scansione:
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
per postare i report nella discussione utilizza questo servizio:
htt*://[www].wikisend[.com]
clicchi su sfoglia, selezioni il file, clicchi su upload, quando ha finito copi il link e lo incolli qui sul forum.
|
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 09/01/2009 : 13:09:08
|
ok grazie mille (anche per la spiegazione su come usare wikisend)
sto facendo quanto richiesto, ho dwld lopsd, appena finisce MWB lo eseguo...
ho notato al primo riavvio richiesto da MWB un messaggio di avviso come segue:
Protezione esecuzione programmi - Microsoft windows
per facilitare la protezionedel computer il programma e' stato chiuso
nome: generic host process for win32 services
autore: microsoft corporation
e' significativo? |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 09/01/2009 : 13:22:16
|
ok allora
malwarebytes eseguito di nuovo
siamo passati da 50+ a soli 5 infetti
ecco il log
[URL=htt*://wikisend[.com]/download/546800/mbam-log-2009-01-09 (13-13-00).txt]mbam-log-2009-01-09 (13-13-00).txt[/URL]
lopSD eseguito
ecco il log
[URL=htt*://wikisend[.com]/download/528748/lopR.txt]lopR.txt[/URL]
spero di aver fatto tutto come si deve
grazie infinite |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/01/2009 : 13:41:15
|
Buon giorno di nuovo,si comincia a vedere un filo di luce, riesegui lopsd selezionando l'opzione 2, poi riavvia il pc ed esegui questo programma, non è un antivirus, è un programma di scansione del sistema:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 09/01/2009 : 13:46:27
|
nn riesco a scaricare systemscan ...
mi da file non trovato 404
|
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 09/01/2009 : 14:32:12
|
ok fatto
ecco i nuovi log
htt*://wikisend[.com]/download/476484/report.txt
htt*://wikisend[.com]/download/479982/lopR2-13-47.txt
attendo istruzioni
grazie
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/01/2009 : 16:39:39
|
Buona sera, premesso che preferivo continuare a spalare neve che trovarmi un pc in queste condizioni..ma li allevi?  ti posto una procedura e speriamo il pc non abbia a risentirsi, segui bene le istruzioni:
da start >>>> esegui digita regedit , ti si aprirà l'editor del registro di windows, assicurati che nel tabellino a sinistra la dicitura "risorse del computer sia selezionata", clicca su file e poi su esporta e salva una copia del registro. La terrai finchè non avremo finito.
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\tasks\zutpuylk.job
C:\ytuxklcw.txt
C:\1086682831
C:\onqckxo.exe
C:\DOCUME~1\Federico\IMPOST~1\Temp\hnsf87w3jndjfdgf.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\kxefi734w4hhjef.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\7hjhffd.bat
C:\DOCUME~1\Federico\IMPOST~1\Temp\2254418866.exe
C:\DOCUME~1\Federico\IMPOST~1\Temp\2137387616.exe
C:\DOCUME~1\Federico\IMPOST~1\Temp\2079887616.exe
C:\DOCUME~1\Federico\IMPOST~1\Temp\CF23004.exe
C:\DOCUME~1\Federico\IMPOST~1\Temp\ssqRKdbC.bat
C:\DOCUME~1\Federico\IMPOST~1\Temp\xz8714.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\9lf713.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\is50F.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\is50B.tmp
C:\DOCUME~1\Federico\IMPOST~1\Temp\um.um
C:\DOCUME~1\Federico\IMPOST~1\Temp\BwfqvvK2.xps.part
C:\DOCUME~1\Federico\IMPOST~1\Temp\3CUzkGBP.xps.part
C:\DOCUME~1\Federico\IMPOST~1\Temp\S31JF4zq.xps.part
C:\DOCUME~1\Federico\IMPOST~1\Temp\4bCNHQf7.xps.part
C:\DOCUME~1\Federico\IMPOST~1\Temp\VnwTn9_j.xps.part
C:\DOCUME~1\Federico\IMPOST~1\Temp\S4tjEX7w.xps.part
C:\DOCUME~1\Federico\IMPOST~1\Temp\zYBFNWXt.xps.part
C:\DOCUME~1\Federico\IMPOST~1\Temp\xBGgOsB0.xps.part
C:\DOCUME~1\Federico\IMPOST~1\Temp\Nmq5hZ4q.xps.part
C:\DOCUME~1\Federico\IMPOST~1\Temp\ONeF5YHD.xps.part
C:\WINDOWS\system32\4be6b21e-.txt
C:\WINDOWS\system32\TDSSosvd.dat
C:\WINDOWS\system32\vCdddccf.ini
C:\WINDOWS\system32\sd4uk3.exe
C:\WINDOWS\system32\vCdddccf.ini2
C:\WINDOWS\system32\drivers\pnxrtdd.sys
C:\WINDOWS\temp\7hjhffd.bat
C:\WINDOWS\temp\2548110728.exe
C:\WINDOWS\temp\kxefi734w4hhjef.tmp
C:\WINDOWS\temp\2777543866.exe
C:\WINDOWS\temp\tmp5.exe
C:\WINDOWS\temp\tmp5.tmp
C:\WINDOWS\temp\tmp9.exe
C:\WINDOWS\temp\tmp9.tmp
registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
registry keys to delete:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV.SYS]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TDSSserv.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Poi esegui questa operazione:
visualizza i files nascosti:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
Poi vai su questo sito htt*://[www].virustotal[.com]/it/ clicca su sfoglia e cerca questi files nel tuo computer (vedi sotto) clicca su invia file, il sito scansionerà il file e ti rilascerà un report, salvalo in formato testo fino alla riga md5 compresa e postalo sul forum.
C:\khq
C:\WINDOWS\system32\d3d9caps.dat
Riposta un nuovo systemscan ma completo, quello precedente era troncato, per fortuna avevo il report di lopsd.
Dimenticavo, sarebbe opportuno che finchè ti seguo io non facessi scansioni su tua iniziativa, tipo utilizzare combofix.
|
Modificato da - death in data 09/01/2009 17:00:37 |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 09/01/2009 : 17:30:06
|
almeno da voi c'e' la neve!!!!
ok sono pronto a fare la procedura
ho solo paura della frase"speriamo il pc non abbia risentirne"....
dici che e' pericolosa? non vorrei che saltasse...anche perche' ci lavoro...
tutto il casino e' nato perche' la WS in questione e' nuova, comperata dalla dell che ci doveva mettere l'antivisrus e non lo ha messo...penso ci andro' in causa per questo...
attendo tua conferma per iniziare la procedura...
ps: non li allevo, ma pare si moltiplichino da soli, visto che questo pc e' usato solo - o quasi - per lavoro e il virus a mio parere lo ha preso un altro pc in rete (scaricando le canzoni di natale...) da li non sono riuscito a toglierlo completamente e penso si sia spagliato sulla rete LAN arrivando anche a questo pc....
ancora grazie infinite per l'aiuto e la pazienza
oltre ai miei complimenti per la competenza dimostrata!!!
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/01/2009 : 17:33:54
|
| Buona sera, se hai dei dati importanti, come sempre salvali, il tuo cliente non è dei più simpatici oltre a un mucchio di files che non hanno riscontri sul web, in ogni caso non possiamo fare altro, quindi procedi pure. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 09/01/2009 : 17:39:20
|
partiti...
primo problema con avenger mi dice error invalid registry syntax in command
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV.SYS]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TDSSserv.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]
only registry keys under the hkey_local_machine hive are accessible to this program
skipping line (registry key deletion mode)
sono un messaggio alla volta...
che faccio? lo skippo?
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/01/2009 : 17:47:33
|
Si saltale pure, le ho messe prendendole da lopsd, ero quasi sicuro non le eliminasse, le ritroviamo con il secondo systemscan che mi posterai, salta pure tranquillamente.
E' solo un errore mio di sintassi, la parentesi [. |
Modificato da - death in data 09/01/2009 17:48:37 |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 09/01/2009 : 17:59:00
|
pronti:
log di avenger:
htt*://wikisend[.com]/download/508078/avenger.txt
per virus total:
il primo file khq mi dice file 0 byte ossia come se non avessi caricato nulla (file vacio ossia vuoto) per l'altro file ecco il log
htt*://wikisend[.com]/download/542110/virus-total.txt
ok per non fare nulla senza che me lo dici
(stamattina avevo usato combofix e vundofix senza successo)
adesso faccio il systemscan appena ha finito lo posto...
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/01/2009 : 18:05:41
|
Buona sera di nuovo, che tu avessi usato combofix e vundofix mi era chiaro l'ho visto da systemscan  l'hai detto tu che sono competente, era una cosa troppo ovvia da non vedersi, quando poi hai un secondo, segui la procedura:
Esegui di nuovo avenger e nella finestra copia/incolla tutto il testo in rosso:
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV.SYS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TDSSserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger. |
|
|
|
verastato
Average Member
82 Messaggi |
Inserito il - 09/01/2009 : 18:06:18
|
ecco il report di systemscan
htt*://wikisend[.com]/download/947470/report2-1800.txt
attendo istruzioni
thanks |
|
|
|
Discussione |
|
TDSS e trojan Vundo
Forum Bloccato
