| Autore |
 Discussione  |
|
johnwheatus
Junior Member
Città: Bibbiena
63 Messaggi |
 Inserito il - 20/01/2009 : 14:43:48
|
Ciao a tutti!
Ho visto una conversazione identica e spero che mi possiate essere d'aiuto...da alcuni giorni ho il pc infettato.
In sostanza internet è rallentato e di molto, spesso nn apre le pagine, e cliccando sui link di google apre in realtà l'indirizzo di altre pagine(che nn vengono visualizzate).
Ho visto che vi puo' essere utile il log file di hijack e cosi' ve lo allego htt*://freefilehosting.net/download/4475b
Vi prego aiutatemi, sono uno studente e se perdo i dati salvati sono spacciato
John
|
Modificato da - death in Data 20/01/2009 22:18:47
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/01/2009 : 15:20:09
|
Buon giorno e benvenuto su Notrace, esegui queste 2 scansioni preliminari, ho visto alcune cose dal log di hijackthis:
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
poi
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
Carica i report come il precedente. |
 |
|
|
johnwheatus
Junior Member
Città: Bibbiena
63 Messaggi |
Inserito il - 20/01/2009 : 16:54:20
|
Ho avuto dei problemi con l'installazione di malwarebytes e nn sono riuscito a completarla; in pratica cliccando sul setup mi segnala il processo nella lista dei processi di taskmgr ma nn si apre la finestra.Non so' cosa significhi
Intanto riporto il report di Lop htt*://freefilehosting.net/download/447aa
grazie, John! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/01/2009 : 18:10:47
|
Buona sera, qui altro che go.google, avevo visto bene da hijackthis, passiamo alla famosa rimozione "a manina", eseguimi la scansione con questo tool seguendo le istruzioni:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
|
|
|
johnwheatus
Junior Member
Città: Bibbiena
63 Messaggi |
Inserito il - 20/01/2009 : 21:52:32
|
non so come mai ma la scansione si interrompe sulla voce 'network setting', dopo riprovo, intanto ti invio il report anche se nn completo
htt*://freefilehosting.net/download/447eg
e ancora grazie mille!!!!!! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/01/2009 : 21:53:36
|
| Per ora lascia stare, non ripeterla, se non riesco a risponderti questa sera visto che il report è lungo da analizzare, ci aggiorniamo domani mattina. |
|
|
|
johnwheatus
Junior Member
Città: Bibbiena
63 Messaggi |
Inserito il - 20/01/2009 : 22:00:44
|
ok...perfetto!!!
Thankx!! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/01/2009 : 22:21:11
|
Dimenticavo, prova a fare la scansione con malwarebytes in modalità provvisoria, per accedere segui questa scaletta:
Citazione:
Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se ci riesci postami il report senza eliminare nulla, prima voglio verificarlo. |
|
|
|
johnwheatus
Junior Member
Città: Bibbiena
63 Messaggi |
Inserito il - 20/01/2009 : 23:30:00
|
Niente sempre stessa storia...Apro il setup, appare in taskmng ma non si apre nessuna finestra...
Ho provato anche in mod provvisoria ma idem...non so' cosa possa significare..
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 21/01/2009 : 09:16:16
|
Buon giorno, ti lascio la procedura da seguire, con calma mi raccomando, altrimenti facciamo il danno:
Il primo intervento è molto delicato e devi farlo con molta attenzione . Se stampi questa pagina è meglio.
Apri il registro >>> Start >>>> Esegui digita regedit e dai ok
Portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Clicca su winlogon e, nella finestra a destra, trova "Userinit"
Nella colonna "dati" vedrai scritto:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,C:\WINDOWS\system32\twex.exe,
Tutto quello scritto in rosso è la parte che dovrai eliminare, guardala bene
Ora, fai doppio clic su "userinit" e, nella finestra che si apre, elimina solo
C:\WINDOWS\system32\twext.exe,C:\WINDOWS\system32\twex.exe,
(ricorda devi togliere anche la virgola finale)
Al termine della modifica, nella finestra deve esserci scritto esattamente :
c:\windows\system32\userinit.exe,
(virgola compresa, mi raccomando!)
ATTENZIONE a non eliminare altro, altrimenti il computer non sarà più in grado di riavviarsi!!!
Chiudi il registro e riavvia il pc.
Poi
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\system32\twex.exe
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV.SYS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger. |
|
|
|
johnwheatus
Junior Member
Città: Bibbiena
63 Messaggi |
Inserito il - 21/01/2009 : 14:00:22
|
Eccomi!
Fatto tutto, allego il report htt*://freefilehosting.net/download/4487g
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 21/01/2009 : 14:05:59
|
Buon giorno e ben trovato, hai seguito le istruzioni alla lettera altrimenti non saresti qui, ricapitolo così sei al corrente, tdss è stato disabilitato e le voci di registro eliminate, non ho trovato sul tuo pc i file di sistema relativi all'infezione, quindi o non erano presenti perchè rimossi dal tuo antivirus o sono piu' vecchi di 60 giorni, ad esempio questo simpaticone twex.exe non lo vedevo dal report di systemscan l'ho inserito in avenger ed era presente, ora, prova malwarebytes, se ancora non funziona, ripeti un systemscan e nella casellina dei giorni seleziona 120, metti anche la spunta a "include hijackthis log" e riposta il nuovo report.
Se malwarebytes funziona e presumo di si, posta il report senza eliminare nulla, poi ti dirò come procedere, se fai subito la scansione e posti il report entro le 16, non chiudere il programma, se è tutto da rimuovere lo facciamo subito e non devi rifare la scansione. |
|
|
|
johnwheatus
Junior Member
Città: Bibbiena
63 Messaggi |
Inserito il - 21/01/2009 : 15:38:32
|
Ciao!
ottimo lavoro!!!malwarebytes l'ho installato senza problemi e finalmente la velocità di internet sembrerebbe ripristinata...:-)))))
ti volevo chiedere:visto che per le 16 dubito che sia completata la scansione(anche se è più di un ora che è in corso), mi conviene comunque tenere il programma aperto dato che devo tenere il pc acceso?
e poi, dato che malwarebytes è partito, è utile comunque ripetere un systemscan come mi avevi detto o nn importa?
Grazie grazie grazie...!
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 21/01/2009 : 15:44:12
|
| Buona sera, allora, io tra poco esco dall'ufficio e mi aspettano in cantiere, se la puoi tenere aperta, appena mi ricollego da casa te la controllo subito, per il systemscan, vediamo cosa trova malwarebytes se ci sono gli eseguibili dell'infezione ti dico come procedere. |
|
|
|
johnwheatus
Junior Member
Città: Bibbiena
63 Messaggi |
Inserito il - 21/01/2009 : 17:58:01
|
Scansione terminata...mi sembra che abbia trovato diversi mostri!
Trall'altro ha riconciato a funzionarmi(magari era 'bloccato' dal virus) anche l'anti virus, dopo l'operazione che mi hai fatto fare stamani mi ha segnalato 2 trojan.
Ecco il report htt*://freefilehosting.net/download/448da
Poi volevo chiederti se la scansione comprende anche il cestino dove lunedi' ho messo un file che avira mi segnava come warning(essendo un file di sistema ho preferito nn cancellarlo) il cui nome è 'sptd' ed è descritto come driver.Non so se magari puo' aver eluso il controllo..!!
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 21/01/2009 : 18:22:48
|
|
Buona sera, i files c'erano come immaginavo, rimuovi pure tutto, poi postami un systemscan nuovo e metti al spunta su "include hijackthis log" stranamente il file che ti ho fatto eliminare con avenger è ricomparso, per il file che hai messo nel cestino Ripristinalo subito, è un file di daemon tools o alchol120 se usi uno di questi 2 programmi è legittimo, avira lo segnala come sospetto perchè è un driver che lavora in modalità nascosta. |
|
|
|
Discussione |
|
TDSS
Forum Bloccato
