| Autore |
 Discussione  |
|
guldukat
Average Member
71 Messaggi |
 Inserito il - 24/01/2009 : 19:41:16
|
Hola a tutti!
Da ieri il pc portatile fa le bizze,girovagando la mia mogliettina deve
aver preso qualcosa..
I sintomi sono redirect su pagine che non erano quelle, da homepage simili a youporn, blocco di siti come [www].bitdefender[.com] e affini..
Ho fatto una scansione con Hijack dopo aver modificato il nome file(bloccava pure quello) e vi posto il loghijackthis_1232826019637_147.log
la entry sospetta mi sembra twex.exe...
Grazie per l'aiuto essendo il pc aziendale vorrei evitare di rimandarlo in assistenza in sede
|
Modificato da - death in Data 25/01/2009 09:51:21
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/01/2009 : 19:57:58
|
Buona sera e benvenuto su Notrace, da hijackthis si vede solo questa
O4 - Global Startup: CmmLogon.lnk = C:\Programmi\Fortech\ComMa32\Bin\CmmLogon.exe dimmi tu se riconosci l'applicazione e se è stata installata da voi, poi segui questa procedura:
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
poi
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
per postare i report utilizza questo servizio htt*://[www].wikisend[.com] |
 |
|
|
guldukat
Average Member
71 Messaggi |
Inserito il - 25/01/2009 : 08:53:17
|
Buon giorno a te death
malware mi da problemi di installazione ma ho visto nei post precedenti anche ad altri
nello specifico parte il setup, ma si blocca al fondo su termine dell'installazione
bisogna chiudere a mano e il programma non parte...ora mi da anche problemi nella disinstallazione
lopSD sta operando postero al piu presto il report
La entry sospetta che hai notato e' un programma aziendale ho controllato |
|
|
|
guldukat
Average Member
71 Messaggi |
Inserito il - 25/01/2009 : 09:28:30
|
buongiorno ecco il report di lopSD
[URL=htt*://wikisend[.com]/download/561528/LopR_1.txt]LopR_1.txt[/URL] |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/01/2009 : 09:51:00
|
Buon giorno e benvenuto in quelli che si sono caricati tdss  , ora, evita malwarebytes, neppure con le cannonate potrai installarlo, ripeti lopsd con l'opzione 2, perlomeno disattiviamo il cliente, poi rieseguilo in opzione 1 e riposta il report, poi segui questa procedura:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
Evita di navigare con quel pc, poi ti avviso che sarà molto difficile che te lo porti al lavoro domani. |
Modificato da - death in data 25/01/2009 09:51:45 |
|
|
|
guldukat
Average Member
71 Messaggi |
Inserito il - 25/01/2009 : 09:58:10
|
Grazie per il benvenuto....ieri la moglie stava navigando per siti delle vacanze....bel regalo ci hanno fatto!
rieseguo lopsd e ti aggiorno |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/01/2009 : 10:14:55
|
| Lo dico sempre..donne e internet...adesso i 3/4 delle utenti del forum mi scuoieranno aspetto il report..certo che se arrivavi con un'infezione più domenicale era meglio. |
|
|
|
guldukat
Average Member
71 Messaggi |
Inserito il - 25/01/2009 : 10:19:25
|
Cosa ci vuoi fare le donne rompono e poi dicono aggiusta!
la mogliettina dorme ancora e io e' dalle 8 che cerco di far ripartire il tutto!
Almeno il mio portatile e' sano ho fatto lopssd ora...
E' arrivato un sms che la rete aziendale e' bloccato da un "worm virus"...semplice coincidenza?
Come si propaga il TDSS? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/01/2009 : 10:28:55
|
| Dunque, solitamente l'infezione è legata al virus "antivirus2009" anche se devo dirti che ultimamente la trovo da sola, non dovrebbe infettare altre macchine, ma non avendone mai rimosso nessuno da una rete aziendale anche di questo non posso essere certo, in ogni caso l'infezione parte da un file che viene eseguito, il cliente si crea dei servizi e cerca di connettersi su altri siti per scaricare altri agenti infettivi, la navigazione viene disturbata da pubblicità e pop-up, per tua informazione, con systemscan saprò dirti la data esatta dell'infezione, quindi magari tua moglie non è la colpevole ma te lo sei caricato in azienda, se ve lo siete preso anche li...auguri a chi ci metterà le mani sopra..immagino già la cifra della sua parcella |
|
|
|
guldukat
Average Member
71 Messaggi |
Inserito il - 25/01/2009 : 10:35:10
|
ecco i due scan con lopsd
con opzione 2 lopR-CON OPZIONE-2.txt
poi l'ho rifatto con opzione 1
htt*://freefilehosting.net/download/44cgi |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/01/2009 : 10:40:41
|
| Perfetto, lopsd non lo rimuove manco lui, fammi pure systemscan, poi quando ho il report lo rimuoviamo a manina, così so cosa fare nel pomeriggio, se per caso la scansione con systemscan si blocca, verifica a quale stadio, ripetila eliminando il segno di spunta dalla voce su cui si è bloccato in precedenza. |
|
|
|
guldukat
Average Member
71 Messaggi |
Inserito il - 25/01/2009 : 11:07:23
|
eseguito systemscan ho dovuto togliere network settings
report-death.txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/01/2009 : 11:42:35
|
| Appena ho tempo esamino e poi ti faccio sapere, per non lasciarti appeso, presumo che mi ci vorrà un bel momentino, quindi ci aggiorniamo nel pomeriggio dopo le 16, mi raccomando non sgridare tua moglie, in questo caso credo sia innocente |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/01/2009 : 16:17:04
|
Buona sera, come promesso, ti lascio la procedura da seguire, con attenzione e la dovuta calma mi raccomando, qui si rischia il danno, per tua informazione mi risulta che l'infezione si sia avviata con questo:
24/01/2009 15:01:01 -- 24/01/2009 15:01:01 66048 ---A 0 days old -- C:\DOCUME~1\ETMS0541\IMPOST~1\Temp\FJFOeDud.exe
passiamo alla procedura:
il primo intervento è molto delicato e devi farlo con molta attenzione . Se stampi questa pagina è meglio.
Apri il registro >>> Start >>>> Esegui digita regedit e dai ok
Portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Clicca su winlogon e, nella finestra a destra, trova "Userinit"
Nella colonna "dati" vedrai scritto:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
Tutto quello scritto in rosso è la parte che dovrai eliminare, guardala bene
Ora, fai doppio clic su "userinit" e, nella finestra che si apre, elimina solo
C:\WINDOWS\system32\twex.exe,
(ricorda devi togliere anche la virgola finale)
Al termine della modifica, nella finestra deve esserci scritto esattamente :
c:\windows\system32\userinit.exe,
(virgola compresa, mi raccomando!)
ATTENZIONE a non eliminare altro, altrimenti il computer non sarà più in grado di riavviarsi!!!
Chiudi il registro.
b]scarica[/b] Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso (non avendo il report completo di systemscan ho aggiunto delle voci tipiche dell'infezione):
files to delete:
C:\DOCUME~1\ETMS0541\IMPOST~1\Temp\FJFOeDud.exe
C:\WINDOWS\system32\twex.exe
C:\WINDOWS\system32\drivers\TDSServ.sys
C:\WINDOWS\system32\drivers\TDSSpaxt.sys
C:\WINDOWS\system32\TDSSerrors.log
C:\WINDOWS\system32\TDSSservers.dat
C:\WINDOWS\system32\TDSSl.dll
C:\WINDOWS\system32\TDSSlog.
C:\WINDOWS\system32\TDSSmain.dll
C:\WINDOWS\system32\TDSSinit.dll
C:\WINDOWS\system32\TDSSlog.dll
C:\WINDOWS\system32\TDSSadw.dll
C:\WINDOWS\system32\TDSSpopup.dll
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSServ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSServ.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSServ.sys
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Dimenticavo scarica questo file zip, htt*://[www].mvps.org/winhelp2002/hosts.zip disconnetti di nuovo il pc, estrai sul desktop dal file zip solo il file Hosts, selezionalo, tasto destro del mouse, copia, poi apri la cartella C:\Windows\System32\drivers\etc\ in un punto libero fai incolla, accetta la sostituzione del file hosts esistente, potrebbe darti errori non preoccuparti, riavvia il pc.
|
Modificato da - death in data 25/01/2009 16:26:00 |
|
|
|
guldukat
Average Member
71 Messaggi |
Inserito il - 25/01/2009 : 16:37:05
|
grazie proverò subito
il file hosts.zip devo farlo DOPO avenger?
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/01/2009 : 16:47:38
|
|
Buona sera, il file hosts fallo pure dopo avenger, non era necessario, ma visto che ero in procedura e vista la brutta sopresa che ha avuto tua moglie te lo faccio aggiornare, in questo ci sono un bell'elenco di siti che portano infezioni e da ora in avanti saranno inaccessibili. |
|
|
|
Discussione |
|
TDSS
Forum Bloccato
