| Autore |
 Discussione  |
|
|
guldukat
Average Member
71 Messaggi |
 Inserito il - 08/02/2009 : 12:44:04
|
buongiorno a tutti e buongiorno a death
rieccomi stesso pc portatile del lavoro con symantec antivirus updatato...e solito TDSS
system malvare pulito
posto lopsd con opzione 1
lopR-DEATH1.txt
poi rifatto con opzione 2
lopR-DEATH2.txt
grazie per ogni aiuto
|
Modificato da - death in Data 08/02/2009 19:14:25
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 08/02/2009 : 12:51:27
|
Buon giorno...ma sei riuscito a riprenderti l'infezione sullo stesso pc?  segui la procedura:
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\system32\twex.exe
C:\WINDOWS\system32\twetx.exe
C:\WINDOWS\system32\drivers\TDSServ.sys
C:\WINDOWS\system32\drivers\TDSSpaxt.sys
C:\WINDOWS\system32\TDSSerrors.log
C:\WINDOWS\system32\TDSSservers.dat
C:\WINDOWS\system32\TDSSl.dll
C:\WINDOWS\system32\TDSSlog.
C:\WINDOWS\system32\TDSSmain.dll
C:\WINDOWS\system32\TDSSinit.dll
C:\WINDOWS\system32\TDSSlog.dll
C:\WINDOWS\system32\TDSSadw.dll
C:\WINDOWS\system32\TDSSpopup.dll
C:\WINDOWS\system32\TDSScfum.dll
C:\WINDOWS\system32\TDSSnrsr.dll
C:\WINDOWS\system32\TDSSofxh.dll
C:\WINDOWS\system32\TDSSriqp.dll
C:\WINDOWS\system32\TDSSfxmp.dll
C:\WINDOWS\system32\TDSStkdv.log
C:\WINDOWS\system32\TDSSosvd.dat
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\TDSSserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\TDSSserv.sys\modules
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\TDSSserv.sys\modules
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\TDSSserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSServ.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDSServ.sys
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TDSSserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Fai una scansione con malwarebytes, rimuovi tutto e posta il report.
|
Modificato da - death in data 08/02/2009 12:52:14 |
 |
|
|
guldukat
Average Member
71 Messaggi |
Inserito il - 08/02/2009 : 12:52:49
|
difatti la moglie e' riandata a vedere i siti per le vacanze dell'altra volta,,,e l'ha ribeccato!
basta vacanze!^^ |
|
|
|
guldukat
Average Member
71 Messaggi |
Inserito il - 08/02/2009 : 13:39:25
|
Rieccoci Malware ha dato "nessun file infetto" posto il report
Dato che anche stavolta nessuno ha cliccato niente per TDSS si puo bloccare in qualche
modo questo download "automatico" con qualche opzione di Ie o Firefox?
mbam-log-2009-02-08 (13-42-37).txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 08/02/2009 : 15:45:13
|
Buona sera, di a tua moglie che gli taglio "le ditina e ci gioco a shangay"  , purtroppo devi essere incappato in qualche sito veramente subdolo nello scaricare i files infetti, e purtroppo non si può bloccare nulla.
Mi posti il report di avenger per cortesia poi proseguiamo. |
|
|
|
guldukat
Average Member
71 Messaggi |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 08/02/2009 : 19:13:55
|
Buona sera, non ha trovato tutti i files dell'infezione, magari hai avuto fortuna, memore della precedente esperienza, le chiavi di registro che richiamano il servizio sono state rimosse, procediamo come la volta precedente:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
Dimenticavo, non girovagare sul web con quel pc, idem la tua signora, non vorrei arrivassero i fratelli, i cugini e tutti i parenti possibili dell'infezione a fare una fagiolata |
|
|
|
guldukat
Average Member
71 Messaggi |
Inserito il - 08/02/2009 : 21:57:24
|
Buonasera
ecco il system scan
report-DEATH.txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/02/2009 : 12:21:16
|
Buon giorno, da systemscan non vedo piu' nulla dell'infezione, esegui una nuova scansione con malwarebytes, elimina tutto e posta il report.
esegui le pulizie:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata |
|
|
|
guldukat
Average Member
71 Messaggi |
Inserito il - 09/02/2009 : 18:00:36
|
Buonasera Death
eseguito tutto posto il malware finale
mbam-log-2009-02-09 (17-58-15)-DEATH2.txt
Puo' essere che per far girare il programma aziendale dobbiamo usare una vecchia versione di IE(difatti nn possiamo aggiornare) in cui forse c'e' qualche "buco"..le infezioni si sono sempre verificate con IE. Ora ho installato ultimo Firefox per navigare |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/02/2009 : 18:05:23
|
| Buona sera, report pulito, va bene la scelta di firefox, ricordati che prendi le stesse infezioni di ie, quindi non sentirti superprotetto. Prova il pc un paio di giorni, evita se possibile il sito delle vacanze e se noti qualcosa di strano torna a postare, questa volta l'infezione era all'inizio ed è stato semplice rimuoverla. |
|
|
|
guldukat
Average Member
71 Messaggi |
Inserito il - 09/02/2009 : 19:24:35
|
 grazie mitico spero di non rifare la solita figura da 
alla prossima!(speriamo di no!) |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 09/02/2009 : 19:30:16
|
|
Tranquillo, finchè potrò sarò qui, se torni e non ci sono troverai qualcuno ad aiutarti lo stesso. Buona serata ed un saluto a tua moglie. |
|
|
| |
Discussione |
|
tdss 2 - the revenge
Forum Bloccato
