| Autore |
 Discussione  |
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 06/05/2010 : 00:44:23
|
ho fatto le altre due scansioni...niente di sospetto, almeno a parer mio. questo è il report di malwarebytes
htt*://wikisend[.com]/download/558576/mbam-log-2010-05-06 (00-41-15).txt
cosa dici...siamo usciti dal tunnel?
grazie grazie! |
 |
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/05/2010 : 01:04:05
|
la scansione deve essere completa, non rapida
posta anche il log di avira
|
Modificato da - shang in data 06/05/2010 01:04:52 |
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 06/05/2010 : 12:01:37
|
| ok...lo faccio verso sera perchè sono in ufficio... |
|
|
|
smilzojoe
Junior Member
57 Messaggi |
 Inserito il - 06/05/2010 : 19:41:19
|
eccu qua. fatta scansione completa
htt*://wikisend[.com]/download/944068/mbam-log-2010-05-06 (19-37-52).txt
mi ha rilevato una infezione ma non relativa almeno credo al problema di fosrfu.sys, non ho provato a toglierla...dimmi cosa fare
grazie |
Modificato da - smilzojoe in data 06/05/2010 19:42:56 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/05/2010 : 19:50:49
|
per questo ti avevo chiesto il log di avira....
riavvia malwarebytes ed elimina quello che ha trovato
abilita la visualizzazione dei file nascosti (apri una cartella qualsiasi, vai su Strumenti--> Opzioni cartella--> Visualizzazione e spunta Visualizza file e cartelle nascosti
elimina il file implicato, e' nel report di combofix (sempre se avira non lo ha gia' eliminato)
C:\Windows\system32\drivers\fosrfu.sys
|
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 06/05/2010 : 19:59:08
|
la scansione di avira dura un ora, adesso la rifaccio poi ti posto. ieri non aveva dato problemi. con malawarebytes, che avevo lasciato aperto, ho già rimosso quello che ha trovato. ha riavviato il pc e tutto ok.
il file C:\Windows\system32\drivers\fosrfu.sys non c'è più!
dici che la devo fare comunque la scansione con avira o ce la possiamo risparmiare? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/05/2010 : 20:09:31
|
prima di fare la scansione con avira controlliamo che effettivamente quel file non e' piu' nel pc ....
con il cerca di windows inserisci fosrfu e vedi se trova qualcosa
per avira dovresti trovare il rapporto nello stesso avira
|
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 06/05/2010 : 20:40:52
|
...scusa non avevo notato che c'è la sezione report di avira 
qui il report di ieri che dice che siamo puliti htt*://wikisend[.com]/download/601236/AVSCAN-20100505-205200-D559C436.LOG
ho cercato fosrfu e ho trovato
legacy_fosrfu.reg.dat
service_fosrfu.reg. dat
come puoi vedere qui
htt*://wikisend[.com]/download/714850/Immagine.jpg
cosa faccio? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/05/2010 : 21:09:39
|
le chiavi le abbiamo eliminate ieri con lo script....
ripeti la scansione con combofix e posta il rapporto ottenuto
prima di farla vai in C:\ ed elimina i log Combofix.txt delle precedenti scansioni
poi....
scarica virit e fai una scansione completa
dovresti controllare cosa sono quei video accanto alle chiavi FOSRFU ed eliminarli
|
Modificato da - shang in data 06/05/2010 21:16:35 |
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 07/05/2010 : 16:55:05
|
Citazione:
Messaggio inserito da shang
dovresti controllare cosa sono quei video accanto alle chiavi FOSRFU ed eliminarli
scusa ma non ho capito. devo eliminare i due files? sono nel percorso c:\qoobox\quarantine che se non capisco male è una cartella di combofix. devo eliminare quei due files? come faccio a capire cosa sono quei due video accanto alle chiavi? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 07/05/2010 : 17:01:50
|
non avevo capito che erano nella cartella qoobox
vai in C:\ ed elimina la cartella ed esegui la scansione con virit |
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 07/05/2010 : 17:03:55
|
| ok perfetto, faccio subito! |
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 07/05/2010 : 19:02:50
|
scansione fatta...tutto ok ti allego il report
htt*://wikisend[.com]/download/461152/VIRITEXP.LOG
questo invece è l'ultimo combofix
htt*://wikisend[.com]/download/461352/combo.txt
ho notato una cosa, subito dopo combofix, prima di riavviare il pc non si avviava firefox. c'era un segnale di errore con scritto che firefox utilizzava una chiave di registro che era stata messa in nota per l'eliminazione. dopo il riavvio tutto ok ma mi ha richiesto se volevo firefox come browser predefinito...
a questo punto:
- possiamo verosimilmente considerare di essere puliti?
- se si quali fra i programmi che mi hai fatto installare è bene tenere/quali no? virit lo tengo insieme ad avira?
- hai un'idea di come mi sia potuto infettare?
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 07/05/2010 : 20:23:31
|
allora.....quello che rimane e' solo controllare questi due file un pochino sospetti
c:\users\Max\AppData\Local\Temp\IKZWE.exe
c:\users\Max\AppData\Local\Temp\ORWROWTKBWNT.exe
per farlo visaulizza i file nascosti (oramai hai imparato come si fa....no?
analizzali su questo sito e mostra i risultati
domanda: hai ancora installato Sophos AntiRootkit??
disinstalla combofix e gli altri programmi che hai usato con questo tool
eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI
fai una nuova ricerca col cerca di windows sul file fosrfu
fai un po' di pulizia
Scarica ed installa
CCleaner
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
nel menu a sinistra, clicca sulla voce Pulizia
clicca su tasto Avvia pulizia per eseguire la scansione
finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
clicca sul tasto Trova problemi ed avvia una scansione
al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
postami anche un log aggiornato di hijackthis
|
|
|
|
smilzojoe
Junior Member
57 Messaggi |
Inserito il - 08/05/2010 : 10:03:43
|
i due file nel percorso c:\users\Max\AppData\Local\Temp\ non ci sono.
non c'è il percorso c:\user dunque ho guardato in
c:\utente\max\AppData\Local\Temp\... ma dei due files non c'è traccia. nessuna traccia neanche a fare una ricerca con windows
Sophos AntiRootkit è ancora installato. lo devo togliere?
La ricerca su fosrfu non da più alcun risultato.
ho usato il tool per disinstallare e scaricato cc cleaner.
questo è l'ultimo report di hijackthis
htt*://wikisend[.com]/download/476348/hijackthis.log
il tool che ho usato per disinstallare non ha rimosso virit, cosa devo fare? lo lascio o lo tolgo?
|
Modificato da - smilzojoe in data 08/05/2010 10:05:33 |
|
|
|
Discussione |
|
rootkit.gen - come lo tolgo?
Forum Bloccato
