NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 worm (probabile conficker C)		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Pagina Successiva
Autore Discussione Precedente Discussione Discussione Successiva
Pagina: di 2

superdavid
Average Member




75 Messaggi

Inserito il - 23/05/2010 : 13:32:44  Mostra Profilo
ciao a tutti, ho seri problemi con il pc, legati alla presenza quasi sicura di un worm, io credo sia Conficker C (me lo so sono preso da una chiavetta infettata). il mio antivirus è avira e me lo ha rilevato ed eliminato, ma questo si è ricreato con un altro nome..così ho scaricato EConfickerRemover e anche lui me lo ha eliminato, ma nel riavvio successivo era di nuovo presente.
l'antivirus l'ho eliminato perchè non rilevava nulla e poi gli aggiornamenti non funzionavano.
malwarebytes anti-malware mi aveva rilevato alcune backdoor e altre cose e le avevo eliminate tutte.
i danni sono: non riesco neanche più ad accedere a windows XP normalmente (mi si blocca dopo il caricamento di windows, lasciando solo il cursore libero e come sfondo la schermata di accensione dell'acer); in modalità provvisoria il worm è operativo ugualmente, mi blocca quasi tutti i browser web (explorer,firefox e opera), solo chrome funziona.
non so più cosa fare!

allego il log di hijackthis, anche se io non ho rilevato nulla di sospetto. ovviamente l'ho fatto in modalità provvisoria perchè è l'unica a cui accedo.

htt*://[www].freefilehosting.net/H4CDN4r7

ringrazio chiunque possa in qualche modo aiutarmi a risolvere i problemi :)
Modificato da - in Data

superdavid
Average Member




75 Messaggi
Inserito il - 23/05/2010 : 19:51:38  Mostra Profilo
ho trovato questo log molto importante di malware anti-malware
htt*://[www].freefilehosting.net/zHD8XQbv
non so come sia possibile che non li abbia eliminati..a questo punto però sto pensando di togliere a mano tutti i file e le chiavi di registro, anche se in modalità provvisoria non funziona regedit e non so come fare :/
Torna all'inizio della Pagina

shang
Advanced Member

Città: Roma


4879 Messaggi
Inserito il - 23/05/2010 : 20:08:15  Mostra Profilo
una bella rogna se hai il conficker

riesci a collegarti qui ?

riavvia malwarebytes ed elimina quello che ha trovato, aggiornalo e fai una nuova scansione completa del pc

appena finito lancia anche questo programma e fai una scansione completa
Torna all'inizio della Pagina

superdavid
Average Member




75 Messaggi
Inserito il - 23/05/2010 : 20:20:02  Mostra Profilo
si, riesco a collegarmi alla pagina di microsoft.
malwarebites anti-malware non mi rileva più nulla! solo la prima volta mi ha trovato tutti quei problemi e, anche se mi ricordo benissimo di averli eliminati, sul log dice che non è stata eseguita nessuna azione..
ora sto facendo una scansione con symantec downadup removal tool e se non trovo nulla provo con l'ultimo link che hai postato.
comunque vedendo il log ho capito perchè il worm agisce anche in modalità provvisoria: è infetto anche un driver :/

grazie mille per l'attenzione e per i suggerimenti ;)
Torna all'inizio della Pagina

shang
Advanced Member

Città: Roma


4879 Messaggi
Inserito il - 23/05/2010 : 20:28:28  Mostra Profilo
superdavid voglio essere chiaro

O segui i miei suggerimenti

Oppure fai di testa tua
Torna all'inizio della Pagina

superdavid
Average Member




75 Messaggi
Inserito il - 23/05/2010 : 21:08:11  Mostra Profilo
non so come hai interpretato le mie parole ma sto seguendo pari pari tutto quello che mi hai detto tu!
di testa mia non vado da nessuna parte ;)

edit: sia anti-malware sia stinger non mi hanno rilevato nulla..
Modificato da - superdavid in data 23/05/2010 22:24:00
Torna all'inizio della Pagina

shang
Advanced Member

Città: Roma


4879 Messaggi
Inserito il - 24/05/2010 : 19:44:23  Mostra Profilo

esegui questo passaggio


disattiva l'antivirus

scarica combofix sul desktop, e' importante che venga salvato ed eseguito dal desktop
(non installare la recovery console)

- esegui ComboFix.exe
- digita 1
- segui le instruzioni
- finita la scansione portati in C:\ e copia/incolla in un file di testo Combofix.txt

carica il rapporto qui
Modificato da - shang in data 24/05/2010 19:46:34
Torna all'inizio della Pagina

superdavid
Average Member




75 Messaggi
Inserito il - 25/05/2010 : 16:26:27  Mostra Profilo
ecco il log di combofix

htt*://wikisend[.com]/download/564042/log.txt
Torna all'inizio della Pagina

shang
Advanced Member

Città: Roma


4879 Messaggi
Inserito il - 25/05/2010 : 18:29:51  Mostra Profilo
scarica MBR:EXE direttamente in C:\

vai in modalita' provvisoria

Da Start - Esegui - digita C:\mbr.exe e clicca su OK

Posta il log che troverai in C:\ come mbr.log
Torna all'inizio della Pagina

superdavid
Average Member




75 Messaggi
Inserito il - 25/05/2010 : 18:46:28  Mostra Profilo
buonasera, ecco il log di mbr

htt*://wikisend[.com]/download/466894/mbr.log

P.S. nel riavvio successivo alla scansione di combofix il pc si è acceso normalmente *.* non so però spiegarmi il perchè
Torna all'inizio della Pagina

shang
Advanced Member

Città: Roma


4879 Messaggi
Inserito il - 25/05/2010 : 18:52:01  Mostra Profilo


Ora apri una pagina del blocco note e copia incolla quanto segue:


file::
c:\windows\system32\CF13623.exe


NetSvcs::
lrmdqzu
ihshdwgj
wjabwydg

Driver::
lrmdqzu
ihshdwgj
wjabwydg

salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine e riposta il suo log ...
Torna all'inizio della Pagina

superdavid
Average Member




75 Messaggi
Inserito il - 25/05/2010 : 19:20:10  Mostra Profilo
eccolo:

htt*://wikisend[.com]/download/455598/ComboFix.txt
Torna all'inizio della Pagina

shang
Advanced Member

Città: Roma


4879 Messaggi
Inserito il - 25/05/2010 : 19:39:29  Mostra Profilo
vorrei sapere come va ora il pc rispetto a prima

nel frattempo scarica questo programma

scompattalo

clicca su ''start scan''

quando finisce vai in basso su ''view report'' e copia il rapporto che rilascia
Torna all'inizio della Pagina

superdavid
Average Member




75 Messaggi
Inserito il - 25/05/2010 : 20:03:05  Mostra Profilo
quando apro l'antirootkit mi esce un alert di errore con scritto "one of the Avira Antivir Desktop products must be installed first. the application will exit" e ovviamente si chiude...devo installare un prodotto Avira? (se fosse così non è un problema, prima era il mio antivirus e ho ancora l'installer e la key)

comunque ora la situazione è questa: il pc si accende normalmente e apparentemente è tutto ok..anche se la cartella C:\WINDOWS\twain_32 era stata segnalata come backdoor ed eliminata da Malwarebytes' Anti-Malware ma è di nuovo al suo posto...
Torna all'inizio della Pagina

shang
Advanced Member

Città: Roma


4879 Messaggi
Inserito il - 25/05/2010 : 20:13:00  Mostra Profilo
installa quel programma semmai dopo lo rimuovi e comunque e' sempre un prodotto molto affidabile

altra cosa >>>> conosci questa cartella?

C:\327882R2FWJFW
Torna all'inizio della Pagina

superdavid
Average Member




75 Messaggi
Inserito il - 25/05/2010 : 20:22:32  Mostra Profilo
quella cartella non l'ho mai vista
ho fatto uno screen di quello che contiene

htt*://it.tinypic[.com]/r/2d80504/6
Torna all'inizio della Pagina
Pagina: di 2 Discussione Precedente Discussione Discussione Successiva  
Pagina Successiva

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,38 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000