NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 Possibili Virus+Firewall Win7 Bloccato		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'č:
Pagina Successiva
Autore Discussione Precedente Discussione Discussione Successiva
Pagina: di 2

sean69
Advanced Member




367 Messaggi

Inserito il - 05/11/2012 : 13:33:25  Mostra Profilo
Buongiorno a tutti,da qualche giorno ho il Firewall di Windows 7(64 bit)bloccato,non riesco ad attivarlo,mi da' sempre questa finestra:
Attenzione Spoiler:


..ho deciso cosi' di fare qualche controllo con l'antivirus,e piu' precisamente con Avira,il quale mi ha segnalato qualche infezione,questo e' il suo report:

htt ://[www].freefilehosting.net/avscan-20121104-215623-5dc02d3a


Ho fatto anche una scansione con Malwarebytes aggiornato,il quale mi ha rilevato anch'esso qualche infezione,ecco il log:
htt ://[www].freefilehosting.net/mbam-log-2012-11-0513-31-58



per sicurezza posto anche il log di hijackthis:

htt ://[www].freefilehosting.net/hijackthis_14

Non so' se il Firewall di win7 sia bloccato per qualcuna di queste infezioni,so' solo che si e' bloccato bruscamente da pochissimo..ringrazio anticipatamente chi sapra' aiutarmi..
Modificato da - in Data

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 05/11/2012 : 17:01:53  Mostra Profilo



ciao sean69 e benvenuto

hai delle infezioni sparse riesegui malwarebytes quando termina la scansione evidenzia gli elementi trovati e premi "Rimuovi elementi selezionati".

scarica combofix sul desktop

alla richiesta se vuoi installare la recovery console clicca su NO

esegui ComboFix.exe

segui le instruzioni

finita la scansione portati in C:\ e allega nella tua prossima risposta, il contenuto del file di testo Combofix.txt
Torna all'inizio della Pagina

sean69
Advanced Member




367 Messaggi
Inserito il - 06/11/2012 : 00:04:00  Mostra Profilo
Buonasera shang,grazie,sempre gentilissimo.Ecco il report di Combofix:

htt*://[www].freefilehosting.net/combofix_12


intanto il firewall ha ripreso a funzionare..aspetto notizie sul da farsi..grazie
Torna all'inizio della Pagina

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 06/11/2012 : 10:38:02  Mostra Profilo

c'e' ancora qualcosa da eliminare

Scarica OTL e salvalo sul desktop

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta su minimal output

Clicca sulla freccettina di File Age e seleziona [color=red]60 Days[/color]

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend,
Torna all'inizio della Pagina

sean69
Advanced Member




367 Messaggi
Inserito il - 06/11/2012 : 13:10:34  Mostra Profilo
buongiorno,ecco i report di otl:

htt*://[www].freefilehosting.net/otl_11


htt*://[www].freefilehosting.net/extras_3


aspetto notizie..grazie
Torna all'inizio della Pagina

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 06/11/2012 : 19:04:07  Mostra Profilo


hai il pc completamente sommerso dalle infezioni che il rootkit ha scaricato...ora segui attentamente i passaggi senza saltarne nemmeno uno

disattiva il ripristino e lascialo cosi' per ora

controlla una ad una queste cartelle, non sono sicuro della loro leggittimita', se non le conosci eliminale subito


C:\Program Files (x86)\abgx360

\AppData\Local\XboxMB

C:\ProgramData\LauncherAccess.dt



apri otl e copia questo codice in rosso sotto "Custom Scans\Fixes"



Citazione:
:OTL
PRC - C:\Program Files (x86)\Iminent\IMBooster\IMBooster.exe (Iminent)
MOD - C:\Program Files (x86)\Iminent\IMBooster\it\Iminent.Booster.UI.resources.dll ()
MOD - C:\Program Files (x86)\Iminent\IMBooster\Iminent.Windows.dll ()
MOD - C:\Program Files (x86)\Iminent\IMBooster\Iminent.Workflow.dll ()
MOD - C:\Program Files (x86)\Iminent\IMBooster\Iminent.Services.dll ()
MOD - C:\Program Files (x86)\Iminent\IMBooster\Iminent.Business.TinyUrl.dll ()
MOD - C:\Program Files (x86)\Iminent\IMBooster\Iminent.Booster.UI.dll ()
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = htt*://search.findeer[.com]
- HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = htt*://search.findeer[.com]
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = htt*://search.findeer[.com]
IE - HKU\S-1-5-21-996010557-3963807277-1295094609-1001\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = htt*://feed.snap.do/?publisher=Download&dpid=Download&co=IT&userid=0bdbf589-ddfb-40eb-9b5b-c50bdb6cb840&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-996010557-3963807277-1295094609-1001\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = htt*://feed.snap.do/?publisher=Download&dpid=Download&co=IT&userid=0bdbf589-ddfb-40eb-9b5b-c50bdb6cb840&searchtype=ds&q={searchTerms}
IE - HKU\S-1-5-21-996010557-3963807277-1295094609-1001\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKU\S-1-5-21-996010557-3963807277-1295094609-1001\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = htt*://feed.snap.do/?publisher=Download&dpid=Download&co=IT&userid=0bdbf589-ddfb-40eb-9b5b-c50bdb6cb840&searchtype=ds&q={searchTerms}
[2012/03/13 12:27:24 | 000,002,048 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Program Files (x86)\Iminent\IMBooster4Web\Iminent.WebBooster.dll (Iminent)
O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [IMBooster] C:\Program Files (x86)\Iminent\IMBooster\imbooster.exe (Iminent)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{027C2268-6C88-40CD-8385-79E28EDC9E76}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{945A6929-404E-4485-9334-5463379EECF8}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D0B1838D-DEA0-4D87-BEB0-CA1708421D3F}: NameServer = 176.31.229.24,176.31.229.25
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\ms-itss - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
[2012/11/05 17:26:53 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012/09/27 18:28:09 | 000,720,896 | ---- | M] (Indigo Rose Corporation) -- C:\Windows\iun6002.exe
[2012/11/05 23:25:39 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2012/11/05 23:25:39 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2012/11/05 23:25:39 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2012/11/05 23:25:39 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2012/11/05 23:25:39 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2012/09/27 20:52:36 | 000,099,384 | ---- | C] () -- C:\Users\Livio\AppData\Roaming\inst.exe
Alternate Data Stream - 160 bytes -> C:\ProgramData\Temp:1CE11B51
Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA
Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:0C232DFB
Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:D5AD7675

:Files
C:\Windows\iun6002.exe
C:\Windows\SysWow64\v3shrtkgn.dll
C:\Users\Livio\AppData\Roaming\inst.exe
C:\Windows\iun6002.exe
C:\ProgramData\.zreglib
C:\Windows\dcmvwr.INI
C:\Windows\SysWow64\drivers\bzcgjrd.sys
C:\Windows\SysWow64\drivers\ovij.sys
C:\Windows\Installer\{9fb60d76-c165-d0d5-711f-520fb954721d}\
C:\Windows\Installer\{9fb60d76-c165-d0d5-711f-520fb954721d}\L
C:\Windows\Installer\{9fb60d76-c165-d0d5-711f-520fb954721d}\U
C:\Users\Livio\AppData\Local\{9fb60d76-c165-d0d5-711f-520fb954721d}\
C:\Users\Livio\AppData\Local\{9fb60d76-c165-d0d5-711f-520fb954721d}\L
C:\Users\Livio\AppData\Local\{9fb60d76-c165-d0d5-711f-520fb954721d}\U
C:\Windows\assembly\Desktop.ini
C:\Users\Livio\AppData\Roaming\Ecwuyl
C:\Users\Livio\AppData\Roaming\Egluac
C:\Users\Livio\AppData\Roaming\GrabPro
C:\Users\Livio\AppData\Roaming\Inyhad
C:\Users\Livio\AppData\Roaming\Jasc
C:\Users\Livio\AppData\Roaming\Nugeut
C:\Users\Livio\AppData\Roaming\Ubbeku
C:\Users\Livio\AppData\Roaming\Upfy
C:\Users\Livio\AppData\Roaming\Uzow
C:\Users\Livio\AppData\Roaming\Xyytix
C:\Users\Livio\AppData\Roaming\Yvpuok
C:\Users\Livio\AppData\Roaming\Moyea
ipconfig /flushdns /c

:commands
[purity]
[Reboot]














premi run fix ....attendi la fine della scansione e allega il nuovo log


ATTENZIONE dove vedi la chiocciola dovrai inserirla manualmente, il forum non la copia
Torna all'inizio della Pagina

sean69
Advanced Member




367 Messaggi
Inserito il - 07/11/2012 : 06:56:40  Mostra Profilo
Buongiorno,ecco il nuovo report di Otl:

htt*://[www].freefilehosting.net/11072012064550


dei 3 file suggeriti sopra,non ero sicuro solo di " C:\ProgramData\LauncherAccess.dt
" e quindi l'ho cancellato...aspetto notizie sul da farsi,grazie...
Modificato da - sean69 in data 07/11/2012 08:43:55
Torna all'inizio della Pagina

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 07/11/2012 : 10:01:39  Mostra Profilo

bene

riesegui malwarebytes aggiornalo e fai una scansione completa poi ripeti anche la scansione con otl e fammi sapere se hai lo stesso problema ... allega i rapporti
Torna all'inizio della Pagina

sean69
Advanced Member




367 Messaggi
Inserito il - 07/11/2012 : 14:09:07  Mostra Profilo
Buongiorno,ecco il report di malwarebytes(segnala solo 1 minaccia,che e' un file eliminato da Otl):

htt*://[www].freefilehosting.net/mbam-log-2012-11-0713-21-49


e qui' quello di Otl:

htt*://[www].freefilehosting.net/otl_16

Grazie,adesso come mi muovo?il firewall funziona bene..
Modificato da - sean69 in data 07/11/2012 16:01:19
Torna all'inizio della Pagina

sean69
Advanced Member




367 Messaggi
Inserito il - 08/11/2012 : 08:25:49  Mostra Profilo
buongiorno,da ieri ho notato un leggero calo della velocita' di navigazione,in piu' non mi si visualizzano interamente molte pagine web(immagini animate,video,ecc..).Ho controllato la versione java ed e' a posto..puo' essere collegato a qualche operazione fatta sopra?grazie
Torna all'inizio della Pagina

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 08/11/2012 : 09:18:01  Mostra Profilo
le opearzioni di pulizia erano solo per scongiurare ulteriori infezioni e non hanno provocato niente tranquillo, prova semmai a rimuovere mozilla e reinstallarlo pulito poi esegui anche una scansione con hitman pro scarica quello per il tuo S.O. avvia la scansione ed elimina cio' che trova- allega il log dela scansione
Modificato da - shang in data 08/11/2012 09:18:47
Torna all'inizio della Pagina

sean69
Advanced Member




367 Messaggi
Inserito il - 08/11/2012 : 12:07:08  Mostra Profilo
buongiorno ecco il report di Hitman:

htt*://[www].freefilehosting.net/hitmanpro201211081138

shang,ho notato un problema con Windows Live Mail:non riesco a leggere i messaggi,visualizzo il titolo d ogni singolo messaggio,ma se ci clicco sopra compare schermata bianca..Otl mi ha cancellato la cartella " Local" in C:\\Users\nome utente\AppData dove erano contenuti(percorso originario:
C:\\Users\nome utente\AppData\Local\Microsoft\Windows Live Mail )..manca proprio tutta la cartella,che ho ritovato in :
C:\_OTL\MovedFiles\11072012_064550\C_Users\Livio\AppData,come vedi da figura:

e adesso?non li posso recuperare i messaggi?
Torna all'inizio della Pagina

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 08/11/2012 : 12:14:07  Mostra Profilo


se parli della cartelal AppData non l'ho messa nella lista delle eliminazioni, controlla nella quarantena di otl
Torna all'inizio della Pagina

sean69
Advanced Member




367 Messaggi
Inserito il - 08/11/2012 : 12:26:32  Mostra Profilo
la trovo solo come vedi nella figura sopra,nalla cartella OTL/Moved Files..

Ho risolto,ho reinstallato windows live mail ed e' tornato tutto a posto..per quanto riguarda la cartella APPData ho risolto spuntando in Opzioni Cartella Visualizza file e cartelle nascoste...non so' perche' si era disabilitata da sola..Mozilla non l'ho installato(almeno credo) e non lo uso,ho internet explorer,il quale adesso va' molto lento..c'e' da fare qualche cosa?grazie
Modificato da - sean69 in data 08/11/2012 18:27:10
Torna all'inizio della Pagina

shang
Advanced Member

Cittā: Roma


4879 Messaggi
Inserito il - 08/11/2012 : 19:48:15  Mostra Profilo


hai provato a installare mozilla o chrome? vedi se rilevi la stessa lentezza, allega anche un log di hjt
Torna all'inizio della Pagina

sean69
Advanced Member




367 Messaggi
Inserito il - 08/11/2012 : 20:56:04  Mostra Profilo
Mozilla non l'ho mai usato,con chrome e' lo stessa lentezza..ti allego il report:

htt*://[www].freefilehosting.net/hijackthis_16

Grazie,aspetto notizie..
Torna all'inizio della Pagina
Pagina: di 2 Discussione Precedente Discussione Discussione Successiva  
Pagina Successiva

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,3 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000