| Autore |
 Discussione  |
|
Alex.n
Senior Member
235 Messaggi |
 Inserito il - 04/02/2013 : 20:53:25
|
Ciao a tutti, solitamente per piccole infezioni sono riuscito a cavarmela da solo, ma ora ho bisogno delle vostre capacità.
Ho dei strani comportamenti del pc, quando lancio avira, più volte mi trova delle infezioni ma stranamente non le toglie tutte.
Di fatto anche in questa occasione ha trovato due infezioni e ne ha cancellata solo una, l'altra non ha dato nessuna opzione.
Cclear lavora lentissimo...
Allego report di combofix.
htt*://wikisend[.com]/download/369156/ComboFix.txt
Grazie mille
|
Modificato da - Alex.n in Data 05/02/2013 09:30:31
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/02/2013 : 12:05:27
|
puoi allegare la scansione fatta con avira? |
 |
|
|
Alex.n
Senior Member
235 Messaggi |
Inserito il - 05/02/2013 : 15:04:31
|
Ciao Shang, non riesco a recuperare il file da Avira, ti ho messo in un file di testo i due intrusi trovati..non so se è la stessa cosa.
htt*://wikisend[.com]/download/192338/avira.txt
Allego report di Malware
htt*://wikisend[.com]/download/167364/mbam-log-2013-02-04 (19-08-05).txt
Comunque ho lanciato un ltra scansione, questa sera lo posto.
Grazie ciao |
Modificato da - Alex.n in data 05/02/2013 15:09:16 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/02/2013 : 15:20:48
|
nel log c'e' un'eliminazione del rootkit zero access facciamo un controllo piu' approfondito
scarica OTL
Metti la spunta su SCAN ALL USERS.
Sotto output spunta minimal output
Clicca sulla freccettina di File Age e seleziona 60 Days
Metti la spunta a LOP Check and Purity Check.
A fine scansione OTL produrrà due file di log (OTL.txt ed Extras.txt) |
|
|
|
Alex.n
Senior Member
235 Messaggi |
Inserito il - 05/02/2013 : 22:00:09
|
Ciao Shang, ora posto i report.
su questa scansione Avira non ha trovato nulla, cosa strana, quando riavvioil pc l'antivurs nella barra di comando non risultà attivo sulle varie posizioni..booo,
htt*://wikisend[.com]/download/264116/OTL.Txt
htt*://wikisend[.com]/download/297332/Extras.Txt
Grazie ciao |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/02/2013 : 22:52:49
|
hai una brutta infezione da rootkit zero access e mi sembra molto strano che avira e combofix non l'hanno rilevata
ora apri otl e copia sotto "Custom Scans\Fixes" questo codice in blu (non copiare citazione)
dove vedi le  scrivile tu, il forum non le copia
Citazione:
:OTL
(WDICA) -- File not found
DRV - (PDRFRAME) -- File not found
DRV - (PDRELI) -- File not found
DRV - (PDFRAME) -- File not found
DRV - (PDCOMP) -- File not found
DRV - (PCIDump) -- File not found
DRV - (lbrtfdc) -- File not found
DRV - (InCDRm) -- system32\drivers\InCDRm.sys File not found
DRV - (InCDPass) -- system32\drivers\InCDPass.sys File not found
DRV - (InCDFs) -- system32\drivers\InCDFs.sys File not found
DRV - (i2omgmt) -- File not found
DRV - (Changer) -- File not found
DRV - (catchme) -- C:\DOCUME~1\utente\IMPOST~1\Temp\catchme.sys File not found
FF - HKLM\Software\MozillaPlugins\Apple[.com]/iTunes,version=: File not found
O3 - HKU\S-1-5-21-602162358-839522115-725345543-1005\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
[2013/02/04 12.20.14 | 000,000,000 | ---D | C] -- C:\ComboFix
[2013/02/01 08.13.19 | 005,029,270 | R--- | M] (Swearware) -- C:\Documents and Settings\utente\Desktop\ComboFix.exe
:Files
C:\WINDOWS\System\krot.hue
C:\WINDOWS\System32\guy12.exe
C:\WINDOWS\Installer\{71cd33a0-9d3c-5401-4e38-863822de99bc}\L
C:\WINDOWS\Installer\{71cd33a0-9d3c-5401-4e38-863822de99bc}\U
C:\Documents and Settings\All Users\Dati applicazioni\PhotoSi\MyComposer\{A6777741-20CD-47EA-BF43-46E25005F1BC}\Data\Products\ShirtRFull\L
C:\Documents and Settings\All Users\Dati applicazioni\PhotoSi\MyComposer\{A6777741-20CD-47EA-BF43-46E25005F1BC}\Data\Products\ShirtVFull\L
C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\{71cd33a0-9d3c-5401-4e38-863822de99bc}\
C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\{71cd33a0-9d3c-5401-4e38-863822de99bc}\L
C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\{71cd33a0-9d3c-5401-4e38-863822de99bc}\U
C:\WINDOWS\assembly\Desktop.ini
C:\Documents and Settings\All Users\Dati applicazioni\PhotoSi
C:\Documents and Settings\utente\Dati applicazioni\Kewea
C:\Documents and Settings\utente\Dati applicazioni\pslrht
C:\Documents and Settings\utente\Dati applicazioni\Vootif
ipconfig /flushdns /c
:commands
[purity]
[emptytemp]
[Reboot]
clicca su run fix e allega il log che trovi nella stessa cartella di otl
edit
rimuovi skype al piu' presto
|
Modificato da - shang in data 05/02/2013 23:19:34 |
|
|
|
Alex.n
Senior Member
235 Messaggi |
Inserito il - 06/02/2013 : 11:02:17
|
Ciao Shang, fatto quanto indicato.
Credo che avira non lo trovi perchè viene inibito nella fase di accensione, questo continua tuttora, devo intervenire manualmente per attivarlo.
allego report
htt*://wikisend[.com]/download/539962/02062013_103843.log
Grazie ciao |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/02/2013 : 12:08:55
|
rieseguimi otl impostato come prima e dimmi se esce sempre quell'avviso |
|
|
|
Alex.n
Senior Member
235 Messaggi |
Inserito il - 06/02/2013 : 14:36:47
|
durante il riavvio, sulla barra di controllo l'icona di avira "ombrellino" è chiusa, indicando che tutte e tre le opzioni di controllo non sono attive. quando il pc ha finito di caricare, l'icona "ombrellino" si apre, ma poco prima compare l'allert di firewall non attivo, subito dopo tutto diventa ok..
normale questa procedura?
Allego ultimo log.
Grazie ciao
htt*://wikisend[.com]/download/576182/02062013_140730.log |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/02/2013 : 16:56:55
|
Alex devi rieseguirmi una nuova scansione con otl, non ripetere il fix
prova ad andare nei servizi e controlla dopo il riavvio se il firewall e' attivo, semmai dopo facciamo un controllo piu' approfondito dovrebbe essere l'infezione che ha danneggiato qualche chiave di registro |
|
|
|
Alex.n
Senior Member
235 Messaggi |
Inserito il - 06/02/2013 : 19:38:26
|
Ciao Scang, ecco le scansioni.
Ho verificato le impostazioni di sicurezza sembrano ok, comunque ho dei strani avvisi di alcune applicazioni che non si scivono ASL o cose simili....mi sono dimenticato di segnarmi il nome del file..appena si ripete te lo indico.
htt*://wikisend[.com]/download/145824/02062013_140730.log
htt*://wikisend[.com]/download/260928/OTL.Txt |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/02/2013 : 19:54:46
|
fammi sapere a quali applicazioni si riferisce l'errore
fai anche questa scansione voglio fare un controllo
scarica farbarFSS
metti la spunta su internet service e windows update e clicca su scan
attendi la fine della scansione e posta il log che ottieni |
|
|
|
Alex.n
Senior Member
235 Messaggi |
Inserito il - 06/02/2013 : 20:39:32
|
Ciao
ecco il log
htt*://wikisend[.com]/download/342492/FSS.txt
Ciao
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 06/02/2013 : 20:49:16
|
sembrarebbe a posto dimmi che problemi riscontri al momento |
|
|
|
Alex.n
Senior Member
235 Messaggi |
Inserito il - 07/02/2013 : 08:27:14
|
Ciao Scang, a parte il problema di avira, non vedo altre anomalie.
Ho notato su un registro di real time protection questo file
c:\windows\system32\scchost.exe---
Lo devo cancellare?
Grazie ciao |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 07/02/2013 : 09:46:52
|
se non e' svchost.exe sicuramente e' un malware, prova ad analizzarlo su virus total
scarica l'ultima versione di avira oramai quello che hai e' compromesso dall'infezione ti conviene rimuoverlo e fai una scansione completa dopo averlo settato e aggiornato
configura Avira così:
Citazione:
Con il tasto destro clicca sull'ombrello della traybar, (vicino all'orologio di Windows) e scegli "Configura Avira Free"
Clicca in alto a destra per metterlo in "Modalità esperto" (I 0)
Clicca sul + di "System Scanner" e poi sul + di "scansione".
Clicca su "Azione per rilevamento".
A destra, METTI la spunta su "Automatico".
Metti la spunta su "Copia il file in quarantena prima dell'azione".
In: "Azione primaria" (dal menù a tendina) seleziona "Ripara"
In : "Azione secondaria" scegli "Elimina".
Clicca "Applica" e poi OK.
Allega il risultato ottenuto |
Modificato da - shang in data 07/02/2013 09:49:31 |
|
|
|
Discussione |
|
Strano comportamento
Forum Bloccato
