| Autore |
 Discussione  |
|
SawIII
Junior Member
52 Messaggi |
 Inserito il - 18/05/2014 : 13:10:29
|
Buongiorno a tutti i membri
Volevo sottoporvi un problema che sto riscontrando con mozilla (e sull'altro Pc con Crhome). Non riesco ad accedere a google.it/facebook.it in quanto mi appare una finestra con su scritto:
WARNING! internet explorer is currently out of date. Please update to continue.
Ovviamente so che si tratta di un virus e non casco nella trappola ma sicuramente qualcun altro c'è caduto e adesso ho il Pc infestato
Ho provato a ripulire con ADWclear: dopo il riavviao funziona bene x 5/10 minuti e poi lo script si rigenera. Ho provato a combinare ADWclear con CClear eliminando pulendo tutto, regseekr per elinare le voci di regedit non più necessarie, Hijackthis in mod. provvisoria fixando ed eliminando il superfluo. Al colmo della disperazione ho provato a eliminare lo script e tutta la cartella con KillBox! ....
risultato: NIENTE...  questo bastardo si rigera tutte le volte.
Consigli prima di formattare??
|
Modificato da - in Data
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 19/05/2014 : 07:56:34
|
Buon giorno, esegui questa scansione:
scarica sul desktop ComboFix
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe e segui le istruzioni passo a passo, non installare la recovery console, ricordati di dare invio se richiesto dopo i vari passaggi
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware prima di usare combofix
NON TOCCARE mouse e tastiera mentre combofix lavora |
 |
|
|
SawIII
Junior Member
52 Messaggi |
Inserito il - 19/05/2014 : 10:45:01
|
Su un PC,quello con Xp, l'ho già fatto (combofix) e poi ho fixato qualcosa anche con OLT. Sono arrivato alla conclusione che per certi siti (google.it,Facebook[.com]...) il virus agisca come script cambiandoti i DSN. Inoltre avendo 2 PC collegati in wi-fi è difficile risalire a quale dei due disturba l'altro.
Detto ciò ho scaricato e fatto partire combofix sull'altro PC, che monta Win7 (che secondo me è quello infetto)andandomene tranquillamente a dormire. Stamani però il prg non si era mosso di un millimetro rimanendo con la schermata "potrebbe durare 10 minuti ma anche di più...". Ho resettato. Adesso, appena a casa, riproverò a lanciarlo. (ovviamente avevo sospeso la funzione di AVG).
Secondo te perche si era piantato cosi? |
|
|
|
anghelvs
Advanced Member
.jpg)
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 19/05/2014 : 12:08:28
|
| OT: A meno che tu non utilizzi la condivisione della rete su uno dei due pc, che quindi fa da server per la tua rete locale, è improbabile che un virus possa modificare i DNS dell'altro pc. E' più probabile che siano entrambe infetti.. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 19/05/2014 : 13:33:01
|
Buon giorno, premesso che sembra che l'infezione peraltro già rilevata da altri utenti, si risolva con i normali programmi di pulizia e che poi si ripresenti allegramente dopo qualche giorno e che quindi ci sia il dubbio che la stessa vada ad intaccare le configurazioni del router, leggendo in giro ho trovato un utente con il tuo stesso problema che ha risolto reimpostando il router a livello di fabbrica. Per quanto concerne il blocco di combofix prova ad eseguirlo come amministratore e se non dovesse funzionare eseguilo in modalità provvisoria con rete.
htt*://windows.microsoft[.com]/it-it/windows/start-computer-safe-mode#start-computer-safe-mode=windows-7 |
|
|
|
SawIII
Junior Member
52 Messaggi |
Inserito il - 19/05/2014 : 13:55:21
|
 death: Il router è stato resettato e re-impostato, ma come hai giustamente detto tu il problema si è ripresentato dopo qualche giorno che avevo effettuato la pulizia.
adesso provo a lanciarlo in modalità provvisoria...e vado al lavoro. vediamo stasera alle 19 la conclusione |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 19/05/2014 : 15:38:11
|
Scusate la nuova intromissione, ma la storia del worm che infetta il router mi incuriosisce(ne esiste qualcuno).Che modello di router hai? Come l'hai resettato, via software, accedendo alle impostazioni dal browser oppure hai usato il reset 'hardware' che molti router hanno?
|
|
|
|
SawIII
Junior Member
52 Messaggi |
Inserito il - 19/05/2014 : 15:52:16
|
Scusarti? Ben vengano le tue intromissioni, non scherziamo!! 
Il router è un Edimax credo 4810aG (vado a memoria, perche non sono a casa adesso) e l'ho resettato dall'apposito pulsante sul retro.
Domandina: in modalità provvisoria non è possibile disabilitare temporaneamente AVG. Anzi ha richiesto una scansione (che ho fatto...) |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 19/05/2014 : 16:04:14
|
Prova a disattivarlo così: htt*://[www].avg[.com]/it-it/faq.num-3857 e non eseguire Combofix finché non sarà disattivato, se non ci riesci attendi altre indicazioni da Death.
Citazione:
Messaggio inserito da anghelvs
Prova a disattivarlo così: htt*://[www].avg[.com]/it-it/faq.num-3857 e non eseguire Combofix finché non sarà disattivato.
EDIT: Visto che ci sei, sarebbe opportuno cambiare anche la password d'accesso al pannello di controllo del router, probabilmente hai lasciato quella di default..Inoltre potresti postare il log di Hijackthis? vorrei togliermi un dubbio... |
Modificato da - anghelvs in data 19/05/2014 16:10:49 |
|
|
|
SawIII
Junior Member
52 Messaggi |
Inserito il - 19/05/2014 : 19:51:50
|
questo è il LOG di un Pc (quello con Xp) disattivando Avast antivirus e Comodo firewall
htt*://[www].freefilehosting.net/combofix_7 |
|
|
|
SawIII
Junior Member
52 Messaggi |
Inserito il - 20/05/2014 : 01:07:01
|
sull'altro Pc quello con Win7 ho dovuto riavviare perché ancora una volta Combofix si era piantato ancora al punto "aspettare circa 10 minuti..."
adesso provo a riavviarlo e lasciarlo ancora fare disattivando AVG, Firewall e screensaver ..... domattina vi saprò dire.
p.s. questo è il .log di hijackthis htt*://[www].freefilehosting.net/hijackthis_5 |
|
|
|
SawIII
Junior Member
52 Messaggi |
Inserito il - 20/05/2014 : 08:59:03
|
buongiorno...stamani, dopo averlo lasciato tutta la notte con Combofix ho ancora la schermata blu "tipicamente impiega 10 minuti....." e da li non si schioda.... 
dovrò resettare dal tasto per l'ennesima volta?? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/05/2014 : 13:06:17
|
Buon giorno, per ora lasciamo combofix indietro, mi puoi ricaricare i report su wikisend per cortesia, su freefile non li apro.
EDIT per anghelvs: devo dirti che l'idea del virus che cambi da solo i dns del router è curiosa...ricordo in passato che una variante di un noto virus aveva la stessa funzionalità ma la cosa si risolveva con un reset del router. Vediamo qui cosa succede. |
Modificato da - death in data 20/05/2014 13:06:50 |
|
|
|
anghelvs
Advanced Member
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 20/05/2014 : 15:06:13
|
| Death: Alcuni modelli Edimax erano vulnerabili a questo tipo di ospite, ma come hai detto tu, il tutto si dovrebbe risolvere con il reset 'manuale' del router. Ovviamente bisogna sistemare anche i pc, altrimenti è in circolo vizioso... |
|
|
|
SawIII
Junior Member
52 Messaggi |
Inserito il - 20/05/2014 : 23:05:09
|
pronti:
Pc con Xp (mozilla browser) htt*://wikisend[.com]/download/397238/hijackthis.log
htt*://wikisend[.com]/download/257668/combofix.txt
Pc con Win7 (Chrome browser)
htt*://wikisend[.com]/download/150064/OTL.Txt
premetto ancora una volta che se rimango con i browser aperti su google.it o su facebook[.com] se chiudo le schede non riesco a riaprirle...
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 21/05/2014 : 08:15:57
|
Buon giorno, combofix non ha rimosso file infetti, ho notato un annotazione nel report che segnala comunque qualcosa di anomalo,scarica questi 2 tools su entrambe i pc
htt*://[www].sophos[.com]/it-it/products/free-tools/sophos-anti-rootkit.aspx
htt*://it.malwarebytes.org/antirootkit/
Esegui una scansione completa dei 2 pc con entrambe i tools e postami i report rilasciati, poi copia e incollami qui sul forum il log di OTL che hai postato altrimenti non riesco a decifrarlo, poi lo elimino io dal forum. |
Modificato da - death in data 21/05/2014 08:16:32 |
|
|
|
Discussione |
|
WARNING! IE is currently out of date.....
Forum Bloccato
