| Autore |
 Discussione  |
|
M4lkav
Average Member
72 Messaggi |
 Inserito il - 04/04/2009 : 03:07:57
|
Salve a tutti!
Sono nuovo del forum  quindi colgo l'occasione per presentarmi e complimentarmi per l'efficienza delle risposte.
Sono Andrea e ho 22 anni 
Generalmente mi basta seguire i topic già aperti e applicare i suggerimenti riportati dal mitico Death  .
Se non fosse che questa volta è diverso, il sistema è, come da oggetto, in uno stadio critico. Ho già backuppato tutto e sono ad un passo dal format del portatile, ho pure scaricato tutti i drivers, ma.. c'è il "ma" del testone smanettone che deve farci le nottate prima di formattare un pc e come minimo portarsi dietro una buona quantità di malware. Quindi questo rappresenta l'estremo tentativo di salvataggio pre-format.
Premesso ciò passo a spiegare il problema:
- Ad una prima analisi ho potuto constatare che il sistema era parecchio instabile, saltavano fuori manciate di errori .exe e relative dll malfunzionanti.
- Msn era impossibile da aprire perchè compariva l'annesso errore e si chiudeva da sola la finestra.
- Era presente anche il famigerato worm blaster (chissà da quanti anni è su sto portatile  ), ma l'ho debellato facilmente (sempre così pare).
- Spam continuo dell'avviso "windows firewall disattivato" con relative multi icone una accanto all'altra.
- Chiusura inattesa di quasi tutte le applicazioni/finestre utilizzate.
Primo approccio già attuato:
- Da modalità provvisoria ho eseguito:
scandisk, defrag, pulizia con CCleaner e atfcleaner.
- Dal primo log di Hijackthis è saltato fuori AhnRpta.exe che ho (almeno così pare) rimosso tramite una guida assurda.
Situazione attuale:
- Il worm blaster sembra non esserci più o per lo meno non appare + l'avviso di spegnimento del pc in 1 minuto.
- AhnRpta.exe non compare più tra i processi quindi credo sia risolto.
- Resta irrisolto il problema processi impazziti che mandano errori legati a diverse dll.
- Idem per la chiusura delle finestre/applicazioni (tranne che in modalità provvisoria, li funziona tutto senza intoppi).
Cosa mi consigli di fare?
Grazie anticipatamente per l'aiuto e scusa se mi son dilungato eccessivamente, ma dovevo sfogarmi un pò :V ci sto lavorando da ore ormai 
Saluti!
M4lkav
|
Modificato da - death in Data 05/04/2009 10:26:10
|
|
|
M4lkav
Average Member
72 Messaggi |
|
|
anghelvs
Advanced Member
.jpg)
Città: Crotone\Cosenza
1678 Messaggi |
Inserito il - 04/04/2009 : 12:11:00
|
Ciao e benvenuto;
In attesa di Death segui questa procedura:
-Ripeti hijackthis e posta il log(senza fixare nulla)
-poi riesegui Malwarebytes e posta il log(senza eliminare le minacce)
-poi scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
vediamo che c'è su questo pc...
NB:hijackthis va scompattato ed eseguito in una cartella dedicata che non deve esser creata ne nei files temporanei ne sul desktop se vuoi eseguire un backup in caso di errore...
Ciao
EDIT:che chiavi hai fixato con Hijackthis l'ultima volta non vorrei avessi rimosso qualche chiave utile... |
Modificato da - anghelvs in data 04/04/2009 12:11:54 |
 |
|
|
M4lkav
Average Member
72 Messaggi |
Inserito il - 04/04/2009 : 16:09:34
|
Nel frattempo ho formattato il portatile, solo che avendo usato una key usb infetta sono comunque incasinato.
Prima era solo il portatile ora è anche il fisso, l'hd esterno e le 2 key usb.
Comunque faccio quel che hai detto vedem.
/nervi ON |
|
|
|
M4lkav
Average Member
72 Messaggi |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 04/04/2009 : 17:17:32
|
Buona sera, un bel minestrone....vediamo solo di tenere la discussione divisa se no succede un'altra macedonia, allora, su entrambe i pc riesegui malwarebytes e rimuovi tutto quello che viene trovato infetto, poi esegui questo tool di analisi su entrambe i pc, salvandomelo con nomi separati che ben distinguano le due macchine:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.
|
Modificato da - death in data 04/04/2009 17:17:56 |
|
|
|
M4lkav
Average Member
72 Messaggi |
Inserito il - 04/04/2009 : 17:33:55
|
Eseguito tutto.
ah.. ora che ci penso, visto che ho formattato entrambi i sistemi e mi trovo con queste infezioni sono certo che la provenienza sia da:
- 2 pen drive
- 1 hd esterno WD da 640GB
c'è un modo per pulire questi strumenti senza doverli formattare? denghiu!
|
Modificato da - M4lkav in data 04/04/2009 17:36:59 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 04/04/2009 : 17:46:18
|
| Buona sera, felice che hai eseguito tutto...ma se non mi posti i 2 report mi viene difficile rimuoverti le infezioni , posta i report distinguendoli per nome nello stesso modo in cui hai postato quelli di hijackthis. |
|
|
|
M4lkav
Average Member
72 Messaggi |
Inserito il - 04/04/2009 : 17:53:11
|
Fatto 
Comunque prima son stati differenziati i log perchè il nome del log l'han generato in automatico personalizzato i vari tools, solo system scan mi ha dato il nome generico "report", pensavi io fossi così figo da distinguerli tutti volontariamente? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 04/04/2009 : 18:06:55
|
Buona sera...la prossima volta per cortesia non modifcare la tua discussione iniziale, inserisci una nuova risposta con i report..meno male che ho controllato indietro altrimenti li cercavo fino a domani, vedo domattina di verificarti i 2 report e vediamo cosa si trova.
EDIT: NON UTILIZZARE PEN DRIVE O HARD DISK ESTERNI su quei 2 pc s enon vuoi fare l'untore. |
Modificato da - death in data 04/04/2009 18:09:09 |
|
|
|
M4lkav
Average Member
72 Messaggi |
Inserito il - 04/04/2009 : 18:16:12
|
Ok, l'ho fatto per mantenere ordine sry 
Grazie per l'aiuto |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/04/2009 : 10:25:17
|
Buon giorno, ti lascio le procedure divise per pc:
PC Principale
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\cqxj.exe
C:\upw.bat
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
G:\autorun.inf
H:\autorun.inf
I:\autorun.inf
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Ho messo tutti i file inf trovati in eliminazione visto che non so se le lettere sono partizioni o dispositivi removibili.
PC Portatile
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\cqxj.exe
C:\upw.bat
C:\autorun.inf
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Ora devi fare una operazione delicata, usa il pc che puoi connettere comodamente ad internet, segui lo specchietto per visualizzare i files nascosti:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
poi premi il tasto SHIFT e collega tutte le pen drive che hai inclusi eventuali hard disk usb, la procedura corretta che devi seguire è questa, tieni premuto il tasto SHIFT, inserisci la pendrive, aspetti qualche secondo e poi lo rilasci, ripeti l'operazione dall'inizio per ogni pendrive se ti parte a video la schermata dell'autoplay vuol dire che hai reinfettato tutto, dopo aver inserito le pendrive cerchi su ognuna di esse il file autorun.inf il file cqxj.exe il file upw.bat se li trovi li elimini.
Sempre lasciando le pen drive inserite esegui questa scansione on-line htt*://[www].bitdefender[.com]/scan8/ie.html , ricorda che devi avere aperta solo la pagina di bitdefender, tutti i programmi chiusi e il tuo antivirus disabilitato momentaneamente.
La scansione con bitdefender devi eseguirla anche sul secondo pc.
Posta i report di avenger e bitdefender divisi per pc.
|
Modificato da - death in data 05/04/2009 10:27:39 |
|
|
|
M4lkav
Average Member
72 Messaggi |
Inserito il - 05/04/2009 : 12:53:30
|
Le lettere sono partizioni.
Eseguo, spero sia la stessa cosa.
Fatto su entrambi i PC ed ecco i logs:
PC main:
avenger_log_main_PC.txt
---------------------------
Portatile:
avenger_log_portatile.txt
Procedo con l'inserimento delle penne usb e l'HD esterno. Sperem! |
Modificato da - M4lkav in data 05/04/2009 13:02:18 |
|
|
|
M4lkav
Average Member
72 Messaggi |
Inserito il - 05/04/2009 : 13:04:15
|
Succede una cosa strana quando eseguo la procedura per la visualizzazione di tutti i files anche quelli di sistema.
Praticamente do l'OK e tornano le opzioni com'erano prima dell'OK in automatico, quindi NON posso visualizzare i files nascosti ne quelli protetti di sistema. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 05/04/2009 : 13:04:46
|
| Buon giorno, entrambe gli avenger andati a buon fine, attendo le scansioni di bit defender. |
|
|
|
M4lkav
Average Member
72 Messaggi |
Inserito il - 05/04/2009 : 13:07:27
|
Buongiorno 
Ah vero manca bit defender 
Procedo :V
Però in ordine c'è prima la procedura delle chiavette ora che rileggo, quindi cosa faccio? lascio stare le chiavette e faccio solo la scansione di bit defender? |
Modificato da - M4lkav in data 05/04/2009 13:08:42 |
|
|
|
Discussione |
|
Autorun.inf - Portatile affetto da spyware.
Forum Bloccato
