| Autore |
 Discussione  |
|
lord_famine
New Member
47 Messaggi |
 Inserito il - 25/04/2009 : 12:22:06
|
Un saluto a tutto il forum. Vorrei chiedervi un aiuto in quanto non riesco a rimuovere queste bestie dai miei 2 pc. L'altro giorno una mia collega mi ha passato una chiavetta usb che ho inserito sul portatile( dove ho installato kaspersky internet security ) e subito mi è partita la finestra di allarme, ma il danno era fatto.Ho iniziato ad avere subito problemi...facendo doppio click sull'icona dell'hard disk su risorse del computer, questo non apre la finestra ma devo utilizzare la funzione apri del tasto dx del mouse.Il kaspersky mi identifica backdoor win32 poisonivy.ay nel file win.exe in c:\windows\system32 e un file nascosto winjpg.jpg.Mi dice che l'ha rimosso ma in realtà rimane.Ho installato a-squared free però presumo che il virus mi elimini il file eseguibile perchè appena terminata l'installazione e avviato a-squared mi dice che il file eseguibile non esiste.Stesso discorso per Hijackthis.Ho installato la versione di prova di Spyware doctor ma viene compromessa anche quella.Poi ho installato A-Shampoo antispyware e mi trova l'infezione ma non la rimuove.Ho installato anche F-Secure antivirus 2009 che trova ma non rimuove. Ho cercato su internet info per rimuovere manualmente però quando attivo la funzione per vedere i file nascosti,automaticamente viene disattivata ( penso dal virus ) e il comando regedit non funziona come non funziona la combinazione CRTL-ALT-CANC per terminare i processi....non so cosa fare.Sul pc di casa che è stato contagiato nello stesso modo i virus ( sia Poison.pg sia Bifrase ) hanno eliminato l'eseguibile dell'Avira...ho spyware terminator ma quello mi dice che è tutto pulito.
Sapreste aiutarmi e consigliarmi antivirus antispyware efficaci?
grazie a tutti per l'eventuale aiuto
ciao
|
Modificato da - in Data
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/04/2009 : 12:31:55
|
Buon giorno e benvenuto su Notrace, ti lascio una procedura iniziale da seguire, cortesemente quando posti i reports nominali per pc così evitiamo di confonderli:
scarica ComboFix
Per evitare che il programma possa essere reso innocuo da qualche virus (Bagle, ad esempio), rinomina il file in fase di download (ad esempio cambiagli il nome in COMBO-FIX.EXE).
Riavvia il computer in modalità provvisoria (segui lo specchietto)
Citazione:
[Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe (o nome nuovo) e segui le istruzioni passo a passo (non installare la console ri ripristino), ricordati di dare invio se richiesto dopo i vari passaggi
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware
Disconnetti il pc da internet
Per postare i reports segui questa scaletta:
a) andare sul sito htt*://[www].savefile[.com]/
b) clicca su Upload My file
c) clicca su upload oppure registrarsi per avere più opzioni
d) clicca su browser e scegli il file di log, txt ecc dal tuo computer
e) compila i restanti campi e clicca su Upload File
f) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file:]
g) oppure utilizza questo servizio: htt*://[www].wikisend[.com]
|
Modificato da - death in data 25/04/2009 12:32:22 |
 |
|
|
lord_famine
New Member
47 Messaggi |
Inserito il - 25/04/2009 : 13:44:23
|
Grazie per l'aiuto. Ok seguito tutto alla lettera...di seguito riporto il file combofix.txt . Se serve altro dimmi pure data la mia inesperienza
ciao
htt*://wikisend[.com]/download/576780/ComboFix.txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/04/2009 : 16:56:44
|
Buona sera, mai visto un cliente simile, per prima cosa non spaventarti da quello che si legge sul web, secondo me si puo' provare a rimuoverlo a mano ed ottenere buoni risultati anche senza formattare, ora per comodità nostra, continuiamo su questo pc e vediamo di finirlo, ovviamente non collegare pendrive, sicuramente sono infette anche loro, prova se riesci a fare questa procedura:
Operazione preliminare: da start >>>> esegui digita regedit , ti si aprirà l'editor del registro di windows, assicurati che nel tabellino a sinistra la dicitura "risorse del computer sia selezionata", clicca su file e poi su esporta e salva una copia del registro. La terrai finchè non avremo finito.
poi scarica questo file che ti ho preparato htt*://wikisend[.com]/download/486758/CFScript.txt , salvalo sul desktop e lascia il file vicino all'icona di combofix, riavvia in modalità provvisoria nuovamente trascina il file di testo (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) >>>> al riavvio allega il log che trovi in C:\ComboFix.txt
NON TOCCARE mouse e tastiera mentre combofix lavora
poi al riavvio successivo esegui questa scansione
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum |
Modificato da - death in data 25/04/2009 17:29:16 |
|
|
|
lord_famine
New Member
47 Messaggi |
Inserito il - 25/04/2009 : 18:37:31
|
Grazie per l'aiuto.Ho eseguito la prima parte del lavoro con combofix ( di cui allego nuovo log ) e non appena avviato windows normalmente è uscita una finestra di errore Windows Script Host. Impossibile trovare il file di script c:\WINDOWS\System32\winjpg.jpg
Nel frattempo scarico il programma e lo scansiono.
htt*://wikisend[.com]/download/445438/ComboFix.txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/04/2009 : 19:17:57
|
| Buona sera, ottimo il messaggio, il file è stato rimosso e l'infezione non lo ritrova, procedi pure con malwarebytes, ho visto una cosa sola che mi da da pensare, il file autorun.inf si è ricreato da solo, quindi c'è un file che rigenera quelli infetti. |
|
|
|
lord_famine
New Member
47 Messaggi |
Inserito il - 25/04/2009 : 19:41:54
|
infatti il problema del doppio click sull'icona dell'hard disk torna a non funzionare....cmq a riguardo ho trovato una discussione ( mi permetto di darti del tu ) che spiegava come risolvere con avanger....nel frattempo sta ancora scansionando e mi sa che ne avrà per un bel po'.Mi piacerebbe capire/sapere come dal log di combofix fai a capire i quali sono le infezioni...personalmente ho dato un occhio e non ci capisco niente (anche perchè ho un altro pc, il portatile, che è infetto con lo stesso problema).Intanto grazie infinite ancora ma veramente tanto tanto e buon sabato sera.
Ciao
|
Modificato da - lord_famine in data 25/04/2009 19:43:27 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/04/2009 : 19:45:53
|
| Buona sera, finiamo con malwarebytes poi passiamo a rifinire a manina, non improvvisarti con procedure prese in altre discussioni, il tuo è un caso particolare e va seguito per conto suo, avevi una montagna di chiavi di registro infette, per il "tu" non preoccuparti, io do del "lei" a tutti per abitudini lavorative. Attendo il report e ci aggiorniamo in mattinata domani. |
|
|
|
lord_famine
New Member
47 Messaggi |
Inserito il - 25/04/2009 : 20:37:34
|
Scansione terminata...non ho eliminato le minacce...ne ha trovate parecchie come secirity.hijack e 3 backdoor poison in 2 chiavi di registro e 1 file in c:\windows\system32\wscript.exe
allego log
grazie ancora per l'aiuto e la disponibilità
htt*://wikisend[.com]/download/447704/mbam-log-2009-04-25 (20-30-34).txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/04/2009 : 20:40:54
|
Buona sera, meglio di quanto pensassi, malwarebytes ha fatto egregiamente il suo lavoro, riesegui la scansione, seleziona tutte le voci trovate e rimuovi tutto, riavvia il pc, poi esegui queste pulizie:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
4) NON utilizzare la sezione dedicata alla pulizia del registro
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata (se non trovi l'icona del java nel pannello di controllo non preoccupartene, vuol dire che non stai utilizzando il java della sun)
riavvia nuovamente il pc ed esegui questo tool per la scansione del sistema:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
|
|
|
lord_famine
New Member
47 Messaggi |
Inserito il - 26/04/2009 : 10:02:07
|
Buongiorno e buona domenica. Sto seguendo i tuoi consigli e la seconda scansione di Malwarebytes è circa al 50%.Nel frattempo approfitto per chiederti altre informazioni[.com]e scritto ieri anche il mio portatile è infettato da Poison ( è stato il primo ad essere contaggiato, poi con la chiavetta l'ho passato al pc di casa ) ed è proprio da questo che ti sto scrivendo mentre l'altro scansiona.Dato che la chiavetta sarà sicuramente infetta ho pensato di caricarci combofix e vedere cosa succedeva; ho avviato in modalità provvisoria senza rete e lanciato combofix dalla chiavetta...il risultato è il log allegato.Praticamente ha scansionato il pc e non la chiavetta.Prima di far partire combofix ho provato a far partire il task manager ed ha funzionato e tra i processi attivi c'erano WSCRIPT.EXE e WIN.EXE che ho terminato poi ho eseguito combofix.Guardando da ignorante il log mi sembra che le chiavi di registro infette siano più o meno le stesse del primo log che ho postato; potrei provare a confrontarle e realizzare uno script simile al tuo e poi postartelo per fartelo visionare?Non vorrei però fare il passo più lungo della gamba, ma nemmeno romperti le scatole anche di domenica.In questo il mio ospite ha debellato anche il mio buon kaspersky che fino ad ora aveva resistito...
C'è per caso una guida a combofix?
Ti ringrazio
Ciao
htt*://wikisend[.com]/download/445294/ComboFix_portatile.txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/04/2009 : 10:09:11
|
Buon giorno, allora, avrei preferito finire i pc uno alla volta, ma visto che ormai ti sei messo avanti..dammi il tempo di prepararti lo script per questo pc anche, per l'altro ti ricordo che dopo malwarebytes devi eseguire le pulizie e poi systemscan, se fosse possibile avere il report di oggi sarebbe ottimo, domani sarò abbastanza preso e non avro' molto tempo. Tra mezz'ora circa ti posto lo script per il portatile.
EDIT: segui le istruzioni
1)Operazione preliminare: da start >>>> esegui digita regedit , ti si aprirà l'editor del registro di windows, assicurati che nel tabellino a sinistra la dicitura "risorse del computer sia selezionata", clicca su file e poi su esporta e salva una copia del registro. La terrai finchè non avremo finito.
2) installa combofix sul portatile e non sulla chiavetta
3) tieni premuto il tasto shift inserisci la chiavetta in questo pc mi raccomando, rilascialo dopo qualche secondo a chiavetta inserita
4) visualizza i files nascosti seguendo questo specchietto:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
5) cerca ed elimina a mano questi files:
winfile.jpg
winjpg.jpg
winxp.exe
win.exe
autorun.inf
se vedi dei files con estensione bat che nulla hanno a che vedere con i tuoi contenuti nella chiavetta, rimuovili
6) lascia la chiavetta inserita mentre esegui la scansione di combofix, poi mentre il pc si riavvia, rimuovila e non utilizzarla piu' finchè non te lo dico io
7) scarica il file CFScript da qui htt*://wikisend[.com]/download/445532/CFScript.txt riavvia il portatile in modalità provvisoria, trascina il file sull'icona di combofix e lascia lavorare il pc, come solito NON TOCCARE il pc mentre combofix lavora
8) scarica sul portatile malwarebytes, aggiornalo, esegui la scansione completa del sistema, rimuovi tutto quello che viene trovato infetto e poi posta il report
9) scarica i programmi per le pulizie ed eseguile
10) esegui systemscan anche sul portatile e posta il report.
NON USARE NESSUNA chiavetta usb sui pc.
|
Modificato da - death in data 26/04/2009 11:23:19 |
|
|
|
lord_famine
New Member
47 Messaggi |
Inserito il - 26/04/2009 : 16:34:58
|
Ecco tutto eseguito...ho eliminato manualmente i file sia dalla chiavetta sia dall'hard disk ( quelli che ho trovato ) poi ho seguito tutta la procedura. Di seguito allego report in sequenza del lavoro sul portatile
htt*://wikisend[.com]/download/549816/ComboFix_portatile_antescript.txt
htt*://wikisend[.com]/download/516002/ComboFix_portatile_doposcript.txt
htt*://wikisend[.com]/download/891828/mbam-log-portatile.txt
htt*://wikisend[.com]/download/437414/systemscan_portatile.txt
Qui allego report di system scan effettuato sul primo pc infetto
htt*://wikisend[.com]/download/944800/report_systemscan.txt |
Modificato da - lord_famine in data 26/04/2009 16:37:55 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/04/2009 : 16:44:18
|
| Buona sera controllo il systemscan del primo pc, sul portatile riesegui malwarebytes ed elimina tutto, ti avevo scritto di eliminare tutto subito ma non ci hai fatto caso, dopo riavvia e riesegui systemscan altrimenti mi trovo sempre files doppi già eliminati, ora mi dedico al report del primo pc. |
|
|
|
lord_famine
New Member
47 Messaggi |
Inserito il - 26/04/2009 : 17:00:37
|
Citazione:
Messaggio inserito da death
ti avevo scritto di eliminare tutto subito ma non ci hai fatto caso, dopo riavvia e riesegui systemscan altrimenti mi trovo sempre files doppi già eliminati, ora mi dedico al report del primo pc.
Infatti ho eliminato subito tutto ciò che ha trovato infetto. Devo però ammettere che mi sono dimenticato di riavviare prima di partire a pulire con ccleaner e systemscan |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/04/2009 : 18:13:09
|
Buona sera, ti avevo chiesto sulle eliminazioni perchè sul report di malwarebytes risultava la dicitura "no action take" se hai rimosso dopo va bene, fai le pulizie ed esegui systemscan così mi elimini qualche centinaio di files temporanei inutili, per quanto concerne il primo pc, non è un problema di infezione il fatto che i dischi rigidi non si aprano ma dipende da 2 chiavi di registro modificate, segui la procedura:
1) scarica questo nuovo file htt*://wikisend[.com]/download/473550/CFScript.txt solita procedura, modalità provvisoria e lo trascini sull'icona di combofix
2) scarica questo file htt*://wikisend[.com]/download/147396/fix.reg lo salvi sul desktop, doppio click per eseguirlo, accetta le modifiche al registro, riavvia il pc e poi dimmi se i dischi funzionano.
3) fammi sapere se in avvio dopo combofix continua ad essere visualizzato l'errore relativo al file mancante.
Attendo il systemscan del portatile. |
|
|
|
Discussione |
|
backdoor Poison.pg,Poisonivy.ay e Bifrase
Forum Bloccato
