| Autore |
 Discussione  |
|
embolo69
Junior Member
51 Messaggi |
 Inserito il - 01/09/2009 : 14:55:42
|
Salve a tutti!
nei giorni scorsi mentre navigavo, webpage contenenti torrent, si è aperta la finestra di McAfee avvertendomi che aveva bloccato
un trojan (da babbeo non mi sono segnato quale).
Nel giro di pochi minuti non riuscivo più a navigare, pagine bianche con la dicitura network error.
Prima solo su alcune poi su tutte, sia con chrome che con explorer.
Ho aggiornato allora spyboot, ero indietro di un mesetto con gli update, scansionato e immunizzato il sistema; ha trovato un trojan!
Poi ho avviato la consolle di McAfee, che ho trovato non come lo avevo impostato:
con non attive le opzioni di protezione dal sovraccarico buffer, protezione all'avvio e scanner posta all'arrivo.
Le ho riattivate e ho proceduto alla scansione di tutti i dischi.
Quest'ultimo era aggiornato e anche lui ha trovato due trojan e li ha eliminati, ho eseguito una seconda scansione senza nessun rilevamento!
Riavvio il Pc (windows XP profesional SP2 con aggiornamenti automantici)e appare la finestra di Mcafee:
C:\WINDOWS\system32\services.exe:ADVAPI32.RegOpenKeyA sovraccarico del buffer!
Ne rileva due, uno dietro l'altro a distanza di pochi secondi.
Altra scansione con Mcafee poi CCleaner, Riavvio ma tutto uguale!
Provo a navigare ma tutte le pagine hanno il network error!
Tento di usare il portatile e questo funziona, rete ok quindi!
....mi metto a cercare e trovo la soluzione per la navigazione:netsh Winsock reset
Riavvio e... navigo!
Rimane il sovraccarico del buffer, trovo voi e seguo le istruzioni che avete dato ad altri...
kaspersky non rileva nulla (scansione di tutti i dischi)
ADSspy mi fa un'elenco di 64 file trovati, la maggior parte sono "preferiti" che riconosco ed alcune foto su un disco diverso da C:\ anche queste mi sembrano OK
Ho fatto la "sniffata" con Hijackthis ma non ancora con combofix.
Devo dire che ad occhio il PC sembra Ok, nessun rallentamento o che, ma sto sovraccarico del buffer mi infastidisce!
Mi potete aiutare?
Grazie Davide
|
Modificato da - in Data
|
|
|
embolo69
Junior Member
51 Messaggi |
 Inserito il - 06/09/2009 : 10:56:03
|
Tutti in ferie?
Neanche un'aiutino?
Attendo speranzoso! |
 |
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 07/09/2009 : 08:34:20
|
Buon giorno, segui la procedura:
scarica Hijackthis
1) crea una cartella dedicata e scompattalo al suo interno
2) lancia il programma
3) nel menu' di destra clicca su "do a system scan and save a log file"
4) il programma ti rilascerà un file di report in formato txt, salvalo e postalo sul forum secondo il regolamento
poi
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
poi
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
per postare i report segui questa scaletta:
a) andare sul sito htt*://[www].savefile[.com]/
b) clicca su Upload My file
c) clicca su upload oppure registrarsi per avere più opzioni
d) clicca su browser e scegli il file di log, txt ecc dal tuo computer
e) compila i restanti campi e clicca su Upload File
f) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file:]
g) oppure utilizza questo servizio: htt*://[www].wikisend[.com]
h) oppure utilizza questo servizio:htt*://[www].megaupload[.com]/ |
|
|
|
embolo69
Junior Member
51 Messaggi |
Inserito il - 09/09/2009 : 22:49:28
|
Ok sto procedendo a seguire le istruzioni!
Grazie mille |
|
|
|
embolo69
Junior Member
51 Messaggi |
Inserito il - 10/09/2009 : 08:05:35
|
ecco i risultati:
htt*://wikisend[.com]/download/491700/malwarebytes log
htt*://wikisend[.com]/download/380342/lopR.txt
htt*://wikisend[.com]/download/553822/hijackthis2.txt
Grazie ancora
Davide |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 18/09/2009 : 15:59:08
|
| Buona sera, scusami ma mi è scappata la discussione di vista, devi ripostarmi i report, su wikisend durano solo 7 giorni poi lo stesso codice viene riassegnato. |
|
|
|
embolo69
Junior Member
51 Messaggi |
Inserito il - 19/09/2009 : 13:31:07
|
No problem!
ecco i link:
htt*://wikisend[.com]/download/464528/hijackthis.log
htt*://wikisend[.com]/download/443620/malwarebytes log
htt*://wikisend[.com]/download/953570/lopR.txt
Attendo........ |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 19/09/2009 : 17:13:50
|
Buona sera, hai un cliente che non vedevo da secoli il Rustock, segui la procedura:
1) riesegui malwarebytes e rimuovi le voci trovate infette, riavvia il pc anche se non ti viene richiesto
2) scarica questo tool ed eseguilo, posta il report se viene rilasciato
tool htt*://[www].uploads.ejvindh.net/rustbfix.exe
3) scarica ComboFix
Riavvia il computer in modalità provvisoria (segui lo specchietto)
Citazione:
[Windows XP e Windows 2003
Selezionare Start|Spegni computer.
Selezionare Riavvia dal menu a discesa e cliccare su OK. Windows sarà riavviato.
Premere ripetutamente F8 all'avvio del computer per visualizzare il menu delle Opzioni avanzate di Windows.
Su questo menu selezionare la prima opzione, "Modalità provvisoria", quindi Windows XP o Windows 2003.
Quando viene richiesto, effettuare l'accesso come amministratore locale.
Se hai delle icone di collegamento a programmi sul desktop, crea una cartella apposita e spostale al suo interno
Doppio click su combofix.exe e segui le istruzioni passo a passo, ricordati di dare invio se richiesto dopo i vari passaggi
Quando avrà finito creerà il log C:\combofix.txt salvalo e postalo come gli altri report.
Nota bene : durante la scansione verranno creati dei file sul desktop e scompariranno le icone, potrebbe succedere che qualche programma ti chiede cosa fare per la rimozione dei drivers, in questo caso accossenti, si tratta probabilmente di drivers infetti.
Il programma creerà la cartella C:\QooBox ed all'interno della stessa verrà posizionato un backup dei files rimossi ed un file di backup del registro di windows chiamato Hiv-backup.
Disattiva l'antivirus e i programmi anti-spyware
Disconnetti il pc da internet
NON TOCCARE mouse e tastiera mentre combofix lavora
Posta il report di combofix
4) scarica adsspy da qui htt*://download.bleepingcomputer[.com]/Merijn/adsspy.zip esegui la scansione e posta il report |
Modificato da - death in data 19/09/2009 17:19:26 |
|
|
|
embolo69
Junior Member
51 Messaggi |
Inserito il - 19/09/2009 : 20:07:56
|
ciao Death,
ma anche il punto 4 in modalità provvisoria?
Grazie! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 19/09/2009 : 20:23:48
|
| Buona sera, il primo tool ed il punto 4 in modalità normale, solo combofix in provvisoria. |
|
|
|
embolo69
Junior Member
51 Messaggi |
Inserito il - 19/09/2009 : 22:49:17
|
Ok fatto!
Malwarebytes ha rimosso i file infetti e ha riavviato da se!
Il Rustfix ha dato questo report: "No Rustock.b-rootkits found"
Ho avuto qualche problema a disattivare mcafee....tanto che mi sa che non ci sono riuscito visto che combofix mi ha detto che lo vedeva attivo.
Dopo vari tentativi infruttuosi di blocco su mcafee volevo interrompere combofix e tornare in modalità normale per tentare ancora di fermare Mcafee ...
Mica facile!
Ho cliccato sulla x per chiudere la finestra di combofix e "lui" è partito dicendomi che procedeva a mio rischio!
Comunque ha fatto la scansione e ha generato questo report:htt*://wikisend[.com]/download/466578/combofixlogDav.txt
E' normale che il desktop sia inutilizzabile (neanche start funziona)e l'unico sistema per il riavvio sia tramite task manager?
Tornato in modalità normale ho eseguito anche ADS Spy dicendogli di fare la "Full scan" e nel report ci solo preferiti di internet(tutti "regolari")
e su un disco diverso da C: alcune foto...
Non si è più aperta la finestra di mcafee all'avvio, quella del sovraccarico del buffer!
Sono "guarito"?
Grazie Death! |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/09/2009 : 10:42:26
|
| Buon giorno, sono dubbioso su un file eliminato da combofix, ora vorrei solo capire se il problema del desktop continua, presumo sia successo qualche danno quando hai interrotto combofix, fammi sapere la situazione al momento. |
|
|
|
embolo69
Junior Member
51 Messaggi |
Inserito il - 20/09/2009 : 12:23:20
|
salve,
no il problema al desktop lo ha fatto solo in modalita provvisoria e alla fine della scansione di combofix, senz'altro non mi sono spiegato ma combofix ha eseguito la scansione non sono riuscito a bloccarlo!
Al riavvio in modalità normale il PC ha cominciato a funzionare perfettamente, nessuna finestra di errore e il sistema si sta mostrando stabile e veloce.
Un'altra cosa: al primo riavvio in modalità normale Mcafee era disabilitato, forse alla fine ero riuscito a bloccarlo!
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 20/09/2009 : 12:28:08
|
Buon giorno, ho visto dal report che è presente un file sys di cui non trovo corrispondenza, vorrei tu eseguissi questo tool, voglio approfondire la cosa e nel mentre segnalami se usi daemon tools
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
|
|
|
embolo69
Junior Member
51 Messaggi |
Inserito il - 20/09/2009 : 13:37:35
|
Allora, daemon tools non ne uso anche perchè non so che cosa siano!
Eccoti il report di Systemscan:
htt*://wikisend[.com]/download/480368/report suspect file.txt
Grazie ancora ! |
|
|
|
embolo69
Junior Member
51 Messaggi |
Inserito il - 20/09/2009 : 13:39:09
|
Ti allego anche il file zippato!
htt*://wikisend[.com]/download/605806/20_09_2009_13_16_report.zip |
|
|
|
Discussione |
|
C:\WINDOWS\system32\services.exe:ADVAPI32.RegOpenK
Forum Bloccato
