Visualizzazione Stampabile
-
Ciao fdexi...se hai il problema descritto in questo thread allora segui ciò che viene detto nell'annuncio in evidenza in questa sezione:
http://forum.swzone.it/sicurezza/138...a-sezione.html
Se hai bisogno di parlare con Vicky per cose diverse, usa la messaggistica privata. :ciao:
-
Allegati: 1
Ciao,il mio pc non mi fa più collegare ai siti internet degli antivirus,inoltre mi ha bloccato il funzionamento di avira.ed ho notato che accedendo a facebook mi chiede di inserire i miei dati,compreso quelli della carta di credito.
con malwerebyte non risulta nulla.
come descritto in questo topic ho avviato combofix in modalità amministratore(win vista) ed allego qui i risultati in attesa di istruzioni.
spero sinceramente qualcuno possa aiutarmi.
-
ciao okkidilince
Cancella la cartella in neretto
c:\users\Lucky\AppData\Roaming\Anud
Scarica TDSS killer e salvalo sul desktop.Doppio click su TDSSKILLER.exe per avviare l'applicazione.In change parameters metti la spunta su "detect tdlfs file system" e "verify file digital signature"
Clicca su start scan.
Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.
Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Allega il report che si trova in C in questa forma "TDSSKiller.[Date]_[Time]_log.txt"
scarica aswmbr sul desktop http://public.avast.com/~gmerek/aswMBR.exe e salva il log.
• Doppio click per avviarlo,aggiorna le firme.
• Clicca su "Scan" button per far partire lo scan
• Clicca sul pulsante save per salvare il log.
Log da allegare:tdss killer-aswmbr
-
Allegati: 2
Ciao, purtroppo aswMBR smette di funzionare dopo qualche minuto dall'inizio della scansione.
Se vuoi ti mando lo screenshot, è possibile vedere un file in rosso e uno in giallo (credo rispettivamente Infetto e Sospetto).
Ti comincio ad inviare il log di tdsskiller. Hai qualche suggerimento su come far effettuare una scansione completa con avast aswMBR?
Provo in a riavviare in modalità provvisoria?
ps: ho Spybot S&D attivo.. potrebeb essere un problema?
pps: mentre scrivevo ho salvato un log parziale (mentre lo scan stava andando, prima di bloccarsi) dove è visibile almeno un file sospetto.
lo allego col nome di PARZIALE
-
Il pc ha un rootkit sull'mbr ed è molto probabilmente lui a causare tutti i problemi descritti.
Per rimuoverlo riapri nuovamente tdss killer e alla voce \Device\Harddisk0\DR0 ( TDSS File System ) - skipped by user
cambia l'opzione da skip a cure.
Riavvia il pc esegui nuovamente tdss killer ed allega un nuovo log.
Controlla se i problemi descritti sono spariti.
-
Allegati: 1
Ciao,
non mi compare nessuna opzione "cure" ma soltanto "skip", "copy to quarantene" e "delete". Selezionando "copy to quarantene", alla successiva scansione dopo il riavvio, lo ritrova tale e quale, sempre con le stesse opzioni.
Allego comunque il log.
PS: a proposito, da un po', quando accendo il pc, mi compare un avviso tipo "server occupato [...]" dove posso selezionare riprova o annulla.. all'inizio pensvo che potesse essere qualcosa che avevo installato tempo fa, ma adesso comincio a pensare possa essere il malware.
pps: comunque adesso mi fa andare sul sito di avira.. ma lo stesso non ho risolto nulla, no?
-
Con questa nuova scansione è stata rimossa l'ultima variante del rootkit che dal primo log non risultava.
Ora è importante verificare se viene ancora rilevata.
Riesegui tdsskiller ed allega il log.
Qualora venisse ancora rilevata esegui questa scansione
Scarica Listparts http://download.bleepingcomputer.com.../ListParts.exe
Effettua una scansione e allega il log.
Log da allegare:tdss killer-listsparts
Per quanto riguarda il messaggio all'avvio verifica che non sia un programma caricato all'avvio a provocare il problema.Per questo usa ccleaner.
Scarica ccleaner http://www.filehippo.com/download_ccleaner
Vai in strumenti-avvio seleziona tutti i programmi caricati all'avvio ad eccezione dell'antivirus e spyboot e clicca sul tab disattiva(i relativi programmi continueranno a funzionare ugualmente,se poi eventualmete ti occorre che qualche software sia caricato all'avvio puoi riselezionarlo tramite ccleaner e cliccare sul pulsante attiva)
Riavvia il pc e controlla che il messaggio sia sparito.
-
effettuato scansione con tdsskiller,viene rilevato ancora,quindi ho fatto girare listparts sia con l'opzione LIST BCD che senza.
Allego i 3 log.
ps
ieri sera ho scaricato avira.ho effettuato una scansione che ha trovato 5 minacce.le ho spostate in quarantena,ma evidentemente non ha risolto il problema.
pps
grazie mille per l'aiuto che mi stai dando.
-
-
Allegati: 2
ecco il link del log tdss è troppo grande per allegarlo.
Wikisend: free file sharing service
inolre allego gli altri 2 log.
grazie ancora.
-
L'infezione è ancora presente purtroppo.
Va eseguito un altro tool di kaspersky
Scarica Kaspersky Virus Removal Tool Virus-fighting utilities salvalo sul desktop
Eseguilo come amministratore (per xp doppio click)
seleziona lingua
accetta la licenza
clicca su setting
metti la spunta su
system memory
hidden objects
disk boot sectors
computer
torna su automatic scan
clicca su start scan
quando lo scan è completo clicca su report button (assomiglia a un foglio sulla destra)
sulla sinistra c'è
status
Detected threats<-- clicca su questo
automatic Scan report
Manual disinfection report
Clicca su save button e salva il log.
Al riavvio - Scarica Defogger: http://download.bleepingcomputer.com...f/Defogger.exe
Si tratta di un programma che provvederà a disattivare temporaneamente i driver impiegati da software per l'emulazione di CD/DVD.
Eseguilo e clicca su "Disable", premi "Yes" per confermare quindi attendi la fine della procedura.
Nel caso in cui, sul tuo sistema, vi fossero programmi per l'emulazione di CD/DVD, Defogger richiederà un reboot del personal computer.
Elimina tdsskiller che hai sul desktop con relative cartelle in C.
Riscarica una nuova versione di tdss killer e seleziona delete ancichè quarantine qualora dovesse ancora rilevare il rootkit(Device\Harddisk0\DR0 ( TDSS File System )
Esegui di nuovo anche aswmbr.Se non funziona in modalità normale eseguilo in provvisoria con rete per aggiornarlo.
Log da allegare:tdsskiller-kaspersky removal tool-aswmbr
-
Ciao,ho eseguito tutte le istruzioni ed ecco i link dei log.
tdsskiller:
Wikisend: free file sharing service
virus removal toll:
Wikisend: free file sharing service virus removal tool.txt
Mentre per quanto riguarda aswmbr niente da fare,infatti non funziona neanche in modalità provvisoria(si blocca)
-
Bella infezione.
Vorrei vedere cosa cè nell'mbr facendo un backup della stessa fuori dal sistema.
Allega un log di FRST come da questa guida http://forum.swzone.it/sicurezza/138...nzionante.html
Poi effettua quest'altra operazione
Scarica MBRFix da qui,portandoti dove è mbrfix Download
Salvalo, estrailo sul desktop.Ci sono 3 file nella cartella mbrfix .Copia solo mbrfix.exe nella pendrive dove hai anche FRST
Crea un file di testo e chiamalo fixlist.txt e poi copialo sulla pendrive dove hai FRST.
Al suo interno copia e incolla questo testo
Codice:
Start
cmd:X:\MbrFix /drive 0 savembr X:\MBRDUMP.txt
cmd: bcdedit /enum all /v
End
N.B. Devi sostituire alla lettera X la lettera che corrisponde alla tua pendrive che hai trovato precedentemente(come da guida FRST)
Avvia FRST come da guida e clicca sul pulsante FIX una sola volta.
Allega i log che troverai nella pendrive(Fixlog.txt e MBRDUMP.txt)
-
Allegati: 3
Ciao,ho effettuate tutte le operazioni da te suggerite.
Allego i 3 log.
Mi hai scritto di usare mbrfix64.exe nel file fixlist.txt,ma nelle penna mi avevi detto di mettere mbrfix.exe,quindi utizzando il codice che mi hai dato non creava il log mbrdump.quindi ho tolto il "64" dal codice, ho avviato, e cosi' ho ottenuto il log.(il mio processore è 64bit ma il s.o. preinstallato sembrerebbe essere 32bit)
Devo per caso rifare la procedura utilizzando mbrfix64??
P.S.
io ho 2 hard disk esterni che uso per lavoro che ho staccato qualche giorno fa, ai primi sintomi di infezione per evitare di perdere dati.Quindi sono stati esclusi da ogni scansione fatta fin ora. una volta curata la MB basterà una semplice scansione con l'antivirus??
come sempre grazie per l'aiuto.
-
Hai fatto tutto in regola.Per distrazione ti avevo dato il comando per il 64 bit.Quei log sono puliti.
Mi volevo assicurare una cosa importante.Quando hai fatto delete sul rootkit hai di nuovo rieseguito tdsskiller per controllare se l'infezione veniva ancora rilevata?
Abbi pazienza ma mi occorre nuovamente quel log.Riesegui tdsskiller per l'ennesima volta.Poi prova nuovamente aswmbr se l'infezione non viene più rilevata.