-
SWZone Staff - Moderatore
ciao utbemf
1)Disattiva il ripristino configurazione di sistema
2)Apri hijackthis e fixa questa voce O4 - .DEFAULT User Startup: gowequ.exe (User 'Default user')
3)scarica il file in allegato e trascinalo con il mouse sull'icona di combofix per una nuova scansione.Al termine allega il log.
4)Scarica rkunhooker,salvalo sul desktop.http://www.kernelmode.info/ARKs/RKUnhookerLE.EXE
Doppio click su rkunhooker.exe per avviarlo.
Clicca sul tab Report,poi clicca su scan.
Metti il segno di spunta su Drivers,Stealth.Non spuntare il resto.Clicca su ok.
Aspetta la fine delle operazioni e poi clicca su File-Save Report.
Salva il report.Clicca su Close.
Allega il report.
N.B.Se ricevi un avvertimento che rootkit Unhooker detiene un malware ignoralo.E' un falso positivo.
Log da allegare combofix-rkunhooker
-
Ciao Vicky67
ti ringrazio dell'interessamento e del tempo dedicatomi...
ho provato a fare quello che mi hai detto ma:
1) il ripristino configurazione era già disattivato
2) Hijackthis non mi fixa la voce
"O4 - .DEFAULT User Startup: gowequ.exe (User 'Default user')"
non c'è verso..la spunto, clicco fix...mi chiede se sono sicuro...e poi nada!!
rifaccio lo scan e rieccola lì !
3) non c'è verso che combofix mi faccia la scansione... già nei giorni scorsi ci avevo provato ma nada...mi era partito solo col comando
"%userprofile%\desktop\combofix.exe" /killall
premetto che l'antivirus lo blocco e la rete la disconnetto....e mi si pianta anche in modalità provvisoria...
non c'è modo di mettere il killall nello script che mi hai allegato???
io c'ho provato a mettere all'inizio killall:: ma non credo che la sintassi sia giusta!
combofix arriva fino al punto in cui dice...su alcuni pc infetti ci può volere più di 10 minuti ma sono stato 2 ore senza che mi comparissero gli step...e ho dovuto spegnere dal pulsante
2) RKunHooker.... ho fatto quello che mi hai detto...quando è passato a scansionare c: è stato circa 3 ore con la voce...getting filelist from C: ma di fatto era tutto calmo e non si muoveva nulla....ho dato cancel e mi ha generato comunque il report che ti allego!
cmq il pc è seriamente posseduto...menomale per NOD32 che ogni paio d'ore blocca un attacco... viene sempre bloccato un setup.exe che si trova in cartelle ogni volta diverse e con nomi strani a random.... la maggior parte dei casi (ma NON sempre) queste cartelle stanno in windows/temp.... io la svuoto di continuo ma si riformano... boh...dammi lumi!
grazie ancora!
-
SWZone Staff - Moderatore
Credo di aver individuato il problema.
Scarica TDSS killer e salvalo sul desktop.Estrai il contenuto sul desktop.Doppio click su
TDSSKILLER.exe per avviare l'applicazione e poi su start scan.
Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.
Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Se un riavvio è richiesto il report si trova in C:\folder in questa forma "TDSSKiller.[Version]_[Date]_[Time]_log.txt"
Dopo aver effettuato questa operazione riesegui lo script di combofix che ti avevo allegato,riscaricando nuovamente combofix ed eliminando la vecchia copia che avevi sul desktop.
Log da allegare:combofix,rkunhooker
-
vicky67 ti ringrazio tantissimo, mi è di conforto sapendo che c'è qualcuno che appoggia la mia battaglia ( e che la conduce)
siamo punto e a capo!
TDSS killer ha ammazzato tale
Rootkit.Win32.TDSS.tdl4
come potrai vedere dal report in allegato...
dopo il riavvio ho provato a lanciare combofix (riscaricato) ma nada!
non ne vuole sapere!
a sto giro esce solo il loading e poi sparisce tutto...
fatto scanning con hijackthis...e ho trovato tale c:\combofix\PEV.cfxxe
il task manager di windows non lo vede...
sono andato a rimuoverlo manualmente e...sorpresa...la cartella in questione ha la stessa icona di risorse del computer... non si elimina!!
bene....vado in modalità provvisoria... lancio combofix...si apre la finestra ma non parte....guardo nel taskmanager....qui PEV.cfxxe si vede....lo disattivo...combofix riparte...nel task manager compaiono altri due .cfxxe uno si chiama combofix.cfxxe e l'altro NOD.cfxxe ...chiari tranelli.....li disattivo....combofix riprende a funzionare, mi chiede della consolle di ripristino e poi però si ferma ancora...non fa gli step!!
riavvio il pc..va in modalità normale....e sorpresa!!! mi chiede di ri-registrare la copia di windows!! !??!?! !??!?!?? in più il servizio ZeroConfiguration per il wireless è disattivato...dice che un altro programma tenta di stabilire la connessione...ma l'utility Belkin non è....è disattivata e non è attiva!!
insomma è proprio una brutta bestia....il mio computer è posseduto.... e inizio a temere che qualcuno ci metta mano da fuori....
riallego un po' di log....
adesso Hijackthis oltre a gowequ.exe
non fixa nemmeno PEV.cfxxe
mah! non posso nemmeno formattare! sono all'estero e non ho cd driver, applicazioni, e tutto il resto!!
dammi qualche speranza!
riavvio il servizio manualmente ed eccomi qua....
-
SWZone Staff - Moderatore
Un'infezione importante il tdss rootkit è stata eliminata(spero che non tu non abbia usato numeri di carte di credito sul pc)
Prosegui l'opera di disinfezione in questo modo
Scarica OTC by OldTimer sul desktop: (serve per eliminare correttamente Combofix)
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.
Riprova a questo punto a riscaricare combofix ed esegui lo script.
Se ancora non funziona
Scarica OTL,http://oldtimer.geekstogo.com/OTL.exe ,salvalo sul desktop,doppio click sulla sua icona.
Metti la spunta su SCAN ALL USERS.
Sotto output spunta minimal output
Sotto Extra Registry , seleziona Use SafeList.
Sotto Standard Registry metti All.
Clicca sulla freccettina di File Age e seleziona 60 Days
Metti la spunta a LOP Check and Purity Check.
Copia e incolla nel box bianco il contenuto del file che ti allego.
Clicca su RUN SCAN
A fine scansione OTL produrrà due file di log (OTL.txt ed Extras.txt),
Allegali.
Se sono troppo grandi(superiori a 100 kb) allegali su Wikisend: free file sharing service
-
uff!! in questi giorni di infezione (da venerdì) non ho usato la carta di credito dal pc...ma fino a 3 settimane fa si....e sicuramente era rimasto salvato qualcosa in chrome.... dici che ha già copiato tutto ??!?!?!?! di solito mi arriva un sms al cell quando si effettuano pagamenti con la carta...e per fortuna ancora nulla...però non posso nemmeno accedere al conto finchè non sono sicuro di non avere più rogne!!...se riusciremo a eliminare sta cosa poi ti chiederò conferma di potermi collegare al conto...
detto ciò....combofix non ne ha voluto sapere...arriva alla schermata e non mi fa gli step nemmeno dopo 2 ore....
OTL mi ha generato 4 files.... 2 (con orario diverso) di OTL.txt e 2 Extras.txt...non so perchè....non avrò cliccato due volte su scan??! li allego tutti e 4....
intanto ho duvuto riattivare la copia di windows, sono sparite le estensioni dei files, e zero configuration non ne vuole sapere di partire anche se è settato a partire....
grazie ancora per le dritte vicky67.....
(ah volevo avvisarti che potrei procurarmi un Hiren's Boot Cd...
certo non so le potenzialità di molte delle utility contenute... nel caso la cosa potesse servire a scansionare windows senza avviarlo...però in ogni caso non saprei come farlo!...te lo dico per la cronaca...)
qui i link wikisend
OTL.Txt
Extras.Txt
reportOTL.Txt
Extras_OTL.Txt
-
Ciao a tutti.
@utbemf:
Vorrei solo far notare, che le ultime versioni di Combofix, non funzionano con IE6.
Suggerisco di aggiornare il S.O,(SP3) e il relativo browser. (IE8)
Poi riprovare a fare la scansione con Combofix.
-
SWZone Staff - Moderatore
Hai settato tu il proxy in firefox?
Le estensioni dei file le puoi rimettere da strumenti-opzioni cartella-visualizzazione togli la spunta a nascondi le estensioni per i tipi di file conosciuti.E' normale che si siano tolte con OTL.
Non avviare più combofix,a me non serve più,potresti causare danni irreparabili.Diverse sono le cause della sua non esecuzione.
Incolla il contenuto del file in allegato nel box di OTL e clicca sul pulsante RUNFIX.
Fai poi una scansione on line con ESET
-http://eset.com/onlinescan
-Clicca sul pulsante eset online scanner
-Per browser alternativi(chi usa microsoft internet explorer può saltare questo passo)
1)clicca su esetsmartinstaller_enu.exe per scaricarlo.Salvalo sul desktop.
2)doppio click sulla sua icona.
-clicca Yes per accettare le condizioni
-clicca sul pulsante START
-spunta SCAN ARCHIVES
-togli la spunta a rimuovi minacce trovate.
-clicca su setting e metti la spunta su
scan per potenziali applicazioni sospette.
-clicca sul pulsante START
-Eset installerà gli aggiornamenti e avvierà lo scan
-Quando lo scan ha finito premi su LIST OF found threats
-premi su EXPORT TO TEXT FILE e salvalo sul desktop.
-premi back button
-premi finish
-Allega il report
-
Sembra che le cose comincino ad andare meglio...
però credo che ci sia ancora un po' di cose da sistemare....hijackthis sembra più pulito.... ma del log di NOD-Online mi preoccupa quel kryptik....
(le altre cose sono "falsi" positivi... si capisce la provenienza e sono nel mio computer da un sacco di tempo senza darmi problemi...o almeno credo!)
per il resto c'è ancora qualcosa che mi chiude ZeroConfiguration all'avvio...
e, visto che mi chiedevi se avevo settato io mozzilla.... NO...io non ho settato nessun proxy...e con mozzilla ed explorer navigo con chrome no...il mio traffico passa per un proxy???????????
ecco i log...
-
SWZone Staff - Moderatore
Le cose vanno molto meglio.Quel Kriptik non nuocerà più,perchè lo abbiamo eliminato,è rimasto nel backup di hijackthis e nel ripristino configurazione di sistema che per me è attivo(avevi detto di averlo disattivato) e va disattivato per evitare reinfezioni.
Come disattivare e attivare Ripristino configurazione di sistema in Windows XP
Rifai la procedura con OTL incollando nel box il contenuto del file che ti allego.
Elimina tutti i file ,compresi archivi compressi del log di eset.
Crome va disinstallato ed eventualmente reinstallato.
Riesegui OTC per eliminare file rimasti di combofix.
Dopo queste ultime operazioni il pc dal punto di vista delle infezioni è a posto.
Aggiorna quanto prima xp al service pack 3 e relativi aggiornamenti.ciao
-
vicky67 sei ufficialmente il mio idolo, il mio eroe...la mia musa ispiratrice!!!
grazie in un modo proprio..GRAZIE!!!
ultima cosetta...
ho eliminato i backup di hijackthis, e le voci del log di NODonline
non so trovare le voci
C:\System Volume Information\_restore{C624FC52-D7C1-4924-9915-2AD1CAB392DB}\RP0\A0000001.exe a variant of Win32/Kryptik.KDG trojan
C:\System Volume Information\_restore{C624FC52-D7C1-4924-9915-2AD1CAB392DB}\RP2\A0006233.exe a variant of Win32/Kryptik.KDG trojan
perchè system volume non esiste (e non è neppure nascosta) boh!
è possibile fixarli con OTL ??
ti giuro che il ripristino lo avevo disattivato!!
dopo lo script che mi hai mandato, quello per settare il proxy, funziona anche chrome!!! zero configuration era in conflitto con un servizio dell'utility belkin che si avviava ma che poi si chiudeva (e non lo vedevo nel taskmanager)
risolto anche quello!!
ho eliminato i residui di combofix come mi hai detto, e visto che si era parlato di codici di carta di credito (che dovrò usare molto presto) ho ripassato hijackthis (allego log) e anche RKunHooker.... questo mi ha dato ancora "possibile attività di rootkit attivo"....mah !?!?!? allego log.....
cmq ho rieseguito tdsskiller che mi dice che il sistema è pulito... (anche se analizza solo circa 300 elementi).... boh!! attendo tua conferma o meno di pulizia completa per poter usare serenamente il computer....
grazie ancora all'infinito!!!
-
SWZone Staff - Moderatore
Innanzitutto ti ringrazio per i complimenti.
Ora è tutto a posto.Non ti preoccupare del messaggio di rkunhooker,la maggior parte delle volte lo da'.Dalla sua analisi poi si vede se il sistema è veramente infetto.Il log è pulito.
System Volume Information è una cartella di sistema nascosta.Per poterla visualizzare devi abilitare la visualizzazione dei file nascosti e di sistema.
Per eliminare i punti di ripristino esegui questo script con OTL.
Inserisci nel box bianco di OTL il seguente comando e clicca sul pulsante RUN FIX.Con questo comando verranno cancellati tutti i punti di ripristino e creato uno nuovo.
:Commands
[CLEARALLRESTOREPOINTS]
A questo punto non mi resta che augurarti buon lavoro e buona permanenza all'estero.
-
help me!! sn nuovo del forum e ho un problemissimo! mi sn beccato un olmarik e il mio pc sta x morire..ks posso fare? nn riesco ad eliminarlo con nod32..allego il file log di hijackthis..grazie
-
Ciao. Scrivi in italiano, non abbreviato, per favore.
Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Posiziona ComboFix sul Desktop ed esegui queste operazioni preliminari:
● disconnettiti da Internet
● sconnetti, fisicamente, il modem/router dal Computer
E' assolutamente necessario, se attivo:
● disattivare l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattivare il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
Eseguiti i passaggi indicati sopra:
● lancia ComboFix: per lanciare ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di ComboFix e, dal menù contestuale, scegli la voce Esegui come Amministratore
● segui le istruzioni che verranno rilasciate per eseguire la scansione
● verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro
Note - durante la scansione:
● verranno creati alcuni file sul Desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer
Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
● ricollega, fisicamente, il modem/router al Computer
● connettiti a Internet
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo
-
scusami ma ho un problema nell'avviare combofix. Mi dice che il sistema operativo è incompatifile con combofix e funziona solo con windows 2000 o xp..(ma io ho xp)
Tag per Questa Discussione
Permessi di Scrittura
- Tu non puoi inviare nuove discussioni
- Tu non puoi inviare risposte
- Tu non puoi inviare allegati
- Tu non puoi modificare i tuoi messaggi
-
Regole del Forum
Segnalibri