Pagina 5 di 9 PrimaPrima 123456789 UltimaUltima
Risultati da 61 a 75 di 125

Discussione: Nod32 rileva win32/Olmarik trojan Horse

  1. #61
    SWZone Staff - Moderatore L'avatar di vicky67
    Data Registrazione
    19-05-2009
    Località
    poggio mirteto (ri)
    Messaggi
    3.821
    ciao utbemf

    1)Disattiva il ripristino configurazione di sistema

    2)Apri hijackthis e fixa questa voce O4 - .DEFAULT User Startup: gowequ.exe (User 'Default user')

    3)scarica il file in allegato e trascinalo con il mouse sull'icona di combofix per una nuova scansione.Al termine allega il log.

    4)Scarica rkunhooker,salvalo sul desktop.http://www.kernelmode.info/ARKs/RKUnhookerLE.EXE
    Doppio click su rkunhooker.exe per avviarlo.
    Clicca sul tab Report,poi clicca su scan.
    Metti il segno di spunta su Drivers,Stealth.Non spuntare il resto.Clicca su ok.
    Aspetta la fine delle operazioni e poi clicca su File-Save Report.
    Salva il report.Clicca su Close.
    Allega il report.

    N.B.Se ricevi un avvertimento che rootkit Unhooker detiene un malware ignoralo.E' un falso positivo.

    Log da allegare combofix-rkunhooker

  2. #62
    New Member
    Data Registrazione
    25-02-2009
    Messaggi
    26
    Ciao Vicky67

    ti ringrazio dell'interessamento e del tempo dedicatomi...

    ho provato a fare quello che mi hai detto ma:

    1) il ripristino configurazione era già disattivato

    2) Hijackthis non mi fixa la voce
    "O4 - .DEFAULT User Startup: gowequ.exe (User 'Default user')"
    non c'è verso..la spunto, clicco fix...mi chiede se sono sicuro...e poi nada!!
    rifaccio lo scan e rieccola lì !

    3) non c'è verso che combofix mi faccia la scansione... già nei giorni scorsi ci avevo provato ma nada...mi era partito solo col comando
    "%userprofile%\desktop\combofix.exe" /killall

    premetto che l'antivirus lo blocco e la rete la disconnetto....e mi si pianta anche in modalità provvisoria...
    non c'è modo di mettere il killall nello script che mi hai allegato???
    io c'ho provato a mettere all'inizio killall:: ma non credo che la sintassi sia giusta!

    combofix arriva fino al punto in cui dice...su alcuni pc infetti ci può volere più di 10 minuti ma sono stato 2 ore senza che mi comparissero gli step...e ho dovuto spegnere dal pulsante

    2) RKunHooker.... ho fatto quello che mi hai detto...quando è passato a scansionare c: è stato circa 3 ore con la voce...getting filelist from C: ma di fatto era tutto calmo e non si muoveva nulla....ho dato cancel e mi ha generato comunque il report che ti allego!

    cmq il pc è seriamente posseduto...menomale per NOD32 che ogni paio d'ore blocca un attacco... viene sempre bloccato un setup.exe che si trova in cartelle ogni volta diverse e con nomi strani a random.... la maggior parte dei casi (ma NON sempre) queste cartelle stanno in windows/temp.... io la svuoto di continuo ma si riformano... boh...dammi lumi!
    grazie ancora!

  3. #63
    SWZone Staff - Moderatore L'avatar di vicky67
    Data Registrazione
    19-05-2009
    Località
    poggio mirteto (ri)
    Messaggi
    3.821
    Credo di aver individuato il problema.

    Scarica TDSS killer e salvalo sul desktop.Estrai il contenuto sul desktop.Doppio click su
    TDSSKILLER.exe per avviare l'applicazione e poi su start scan.
    Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
    Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.
    Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
    Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
    Se un riavvio è richiesto il report si trova in C:\folder in questa forma "TDSSKiller.[Version]_[Date]_[Time]_log.txt"

    Dopo aver effettuato questa operazione riesegui lo script di combofix che ti avevo allegato,riscaricando nuovamente combofix ed eliminando la vecchia copia che avevi sul desktop.

    Log da allegare:combofix,rkunhooker

  4. #64
    New Member
    Data Registrazione
    25-02-2009
    Messaggi
    26
    vicky67 ti ringrazio tantissimo, mi è di conforto sapendo che c'è qualcuno che appoggia la mia battaglia ( e che la conduce)

    siamo punto e a capo!

    TDSS killer ha ammazzato tale
    Rootkit.Win32.TDSS.tdl4

    come potrai vedere dal report in allegato...
    dopo il riavvio ho provato a lanciare combofix (riscaricato) ma nada!
    non ne vuole sapere!
    a sto giro esce solo il loading e poi sparisce tutto...
    fatto scanning con hijackthis...e ho trovato tale c:\combofix\PEV.cfxxe
    il task manager di windows non lo vede...
    sono andato a rimuoverlo manualmente e...sorpresa...la cartella in questione ha la stessa icona di risorse del computer... non si elimina!!

    bene....vado in modalità provvisoria... lancio combofix...si apre la finestra ma non parte....guardo nel taskmanager....qui PEV.cfxxe si vede....lo disattivo...combofix riparte...nel task manager compaiono altri due .cfxxe uno si chiama combofix.cfxxe e l'altro NOD.cfxxe ...chiari tranelli.....li disattivo....combofix riprende a funzionare, mi chiede della consolle di ripristino e poi però si ferma ancora...non fa gli step!!
    riavvio il pc..va in modalità normale....e sorpresa!!! mi chiede di ri-registrare la copia di windows!! !??!?! !??!?!?? in più il servizio ZeroConfiguration per il wireless è disattivato...dice che un altro programma tenta di stabilire la connessione...ma l'utility Belkin non è....è disattivata e non è attiva!!

    insomma è proprio una brutta bestia....il mio computer è posseduto.... e inizio a temere che qualcuno ci metta mano da fuori....

    riallego un po' di log....
    adesso Hijackthis oltre a gowequ.exe
    non fixa nemmeno PEV.cfxxe

    mah! non posso nemmeno formattare! sono all'estero e non ho cd driver, applicazioni, e tutto il resto!!

    dammi qualche speranza!

    riavvio il servizio manualmente ed eccomi qua....

  5. #65
    SWZone Staff - Moderatore L'avatar di vicky67
    Data Registrazione
    19-05-2009
    Località
    poggio mirteto (ri)
    Messaggi
    3.821
    Un'infezione importante il tdss rootkit è stata eliminata(spero che non tu non abbia usato numeri di carte di credito sul pc)

    Prosegui l'opera di disinfezione in questo modo


    Scarica OTC by OldTimer sul desktop: (serve per eliminare correttamente Combofix)
    http://oldtimer.geekstogo.com/OTC.exe
    doppio clic per eseguirlo
    Clicca su CleanUp.
    Ti chiederà di riavviare il pc.
    Clicca sì.

    Riprova a questo punto a riscaricare combofix ed esegui lo script.
    Se ancora non funziona

    Scarica OTL,http://oldtimer.geekstogo.com/OTL.exe ,salvalo sul desktop,doppio click sulla sua icona.
    Metti la spunta su SCAN ALL USERS.
    Sotto output spunta minimal output
    Sotto Extra Registry , seleziona Use SafeList.
    Sotto Standard Registry metti All.
    Clicca sulla freccettina di File Age e seleziona 60 Days
    Metti la spunta a LOP Check and Purity Check.

    Copia e incolla nel box bianco il contenuto del file che ti allego.

    Clicca su RUN SCAN
    A fine scansione OTL produrrà due file di log (OTL.txt ed Extras.txt),
    Allegali.
    Se sono troppo grandi(superiori a 100 kb) allegali su Wikisend: free file sharing service

  6. #66
    New Member
    Data Registrazione
    25-02-2009
    Messaggi
    26
    uff!! in questi giorni di infezione (da venerdì) non ho usato la carta di credito dal pc...ma fino a 3 settimane fa si....e sicuramente era rimasto salvato qualcosa in chrome.... dici che ha già copiato tutto ??!?!?!?! di solito mi arriva un sms al cell quando si effettuano pagamenti con la carta...e per fortuna ancora nulla...però non posso nemmeno accedere al conto finchè non sono sicuro di non avere più rogne!!...se riusciremo a eliminare sta cosa poi ti chiederò conferma di potermi collegare al conto...

    detto ciò....combofix non ne ha voluto sapere...arriva alla schermata e non mi fa gli step nemmeno dopo 2 ore....

    OTL mi ha generato 4 files.... 2 (con orario diverso) di OTL.txt e 2 Extras.txt...non so perchè....non avrò cliccato due volte su scan??! li allego tutti e 4....
    intanto ho duvuto riattivare la copia di windows, sono sparite le estensioni dei files, e zero configuration non ne vuole sapere di partire anche se è settato a partire....

    grazie ancora per le dritte vicky67.....

    (ah volevo avvisarti che potrei procurarmi un Hiren's Boot Cd...
    certo non so le potenzialità di molte delle utility contenute... nel caso la cosa potesse servire a scansionare windows senza avviarlo...però in ogni caso non saprei come farlo!...te lo dico per la cronaca...)

    qui i link wikisend

    OTL.Txt

    Extras.Txt

    reportOTL.Txt

    Extras_OTL.Txt

  7. #67
    New Member
    Data Registrazione
    04-01-2011
    Messaggi
    9
    Ciao a tutti.
    @utbemf:
    Vorrei solo far notare, che le ultime versioni di Combofix, non funzionano con IE6.
    Suggerisco di aggiornare il S.O,(SP3) e il relativo browser. (IE8)
    Poi riprovare a fare la scansione con Combofix.

  8. #68
    SWZone Staff - Moderatore L'avatar di vicky67
    Data Registrazione
    19-05-2009
    Località
    poggio mirteto (ri)
    Messaggi
    3.821
    Hai settato tu il proxy in firefox?
    Le estensioni dei file le puoi rimettere da strumenti-opzioni cartella-visualizzazione togli la spunta a nascondi le estensioni per i tipi di file conosciuti.E' normale che si siano tolte con OTL.
    Non avviare più combofix,a me non serve più,potresti causare danni irreparabili.Diverse sono le cause della sua non esecuzione.

    Incolla il contenuto del file in allegato nel box di OTL e clicca sul pulsante RUNFIX.

    Fai poi una scansione on line con ESET
    -http://eset.com/onlinescan
    -Clicca sul pulsante eset online scanner
    -Per browser alternativi(chi usa microsoft internet explorer può saltare questo passo)
    1)clicca su esetsmartinstaller_enu.exe per scaricarlo.Salvalo sul desktop.
    2)doppio click sulla sua icona.
    -clicca Yes per accettare le condizioni
    -clicca sul pulsante START
    -spunta SCAN ARCHIVES
    -togli la spunta a rimuovi minacce trovate.
    -clicca su setting e metti la spunta su
    scan per potenziali applicazioni sospette.
    -clicca sul pulsante START
    -Eset installerà gli aggiornamenti e avvierà lo scan
    -Quando lo scan ha finito premi su LIST OF found threats
    -premi su EXPORT TO TEXT FILE e salvalo sul desktop.
    -premi back button
    -premi finish
    -Allega il report

  9. #69
    New Member
    Data Registrazione
    25-02-2009
    Messaggi
    26
    Sembra che le cose comincino ad andare meglio...
    però credo che ci sia ancora un po' di cose da sistemare....hijackthis sembra più pulito.... ma del log di NOD-Online mi preoccupa quel kryptik....
    (le altre cose sono "falsi" positivi... si capisce la provenienza e sono nel mio computer da un sacco di tempo senza darmi problemi...o almeno credo!)
    per il resto c'è ancora qualcosa che mi chiude ZeroConfiguration all'avvio...
    e, visto che mi chiedevi se avevo settato io mozzilla.... NO...io non ho settato nessun proxy...e con mozzilla ed explorer navigo con chrome no...il mio traffico passa per un proxy???????????

    ecco i log...

  10. #70
    SWZone Staff - Moderatore L'avatar di vicky67
    Data Registrazione
    19-05-2009
    Località
    poggio mirteto (ri)
    Messaggi
    3.821
    Le cose vanno molto meglio.Quel Kriptik non nuocerà più,perchè lo abbiamo eliminato,è rimasto nel backup di hijackthis e nel ripristino configurazione di sistema che per me è attivo(avevi detto di averlo disattivato) e va disattivato per evitare reinfezioni.
    Come disattivare e attivare Ripristino configurazione di sistema in Windows XP
    Rifai la procedura con OTL incollando nel box il contenuto del file che ti allego.
    Elimina tutti i file ,compresi archivi compressi del log di eset.
    Crome va disinstallato ed eventualmente reinstallato.
    Riesegui OTC per eliminare file rimasti di combofix.
    Dopo queste ultime operazioni il pc dal punto di vista delle infezioni è a posto.
    Aggiorna quanto prima xp al service pack 3 e relativi aggiornamenti.ciao

  11. #71
    New Member
    Data Registrazione
    25-02-2009
    Messaggi
    26
    vicky67 sei ufficialmente il mio idolo, il mio eroe...la mia musa ispiratrice!!!
    grazie in un modo proprio..GRAZIE!!!

    ultima cosetta...

    ho eliminato i backup di hijackthis, e le voci del log di NODonline

    non so trovare le voci

    C:\System Volume Information\_restore{C624FC52-D7C1-4924-9915-2AD1CAB392DB}\RP0\A0000001.exe a variant of Win32/Kryptik.KDG trojan

    C:\System Volume Information\_restore{C624FC52-D7C1-4924-9915-2AD1CAB392DB}\RP2\A0006233.exe a variant of Win32/Kryptik.KDG trojan

    perchè system volume non esiste (e non è neppure nascosta) boh!
    è possibile fixarli con OTL ??
    ti giuro che il ripristino lo avevo disattivato!!

    dopo lo script che mi hai mandato, quello per settare il proxy, funziona anche chrome!!! zero configuration era in conflitto con un servizio dell'utility belkin che si avviava ma che poi si chiudeva (e non lo vedevo nel taskmanager)
    risolto anche quello!!

    ho eliminato i residui di combofix come mi hai detto, e visto che si era parlato di codici di carta di credito (che dovrò usare molto presto) ho ripassato hijackthis (allego log) e anche RKunHooker.... questo mi ha dato ancora "possibile attività di rootkit attivo"....mah !?!?!? allego log.....
    cmq ho rieseguito tdsskiller che mi dice che il sistema è pulito... (anche se analizza solo circa 300 elementi).... boh!! attendo tua conferma o meno di pulizia completa per poter usare serenamente il computer....

    grazie ancora all'infinito!!!

  12. #72
    SWZone Staff - Moderatore L'avatar di vicky67
    Data Registrazione
    19-05-2009
    Località
    poggio mirteto (ri)
    Messaggi
    3.821
    Innanzitutto ti ringrazio per i complimenti.

    Ora è tutto a posto.Non ti preoccupare del messaggio di rkunhooker,la maggior parte delle volte lo da'.Dalla sua analisi poi si vede se il sistema è veramente infetto.Il log è pulito.

    System Volume Information è una cartella di sistema nascosta.Per poterla visualizzare devi abilitare la visualizzazione dei file nascosti e di sistema.
    Per eliminare i punti di ripristino esegui questo script con OTL.
    Inserisci nel box bianco di OTL il seguente comando e clicca sul pulsante RUN FIX.Con questo comando verranno cancellati tutti i punti di ripristino e creato uno nuovo.

    :Commands
    [CLEARALLRESTOREPOINTS]


    A questo punto non mi resta che augurarti buon lavoro e buona permanenza all'estero.

  13. #73
    New Member
    Data Registrazione
    07-03-2011
    Messaggi
    20
    help me!! sn nuovo del forum e ho un problemissimo! mi sn beccato un olmarik e il mio pc sta x morire..ks posso fare? nn riesco ad eliminarlo con nod32..allego il file log di hijackthis..grazie

  14. #74
    BANNATO da SWZ
    Data Registrazione
    25-09-2010
    Messaggi
    454
    Ciao. Scrivi in italiano, non abbreviato, per favore.

    Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Posiziona ComboFix sul Desktop ed esegui queste operazioni preliminari:
    disconnettiti da Internet
    ● sconnetti, fisicamente, il modem/router dal Computer

    E' assolutamente necessario, se attivo:
    disattivare l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
    disattivare il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

    Eseguiti i passaggi indicati sopra:
    ● lancia ComboFix: per lanciare ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di ComboFix e, dal menù contestuale, scegli la voce Esegui come Amministratore
    ● segui le istruzioni che verranno rilasciate per eseguire la scansione
    ● verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
    senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

    Note - durante la scansione:
    ● verranno creati alcuni file sul Desktop e poi eliminati
    ● spariranno, per un attimo, tutte le icone presenti sul Desktop
    ● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
    ● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
    ● potrebbe apparire sul Desktop l'icona di Internet Explorer

    Quando ComboFix avrà concluso l'operazione di scansione:
    ● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
    ● ricollega, fisicamente, il modem/router al Computer
    connettiti a Internet
    ● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

  15. #75
    New Member
    Data Registrazione
    07-03-2011
    Messaggi
    20
    scusami ma ho un problema nell'avviare combofix. Mi dice che il sistema operativo è incompatifile con combofix e funziona solo con windows 2000 o xp..(ma io ho xp)

Tag per Questa Discussione

Segnalibri

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •