Computer che si riavvia ...ecco il mio log HijackThis
- Autore discussione sinisass
- Data d'inizio
Stai usando un browser non aggiornato. Potresti non visualizzare correttamente questo o altri siti web.
Dovreste aggiornare o usare un browser alternativo.
Dovreste aggiornare o usare un browser alternativo.
Ti faccio queste domande perchè quel dato dovrebbe prevedere la virgola alla fine. La sua mancanza indica un'anomalia. Molte volte questo capita in seguito ad infezioni rimosse, in pratica un piccolo ricordino del malware contratto.
Allora ti riformulo la domanda. Sono state attuate già delle rimozioni, anche con altro software? Se si, potresti mettermene al corrente?
Allora ti riformulo la domanda. Sono state attuate già delle rimozioni, anche con altro software? Se si, potresti mettermene al corrente?
Ti faccio queste domande perchè quel dato dovrebbe prevedere la virgola alla fine. La sua mancanza indica un'anomalia. Molte volte questo capita in seguito ad infezioni rimosse, in pratica un piccolo ricordino del malware contratto.
Allora ti riformulo la domanda. Sono state attuate già delle rimozioni, anche con altro software? Se si, potresti mettermene al corrente?
Ricordo di aver preso un virus che mi eseguiva un antivirus anche senza averlo installato , ma sinceramente non ricordo quali programmi ho usato per rimuoverlo, mi dispiace , ma probabilmente e' quello il motivo della mancanza della virgola o almeno lo spero.
Ma e' grave la mancanza della virgola?
Cioe' se non fosse dovuta ad una pulizia del computer cosa comporta ?
Grazie sei gentilissimo .
Mhh....rieseguendo hijakthis mi sa che i problemi sono rimasti ...comunque aspetto tue indicazioni e quando me lo chiederai ( il log di hijackthis ) te lo mandero' !
Non è un problema nel senso che non c'è un'infezione allo Userinit. La virgola può anche non starci a meno che tu non debba affiancare a quel livello un altro programma. Puoi metterla e dare invio per ripristinare il valore di default. I vari software te la rilevano solo perchè è stato modificato il valore di default, tutto qui.
A me interessava solo sapere se avevi beccato qualche cosa e successivamente rimosso.
La cosa importante da indagare è che c'è una probabile attività rootkit. Per cui:
Disattiva temporaneamente tutti i programmi di sicurezza.
Scarica Combofix e salvalo sul desktop > http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Chiudi i browsers e tutti gli altri programmi aperti.
Disconnettiti da Internet.
Eseguilo. Su Vista e 7 va eseguito come amministratore.
Non installare la Recovery Console (solo per XP).
Lascia lavorare il programma senza toccare letteralmente nulla.
NB. Se dovessero essere rilevate le protezioni dei tuoi programmi di sicurezza anche dopo la loro disattivazione, procedi comunque.
Ho visto che hai SUPERAntiSpyware, ti ha trovato qualcosa?
In C: vengono salvati tutti i logs di TDSSKiller, potresti allegare anche quello prima del riavvio?
A me interessava solo sapere se avevi beccato qualche cosa e successivamente rimosso.
La cosa importante da indagare è che c'è una probabile attività rootkit. Per cui:
Disattiva temporaneamente tutti i programmi di sicurezza.
Scarica Combofix e salvalo sul desktop > http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Chiudi i browsers e tutti gli altri programmi aperti.
Disconnettiti da Internet.
Eseguilo. Su Vista e 7 va eseguito come amministratore.
Non installare la Recovery Console (solo per XP).
Lascia lavorare il programma senza toccare letteralmente nulla.
NB. Se dovessero essere rilevate le protezioni dei tuoi programmi di sicurezza anche dopo la loro disattivazione, procedi comunque.
Ho visto che hai SUPERAntiSpyware, ti ha trovato qualcosa?
In C: vengono salvati tutti i logs di TDSSKiller, potresti allegare anche quello prima del riavvio?
K
kimbor
Ospite
Ciao provo a concludere l’intervento di pegifr, che saluto :), sperando che non sia stato bannato a tempo indeterminato.
Ti spiego cosa sta accadendo. Hai un’infezione da trojan backdoor (leggi e provvedi) probabilmente Bamital ed il falso antivirus è solo la punta dell’iceberg infatti nel 99% dei casi un rogue arriva quando un sistema è monitorato da un trojan come questo.
L’attività rootkit è reale infatti questo tipo di trojan utilizzano un rootkit per nascondere informazioni. TDSSkiller ti ha tolto o il Rootkit.Win32.TDSS.tdl4 o il tdl3 (come segnalato da DDS).
Per completare la disinfezione:
· Salva il file di testo allegato sul desktop.
· Disattiva i programmi di sicurezza.
· Chiudi tutte le applicazioni e disconnettiti da Internet.
· Trascina il file CFScript.txt sull’icona di Combofix.
· Partirà una nuova scansione, allega il nuovo rapporto.
NB. E’ veramente molto strano che tu non riesca a trovare il log di TDSSKiller quello relativo alla prima esecuzione del tool quando ti ha tolto il rootkit. I due logs che hai allegato sono relativi alle scansioni effettuate quando il tool aveva già egregiamente svolto il suo lavoro, ripulendo il sistema, infatti non riportano più nulla.
Ti spiego cosa sta accadendo. Hai un’infezione da trojan backdoor (leggi e provvedi) probabilmente Bamital ed il falso antivirus è solo la punta dell’iceberg infatti nel 99% dei casi un rogue arriva quando un sistema è monitorato da un trojan come questo.
L’attività rootkit è reale infatti questo tipo di trojan utilizzano un rootkit per nascondere informazioni. TDSSkiller ti ha tolto o il Rootkit.Win32.TDSS.tdl4 o il tdl3 (come segnalato da DDS).
Per completare la disinfezione:
· Salva il file di testo allegato sul desktop.
· Disattiva i programmi di sicurezza.
· Chiudi tutte le applicazioni e disconnettiti da Internet.
· Trascina il file CFScript.txt sull’icona di Combofix.
· Partirà una nuova scansione, allega il nuovo rapporto.
NB. E’ veramente molto strano che tu non riesca a trovare il log di TDSSKiller quello relativo alla prima esecuzione del tool quando ti ha tolto il rootkit. I due logs che hai allegato sono relativi alle scansioni effettuate quando il tool aveva già egregiamente svolto il suo lavoro, ripulendo il sistema, infatti non riportano più nulla.
Ciao e grazie della risposta !
Si Tdsskiller non mi ha creato il primo log ...strano ma proprio non c'era !
Eccoti il log Combo ed in piu' ti allego l'ultimo di Hijackthis
Cosa sono questi ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DCF946E-27E0-45FB-B975-0FFBEA9B2427}: NameServer = 85.37.17.46 85.38.28.84
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DCF946E-27E0-45FB-B975-0FFBEA9B2427}: NameServer = 85.37.17.46 85.38.28.84
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DCF946E-27E0-45FB-B975-0FFBEA9B2427}: NameServer = 85.37.17.46 85.38.28.84
non mi piacciono !
Grazie ancora
p.s. non avevo fatto caso al ban di pegfir , ma mi dispiace..spero sia per poco tempo !
Si Tdsskiller non mi ha creato il primo log ...strano ma proprio non c'era !
Eccoti il log Combo ed in piu' ti allego l'ultimo di Hijackthis
Cosa sono questi ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DCF946E-27E0-45FB-B975-0FFBEA9B2427}: NameServer = 85.37.17.46 85.38.28.84
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DCF946E-27E0-45FB-B975-0FFBEA9B2427}: NameServer = 85.37.17.46 85.38.28.84
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DCF946E-27E0-45FB-B975-0FFBEA9B2427}: NameServer = 85.37.17.46 85.38.28.84
non mi piacciono !
Grazie ancora
p.s. non avevo fatto caso al ban di pegfir , ma mi dispiace..spero sia per poco tempo !
K
kimbor
Ospite
Sono i server DNS forniti dal tuo ISP immagino. Ma perché me lo chiedi, cosa ti fa pensare male? Sono stati tra l’altro impostati manualmente ma ne deduco non da te, a questo punto... HJT te li rileva come modifica ma sono sicuri non preoccuparti. Se poi navighi male è un altro paio di maniche…
Combofix non ha portato a termine la disinfezione infatti non ha cancellato tutti i files come richiesto e non credo che con un altro script lo farà! Ti ha, per curiosità, comunicato qualcosa durante la scansione? Tipo appunto l’impossibilità di cancellare determinate cose?
Comunque proviamo così:
Scarica The Avenger > http://swandog46.geekstogo.com/avenger2/download.php
Estrailo sul desktop. Avvialo. Clicca Ok.
Copia il codice sottostante (come tale) ed incollalo nella sua finestra.
Files to Delete:
c:\users\nok\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fiwu.exe
c:\users\nok\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qaqe.exe
Clicca su Execute e dai Ok alle varie conferme. Ti verrà chiesto di riavviare. Accetta.
Allega poi il log che si aprirà automaticamente altrimenti lo trovi in C:
Combofix non ha portato a termine la disinfezione infatti non ha cancellato tutti i files come richiesto e non credo che con un altro script lo farà! Ti ha, per curiosità, comunicato qualcosa durante la scansione? Tipo appunto l’impossibilità di cancellare determinate cose?
Comunque proviamo così:
Scarica The Avenger > http://swandog46.geekstogo.com/avenger2/download.php
Estrailo sul desktop. Avvialo. Clicca Ok.
Copia il codice sottostante (come tale) ed incollalo nella sua finestra.
Files to Delete:
c:\users\nok\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fiwu.exe
c:\users\nok\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qaqe.exe
Clicca su Execute e dai Ok alle varie conferme. Ti verrà chiesto di riavviare. Accetta.
Allega poi il log che si aprirà automaticamente altrimenti lo trovi in C:
Ecco il log ..
L'ho fatto sia con lo spazio inserito( penso sia stato un tuo lapsus ) che non , ma il risultato non e' cambiato .
Per quanto riguarda il mio dubbio se quella stringa rivelasse qualcosa di male , era appunto un dubbio , ora me l'hai tolto ! :)
L'ho fatto sia con lo spazio inserito( penso sia stato un tuo lapsus ) che non , ma il risultato non e' cambiato .
Per quanto riguarda il mio dubbio se quella stringa rivelasse qualcosa di male , era appunto un dubbio , ora me l'hai tolto ! :)
K
kimbor
Ospite
Dato che alcuni files precedentemente riportati non vengono più trovati direi che non ci sono più problemi tuttavia è meglio darci un’occhiatina direttamente… :)
Scarica il file allegato sul desktop e cambia l’estensione da .txt a .bat
Consulta il post numero 2 se hai difficoltà.
Eseguilo ed allega il log query.txt
Poi:
Scarica Malwarebytes’ Anti-Malware -> http://www.malwarebytes.org/mbam.php
Clicca su download free version. Collega eventuali dispositivi di massa USB.
Installalo, avvialo ed aggiornalo (è importante).
Esegui la scansione completa del sistema selezionando tutte le unità ed elimina tutti gli elementi identificati.
Completa la rimozione col riavvio se richiesto.
Salva il log della scansione ed allegalo (si trova nel Tab "log").
Scarica il file allegato sul desktop e cambia l’estensione da .txt a .bat
Consulta il post numero 2 se hai difficoltà.
Eseguilo ed allega il log query.txt
Poi:
Scarica Malwarebytes’ Anti-Malware -> http://www.malwarebytes.org/mbam.php
Clicca su download free version. Collega eventuali dispositivi di massa USB.
Installalo, avvialo ed aggiornalo (è importante).
Esegui la scansione completa del sistema selezionando tutte le unità ed elimina tutti gli elementi identificati.
Completa la rimozione col riavvio se richiesto.
Salva il log della scansione ed allegalo (si trova nel Tab "log").
K
kimbor
Ospite
Ciao sinisass :)
Svuota la cache di Java
Start > Pannello di Controllo > Java > Nella scheda generale, in file temporanei Internet, clicca su Impostazioni > Elimina file > Lascia entrambe le spunte e dai ok
Per eliminare Combofix:
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
Doppio clic per eseguirlo
Clicca su CleanUp.
Clicca due volte yes.
Il pc verrà riavviato
Start > Esegui > regedit
Segui questo percorso:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder]
Tasto destro su:
C:^Users^nok^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^fiwu.exe
ed Elimina
Riavvia e riesegui il batch file del post precedente.
Allega il risultato.
Fai una scansione on line con ESET Online Scanner
NB. Non c’è necessità di disabilitare il tuo AV ma devi utilizzare necessariamente Internet Explorer.
Clicca su Eset Online Scanner
Spunta Yes, I accept the terms of use e clicca su Start.
Installa l’ActiveX On line Scanner.cab
Togli la spunta da Remove found threats e mettila a Scan archives.
In Advanced setting, spunta Scan for potentialy unsafe applications ed assicurati che ci sia la spunta anche a Scan for potentialy unwanted applications e ad Enable Anti-Stealth technology. Avvia la scansione cliccando su Start.
Salva il risultato in un file di testo oppure recupera il rapporto attraverso questo percorso:
C:\Program files\Eset\Eset Online Scanner\log.txt
Allega il log per un controllo.
Svuota la cache di Java
Start > Pannello di Controllo > Java > Nella scheda generale, in file temporanei Internet, clicca su Impostazioni > Elimina file > Lascia entrambe le spunte e dai ok
Per eliminare Combofix:
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
Doppio clic per eseguirlo
Clicca su CleanUp.
Clicca due volte yes.
Il pc verrà riavviato
Start > Esegui > regedit
Segui questo percorso:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder]
Tasto destro su:
C:^Users^nok^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^fiwu.exe
ed Elimina
Riavvia e riesegui il batch file del post precedente.
Allega il risultato.
Fai una scansione on line con ESET Online Scanner
NB. Non c’è necessità di disabilitare il tuo AV ma devi utilizzare necessariamente Internet Explorer.
Clicca su Eset Online Scanner
Spunta Yes, I accept the terms of use e clicca su Start.
Installa l’ActiveX On line Scanner.cab
Togli la spunta da Remove found threats e mettila a Scan archives.
In Advanced setting, spunta Scan for potentialy unsafe applications ed assicurati che ci sia la spunta anche a Scan for potentialy unwanted applications e ad Enable Anti-Stealth technology. Avvia la scansione cliccando su Start.
Salva il risultato in un file di testo oppure recupera il rapporto attraverso questo percorso:
C:\Program files\Eset\Eset Online Scanner\log.txt
Allega il log per un controllo.
Ultima modifica da un moderatore:
K
kimbor
Ospite
Ciao sinisass :)
Adesso è molto meglio.
Per completare la disinfezione: scarica il file allegato sul desktop, cambia l’estensione da .txt a .bat ed eseguilo.
Poi, se non l'hai già fatto, per riattivare il driver precedentemente disattivato:
Scarica DeFogger > http://download.bleepingcomputer.com/jpshortstuff/Defogger.exe
Salvalo sul desktop ed eseguilo.
Clicca su Enable. Conferma. Premi OK. Verrà prodotto un log sul desktop (DeFogger_Enable) a testimonianza della riavvenuta attivazione.
Per fare un pò d'ordine:
Scarica CCleaner > http://www.piriform.com/ccleaner
In fase di installazione togli la spunta a Google Chrome o ad altro eventuale componente aggiuntivo.
Vai in Opzioni > Avanzate
Togli la spunta a cancella file in windows temp solo se più vecchi di 24 ore
Fai pulizia e ripara il registro (fai sempre il backup prima di eseguire questa operazione)
Scarica Wise Registry Cleaner Free > http://www.wisecleaner.com/download.html
In fase di installazione togli la spunta al componente aggiuntivo Ask toolbar
Togli la spunta ad I agree to receive the e-mail newsletter
Alla fine togli la spunta da Download Wise Disk Cleaner now
Esegui il backup. Analizza e ripara.
Appena possibile pianifica uno ScanDisk ed effettua una Deframmentazione.
Direi che abbiamo concluso. :ok:
Ciao e buon pc.
EDIT: un saluto anche a pegifr :D:D:D
Adesso è molto meglio.
Per completare la disinfezione: scarica il file allegato sul desktop, cambia l’estensione da .txt a .bat ed eseguilo.
Poi, se non l'hai già fatto, per riattivare il driver precedentemente disattivato:
Scarica DeFogger > http://download.bleepingcomputer.com/jpshortstuff/Defogger.exe
Salvalo sul desktop ed eseguilo.
Clicca su Enable. Conferma. Premi OK. Verrà prodotto un log sul desktop (DeFogger_Enable) a testimonianza della riavvenuta attivazione.
Per fare un pò d'ordine:
Scarica CCleaner > http://www.piriform.com/ccleaner
In fase di installazione togli la spunta a Google Chrome o ad altro eventuale componente aggiuntivo.
Vai in Opzioni > Avanzate
Togli la spunta a cancella file in windows temp solo se più vecchi di 24 ore
Fai pulizia e ripara il registro (fai sempre il backup prima di eseguire questa operazione)
Scarica Wise Registry Cleaner Free > http://www.wisecleaner.com/download.html
In fase di installazione togli la spunta al componente aggiuntivo Ask toolbar
Togli la spunta ad I agree to receive the e-mail newsletter
Alla fine togli la spunta da Download Wise Disk Cleaner now
Esegui il backup. Analizza e ripara.
Appena possibile pianifica uno ScanDisk ed effettua una Deframmentazione.
Direi che abbiamo concluso. :ok:
Ciao e buon pc.
EDIT: un saluto anche a pegifr :D:D:D
Condividi: