PROBLEMA Virus Finanza su due pc

apprendistaIT

Utente Attivo
139
2
Ciao ragazzi,
avrei bisogno del vostro aiuto per fare un po' di pulizia, ho due pc infetti con il virus della finanza, di uno sto facendo le varie scansioni con i programmi consigliati nella discussione in evidenza e qui vi allego i log di combo, malware e hijackthis, quell'altro non sono riuscito ad avviarlo in provvisoria perché compare subito la schermata del virus, ora sto procedendo facendogli fare una scansione con il cd di kasper e quello di avira, comunque penso sia meglio procedere con uno alla volta :)

Ecco i log del primo pc:

Combo: combofix.txt
Malware: mbam-log-2013-01-12 (18-28-14).txt
Hijack: hijackthis.log

Grazie mille :D
 

tecnico24

Utente Èlite
10,706
1,072
Ciao apprendistaIT.

Per il primo pc :
Scarica il file CFScript.txt in allegato qui in basso sul desktop
trascinalo sull'icona rossa di combofix
attendi il riavvio del pc e posta il report.

Per il secondo pc:
segui attentamente queste istruzioni e posta il report richiesto
ti servirà una chiavetta formattata


Scarica uno dei due file a seconda del sistema operativo
http://download.bleepingcomputer.com/farbar/FRST64.exe 64 bit

http://download.bleepingcomputer.com/farbar/FRST.exe 32 bit

Inseriscilo nella chiavetta.
Inserisci la chiavetta nel Pc infetto
Riavvia il computer e premi ripetutamente F8
Clicca su Ripristina il computer tra le opzioni da scegliere
Completa inserendo la lingua , e il tuo account
fino a scegliere il prompt dei comandi
scrivi notepad seguito da invio
Si aprira un file di testo clicca in alto su file->apri e cerca la lettera in cui viene identificata la chiavetta
Una volta identificata la lettera , nel prompt digita X:\frst.exe dove X è la lettera che hai cercato in precedenza che identifica la chiavetta usb.
Clicca invio
Il tool si avvierà
accetta le condizioni di contratto
premi su SCAN
Quando la scansione è finita, verrà prodotto un report delle operazioni salvato nella chiavetta stessa , chiamato FRST.TXT
 

Allegati

  • CFScript.txt
    1,003 bytes · Visualizzazioni: 75
  • Mi piace
Reazioni: apprendistaIT

apprendistaIT

Utente Attivo
139
2
Ciao tecnico24 e grazie mille per la risposta tempestiva :D

nel frattempo sul pc uno ho anche i seguenti log:

Advcleaner: .txt]AdwCleaner[R1].txt
OTL 1: OTL.Txt
OTL 2: Extras.Txt


Ora eseguo lo script che mi hai allegato :D



Sul pc 2 dopo la scansione di avira rescue disk sono riuscito a farlo partire in provvisoria e ad avviare combo, ha appena finito la scansione, qualche minuto e posto il report.

Devo comunque fare la procedura con farbar che mi hai detto?

Ciao
 

apprendistaIT

Utente Attivo
139
2
Ok, benissimo, allora mi procuro una penna usb ed eseguo :)
Intanto posto il log di combo del pc n°1: ComboFix.txt

- - - Updated - - -

Ciao, dopo aver eseguito lo script combo ho notato che dopo il riavvio si smemorizzava il gateway nelle impostazioni di rete poi ho fatto una scansione con avira e qui ecco il log: AVSCAN-20130113-022424-6E86F9A0.LOG

Sul pc 2 invece non avviandosi la provvisoria causa schermata blu stop 7e (ho xp) ho usato il tool bartpe e ho eseguito frst da li, ho anche i log di malware e hijackthis e combofix:
Combo pc 2: combofix.txt
FRST pc 2: FRST.txt
Malware pc 2: mbam-log-2013-01-13 (13-51-55).txt
Hijackthis: hijackthis.log
 

tecnico24

Utente Èlite
10,706
1,072
Ciao apprendistaIT.

Faccio un meaculpa , ma non credevo che sul secondo pc avevi windows xp , anche perchè non te lo chiesto.
Per windows xp , le istruzioni da eseguire sono queste (allega sempre il report)
Procurati un cd vuoto.
Scarica OTLPENet
http://oldtimer.geekstogo.com/OTLPENet.exe
sul desktop
Aprilo con un doppio click
Si aprirà imgburn per scrivere il file sul cd(assicurati quindi di aver già inserito un cd vuoto).
Una volta creato il cd , avvia il tuo pc dal cd
Come modificare l'ordine di boot (e avviare da CD) [MegaLab.it]
Quando ti si aprirà il desktop,fai doppio click su OTL.exe.
Ti verrà chiesto Do you wish to load remote user profile(s) for scanning,
clicca Yes
scegli il tuo nome utente e metti la spunta su Automatically Load All Remaining Users
Clicca su SCAN
allega il log

FRST è compatibile con XP , ma non legge correttamente alcuni valori , quindi meglio utilizzare tool specifici ;)
 

tecnico24

Utente Èlite
10,706
1,072
Ciao.
Riavvia il pc con il cd di OTLPE
avvia OTLPE.exe
copia questo codice :

Codice:
:OTL
SRV - File not found [Auto] --  -- (diixodi)
SRV - File not found [Auto] --  -- (brhgsqj)
SRV - File not found [Auto] --  -- (Apache2.2)
SRV - File not found [Auto] --  -- (Alerter)
[2013/01/11 08:56:07 | 000,003,032 | ---- | C] () -- C:\Documents and Settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.js

:Commands
[purity]
[emptytemp]
[Reboot]

Clicca RUN FIX in alto
Aspetta il riavvio del pc
posta il log.

Sul 2 pc non hai problemi di accesso alla modalità provvisoria?o riscontri qualche problema in particolare?
 

apprendistaIT

Utente Attivo
139
2
Ciao, ecco il log otl del pc 2 con xp: OTL.txt
Al riavvio non trovavo il log e gliel'ho rifatto.

Sempre il pc 2 in provvisoria mi da una schermata blu con stop 0x0000007e

Pensa, avevo anche degli account ftp su filezilla e mi si sono infettati anche file remoti...mah, ora sto ripulendo anche quelli (almeno spero).
 
Ultima modifica:

tecnico24

Utente Èlite
10,706
1,072
Ciao apprendistaIT.

Le istruzioni che ti darò valgono sempre per il 2 pc.
Scarica CFScript.txt che ti ho allegato qui in basso sul desktop
trascinalo nell'icona rossa di combofix
aspetta le operazioni senza interferire
posta il log.

Svuota la cache di Java:
Come si svuota la cache Java?

Pulisci il registro con Ccleaner:
CCleaner - Download
 

Allegati

  • CFScript.txt
    301 bytes · Visualizzazioni: 97

tecnico24

Utente Èlite
10,706
1,072
Dalla modalita normale , scarica il file in allegato.
Scompattalo , doppio click sul file .reg e conferma l'aggiunta al registro.
Riavvia in modalità provvisoria e verifica.
 

Allegati

  • Safeboot XP SP3.zip
    1.7 KB · Visualizzazioni: 29

Ci sono discussioni simili a riguardo, dai un'occhiata!

Entra

oppure Accedi utilizzando
Discord Ufficiale Entra ora!

Discussioni Simili