30 replies to this topic

[dariofreud]

salve a tutti, negli ultimi giorni ho notato che il mio pc era un po' lento e "imballato" soprattutto nella fase di avvio e spegnimento del pc. Ieri improvvisamente si è disattivato l'antvirus Avira e non sono più riuscito ad attivarlo o a far partire la scansione. Oggi ho provato ad usare altri programmi di protezione (cleaner,malware byte,advanced windows care) ma non sono riuscito a farne partire nessuno. primadi postare volevo fare una scansione con HijackThis, ma inizialmente si è avviata ,poi si è fermata all'improvviso. Ho scoperto di avere un file che si chiama "sexy.exe-071753A9", che ho scoperto essere un malware. Cosa devo fare?

[Amuk]

Si tratta di una variante di Rbot WORM

Nel frattempo che aspetti la risposta di FDAC, controlla e nel caso elimina questi:

%Profiles%\default user\start menu\programs\startup\sexy.exe
%ProgramFiles%\bifrost\server.exe
%ProgramFiles%\bifrost\sexy.exe
%ProgramFiles%\sexy.exe
%Programs%\startup\sexy.exe
%System%\sexy.exe
%Temp%\ixp000.tmp\sexy.exe

Devi agire in Modalità Provvisoria... al termine riavvia e prova a rifare una scansione

[dariofreud]

Sono entrato in modalità provvisoria, ma non riesco a trovare i file, dove dovrei cercarli esattamente?

[Amuk]

Assicurati di aver la visualizzazione per i file nascosti...
oppure usa questo (portable-non richiede installazione) http://cubicreality....plorer_0.95.zip

una volta scompattato, aprilo, vai su <View/Language> e imposta la lingua
poi su <Visualizza> e imposta " Mostra file Nascosti"

[FDAC]

Ciao. Prova a ripristinare gli eseguibili;
Scarica FixExe: http://www.nod32.it/tools/fixexe.com
● posiziona il file scaricato sul Desktop
● si tratta di un file con estensione .COM: infatti è eseguibile anche su quei sistemi dove non è possibile lanciare file con estensione .EXE
● avvia il programma con un doppio click
● l'operazione dura meno di 1 secondo
● riavvia il sistema

[dariofreud]

ciao, grazie della disponibilità. Ho provato due volte a fare come hai detto ma non ha funzionato. La prima volta sembrava che avira si fosse attivato e ho fatto anche partire una scansione, ma a metà si è bloccato e non è più ripartito.

[FDAC]

Prova cosi;
Scarica Quick Disaster Recovery: http://sourceforge.n...xe.rar/download
● decomprimi il programma scaricato con un software come WinZip, WinRar, ZipGenius, Izarc, 7Zip
● esegui il tool, facendo doppio click su di esso
● verrà mostrata la schermata principale del tool
● clicca sulle varie voci, per riparare e abilitare diverse funzioni di Windows

Per facilitare l'utilizzo del programma, che "parla" in inglese, propongo una semplice traduzione delle varie voci:

Enable TaskMgr = Ripristina il Task Manager
Enable RegEdit = Ripristina il registro del Sistema
Enable Cmd = Ripristina il Prompt dei comandi
Enable Search = Ripristina la ricerca dei file
Enable Start-Run = Ripristina l’esecuzione dei programmi
Enable Folder Options = Ripristina le proprietà delle cartelle
Show hidden files = Visualizza i file nascosti
Fix logon-logoff loop = Ripristina l’accesso degli utenti Windows e la disconnessione
Del Internet Temp Files = Cancella i file temporanei di Internet
TaskMgr Replacment = Un task manager di supporto

Ovviamente, scegli solamente la voce in grassetto.

Ciao, fammi sapere.

[FDAC]

Dimenticavo; prova ad eseguire ComboFix;
Scarica ComboFix: http://download.blee...Bs/ComboFix.exe
● posiziona il file scaricato sul Desktop
● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● clicca sul pulsante Start, in basso a destra
● clicca sul pulsante Esegui (Windows XP), altrimenti scrivi Esegui nella maschera delle ricerche (Windows Vista e Seven) e cliccaci sopra, una volta trovato
● nello spazio bianco che compare, copia ed incolla questa stringa:
"%userprofile%\desktop\ComboFix.exe" /killall
● premi il pulsante Ok (alternativamente, batti Invio sulla tastiera)
● parte ora ComboFix: segui le istruzioni che verranno rilasciate per eseguire la scansione
● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.
Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno

[dariofreud]

allora ho provato con quickdesaster... ma non ha funzionato;
ho usato combofix e si è avviato tranquillamente , ti allego il report.
grazie.

Allega File

•  ComboFix.txt   14.65KB   2 Numero di downloads

[FDAC]

Bene! Un passo in avanti, senza dubbio.
Sono state eliminate alcune infezioni; rootkit, facemoods, dei pericolosi eseguibile e degli ADS..

Disinstalla RegCure (non serve a nulla e va più a fondo di altri, è uno strumento pericoloso a mio avviso).
Disinstalla poi; NiwradSoft Shell Pack (se vuoi vista ti conviene migrare a Seven, questi kit grafici di icone ecc modificano file importanti di sistema e potrebbero renderlo instabile..) e AdvancedSystemCare (ti faccio installare dopo ccleaner, migliore in tutto e per tutto).
Stessa cosa per TuneUp Utilities (non escludo che questi pulitori di registro profondi abbiano fatto più danni che altro..)

Una volta eseguite le operazioni scritte sopra (IMPORTANTE!), esegui uno script con ComboFix per eliminare i rimasugli delle stesse ed alcune altre infezioni).
Script personalizzato di ComboFix

Avviso: non eseguire ComboFix di tua iniziativa; questo tool non è un giocattolo e non è adatto ad un uso quotidiano.

Apri il Block Note: Start> Tutti i programmi> Accessori> Blocco note
● all'interno del nuovo documento di testo, copia ed incolla le seguenti righe:

KillAll::
Folder::
c:\programmi\RegCure
c:\documents and settings\All Users\Dati applicazioni\RegCure
c:\windows\NiwradSoft Shell Pack
c:\programmi\johnsadventures.com
c:\programmi\facemoods.com
c:\programmi\IObit\Advanced SystemCare 4
c:\programmi\TuneUp Utilities 2010

File::
c:\programmi\johnsadventures.com\John's Background Switcher\BackgroundSwitcher.exe
c:\documents and settings\Dario\xuXKCQEP.exe
c:\programmi\facemoods.com\facemoods\1.4.17.7\facemoodssrv.exe
c:\programmi\IObit\Advanced SystemCare 4\ASCService.exe
c:\programmi\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
c:\programmi\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys
c:\windows\system32\Drivers\Pcouffin.sys

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BackgroundSwitcher"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 0 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"xuXKCQEP"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"facemoods"=-

Driver::
AdvancedSystemCareService
TuneUp.UtilitiesSvc
TuneUpUtilitiesDrv
Pcouffin

● chiama questo file CFScript.txt, e posizionalo sul Desktop

Molto importante! Disabilita temporaneamente il tuo antivirus e firewall prima di seguire la procedura indicata. Potrebbero infatti interferire con ComboFix o rimuovere alcuni dei suoi file incorporati che possono portare a risultati imprevedibili.
Facendo riferimento all'immagine presente qui sotto, trascina con il puntatore del mouse CFScript.txt sull'icona di ComboFix
ComboFix ora eseguirà una scansione del tuo sistema. Una volta terminata, potrebbe riavviare automaticamente il sistema: in caso contrario, procedi tu manualmente.
A questo punto, il programma produrrà un Report. Copia ed incolla il log nel tuo prossimo post.

http://img155.images...cfscriptop0.gif

Nota - riguardo alla procedura:
● non toccare assolutamente il mouse e la tastiera durante la scansione: potrebbe interrompersi. Se dovesse succedere, apri il Task Manager (Ctrl + Alt + Canc), clicca sul tab Processi e termina tutti i processi findstr, find, sed o swreg. In tal modo ComboFix dovrebbe avviarsi correttamente
● se dovesse succedere ciò, vorrei sapere cortesemente quale processo hai dovuto terminare

Buon lavoro, Francesco.

P.S. Infine prova a far girare questo programma;
Scarica Kaspersky TDSS Killer: http://support.kaspe.../tdsskiller.exe
● posiziona il file scaricato sul Desktop
● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan

Giunti a questo punto, inizia la scansione del sistema alla ricerca di software malevolo:
● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua
● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà una di queste due opzioni:
● non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo
● è necessario riavviare il sistema: clicca su Riavvia ora
● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:
TDSSKiller.[Version]_[Date]_[Time]_log.txt

[Pike]

FDAC, hai pensato che se esegue lo script prima delle disinstallazioni si sente il rumore dello schianto del pc sin da qui?
Inoltre, dopo le rimozioni dei software, mi preme suggerire una sana riavviata di sistema.

[FDAC]

Ho suggerito chiaramente di disinstallare prima le applicazioni.
Un riavvio potrebbe essere utile. Vada per il riavvio una volta rimossi i programmi, e poi lo script!

Ciao e buon lavoro.

[dariofreud]

grazie mille , la situaizone è molto migliorata, ora avira si attiva tranquillamente.
ti allego il report di combofix.

Allega File

•  ComboFix.txt   57.57KB   2 Numero di downloads

[dariofreud]

.... e questo è quello di Kaspersky.

Allega File

•  report kaspersky.txt   46.68KB   2 Numero di downloads

[Pike]

FDAC, su 04 October 2011 - 13:11 PM, ha detto:

Ho suggerito chiaramente di disinstallare prima le applicazioni.

Ma non spiegando cosa fa lo script potresti segare a metà le applicazioni e creare seri problemi al pc, se vengono stroncate e questo infastidisce il programma.
Ti suggerisco caldamente, in casi simili, di spiegare quel che stai facendo e che se non è fatto secondo la sequenza che suggerisci il pc potrebbe rimanere inutilizzabile e/o incapace di avviarsi correttamente.

Come ti ho ricordato più volte, stiamo solo dando consigli, ognuno sul proprio pc ha la libertà di fare quel che ritiene opportuno, anche di ignorare i migliori suggerimenti che vengono proposti.

Edit mode... corretto perchè avevo scritto degli obbrobri italici...

[FDAC]

Ciao.

Ora;
Scarica ed installa HitmanPro: http://www.surfright.nl/en/downloads
● scegli la versione adatta al tuo Sistema Operativo ([/b] - 32Bit o 64Bit)
● una volta lanciato, nella finestra principale clicca su Impostazioni
● clicca su Licenza ed attiva la licenza
● clicca su scansione di default (consigliato)
● al termine della scansione ti verrà mostrato un riepilogo: nella finestra di riepilogo, in basso a sinistra, avrai modo di salvare il Report generato che dovrai allegare

Infine;
Scarica ed installa Hijackthis: http://www.trendmicr.../HiJackThis.msi

● lancia Hijackthis
● clicca sul pulsante Do a system scan and save a logfile
● verrà rilasciato automaticamente un file di testo: allegalo

[dariofreud]

ho fatto la scansine con Hitman Pro e ti allego il file, ma non riesco ad installare HiJackThis perchè a metà dell'installazione mi esce una finestra con scritto"The Installer has insufficient privileges to modify this file:C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

Allega File

•  log.xml   38.45KB   1 Numero di downloads

[FDAC]

Clicca con il tasto destro sull'eseguibile di Hijackthis, scegli la voce Esegui come amministratore, se richiesto immetti la password di amministratore del Computer.
A questo punto, dovresti riuscire a postare un log di Hijackthis.

[dariofreud]

Non me lo fa fare: quando clicco con il destro, dove dovrebbe essere "esegui come " c'è Installa, ripristina e disinstalla.

[FDAC]

Hai solo quell'account sul PC?
Prova cosi;
posiziona l'installazione di Hijackthis sul desktop
● clicca sul pulsante Start, in basso a destra
● clicca sul pulsante Esegui (Windows XP), altrimenti scrivi Esegui nella maschera delle ricerche (Windows Vista e Seven) e cliccaci sopra, una volta trovato
● nello spazio bianco che compare, copia ed incolla questa stringa:
"%userprofile%\desktop\HiJackThis.msi"
● premi il pulsante Ok (alternativamente, batti Invio sulla tastiera)

Dovrebbe -uso il condizionale- funzionare.