Joempty

[log] Infettato Da Trojan.packed.nsanti

15 messaggi in questa discussione

Salve a tutti,

ho un problema con il Trojan.Packed.NsAnti sul pc di mio fratello, potreste controllare il log e indicarmi se ci sono voci da fixare per favore ?hijackthis.log

vi ringrazio molto. Un saluto, Joempty :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Joempty

innanzitutto purtroppo il sistema non è aggiornato, quindi cerca di eseguire gli update necessari al più presto.

Spegni/disattiva tutti i sistemi di sicurezza e

Scarica combofix, sul desktop, doppio clic su combofix (icona rossa) e attendi con pazienza il termine del report, che allegherai al prossimo post.

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Luna, grazie per la risposta :P ,

lo so, domani infatti faro' subito gli aggiornamenti al SP3 %3b%29.gif che sono importantissimi.

Intanto ecco qui il log di combofix

ComboFix2.txt

e poi allego il nuovo log con Hijackthis

hijackthis_dopo_combo.log

sembra che combofix abbia levato parecchia robaccia!! Ma non so se e' tutto.... :) ho fatto anche una scansione con Ad-aware e ho eliminato 240 voci.

Volevo disinstallare combofix che ho messo sul desk con la procedura start-esegui- combofix /u -ok ma niente, mi riparte la procedura :P anche sul mio pc mi ricordo che all'epoca ho avuto svariati problemi per eliminarlo..... suggerimenti?

Grazie mille e un saluto. Joempty :P:P

Modificato da Joempty

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, elimina combofix direttamente e poi anche che la cartella c:\qboox.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Luke,

ti ringrazio molto per la risposta..... quindi semplicemente clicco con tasto destro sull'icona di combofix sul desk e vado su elimina?

Faccio una ricerca con "cerca" ed elimino anche la cartella c:\qboox sempre manualmente giusto? E se mi trova altre cose inerenti a combofix elimino manualmente pure quelle?

Basta questo per disinstallarlo? Ma di fatto questo programma si installa nel pc o no? Perche' in rete non si riescea trovare una procedura alternatica a start -esegui- combofix /u dato che sono in molti come me a non ottenere la disinstallazione con questo comando :) ?

Grazie ancora, ciao :P . Joempty

Modificato da Joempty

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Se il file Combofix si trova sul Desktop apri il prompt dei comandi e digita

cd /d %userprofile%\Desktop && combofix /u

Rimpiazza eventualmente %userprofile%\Desktop con la directory dove si trova il file.

Se combofix dovesse avviarsi fagli terminare nuovamente tutti i processi e riprova.

Modificato da H5N1

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao H5N1,

si, combofix l'ho scaricato direttamente sul desk e l'ho fatto partire da li.

Quindi non va bene se lo elimino con elimina tasto destro del mouse?

faccio sempre start- esegui- e inserisco cd /d %userprofile%\Desktop && combofix -u ?

se mi riparte tutta la scansione di combo lo devo lasciare finire e poi devo rifare la stessa cosa?

Grazie, ciao. Joempty

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Salve a tutti.... stavo notando che "il titolo" della discussione che ho aperto e' cambiato.... mi e' sfuggito qualcosa :P ?

Se poi gentilmente qualcuno potesse dirmi cosa ne pensa del log di combofix e Hijackthis e qual'e' la procedura corretta per disinstallare combofix, ve ne sarei davvero grata :P .

Inoltre, il pc dopo la scansione con combofix ha risolto alcuni problemi ma noto che l'HD "macina" di continuo anche se non si sta facendo niente.... cosa mi suggerite di fare ? Ulteriori scansioni?

Vi ringrazio molto, Un saluto. Joempty :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Il titolo è più esaustivo ora, innanzitutto per capire subito cosa tratta il threat che si visualizza nelle ultime discussioni, e poi per chi fa una ricerca con il motore presente all'interno del forum.

Un titolo generico non va bene perchè per una discussione vale la regola di una lettera ben fatta: l'oggetto è fondamentale a spiegare in poche parole il corpo della lettera stesso per descrivere subito il problema e arrivare subito a chi lo sta leggendo..

Ps: per combofix, hai utilizzato la procedura di uninstall di h5n1? Combofix crea più file quando viene lanciato.

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Luna, grazie per la spiegazione. Credevo di aver fatto bene il titolo della discussione :P la prox volta usero' piu' attenzione... all'inizio ci si mette un po' per ambientarsi e compredere bene come funziona un forum...quindi grazie per la precisazione :) .

Per combofix inizialmente ho provato a disinstallare con start -esegui- combofix /u ma non ha funzionato ed e' ripartita la procedura. Siccome il pc non e' il mio ma di mio fratello, ho chiesto a voi nel forum e ho fatto come ha detto Luke:

Ciao, elimina combofix direttamente e poi anche che la cartella c:\qboox.

La procedura corretta era quella di h5n1 ? Mi farebbe piacere capire bene questo punto perche' e' l'unica cosa che non amo di combofix, ogni volta ho problemi a disinstallarlo :P .

Nel caso avessi dovuto eseguire la procedura suggerita da h5n1, cosa posso fare adesso?

Grazie, un saluto Joempty :P:P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Per capire perchè la procedura corretta alla disinstallazione di Combofix non consiste nella semplice eliminazione delle sue cartelle e dell'eseguibile bisogna prima capirne il funzionamento.

Vorrei sottolineare che l'autore (sUBs) ha espressamente richiesto che:

a) non venga rivelato il suo funzionamento

b) istruzioni sul suo utilizzo vengono fornite solo a personale istruito nei siti e forum preposti

c) il suo utilizzo è, anche se diversamente indicato, a totale rischio di chi lo scarica e lancia sul suo computer e nessun altro (compreso l'autore ed eventuale personale di forum preposti) è responsabile di eventuali danni subiti.

d) non vengano rivelati eventuali roadmap del suo sviluppo.

Quello che però è possibile rivelare è che Combofix crea una sandbox (la directory Qoobox) dove vanno a finire tutti i malware rimossi (ed altri ammenicoli :)), che al suo lancio cambia le impostazioni dell'orario, della visualizzazione di file e cartelle e, a volte, la tabella codici della console, e che, lanciando software di terze parti (come mbr.exe) installa driver nascosti nel sistema, crea un punto di ripristino attraverso il programma ERUNT e fa uso di utility come NirCmd (ed altre) che alcuni software antivirus possono rilevare come malware.

Per questo motivo è necessario disattivarne il funzionamento.

Inoltre provvede a disabilitare il completamento automatico nella console (command.exe o cmd.exe).

La procedura di disinstallazione provvede a ripristinare tutte queste modifiche, oltre che ad eliminare le suddette directory.

Per una procedura manuale, quindi, si dovrebbe:

- eliminare le cartelle create dal programma

- ripristinare eventualmente le impostazioni dell'orario

- ripristinare la tabella codici della console

- ripristinare il completamento automatico del prompt (tasto TAB)

- rimuovere il driver di mbr ed eventuali altri driver nascosti

In pratica: quello che fa da solo Combofix se lanciato con l'argomento "/u" :P

Modificato da H5N1

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ti ringrazio molto per il tempo che hai dedicato per darmi questa risposta H5N1 :) .

Quindi ora cosa dovrei fare secondo te, pensi che se avviassi la procedura di disinstallazione con il codice cd /d %userprofile%\Desktop && combofix /u non potrebbe piu' funzionare ora che ho rimosso manualmente combofix dal desktop e la cartella Qoobox?

Inoltre, dato che ho molta confusione riguardo la disinstallazione di combofix, volevo chiederti: si disinstalla esclusivamente in questo modo combofix? (naturalmente levando il metodo manuale) .

Grazie mille. Ciao. Joempty :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

In realtà il comando Combofix /u lancia l'eseguibile il quale, leggendo l'argomento /u provvede ad eseguire un set di istruzioni atte alla sua rimozione: non si tratta di un uninstaller propriamente detto (1)

Puoi tranquillamente scaricare una nuova versione di combofix e lanciare il comando per verificare che questo rimuova eventuali residui.

(1) Il concetto di installer è molto relativo in quanto, in informatica, è piuttosto un neologismo dovuto al tipo di installazione propria dei sistemi Windows che richiedono, oltre alla copia dei file necessari, anche l'inserimento di dati nel registro di sistema laddove non la registrazione di alcune "librerie dei tipi". Recentemente anche in sistemi Unix (compresi i sistemi Mac OS) e Linux si parla di installer e si cominciano a vedere i primi "registri" (come in Gnome) anche se l'approccio è completamente diverso: nei sistemi Unix-like ogni cosa è considerata un file, anche gli eventi I/O

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie per la spiegazione H5N1 :P .

Ok, allora riscarico combofix e lo rimetto sul desktop pero' scusami vorrei avere la sicurezza di aver capito bene: dopo, per disinstallarlo eseguo il comando che mi avevi indicato tu: cd /d %userprofile%\Desktop && combofix /u ?

Perche' appunto a quanto capisco anche con il comando combofix /u si sarebbero dovute rimuovere cartelle e quant'altro di questo sw ma nel mio caso, e non e' la prima volta, non ha svolto la sua funzione :) ...

Quindi l'iter qual'e' esattamente a quel punto?

La prox volta devo eseguire prima il comando cd /d %userprofile%\Desktop && combofix /u ?

Grazie mille e un saluto. Joempty :P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Non sempre riesce, ma dipende da molti fattori.

Il comando che ti ho fornito è valido qualora il file si trovi sul Desktop.

Nel caso non dovesse funzionare puoi limitarti ad eliminare il file e le cartelle che crea.

Nessuna delle modifiche apportate al sistema è rilevante per un uso "normale".

Ad esempio molti utenti "normali" non utilizzano la shell di Windows (cmd.exe, anche detto prompt dei comandi) pertanto neanche si accorgono della mancanza dell'autocompletamento tramite il tasto TAB :)

Anche eventuali driver installati (come quello di mbr) non influenzano in alcun modo il normale comportamento del sistema.

:P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora