Combofix Non Picchia Il Rootkit Ma Lo Guarda E Basta!o.o

[FDAC]

Ciao.

Io i consigli te li ho dati, ma se non ti decidi a rimuovere tutti quei software di sicurezza, e le due Toolbar, non possiamo certo andare avanti.

ComboFix è un programma che va preso con le molle: non tutto cio' che dice, è oro colato.

E si, è probabile abbia le mestruazioni, anche se penso sia un maschio (Asterix, Caligunaminix...).

Dunque, se non noti rallentamenti, nel tuo sistema non ci sono infezioni: prova ne è il fatto che TDSS Killer, che si occupa di rimuovere le infezioni del MBR RootKit e dei RootKit qualunque, non abbia rilevato niente.

Il mio lavoro qui, è finito. Lascio proseguire Pike, che è certamente più bravo di me.

Ciao

[Zack Fair]

Ciao.

Io i consigli te li ho dati, ma se non ti decidi a rimuovere tutti quei software di sicurezza, e le due Toolbar, non possiamo certo andare avanti.

ComboFix è un programma che va preso con le molle: non tutto cio' che dice, è oro colato.

E si, è probabile abbia le mestruazioni, anche se penso sia un maschio (Asterix, Caligunaminix...).

Dunque, se non noti rallentamenti, nel tuo sistema non ci sono infezioni: prova ne è il fatto che TDSS Killer, che si occupa di rimuovere le infezioni del MBR RootKit e dei RootKit qualunque, non abbia rilevato niente.

Il mio lavoro qui, è finito. Lascio proseguire Pike, che è certamente più bravo di me.

Ciao

Ah ecco quindi può essere 1 falso positivo? ma a cosa potrebbe essere dovuto?

Cmq è tipo dal 2009 che uso questi programmi e combofix...e non ho mai avuto problemi di conflitti o altro,poichè si disabilitano mentre lui lavora...anzi a me lavorava anche con zonealarm attivo,di recente ho letto che andava di disattivato...

cmq ora vediamo!

Grazie FDAC buon proseguimento di giornata e lavoro sul forum!

Pike scusa sto facendo quel che mi hai detto,ho creato 1 collegamento e dal percorso che era scritto nelle sue proprietà è bastato aggiungere lo slash kill all...ma mi pare che per 1 frazione di secondo abbia tirato fuori un "impossibile qualcosa"...bho...

cmq il rootkit lo trova solo in modalità normale su account admin...in provvisoria no...

ora dopo la scansione da provvisoria mi ha riavviato il pc...posto report?

ComboFix-quarantined-files.txt

Modificato January 15, 2011 da Zack Fair

[FDAC]

Si, posta il log. Hai disinstallato quei programmi?

[Zack Fair]

Si, posta il log. Hai disinstallato quei programmi?

Posto...e ribadisco,sarò tosto,sarò scocciante ma non vedo il motivo di farlo...non mi appesantiscono più di tanto i pc e non mi danno conflitti...

volevo dire...norman in passato beccava i file infetti nella cartella system restore,se può centrare qualcosa...

cmq ormai io penso che ci sia qualcosa che mi da un falso positivo,e che il pc sia apposto...

approposito,il windows che uso è una ver moddata,non potrebbe essere che rileva qualche file della mod come infetto?

quando installo quella ver di windows sui fissi mi da 1 errore di scompattazione di 1 archivio tipo...però il windows si installava e funzionava bene...con sto portatile non lo ha dato,quindi presumo durante l'installazione usi file diversi...e non vorrei che qualcuno di questi sia infetto...pensate sia possibile?o.o

Modificato January 16, 2011 da Zack Fair

[FDAC]

Lascio la parola, e la discussione, definitivamente, a chi è più competente e paziente di me.

Ciao a tutti, e buona domenica.

[Zack Fair]

Lascio la parola, e la discussione, definitivamente, a chi è più competente e paziente di me.

Ciao a tutti, e buona domenica.

FDAC non si tratta di pazienza,ma di dati di fatto...di test...è dal 2009 che uso sta combinazione di roba,spyware blaster e zone alarm compresi...e non c'è mai stato 1 singolo conflitto o problema...su questo pc da cui scrivo,quello di mio padre(sempre fisso),il mio portatile che addirittura gira con vista...quindi vorrei capire il perchè di tutta sta riluttanza...e in più anche su questo quando montava lo stesso xp che ora ho installato su quel portatile...se lancio combofix qui non rileva nulla,e non è certo perchè è windows 7 questo...

[pike]

FDAC, spero che questa esperienza ti sia preziosa...

Quanto viene indicato su forum come WinInizio è similari sono solo consigli ed indicazioni utili, ma si tratta di altrui pc, i quali proprietari o possessori possono tranquillamente ignorare o dire che non vogliono seguire le nostre indicazioni, a torto o a ragione che sia.

Non è il nostro computer, sul quale il potere di fare tutto quel che ci va spetta solo a noi.

Ed in tal senso, bisogna avere rispetto delle decisioni altrui. Specialmente se ci sembrano sbagliate.

Ogni tanto lo scordo anche io, prendendomela senza alcun motivo quando le mie indicazioni vengono disattese o bollate come stupide.

Zack Fair, posso dirti che un elenco di software simile per il controllo antispyware non lo condivido, ma in omaggio a quanto scritto sopra, la scelta non spetta a me.

Non ho visto il log dell'ultima esecuzione di ComboFix.

A questo non vorrei che ci troviamo realmente di fronte ad un falso positivo... L'unica controprova sarebbe attendere un nuovo rilascio di Combofix, scaricarlo, pulire tramite OTC By OldTimer i precedenti tool di rimozione Malware e ricominciare daccapo.

Ma sarebbe solo una controprova...

[Zack Fair]

si scusa mo mangio e dopo lo porto a sto pc,cmq ma con otc non rimuovi norman e i file che lui sparge per il pc o sbaglio?:S

cmq penso farò sta controprova...per me è un falso positivo...anche perchè dice dopo il riavvio processi nascosti 0...e fammi capire sto rootkit al riavvio non si avvia? che è sensitivo e rileva combofix?

[pike]

Ogni tanto alcuni rootkit contengono contromisure...

OTC fa pulizia dei tool di rimozione. Nello specifico, fa fuori anche gli "avanzi" di Combofix.

[Zack Fair]

Ogni tanto alcuni rootkit contengono contromisure...

OTC fa pulizia dei tool di rimozione. Nello specifico, fa fuori anche gli "avanzi" di Combofix.

se solo norman riprendesse a campare...-.-ma diamine per non fungere l'anti-malware kaspersky...per me non c'è nulla!°_°

ComboFix.txt

Modificato January 16, 2011 da Zack Fair

[Mr 4011]

Noto con molto dispiacere che la discussione si sia dilungata molto piu' del normale. Ed inoltre le incomprensioni e i modi da fare un pochettino piu' errati hanno preso il sopravvento. Ribadisco che chi interviene ad aiutare gli utenti che espongono i loro problemi lo fa in primis gratuitamente e secondo perche' ama mettere a disposizione il proprio tempo libero le proprie conoscenze e tutta la pazienza di questo mondo quindi non consideriamo cio' che facciamo un'imposizione, ne tantomeno non facciamo cio' solo per metterci in mostra.

@FDAC; la tua reazione e' da considerarsi sbagliatissima. Tu non sei un chirurgo che esegue l'intervento e lasci mettere i punti di sutura all'infermiere, tu sei un utente che ha deciso cio' che e' soprascritto e pertanto devi munirti di un carico spaventoso di pazienza. Su WinInizio si pensa cosi' a chi non sta bene puo' prendere tutte le decisioni che vuole.

@Zack Fair; La tua decisione di lasciare tutti gli antivirus e anti spy che vuoi sul tuo pc e' da considerarsi giusta. Sei arrivato su WinInizio portando alla nostra attenzione il tuo problema, e chi si e' prodigato di risolverlo ti ha anche dato dei consigli sui problemi che troppi antivirus possono creare. Al mio paese si dice: tutti i consigli senti, ma il tuo non lo lasciare mai. Ora se consideri che il tuo pc sia ritornato funzionante come tu credi debba essere, esegui le ultimissime fasi che ti ha suggerito Pike, giusto per vedere se si tratti di un falso.

Scarica OTC by OldTimer sul desktop

http://oldtimer.geekstogo.com/OTC.exe

doppio clic per eseguirlo

clicca su "CleanUP" > "Yes" > "Yes"

riavvia.<BR style="mso-special-character: line-break"><BR style="mso-special-character: line-break">Trova ed elimina la cartella qoobox situata in c:

scarica Combofix sul desktop

devi rinominare il file prima di salvarlo sul desktop in abc.exe

(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file", cambia il nome che ti appare in abc.exe e salvalo obbligatoriamente sul desktop)

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\abc.exe" /killall

Premi OK

(se usi vista start > tutti i programmi accessori > esegui)

se tutto va bene parte il programma che potrebbe impiegare molto

attendi pazientemente il termine delle operazioni e posta il report C:\ComboFix.txt

[Zack Fair]

Noto con molto dispiacere che la discussione si sia dilungata molto piu' del normale. Ed inoltre le incomprensioni e i modi da fare un pochettino piu' errati hanno preso il sopravvento. Ribadisco che chi interviene ad aiutare gli utenti che espongono i loro problemi lo fa in primis gratuitamente e secondo perche' ama mettere a disposizione il proprio tempo libero le proprie conoscenze e tutta la pazienza di questo mondo quindi non consideriamo cio' che facciamo un'imposizione, ne tantomeno non facciamo cio' solo per metterci in mostra.

@FDAC; la tua reazione e' da considerarsi sbagliatissima. Tu non sei un chirurgo che esegue l'intervento e lasci mettere i punti di sutura all'infermiere, tu sei un utente che ha deciso cio' che e' soprascritto e pertanto devi munirti di un carico spaventoso di pazienza. Su WinInizio si pensa cosi' a chi non sta bene puo' prendere tutte le decisioni che vuole.

@Zack Fair; La tua decisione di lasciare tutti gli antivirus e anti spy che vuoi sul tuo pc e' da considerarsi giusta. Sei arrivato su WinInizio portando alla nostra attenzione il tuo problema, e chi si e' prodigato di risolverlo ti ha anche dato dei consigli sui problemi che troppi antivirus possono creare. Al mio paese si dice: tutti i consigli senti, ma il tuo non lo lasciare mai. Ora se consideri che il tuo pc sia ritornato funzionante come tu credi debba essere, esegui le ultimissime fasi che ti ha suggerito Pike, giusto per vedere se si tratti di un falso.

Scarica OTC by OldTimer sul desktop

http://oldtimer.geekstogo.com/OTC.exe

doppio clic per eseguirlo

clicca su "CleanUP" > "Yes" > "Yes"

riavvia.<BR style="mso-special-character: line-break"><BR style="mso-special-character: line-break">Trova ed elimina la cartella qoobox situata in c:

scarica Combofix sul desktop

devi rinominare il file prima di salvarlo sul desktop in abc.exe

(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file", cambia il nome che ti appare in abc.exe e salvalo obbligatoriamente sul desktop)

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\abc.exe" /killall

Premi OK

(se usi vista start > tutti i programmi accessori > esegui)

se tutto va bene parte il programma che potrebbe impiegare molto

attendi pazientemente il termine delle operazioni e posta il report C:\ComboFix.txt

non riesco ad eliminare la cartella!o.o me la da o protetta o in uso! anche in provvisoria!

[Mr 4011]

Ciao zack fair scusa il ritardo ho avuto un po' da fare in questi due giorni.

Dunque, fai una cosa : scarica questo programma che si chiama inherit

mettilo in c: qoobox, noterai che vi e' un'altra cartella nominata BackEnv. Trascina la stessa cartella sull'icona di inherinit.Aspetta la scritta OK.

Poi potrai eliminare la cartella qoobox.

[Zack Fair]

Ciao zack fair scusa il ritardo ho avuto un po' da fare in questi due giorni. Dunque, fai una cosa : scarica questo programma che si chiama inherit mettilo in c: qoobox, noterai che vi e' un'altra cartella nominata BackEnv. Trascina la stessa cartella sull'icona di inherinit.Aspetta la scritta OK. Poi potrai eliminare la cartella qoobox.

Clamoroso!!! Ho formattato il pc! E...appena finita installazione xp...combofix ha appena rilevato un rootkit! LOL ora che mi dite?xD mi sa che cambio xp!xD

Edit:

Ho installato un'altra versione di windows xp pro sp3...identico...collego la penna usb,metto sopra combofix,avvio...rootkit...

ho provato a formattare la penna usb...ho controllato questo pc con combofix...che mi ha eliminato 1 file ma non ha segnalato rootkit...

che cosa mi consigliate di fare?

dove diamine sta sto coso? può mai essere nel chip del bios? ultimamente con l'xp dove già segnava sto rootkit,feci l'upgrade del bios tramite l'eseguibile scaricabile dal sito fujitsu siemens!:O

P.S.

C.V.D. computer vergine senza programmi sopra....e lo rileva...ergo come Come Volevasi Dimostrare,combofix non becca incompatibilità con i programmi che vi eran installati e mi consigliavate di rimuovere!

Modificato January 19, 2011 da Zack Fair

[Beylerbeyi]

Scusate se mi intrometto, viene da pensare ad un falso positivo o ad un SO non proprio come si dovrebbe....cosa che comunque non mi riguarda.

Tornando al rootkit il caso vuole che da alcuni giorni stia testando un AntiRK che non conoscevo, ma che alcuni amici mi hanno segnalato. Non ho avuto modo di approfondirne il funzionamento, il tempo purtroppo non basta mai, potrebbe essere l' occasione per te che risolvi un problema e per me ( e gli altri utenti ) che avrebbero un mezzo in più per la lunga lotta alle infezioni...

Ciao

[Zack Fair]

Scusate se mi intrometto, viene da pensare ad un falso positivo o ad un SO non proprio come si dovrebbe....cosa che comunque non mi riguarda.

Tornando al rootkit il caso vuole che da alcuni giorni stia testando un AntiRK che non conoscevo, ma che alcuni amici mi hanno segnalato. Non ho avuto modo di approfondirne il funzionamento, il tempo purtroppo non basta mai, potrebbe essere l' occasione per te che risolvi un problema e per me ( e gli altri utenti ) che avrebbero un mezzo in più per la lunga lotta alle infezioni...

Ciao

2 sistemi operativi di nome identico,di fatto diversi? provenienti da fonti diverse? 1 è l'so normale microsoft,l'altro è 1 modded alleggerito delle funzioni inutili...

io pensavo a una contaminazione dalla penna usb che uso...mo vedo thx e ti fo sapere!^^

[pike]

Per come la vedo io, se il mod non è di provenienza più che certa... può anche contenere "ospiti nascosti".

[Beylerbeyi]

Avevo glissato sull'argomento per non andare a scavare troppo....ma la realtà è quella descritta da Pike.

L'uso di Nlite non è poi così complicato, ma non è alla portata di tutti. C'è una guida a tal riguardo sul Forum? Sarebbe interessante....

[Zack Fair]

Avevo glissato sull'argomento per non andare a scavare troppo....ma la realtà è quella descritta da Pike.

L'uso di Nlite non è poi così complicato, ma non è alla portata di tutti. C'è una guida a tal riguardo sul Forum? Sarebbe interessante....

ehm lasciamo stare il discorso mod?

Io ero titubante sui file che il windows considerava nell'installazione su pc portatile,poichè la mod su fisso l'ho usata per 1 anno e passa...combofix non ha mai segnalato nulla e non era lenta...anzi...

La mod me la passò un mio prof 2 anni fa...un uomo inteligente,colto in campo informatico-domestico e molto appassionato...quindi mi fido oltre ad averla già testata!

Poi il problema come vi dico si è ripresentato anche su windows xp sp3 standard!

@Beylerbeyi: Scusa ho usato il programma,mi riporta tutti i processi e cose varie,davvero utile e impressionante,ma da principiante ho solo controllato dove e cosa erano i processi o le voci segnate in rosso...che risultavano essere proprie del programma oltretutto...quindi vorrei sapere un poco cosa dovrei cercare e come!xD Scusa il disturbo e grazie!^^

[Beylerbeyi]

Sarebbe interessante testare quel programma insieme, qui sul forum. Anch'io non ne conosco tutte le funzioni e non so ancora esattamente quanto da lui rilevato in rosso è da eliminare, se sarà il caso potremmo aprire un topic dedicato per non andare qui troppo OT.

Al riguardo del tuo specifico problema mi viene da pensare anche ad una problematica hardware, in effetti la stessa macchina che da lo stesso problema con 2 SO diversi...

[Zack Fair]

Sarebbe interessante testare quel programma insieme, qui sul forum. Anch'io non ne conosco tutte le funzioni e non so ancora esattamente quanto da lui rilevato in rosso è da eliminare, se sarà il caso potremmo aprire un topic dedicato per non andare qui troppo OT.

Al riguardo del tuo specifico problema mi viene da pensare anche ad una problematica hardware, in effetti la stessa macchina che da lo stesso problema con 2 SO diversi...

perdonami ma che intendi per problematica hardware allora? può essere che 1gb di ram diminuito dalla grafica integrata risulti anomalo per combofix?:S