Accedi per seguire   
Seguaci 0
pike

Ogni Tanto Capita Anche A Me

7 messaggi in questa discussione

E la cosa ovviamente NON mi rende felice.

AVIRA se n'è fregato di avvertirmi, sono riuscito a prendere W32.Katusha.BN e anche un bel Rootkit...

Con Panda SafeDisk ho potuto spulicchiare in giro.

Quindi ho tentato di far girare combofix.

E visto che mi segnalava HouseCall di TrendMicro un bel TDSS, anche TDSS Killer.

E tanto per non farmi mancare nulla, pure un giretto veloce di MBAM.

Sto eseguendo quello lungo, ovviamente...

Intanto allego i log, disinstallo AVIRA e provo FortiClient Lite...

Si accettano suggerimenti

ComboFix.txt

TDSSKiller.2.5.17.0_04.09.2011_00.13.30_log.txt

mbam-log-2011-09-04 (00-37-22).txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Primo punto a sfavore di FortiClient Lite: considera NirCMD (uno dei componenti di Combofix) un elemento dannoso.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Pike :thumbsup5:

Script personalizzato di ComboFix

Avviso: non eseguire ComboFix di tua iniziativa; questo tool non è un giocattolo e non è adatto ad un uso quotidiano.

Apri il Block Note: Start> Tutti i programmi> Accessori> Blocco note

● all'interno del nuovo documento di testo, copia ed incolla le seguenti righe:

Driver::
Application Policy Service

File::
c:\windows\system32\config\systemprofile\Impostazioni locali\Dati applicazioni\Application Policy Service\svchost.exe
c:\windows\system32\ijhwocis.dll

Folder::
c:\windows\system32\config\systemprofile\Impostazioni locali\Dati applicazioni\Application Policy Service

● chiama questo file CFScript.txt, e posizionalo sul Desktop

Molto importante! Disabilita temporaneamente il tuo antivirus e firewall prima di seguire la procedura indicata. Potrebbero infatti interferire con ComboFix o rimuovere alcuni dei suoi file incorporati che possono portare a risultati imprevedibili.

Facendo riferimento all'immagine presente qui sotto, trascina con il puntatore del mouse CFScript.txt sull'icona di ComboFix

ComboFix ora eseguirà una scansione del tuo sistema. Una volta terminata, potrebbe riavviare automaticamente il sistema: in caso contrario, procedi tu manualmente.

A questo punto, il programma produrrà un Report. Copia ed incolla il log nel tuo prossimo post.

Nota - riguardo alla procedura:

● non toccare assolutamente il mouse e la tastiera durante la scansione: potrebbe interrompersi. Se dovesse succedere, apri il Task Manager (Ctrl + Alt + Canc), clicca sul tab Processi e termina tutti i processi findstr, find, sed o swreg. In tal modo ComboFix dovrebbe avviarsi correttamente

● se dovesse succedere ciò, vorrei sapere cortesemente quale processo hai dovuto terminare

Poi, riesegui TDSS Killer ed allega il log.

Ciao! ;)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Il pc è funzionante da circa 24 ore senza segnalazione di comportamenti anomali.

Non eseguo lo script nè combofix.

Il servizio "Application Policy Service" è disabilitato, ma ho proceduto comunque alla cancellazione manuale dei file.

Per quanto riguarda il file "ijhwocis.dll" l'ho rinominato e sottoposto a VirusTotal.

Piuttosto cicciona come DLL, 4mb sono veramente tanti. Ma nessun AV l'ha considerato infetto. Forse c'è qualcosa sotto, ma non intendo (per ora) cancellarlo, anche se data e ora di creazione sono coincidenti con l'infezione.

TDSSKiller.2.5.18.0_05.09.2011_11.08.44_log.txt

Il log è pulito, come lo è la scansione di MBAM (segnala un 3-4 file a suo parere infetti che in realtà sono tool).

Se non ricordo male hai segnalato un tool che faceva la scansione degli Alternate Data Stream di NTFS... quale era?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, si tratta di Hijackthis.

Lancia Hijackthis e pulisci gli ADS (esclusivamente su partizioni formattate in NTFS):

● clicca sulla voce Open the Misc Tools section

● clicca su Open ADS Spy..., nel tab System tools

● in alto, togli la spunta alla voce Quick scan (Windows base folder only)

● clicca, in basso, sul pulsante Scan

● attendi pazientemente il termine della scansione

● se venissero rilevati molti ADS, clicca con il tasto destro sulla prima casellina, e scegli la voce Select all

● clicca, in basso, sul pulsante Remove selected: conferma con

● una volta terminate le operazioni, chiudi il programma

Nota - riguardo al programma:

● in caso avessi un sistema operativo a 64 Bit, tralascia la procedura. Fai click qui per scoprire se il tuo sistema operativo è a 32 o 64 Bit: http://support.microsoft.com/kb/827218/it

Riscontri ancora problemi?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Vedo che leggi attentamente i log che posto...

Dal primo Combofix.TXT

ComboFix 11-09-03.01 - Administrator 03/09/2011 23.32.08.4.1 - x86 NETWORK

Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1279.1029 [GMT 2:00]

Ti risultano Windows XP x64 Home? Che io ricordi è stata fatta solo la pro...

Grazie per il procedimento sugli ADS... Non ho eseguito il QuickScan, ho eseguito la versione completa e ho rimosso tutti gli ADS.

Sulla tua ultima domanda, credevo di aver scritto prima

Il pc è funzionante da circa 24 ore senza segnalazione di comportamenti anomali.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sono procedure universali che copio e incollo, un po di info in più non possono che fare bene! :thumbsup5:

Ciao!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0