Accedi per seguire   
Seguaci 0
fosco

Cavallo Di tr**a Tr/atraps.gen2

12 messaggi in questa discussione

Ciao a tutti, vado subito al nocciolo:

Avira dopo una scansione in cui ha rilevato e spostato in quarantena quest trojan cui incolloil report.

Avira Free Antivirus

creazione del file di report:

Inizia con la scansione di

'C:\Documents and Settings\Oasis\Impostazioni locali\Dati applicazioni\

Google\Desktop\Install\{e18aab05-4bd1-6059-ab46-e5af8a284ecb}\???\???\???\

{e18aab05-4bd1-6059-ab46-e5af8a284ecb}\U\800000cb.@'

C:\Documents and Settings\Oasis\Impostazioni locali\Dati applicazioni\Google\

Desktop\Install\{e18aab05-4bd1-6059-ab46-e5af8a284ecb}\???\???\???\

{e18aab05-4bd1-6059-ab46-e5af8a284ecb}\U\800000cb.@

[RILEVAMENTO] Si tratta del cavallo di tr**a TR/ATRAPS.Gen2

Avvio della disinfezione:

C:\Documents and Settings\Oasis\Impostazioni locali\Dati applicazioni\Google\

Desktop\Install\{e18aab05-4bd1-6059-ab46-e5af8a284ecb}\???\???\???\

{e18aab05-4bd1-6059-ab46-e5af8a284ecb}\U\800000cb.@

[RILEVAMENTO] Si tratta del cavallo di tr**a TR/ATRAPS.Gen2

[NOTA] Il file è stato spostato in quarantena con il nome '5fe0286c.qua'!

Ora continua a rilevarli in maniera ossessiva e a metterli in quarantena ( anche 10-12 volte in 10 minuti per poi avere delle pause anche di 1 ora , prima di ricominciare con le stesse rilevazioni , ma con nomi diversi ma simili e a volte ripetitivi).

Ho provato a fare una scansione con Malwarebytes ma non ha trovato nulla.

Preferisco attendere vostre notizie, anziche improvvisarmi...

saluti

fosco

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Forse si tratta di ZeroAccess che sta cercando di entrare.

E Avira riesce a beccare uno dei suoi componenti.

Per prima cosa, sterminiamolo con RKiller.

http://www.bleepingcomputer.com/download/rkill/

Scarica uno di questi file, fallo girare, così proviamo di terminare il processo che "chiama" le cose sporche

Poi...

Fai girare TDSSKiller

http://support.kaspe...sinfection/5350

Pulisci quel che ti propone, fagli riavviare il pc se te lo richiede, posta il risultato della scansione.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao Pike, grazie della sollecitudine.

Seguendo il consiglio ho lanciato RKiller; mi si è aperta una finestra Dos che ha fatto la scansione riconoscendo i "vermicelli", però mi ha lasciato solo il log e non ho capito come dovevo fare per STERMINARLO con RKiller.

Poi ho lanciato TDSSKiller che ha trovato qualcosa e che ho pulito ma, pensando che poi mi lasciasse anche lui un log , ho riavviato perdendo cosi il risultato ( non so se l,ha salvato da qualche parte...) comunque ho rifatto la scansione e mi dice che ora è tutto pulito.

Ho incollato la seconda scansione.

Ti incollo ,in coda anche la scansione di RKiller fatta prima della pulizia.

Una Stranezza: la seconda scansione di RKiller ,dopo la pulizia è uguale a quella prima della pulizia. E' normale?

ciao e grazie

fosco

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Buongiorno Fosco,

mi scuso, ma tentando di fare ordine nel post l'ho scombinato completamente.

Avevi copia-incollato due volte il log di TDSSKiller.

Ti pregherei, se ci stanno, di allegarli.

Se non ci stanno, ti pregherei di comprimerli ed allegarli, per piacere.

Ciao e buona giornata.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusami per aver incollato i lunghissimi log, ma non avevo trovato la parte amliata della pagina.

Rkill l'ho allegato, mentre log TDSSKiller non riesco ad allegarlo in quanto è piu grande di 200K. attendo info per fartelo visionare.

ciao

nibbio

Rkill.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

1) File zippato e allegato

2) lanciato il Hosts-perm.bat

3) mentre per il samba la musica è cessata, più nessun avviso da dopo la scansione di TDSSKiller

log TDSSKiller.rar

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

File rarrato ed allegato.

Si prega di usare il formato di compressione richiesto ;)

Non tutti pagano la licenza a RarSoft!

In ogni caso... TDSSKiller non ha rilevato nulla, rkill evidentemente è riuscito a terminare le cose fuori posto.

Giusto per evitare dubbi, usiamo una "seconda opinione":

Fai un giro con RootKit Remover

http://www.mcafee.com/us/downloads/free-tools/how-to-use-rootkitremover.aspx

Ti ho linkato il manuale, ma c'è dentro alla pagina anche dove poter provvedere al download.

Preparati ad avere pazienza i tool di McAfee di solito non sono ultra-performanti; incidentalmente potrebbe fare anche la scansione dell'intero PC tramite il monitor in tempo reale di Avira.

Allega il log al tuo prossimo post; se è troppo grande, per piacere comprimilo in formato Zip.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Rootkit Remover è stato velocissimo

Questo il risultato:

[ TimeStamp: 20131204 145149 ]Rootkit Remover v0.8.9.170 [Oct 25 2013 - 15:43:38]

McAfee Labs.

Windows build 5.1.2600 x86 Service Pack 3

Checking for updates ...

Scanning for user-mode threats ...

Scanning for kernel-mode threats ...

Scan Result --> No trojan or viruses found!

Scan Finished

Spero di averci preso stavolta con il "compressore".

log TDSSKiller.zip

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

se non ti dispiace potresti dare un'occhiata anche al log di hijackthis? ( anche se non è il forum giusto)

grazie

fosco

hijackthis.zip

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Compressore perfetto.

Pulito anche il log di TDSS.

Ho verificato HJT, e ci sono un po' di robe che io ritengo poco sensate, ma sono solo mie opinioni.

  O17 - HKLM\System\CCS\Services\Tcpip\..\{9587B49A-C5D5-4898-9165-2E6A6040AA93}: NameServer = [url="http://www.hijackthis.de/whois.php"]8.8.8.8[/url],[url="http://www.hijackthis.de/whois.php"]8.8.4.4[/url],[url="http://www.hijackthis.de/whois.php"]4.2.2.1[/url],[url="http://www.hijackthis.de/whois.php"]4.2.2.2[/url],[url="http://www.hijackthis.de/whois.php"]208.67.222.222[/url],[url="http://www.hijackthis.de/whois.php"]208.67.220.220[/url],[url="http://www.hijackthis.de/whois.php"]8.26.56.26[/url],8.20.24 7.20,[url="http://www.hijackthis.de/whois.php"]156.154.70.1[/url],[url="http://www.hijackthis.de/whois.php"]156.154.71.1[/url]

La prima è questa lunga catena di server DNS.

Se ti trovi in italia ti suggerisco caldamente di usare DNS italiani, in alternativa avere così tanti server DNS potrebbe essere un'arma a doppio taglio.

C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe

Secondo: se non usi più un vecchio router telecom italia potresti rimuovere questo programma di gestione.

In seconda battuta: se ancora usi il PPPoE per collegarti ad internet, ti consiglio caldamente di non farlo più.

Infine:

SGPhoto è un programma che conosci? E' in una cartella "strana", ma magari sono io ignorante.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie per la lettura di hjt ,

premetto che il pc mi serve come gestionale, per cui ho bisogno di assistenza da remoto, gestione telecamere e collegamento in webinar; quindi non so se la chiave 017 serva a qualcuno dei sovracitati

Si ho un modem-router della telecom .....e per ora i settaggi sono impostati li.

Non saprei a cosa mi serve il PPPoE ( forse per l' access point per dei palmari che uso?)

Mentre SGPhoto è un innocuo cattura schermo che uso da almeno 10 anni, e ormai mi ci sono affezionato( so come lavorarlo )

grazie ancora per la pazienza

fosco

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0