Analisi log hijackthis
Buongiorno, Spybot mi ha trovato un virtumonde che non riesco a rimuovere ne con Vundofix ne con Fixvundo, che neanche lo trovano. Combofix mi funziona solo in modalità provvisoria altrimenti non parte, Spybot si blocca durante la scansione...che devo fare? Devo cancellare qualcosa che risulta dal log di Hijack.
Grazie
Ciao, per prima cosa disattiva il teatimer.
Apri SpyBot in modalità avanzata (menù modalità - avanzata) poi vai in utilità - resident e togli la spunta a TeaTimer.
Con tutte le applicazioni chiuse e disconnesso da internet
Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"
Riscarica Combofix con queste modalitàCodice:O2 - BHO: (no name) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file) O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe O15 - Trusted Zone: http://*.mcafee.com (HKLM) O15 - Trusted Zone: http://betavscan.mcafeeasap.com (HKLM) O15 - Trusted Zone: http://vs.mcafeeasap.com (HKLM) O15 - Trusted Zone: http://www.mcafeeasap.com (HKLM) O15 - ESC Trusted Zone: http://*.mcafee.com (HKLM) O15 - ESC Trusted Zone: http://betavscan.mcafeeasap.com (HKLM) O15 - ESC Trusted Zone: http://vs.mcafeeasap.com (HKLM) O15 - ESC Trusted Zone: http://www.mcafeeasap.com (HKLM) O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
Scarica Combofix sul desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file", cambia il nome che ti appare in abc.exe e salvalo obbligatoriamente sul desktop)
start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK
(se usi vista start > tutti i programmi accessori > esegui)
se tutto va bene parte il programma che potrebbe impiegare molto
attendi pazientemente il termine delle operazioni e posta il report C:\ComboFix.txt.
Jean ti ringrazio moltissimo.
Ho fatto tutto quello che mi hai detto, ora il problema è questo:
Combofix è partito stava facendo la scansione poi ha fatto riavviare il pc prima di aver terminato la scansione. Al riavvio si è riaperto e diceva impossibile trovare file whitedir01, in seguito diceva di attendere per il log che non è mai arrivato perchè si blocca tutto, non và neanche il task manager. Che devo fare? Ora il pc ha iniziato a riavviarsi da solo ti sto scrivendo in modalità provvisoria con rete. Ti allego nuovo log hijack.
Ciao e grazie ancora
Non avendo nessun rapporto di combofix da analizzare non so bene cosa sia successo.
Immagino che combofix voglia eliminare un rootkit, ma non riuscendo riavvia il computera meno che non sia stato qualche conflitto con il modulo HIPS di Comodo a provocare danni.
Scarica OTC by OldTimer sul desktop
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
clicca su "CleanUP"
riavvia.
Il log di hijackthis è pulito.
Ora possiamo fare cosi:
Start > Pannello di controllo > sistema > scheda avanzate > Avvio e ripristino > Impostazioni
Togli la spunta a Riavvia Automaticamente
Il Pc invece di riavviarsi, ti mostrerà una schermata blu.
In fondo potrai vedere il driver (o il file) che ha causato l'errore,
Riporta qui il nome esatto.
Come ultima spiaggia ricorda che puoi avviare il pc con l'ultima configurazione sicuramente funzionante, oppure eseguire un ripristino configurazione di sistema.
HOW TO: Avviare il computer con l'ultima configurazione sicuramente funzionante
HOW TO: Ripristinare Windows XP a uno stato precedente
Come dice un mio vecchio amico: " meglio un sistema infetto che un sistema da buttare"
Jean ho fatto quello che mi hai detto ecco cosa è venuto fuori:
***STOP: 0x00000024 (0X001902FE,0XF1989340,0XF198903C,0XF19893FF)
qual'è il prossimo passo Lourdes?
P.s= Malware in modalità provissoria mi aveva trovato qualcosa ti allego il log, ho eliminato tutto ma non è cambiato niente.
Non dice nulla riguardo un .sys?
(Ultimo riquadro dell'immagine che ho postato: alcxwdm.sys)
Qualcosa mi dice che si tratta di NTFS.SYS
Jean disinstallando comodo firewall sono riuscito a fare una scansione con combofix e avere il log, te lo allego, fammi sapere se c'è qualcos'altro che devo fare? Grazie infinitamente
Filippo
Salva il documento che ti allego CFScript
Con il mouse trascina il file CFScript.txt sull'icona rossa di Combofix
Lascia lavorare il programma
Verrà creato un nuovo log combofix.txt
Allega il rapporto per un controllo.
Jean ti posso portare il computer direttamente e ti pago il lavoro?
Dopo averti postato il log di Combofix ho ricominciato ad avere problemi e non sono più riuscito a fare una scansione con il tuo script perchè a un certo punto della scansione il pc si blocca senza segnalare errori e mi tocca riavviare. idem con patatine con spybot che ero riuscito a far funzionare disinstallando comodo.
Oggi nuovamente schermata blu ma il messaggio di errore è stato diverso:
Stop: 0X0000008E
WIN32K.SYS
ti allego il log di hijack
ciao e grazie
Dal log non risultano infezioni.
Per la schermata blu leggi questo articolo
Schermata Blu Windows Vista win32k.sys - blue screen win32k.sys Windows Vista - FAQ Windows 7, Windows Vista, Tweaks and Tips for Windows Vista, guide selezionate per rendere Windows Vista sicuro e facile da utilizzare. Trucchi Vista. Trucchi Windows
Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)
Permessi di Scrittura
Internet
LinkBack URL
About LinkBacks
