PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio RISOLTO!

Topic: [RISOLTO] Problema con "Malware defense"

(Topic Chiuso Topic Chiuso)
Altre pagine della discussione:




Dallolio
Senior Senior
Dallolio
Senior Senior
Dallolio
Senior
Senior

Avatar generico


Iscritto dal : 08/Aprile/2006
Da: Italy
Status: Offline
Posts: 590
bullet Topic: Post n° 92.932 - Postato: 04/Gennaio/2010 alle 18:03


Malware defense mi si è installato da solo; in teoria è un antivirus, in realtà ho letto su google che è un virus che finge di essere un antivirus per farti pagare delle licenze ecc...
Fatto sta che mi sta impedendo di usare il pc: continui avvisi, riavvi, blocchi dello schermo.
I consigli che ho trovato su google per toglierlo non sono serviti in quanto questo programma impedisce di installare qualunque cosa e mi impedisce perfino di fare il ripristino di configurazione.
Come devo fare? Ho anche cancellato le chiavi di registro riferite al programma, ma non è servito assolutamente a niente...


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 92.936 - Postato: 04/Gennaio/2010 alle 22:14


Ciao
Fai una scansione con gmer... Gmer lo puoi prendere dal seguete link: gmer 
scaricalo e decomprimi il file compresso in una cartella..., fai la scansione del
pc e prendi il log e copialo in un post della discussione

(per prendere il log di gmer... fai partire il programma... e dalla finestra di
partenza, cioè nella cartella rootkit del programma stesso, clicca su Scan...
e quando ha finito... clicca sul tasto Copy... Incolla quello che hai appena
copiato... in un post facendo attenzione che il log, dopo averlo postato, ci
sia tutto....) Se il log di Gmer dovesse essere molto grande.. potresti usare
un servizio di file hosting.. (tipo mediafire.com) e dopo aver fatto l'upload
del file.. indicarne il link...

Fai una scansione con hijackthis e posta il log

Questo serve per inquadrare bene di cosa si tratti... presumibilmente risolveresti
direttamente con tdsskiller (che trovi a questa pagina: link)... in quanto si tratta
di una variante di TDSS... (comunque prima prendi i log e poi passa tdsskiller)

Posta anche le chiavi di registro e le eventuali cartelle su disco che hai eliminato

Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Dallolio
Senior Senior
Dallolio
Senior Senior
Dallolio
Senior
Senior

Avatar generico


Iscritto dal : 08/Aprile/2006
Da: Italy
Status: Offline
Posts: 590
bullet Topic: Post n° 92.937 - Postato: 04/Gennaio/2010 alle 22:42


La situazione è la seguente: dopo aver istallato ed eseguito A-squared, il viruus non dà segni di vita.
Tuttavia il ripristino non funziona più e non istalla alcuni programmi. Sono riuscito a istallare solo HiJackThis:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 22.41.32, on 04/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

O4 - HKCU\..\Run: [settdebugx.exe] C:\DOCUME~1\Nicola\IMPOST~1\Temp\settdebugx.exe


*** Log editato.. rimane solo la voce sospetta ***


Modificato da prgn - 06/Gennaio/2010 alle 17:47


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 92.947 - Postato: 05/Gennaio/2010 alle 13:45


Avg è andato.. non c'è più il file di avvio
Questa è infetta:

O4 - HKCU\..\Run: [settdebugx.exe] C:\DOCUME~1\Nicola\IMPOST~1\Temp\settdebugx.exe

ed è da fixare...

Inoltre ti ripeto quello indicato nel post precedente...

Hai sul tuo pc una variante di TDSS e quindi la poi togliere usando il tool specifico
di kaspersky... tdsskiller (che trovi a questa pagina: link)

Anche malwarebytes elimina il rootkit in questione...

Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Dallolio
Senior Senior
Dallolio
Senior Senior
Dallolio
Senior
Senior

Avatar generico


Iscritto dal : 08/Aprile/2006
Da: Italy
Status: Offline
Posts: 590
bullet Topic: Post n° 92.954 - Postato: 05/Gennaio/2010 alle 18:02


Grazie Prgn!!!
Con quel Tool, che tra l'altro è veloce come una scheggia, funzionano i programmi che prima non andavano, ad esempio il ripristino di configurazione...
Ti posto il log, così se hai tempo mi dici se ora è tutto a posto, Grazie ancora e felice anno nuovo Smile
 
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 18.00.36, on 05/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

O4 - HKCU\..\Run: [settdebugx.exe] C:\DOCUME~1\Nicola\IMPOST~1\Temp\settdebugx.exe

*** Log editato.. rimane solo la chiave sospetta ***

P.s. da cosa si capisce che AVG è partito? Giusto per curiosità... ciao ciao
Grazie!
 


Modificato da prgn - 07/Gennaio/2010 alle 21:30


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 92.961 - Postato: 06/Gennaio/2010 alle 17:45


Di niente.. figurati...
Quel tool è specifico per questo tipo di rootkit..
Rispetto ad avg ho preso un abbaglio... (un file missing per un altro)
L'unica cosa che non va è la seguente voce che va fixata:

O4 - HKCU\..\Run: [settdebugx.exe] C:\DOCUME~1\Nicola\IMPOST~1\Temp\settdebugx.exe

già l'avevo indicata prima... l'hai fixata e ti è riapparsa... o non l'hai fixata?
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Dallolio
Senior Senior
Dallolio
Senior Senior
Dallolio
Senior
Senior

Avatar generico


Iscritto dal : 08/Aprile/2006
Da: Italy
Status: Offline
Posts: 590
bullet Topic: Post n° 92.987 - Postato: 07/Gennaio/2010 alle 15:59


Ah, allora non avevo capito di preciso! Di preciso come faccio a fixarla?
Grazie!!!
Nic


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 92.988 - Postato: 07/Gennaio/2010 alle 16:33


fai la scansione con hijackthis e poi cerca e metti la spunta a quella voce che ti ho indicato
Una volta messa la spunta clicca su Fix checked ed il gioco e fatto...
Ciao




SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Dallolio
Senior Senior
Dallolio
Senior Senior
Dallolio
Senior
Senior

Avatar generico


Iscritto dal : 08/Aprile/2006
Da: Italy
Status: Offline
Posts: 590
bullet Topic: Post n° 92.991 - Postato: 07/Gennaio/2010 alle 19:34


Fixato!!!
Per curiosità mia, quelle voci segnalate da Hijack, cosa sono? Vedo che sono simili a quelle evidenziate da Task Manager, tuttavia sono di più...
 
Grazie e buonaserata!Clap


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 92.994 - Postato: 07/Gennaio/2010 alle 21:28


Quelle voci sono relative a varie impostazioni del registro... hai visto che hanno
un codice iniziale? (quella che ti ho fatto eliminare era una O4)
Sono raggruppate per tipologia e ogni tipologia ha la sua funzione...
Ad esempio le O4 sono reletive ai programmi in autoesecuzione... (...la chiave Run...)
Quindi tu avevi quel file che andava in esecuzione all'avvio e fixando quella voce
lo abbiamo eliminato...
Se hai eliminato  le cartelle, i file e le chiavi di registro relative a Malware defense..
possiamo chiudere.. Facci sapere se tutto è ok
E' sempre un piacere
Ciao

PS: ti sembra come task manager perchè ti fa anche il resoconto dei processi
aperti al momento della scansione... ma oltre ai processi indica anche le chiavi
di registro sensibili...



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,031 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni