Infezioni informatiche e Sicurezza informatica in generale

PcPrimiPassi.it FORUM: SICUREZZA INFORMATICA: Infezioni informatiche e Sicurezza informatica in generale

RISOLTO!

Topic: [RISOLTO] pc si riavvia all'infinito, trojan + erro

(

Topic Chiuso)

Altre pagine della discussione:

enrica
Principiante

Iscritto dal : 11/Agosto/2010
Da: Italy
Status: Offline
Posts: 23

Topic: Post n° 95.726 - Postato: 11/Agosto/2010 alle 16:34

Con malawarebytes' ho poi spostato gli elementi infetti in quarantena e ho riavvinto il pc per conferma. All'avvio il problema c'è ancora. Il pc continua a riavviare all'infinito.

enrica
Principiante

Iscritto dal : 11/Agosto/2010
Da: Italy
Status: Offline
Posts: 23

Topic: Post n° 95.727 - Postato: 11/Agosto/2010 alle 16:57

Giusto per la cronaca e perché potrebbe esservi utile saperlo per capire come aiutarmi, non ho file di grande importanza su pc. Tutto quello che mi interessa è su un disco esterno che non è stato attaccato. E non ho problemi ho rinstallare dei programmi, se serve. Non ho videogames sul computer, solo software piuttosto comuni (emule, dvdshrink, veoh, ecc).

Preferirei evitare la formattazione solo per non prendermi la briga di rinstallare programmi che ormai do per scontato, come il pacchetto office, o il modem, che all'epoca dell'installazione mi diede non pochi problemi.

enrica
Principiante

Iscritto dal : 11/Agosto/2010
Da: Italy
Status: Offline
Posts: 23

Topic: Post n° 95.728 - Postato: 11/Agosto/2010 alle 19:17

INCREDIBILE MA VERO! CE L'ABBIAMO FATTA!!

Alla fine ho cancellato i file corrotti dalla quarantena dell'antivirus e quando ho riacceso il computer è partito il "ripristino all'avvio". Spento e riacceso per l'ennesima volta, e questa volta funziona. Le due finestre sono sparite e il pc è rimasto normalmente acceso. Firefox mi persino chiesto se rivolevo la "sessione precedente" (pazzesco, come se nulla fosse!!).

Avete dei consigli post-risoluzione problemi?? Ovviamente se si ripresentassero dei problemi torno subito da voi, non c'è dubbio (non vorrei cantar vittoria troppo presto...)!!

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 95.729 - Postato: 11/Agosto/2010 alle 22:46

Ok! Il consiglio è effettuare le verifiche necessarie in modo da verificare l'assenza di ulteriori voci e file infetti.
Quindi fai una scansione ancora con hijackthis (questa volta da modalità normale), nel log precedente c'erano le seguenti voci da spuntare e fixare (eliminare):

Segue del testo riportato...

O2 - BHO: Hotbar - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - C:\Program Files\Hotbar\bin\11.0.78.0\HostIE.dll

O3 - Toolbar: Hotbar - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - C:\Program Files\Hotbar\bin\11.0.78.0\HostIE.dll

O4 - HKLM\..\Run: [HotbarSA] "C:\Program Files\Hotbar\bin\11.0.78.0\HotbarSA.exe"

O4 - HKLM\..\Run: [sta] rundll32 "orflp.dll",,Run

O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe

O4 - HKCU\..\Run: [WeatherDPA] "C:\Program Files\Hotbar\bin\11.0.78.0\Weather.exe" -auto

O4 - HKCU\..\Run: [{91BC8A3F-C1D6-142A-D5B4-9BEC40A60C5C}] "C:\Users\[EDIT Nome utente]\AppData\Roaming\Ypecus\vawet.exe"

O4 - HKCU\..\Run: [onpxtpyr] C:\Users\[EDIT Nome utente]\AppData\Local\qtdnguuen\rkqnanqtssd.exe

O4 - HKCU\..\Run: [mxyfvlry] C:\Users\[EDIT Nome utente]\AppData\Local\duangvvgr\rkxxwgftssd.exe

O4 - HKCU\..\Run: [dbcqnjpk] C:\Users\[EDIT Nome utente]\AppData\Local\xuqmgfvpt\rbaknmktssd.exe

Fine testo riportato...

(la voce indicata in rosso era quella relativa all'errore che ti riavviava...)

Ho provveduto ad editare il nome del profilo utente che era presente nei log... mettendo la seguente stringa al suo posto:

[EDIT nome utente]

Quindi tienine conto quando controllerai le voci nel log.

Dopo la scansione con hijackthis, metti il segno di spunta alle voci che ti ho indicato prima, se presenti... e clicca su "Fix checked". Prima di cliccare su fix checked assicurati che tutte le finestre del browser siano chiuse... (non postare ancora il log prodotto)

Tenta ancora la scansione, questa volta da modalità normale, con gmer e posta il relativo log, come indicato in precedenza.

Riavvia il pc e fai adesso un'ulteriore scansione con hijackthis e posta il log prodotto.

Rispetto ai malware individuati da Malwarebytes, penso non ci siano problemi in quanto facilmente eliminabili... (il mio scrupolo adesso è solo verificare la pulizia dei log e l'eventuale presenza eventuali rootkit non rilevati)

Comunque, dopo queste verifiche, c'è ancora da fare pulizia... (temporanei e punti di ripristino) e cercare eventuali problemi al registro.

Ciao

PS: rispetto al mio [EDIT nome utente], mi è parso opportuno editare in quanto, essendo un nome di persona esplicito, poteva rappresentare un'informazione se messo in correlazione ad altri dati che si possono evincere dalla discussione...

Modificato da prgn - 11/Agosto/2010 alle 22:53

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

enrica
Principiante

Iscritto dal : 11/Agosto/2010
Da: Italy
Status: Offline
Posts: 23

Topic: Post n° 95.730 - Postato: 12/Agosto/2010 alle 01:24

ho scansionato con hijackthis e ho fixato i file che mi hai segnalato (tranne alcuni che non c'erano più nella lista, tra cui quello che hai scritto in rosso, che bloccava il pc).

Ho provato a scansionare con gmer, ma il programma si blocca (non come oggi pomeriggio, ma con un classico "il programma non risponde" di windows).

Ho riavviato ugualmente e ho scansionato di nuovo con hijackthis.

Ecco il logfile:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 1.18.25, on 12/08/2010
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.17037)
Boot mode: Normal

*** Log editato, nessuna voce infetta ***

Ora riprovo con Gmer... grazie per la disponibilità.

Modificato da prgn - 12/Agosto/2010 alle 10:17

enrica
Principiante

Iscritto dal : 11/Agosto/2010
Da: Italy
Status: Offline
Posts: 23

Topic: Post n° 95.735 - Postato: 12/Agosto/2010 alle 11:26

Tutte le volte che apro gmer sembra iniziare una scansione (ancora prima che io clicchi su scan), ma poi il programma si blocca e quando dopo un po' alla fine lo chiudo viene fuori la scritta "il programma non risponde". Ieri pomeriggio quando provai ad usare il programma, il pc si era proprio spento senza dire una parola, quindi almeno secondo me è una cosa diversa che lo blocca.

Per il resto va tutto bene, inoltre vedo che hijackthis non ha più rilevato voci infette...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 95.737 - Postato: 12/Agosto/2010 alle 12:25

Va beh, se gmer non va, usiamo un altro software:

http://majorgeeks.com/SysProt_AntiRootkit_d5708.html

Scarica il file .zip contenente SysProt ed estrai il file compresso, entra nella cartella e cliccando sul file SysProt.exe (per le impostazioni di windows potresti non vedere l'estensione del file .exe) con il tasto destro, scegli di avviarlo come amministratore. Nella finestra del programma, vai alla scheda "Log", metti il segno di spunta a tutte le categorie che si trovano sotto la dicitura "Write to log" escluso "Ports" e poi clicca su "Create log". (ad un certo punto dovrebbe fermarsi chiedendoti di cliccare su "Start" e poi ancora su "Ok" nello stesso specchietto)
SysPort ti creerà un file SysProtLog.txt nella stessa cartella del programma... copiane il contenuto in un post in modo si possa controllare.
Questo è un programma che non pulisce in automatico ma è solo di controllo.... nel frattempo, per una pulizia automatica, potresti usare l'ottimo antirootkit di panda:

http://research.pandasoftware.com/blogs/images/AntiRootkit.zip

Rispetto l'antivirus, per una scansione di confronto con quelli da te già usati, potresti provare il removal tool di kaspersky:

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

Lo si scarica già aggiornato e non è aggiornabile in automatico.. quindi, dopo l'utilizzo, conviene disinstallarlo (qualora dovesse servire in futuro va riscaricato)

Rispetto la pulizia dei temporanei, ti consiglio di usare Ccleaner, nella seguente discussione trovi il link per scaricarlo e le indicazioni per la pulizia che va fatta:

http://pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=4407

ti indica anche come correggere eventuali problemi al registro.

Altra cosa che andrebbe fatta è l'eliminazione dei punti di ripristino (infatti, i punti di ripristino, potrebbero contenere dei file infetti... che, qualora venissero reinstallati a seguito di un ripristino, reinfetterebbero il pc)
L'eliminazione dei punti di ripristino va fatta disattivando il ripristino stesso... (questo comporterà l'eliminazione dei punti di ripristino salvati)
Il ripristino potrà sempre essere riattivato solo dopo aver pulito il pc. (Quindi, dopo aver verificato l'assenza di oggetti malevoli)

Al seguente link trovi le indicazioni come eliminare il ripristino (protezione di sistema) e come riattivarlo:

http://windows.microsoft.com/it-IT/windows-vista/System-Restore-frequently-asked-questions

Dopo la riattivazione, crea un punto di ripristino manualmente (le indicazioni le trovi al link precedente)

Ciao

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

enrica
Principiante

Iscritto dal : 11/Agosto/2010
Da: Italy
Status: Offline
Posts: 23

Topic: Post n° 95.739 - Postato: 12/Agosto/2010 alle 12:38

dunque allora:
majorgeeks si blocca ("non risponde")
panda antirootkit funziona solo con windows 2000/xp, ma io ho vista... per caso esiste una versione per vista?

ora sto scaricando devbuilds e ccleaner ce l'ho già sul computer e l'ho passato ieri sera (comunque farò un'altra scansione dopo l'antivirus).

appena ho finito con devbiulds (sperando che funzioni) leggerò le indicazioni per il ripristino.

enrica
Principiante

Iscritto dal : 11/Agosto/2010
Da: Italy
Status: Offline
Posts: 23

Topic: Post n° 95.740 - Postato: 12/Agosto/2010 alle 12:41

come non detto... majorgeeks si è sbloccato, tra poco vi posto il logfile...

prgn
Esperto

Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295

Topic: Post n° 95.742 - Postato: 12/Agosto/2010 alle 12:57

Si, hai ragione, scusa.
Prova ad usare rootkitbuster (avviandolo come amministratore).

SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...

Altre pagine della discussione:

Rispondi con Editor completo Nuova Discussione

Versione stampabile

TI E' PIACIUTO QUESTO CONTENUTO ?

Suggerisci questa pagina

Supporta il nostro lavoro

Iscriviti ora alla newsletter!

Vai al Forum

Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Versione 5.7 Sviluppata da Stefano Ravagni

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] pc si riavvia all'infinito, trojan + erro

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

Infezioni informatiche e Sicurezza informatica in generale

Topic: [RISOLTO] pc si riavvia all'infinito, trojan + erro

Altre pagine della discussione:

Altre pagine della discussione:

Vai al Forum

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI IN UN CLICK !

Inserisci la tua email per essere informato ogni volta che pubblichiamo un nuovo contenuto.

RIMANI AGGIORNATO SUI NOSTRI CONTENUTI
IN UN CLICK !