www.MegaLab.it

da GERONIMO* » mer giu 06, 2012 8:37 pm

fai no
perché se fai si devi riscaricarlo

da **francescoagra** » mer giu 06, 2012 8:41 pm

Aggiungo che era comparsa una scritta che diceva: "un file sta cercando di attaccare Combofix": C:\WINDOWS\system32\xgubs.cpl

da GERONIMO* » mer giu 06, 2012 8:45 pm

ma parte combofix?
fallo partire e lascia che completi la scansione ignorando tutti i messaggi

da **hashcat** » mer giu 06, 2012 8:55 pm

francescoagra ha scritto:Aggiungo che era comparsa una scritta che diceva: "un file sta cercando di attaccare Combofix": C:\WINDOWS\system32\xgubs.cpl

Direi di rimuovere quel file (o spostarlo in un'altra cartella): al 99% è infetto.

da **francescoagra** » mer giu 06, 2012 9:11 pm

Ho scaricato una nuova copia di Combofix l'ho lanciato ma mi ha chiesto di rinominarlo in modo alfanumerico, ho fatto ok ma è scomparsa addirittura l'icona. Adesso ho riprovato con quello di prima e mi sembra che sia partito.
Ho dimenticato una pennetta per mettere il nuovo Combofix: è grave? Ci metto un'ora a scrivere perché sto lavorando su un pc che va con la carbonella!!

da GERONIMO* » mer giu 06, 2012 9:15 pm

se è partito lascia finire lo scan
non devi mettere nessun nuovo combofix su pennetta,basta quello

da **francescoagra** » mer giu 06, 2012 9:20 pm

Combofix si è interrotto con Eliminazione cartelle: c'è un piccolo elenco (6 o 7). Ora c'è una finestra che dice: "A readily available replacement was not found. Combofix needs to do an intensive search. This may take some time. Devo premere ok? Penso di si, se va a buon fine devo poi riprovare con Malware bytes o proseguo con Glary?

da GERONIMO* » mer giu 06, 2012 9:22 pm

si e attendi che finisce la scansione,può durare del tempo se il pc è molto infetto
devi postare il log di combofix per analizzarlo
visto che abbiamo lanciato per primo combofix

da **francescoagra** » mer giu 06, 2012 9:36 pm

E' arrivato a Il report di Combofix si trova in C:\COMBOFIX.TXT. Veramente è un bel po' che è fermo li, aspetto o devo riavviarlo manualmente? La macchina sento che lavora sotto.
Poi uso copia e incolla e metto su un documento word per postare il report?
Non ho capito se dopo devo far partire Glary o Malware bytes.

da GERONIMO* » mer giu 06, 2012 9:42 pm

si attendi evidentemente il report e lungo,avrà rimosso un bel po' di schifezze [:D]

il pc dovrebbe riavviarsi da solo e rilasciare il report
il report già e in formato documento di testo
devi solo allegarlo\postarlo
per il resto ti dico poi cosa fare,come procedere bisogna controllare prima il report di combofix [^]

da **francescoagra** » mer giu 06, 2012 9:44 pm

OK! Fatto:
ComboFix 12-06-06.02 - Administrator 06/06/2012 22.03.25.2.1 - x86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.39.1040.18.511.351 [GMT 2:00]
Eseguito da: c:\documents and settings\Administrator\Desktop\ComboFix.exe
AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrator\WINDOWS
c:\documents and settings\All Users\Dati applicazioni\buxSUmlTRXTbfy.exe
c:\documents and settings\All Users\Dati applicazioni\TEMP
c:\documents and settings\All Users\Dati applicazioni\Xosv0BW9EaFC61
c:\documents and settings\All Users\Dati applicazioni\Xosv0BW9EaFC61.exe
c:\documents and settings\Compaq_Proprietario\WINDOWS
c:\documents and settings\Default User\WINDOWS
c:\programmi\NavExcel Search Toolbar
c:\programmi\NavExcel Search Toolbar\settings.dat
c:\programmi\NavExcel
c:\programmi\NavExcel\NavHelper\v2.0.4d\navapp.exe.vir
c:\programmi\NavExcel\NavHelper\v2.0.4d\NHelper.dll
c:\programmi\NavExcel\NavHelper\v2.0.4d\NHelper.htm
c:\programmi\NavExcel\NavHelper\v2.0.4d\NHUninstaller.exe
c:\programmi\NavExcel\NavHelper\v2.0.4d\NHUpdater.exe
c:\programmi\NavExcel\NavHelper\v2.0.4d\v2.0.4d.cab
c:\windows\IsUn0410.exe
c:\windows\system32\avisynth.dll
c:\windows\system32\CF26577.exe
c:\windows\system32\config\systemprofile\WINDOWS
c:\windows\system32\devil.dll
c:\windows\system32\ps2.bat
.
c:\windows\system32\drivers\intelppm.sys . . . is missing!!

da GERONIMO* » mer giu 06, 2012 9:59 pm

non va bene il report devi postarlo tutto non solo una parte [:D]

in un film uno si guarda il primo e il secondo tempo,non solo il primo tempo [crylol]

caricalo da qui se hai problemi

http://wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file
Clicca su Upload file
Seleziona Forum Link, copialo e incolla il link in un nuovo messaggio per il forum

da **francescoagra** » mer giu 06, 2012 10:10 pm

Porc... che imbranato!

ComboFix 12-06-06.02 - Administrator 06/06/2012 22.03.25.2.1 - x86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.39.1040.18.511.351 [GMT 2:00]
Eseguito da: c:\documents and settings\Administrator\Desktop\ComboFix.exe
AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrator\WINDOWS
c:\documents and settings\All Users\Dati applicazioni\buxSUmlTRXTbfy.exe
c:\documents and settings\All Users\Dati applicazioni\TEMP
c:\documents and settings\All Users\Dati applicazioni\Xosv0BW9EaFC61
c:\documents and settings\All Users\Dati applicazioni\Xosv0BW9EaFC61.exe
c:\documents and settings\Compaq_Proprietario\WINDOWS
c:\documents and settings\Default User\WINDOWS
c:\programmi\NavExcel Search Toolbar
c:\programmi\NavExcel Search Toolbar\settings.dat
c:\programmi\NavExcel
c:\programmi\NavExcel\NavHelper\v2.0.4d\navapp.exe.vir
c:\programmi\NavExcel\NavHelper\v2.0.4d\NHelper.dll
c:\programmi\NavExcel\NavHelper\v2.0.4d\NHelper.htm
c:\programmi\NavExcel\NavHelper\v2.0.4d\NHUninstaller.exe
c:\programmi\NavExcel\NavHelper\v2.0.4d\NHUpdater.exe
c:\programmi\NavExcel\NavHelper\v2.0.4d\v2.0.4d.cab
c:\windows\IsUn0410.exe
c:\windows\system32\avisynth.dll
c:\windows\system32\CF26577.exe
c:\windows\system32\config\systemprofile\WINDOWS
c:\windows\system32\devil.dll
c:\windows\system32\ps2.bat
.
c:\windows\system32\drivers\intelppm.sys . . . is missing!!
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-06 al 2012-06-06 )))))))))))))))))))))))))))))))))))
.
.
2012-06-03 12:23 . 2012-06-06 20:12 -------- d-----w- c:\documents and settings\Administrator
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-05 17:47 . 2012-04-08 20:40 419488 ---ha-w- c:\windows\system32\FlashPlayerApp.exe
2012-05-05 17:47 . 2012-04-08 20:40 70304 ---ha-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-04 13:56 . 2008-12-12 18:08 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2004-12-05 16:08 . 2006-01-12 22:04 806912 -c-ha-w- c:\programmi\WinMX.exe
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 08:32 279944 ---ha-w- c:\programmi\AskBarDis\bar\bin\askBar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programmi\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
.
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-11-28 18:01 122512 ----a-w- c:\programmi\Alwil Software\Avast5\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-09-29 4603904]
"WinampAgent"="c:\programmi\Winamp\winampa.exe" [2003-12-13 33792]
"vscvol.exe"="c:\programmi\Roland\VSC32\vscvol.exe" [2000-02-08 36864]
"vsc32cnf.exe"="c:\programmi\Roland\VSC32\vsc32cnf.exe" [2000-02-07 36864]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-06-20 148888]
"SSBkgdUpdate"="c:\programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2005-01-02 98304]
"PS2"="c:\windows\system32\ps2.exe" [2003-09-12 98304]
"OpwareSE4"="c:\programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
"nwiz"="nwiz.exe" [2004-09-29 921600]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"mxomssmenu"="c:\programmi\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 169264]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"KBD"="c:\hp\KBD\KBD.EXE" [2003-02-11 61440]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2004-10-13 278528]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"CanonSolutionMenu"="c:\programmi\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="c:\programmi\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 88363]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MIDI1"=vscapi.dll
"WAVE1"=vscapi.dll
"midi2"=xgusb.cpl
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast5]
2011-11-28 18:01 3744552 ----a-w- c:\programmi\Alwil Software\Avast5\AvastUI.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\eMule\\eMule.exe"=
"c:\\Programmi\\RamaLopster\\Lopster.exe"=
"c:\\Programmi\\WinMX.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\FrostWire\\FrostWire.exe"=
"c:\\Programmi\\Windows iLivid Toolbar\\Datamngr\\ToolBar\\dtUser.exe"=
"c:\\Programmi\\foobar2000\\fooassoc.exe"=
.
S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [16/07/2011 18.46.18 435032]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [13/11/2008 14.09.54 314456]
S2 a2free;a-squared Free Service;c:\programmi\a-squared Free\a2service.exe [23/06/2007 10.59.02 224888]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [13/11/2008 14.09.54 20568]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [03/02/2010 9.35.14 135664]
S2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [27/01/2010 4.09.02 50704]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [08/04/2012 22.40.23 257696]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [03/02/2010 9.35.14 135664]
S3 vsc32;Virtual Sound Canvas 3.2;c:\windows\system32\drivers\vsc.sys [01/07/2006 19.25.48 951284]
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-06-03 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-08 17:47]
.
2012-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-02-03 07:35]
.
2012-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-02-03 07:35]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
mStart Page = hxxp://www.bigseekpro.com/clipextractor/{D308C18B-1FAF-40C5-A002-CC22E695175C}
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE= ... pf=desktop
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
Supplementary scan did not complete!
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
BHO-{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - c:\programmi\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
Toolbar-10 - (no file)
HKLM-Run-buxSUmlTRXTbfy.exe - c:\documents and settings\All Users\Dati applicazioni\buxSUmlTRXTbfy.exe
AddRemove-HijackThis - c:\documents and settings\Compaq_Proprietario\Impostazioni locali\Temp\HijackThis.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0410.exe
AddRemove-NavExcel Search Toolbar - c:\windows\nxstinst.exe
AddRemove-NavHelper - c:\programmi\NavExcel\NavHelper\v2.0.4d\NHUninstaller.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-06 22:27
Windows 5.1.2600 Service Pack 2 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_USERS\S-1-5-21-4103915712-687431403-623738778-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f4,36,d5,6f,84,1f,4c,4f,95,3e,23,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f4,36,d5,6f,84,1f,4c,4f,95,3e,23,\
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(488)
c:\windows\system32\xgusb.cpl
.
- - - - - - - > 'lsass.exe'(544)
c:\windows\system32\xgusb.cpl
.
Ora fine scansione: 2012-06-06 22:49:05
ComboFix-quarantined-files.txt 2012-06-06 20:49
.
Pre-Run: 19.608.244.224 byte disponibili
Post-Run: 19.673.047.040 byte disponibili
.
- - End Of File - - 70424D39550134BC569D0024A074FF62

Andy94: tutti i report generati dai programmi vanno inseriti con il tag MEMO. [grazie]

da GERONIMO* » mer giu 06, 2012 10:18 pm

un attimo che controllo bene il report e ti aggiorno [^]

da **francescoagra** » mer giu 06, 2012 10:21 pm

OK, sono speranzoso. [:)]

da GERONIMO* » mer giu 06, 2012 10:34 pm

credevo peggio
vedi se riesci a fare ciò
crea un nuovo documento di testo sul desktop
ci copi e incolli dentro lo script che vedi sotto
e lo salvi con il nome di CFScript.txt
e trascinalo sull'icona di ComboFix.
partirà la scansione attendi la fine senza toccare niente
se chiede il riavvio del pc riavvia
Posta il log aggiornato di combofix
Immagine

Codice: Seleziona tutto: KillAll:: File:: c:\programmi\AskBarDis\bar\bin\askBar.dll Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=- [-HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] DDS:: mStart Page = hxxp://www.bigseekpro.com/clipextractor/{D308C18B-1FAF-40C5-A002-CC22E695175C}

da **francescoagra** » mer giu 06, 2012 10:45 pm

Ok, sto facendo. E' partito.

da GERONIMO* » mer giu 06, 2012 10:47 pm

da **francescoagra** » mer giu 06, 2012 11:09 pm

Penso abbia quasi finito. Il pc si è riavviato in maniera normale e sono tornati i file sul desktop [applauso+]

Non ho aperto DOCUMENTI perché non voglio disturbare Combofix.
Domani mattina cosa potrei fare per proseguire?

da GERONIMO* » mer giu 06, 2012 11:14 pm

ok bene

domani fai una scansione completa con malwarebytes per sicurezza senza usare RKill (RogueKill)
poi pulisci il sistema con Glary Utilities come riportato nella guida
se hai ancora problemi di visualizzazione dei file usi Unhide [^]

www.MegaLab.it

Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Re: Pc in palla

Chi c’è in linea