Infezioni puntuali con Skeeyah.A!plock, Dynamer!ac, Vundo

**leomac** · 10-11-2015, 13:31

Buongiorno a tutti,
dal 08/11 ad oggi alle 23:18, 05:18, 17:18 puntuali ricevo un infezione quando sono collegato alla rete. Alle 05:18 vengo infettato nuovamente con un altro tipo di virus e riparte il ciclo.

All'inizio mi si infettava con Vundo, poi siamo passati a Skeeyah.A!plock e oggi a Dynamer!ac..

Fino ad ora non è successo nulla in quanto blocca tutto Microsoft Security Essential (MSE). Ho provato a fare lo scan con malewarebyte, hitmanpro e ovviamente MSE ma non trovano nulla.

Mi sento un po nell'occhio del mirino... posso fare qualcosa e fermare tutto ciò? Mi date una mano?
Grazie.

**menatwork** · 10-11-2015, 13:59

ciao prova a fare questa scansione

Scarica OTL e salvalo sul desktop

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta su minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi due log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend

**leomac** · 10-11-2015, 18:54

Grazie, ecco a te.

http://wikisend.com/download/263646/OTL.Txt

Mi spieghi che succede??

**leomac** · 10-11-2015, 18:54

mi ha dato solo OTL e non l'Extra.

**menatwork** · 10-11-2015, 22:49

hai una brutta infezione da rootkit zero access, segui questa procedura

apri otl e copia nel box bianco del programma questo codice poi clicca su RUN FIX e allega il log generato che trovi in C:\_OTL\MovedFiles come ggMMaaaa_hhmmss.log

codice:

:OTL
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-21-61458477-2560297259-2150872106-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[2011/11/17 07:41:18 | 000,000,000 | -HSD | M] -- C:\Users\User\AppData\Local\{1c7b2d12-67bd-d3c9-6e9c-7cdc19c84bf0}\L
[2012/07/29 06:42:45 | 000,000,000 | -HSD | M] -- C:\Users\User\AppData\Local\{1c7b2d12-67bd-d3c9-6e9c-7cdc19c84bf0}\U
[2009/07/14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini


:Files
ipconfig /flushdns /c 

:commands
[purity]
[Reboot]

Fai anche questa scansione con l'antivirus disattivato e disconnesso

scarica combofix sul desktop

alla richiesta se vuoi installare la recovery console clicca su NO

esegui ComboFix.exe

segui le instruzioni

finita la scansione portati in C:\ e allega nella tua prossima risposta, il contenuto del file di testo Combofix.txt

**leomac** · 11-11-2015, 08:42

ciao per OTL:

http://wikisend.com/download/469032/...015_065137.log

Per combo fix

http://wikisend.com/download/664624/CF - 11.11.2015.txt

fammi sapere

**menatwork** · 11-11-2015, 12:13

dimmi se conosci questo sito

scarica Farbar service

nel box bianco fai copia incolla di > > 1394hub e cliccasu export service e allega il risultato ottenuto

scarica questo tool e avvialo
clicca Y e dai invio, a scansione finita sul desktop troverai un file di testo AntiZeroAccess_Log.txt che dovrai allegare

fammi anche una scansione con malwarebytes, aggiornalo ed esegui una scansione completa del sistema, alla fine seleziona tutto e rimuovi quello che ha trovato

Allega il log

**leomac** · 11-11-2015, 20:12

ciao allora:
- Il sito a memoria non lo ricordo. Se intendi dire con conosci che lo frequento non è così.

- Farbar service: ho incollato solo il 1394hub senza i segni e mi da questo (wikisend non me lo carica):

codice:

Note: The export is in "Windows Registry Editor Version 5.00" format.
 ================== Result for "1394hub" ==================
 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\1394hub]
 "Type"=dword:00000001
 "Start"=dword:00000003
 "ErrorControl"=dword:00000001
 "ImagePath"=hex(2):5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
   74,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,\
   00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,\
   20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
 "DisplayName"="1394 Enabled Hub"
 "WOW64"=dword:00000001
 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\1394hub\Security]
 "Security"=hex:01,00,14,80,64,00,00,00,70,00,00,00,14,00,00,00,30,00,00,00,02,\
   00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
   00,00,02,00,34,00,02,00,00,00,00,03,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
   05,20,00,00,00,20,02,00,00,00,03,14,00,ff,01,02,00,01,01,00,00,00,00,00,01,\
   00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\
   00,00,00
 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\1394hub\Enum]
 "0"="Root\\LEGACY_1394HUB\\0000"
 "Count"=dword:00000001
 "NextInstance"=dword:00000001
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1394hub]
 "NextInstance"=dword:00000001
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1394hub\0000]
 "Service"="1394hub"
 "Legacy"=dword:00000001
 "ConfigFlags"=dword:00000000
 "Class"="LegacyDriver"
 "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
 "DeviceDesc"="1394 Enabled Hub"
 "Capabilities"=dword:00000000
 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1394hub\0000\Control]
  
 ================== End Of Export =============

- Per antizeroaccess mi dice che è solo per i 32 bit io sono 64. Mi mandi te il link o trovo io?
grazie ancora

**menatwork** · 11-11-2015, 22:14

cerca nei servizi

1394hub

prova a metterlo su disabilitato

Ora apri una pagina del blocco note e copia incolla quanto segue;

codice:

driver::
LiveUpSC

folder::
c:\users\User\AppData\Local\SoftwareUpdater


file::
c:\users\User\AppData\Local\SoftwareUpdater\SoftwareUpdService.exe

salva la pagina nominandola obbligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine e riposta il suo log

Fai una scansione con malwarebytes come gia' detto prima ( non l'hai eseguita)

prima di far partire la scansione vai in alto su impostazioni e sul lato sinistro metti la spunta a ricerca rootkit
aggiorna il programma e avvia una scansione completa, se rileva infezioni spunta tutto e clicca su rimuovi

scarica

RogueKiller

Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita le pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, troverai il log sul desktop.

Allega i log delle scansioni

**leomac** · 11-11-2015, 22:24

men, non t'ho capito servizi che vuo dire...

Discussione: Infezioni puntuali con Skeeyah.A!plock, Dynamer!ac, Vundo

Strumenti discussione

Ricerca discussione

Visualizza

Infezioni puntuali con Skeeyah.A!plock, Dynamer!ac, Vundo

Permessi di invio