[win XP] Aiuto sono infetto, mi aiutate?

redegaet · 19-01-2008, 01:24

Riprendo qui la richiesta d'aiuto iniziata nel thread della rimozione di virus da MSN Messenger come suggeritomi.
(http://www.hwupgrade.it/forum/showpo...postcount=1609)

Riporto un riassunto della mia situazione:

Ho il pc infetto. Uso WinXp SP2, e avast (sempre aggiornato) come antivirus.
Il pc ultimamente lo usa mia sorella, che si è accorta che inviava frasi in inglese con inviti ad aprire pagine web ai suoi contatti di msn. Inoltre ha rilevato problemi a far riconoscere la sua chiavetta usb su altri pc. Ieri il pc si è notevolmente rallentato e lei ha avviato una scansione con avast senza dirmi nulla, di cui non conosco gli esiti. Adesso il pc sembrerebbe funzionare bene.
Ho la partizione C con il sistema operativo, ne ho un altro in D (che però non uso mai) e tutte le altre partizioni sono di dati.

Come consigliatomi nel thread di rimozione di virus da MSN Messenger ho eseguito la guida alla disinfezione per infetti, anche se ho incontrato qualche problema. Alcuno volte non ho capito se il programma che faceva la scansione oltre a fare ciò cercasse anche di rimuovere i virus, chiedo scusa, ma non sono molto esperto. Io ho sempre cercato di mettere tutto in quarantena come suggerito dalla guida.
Durante la scansione con A-Squared mi si è avviato qualche volta avast indicandomi che aveva trovato virus,malware... esattamente mi è successo con questi file:
WIN32

ialer[Trj]
WIN32:Agent-ONH[Trj]
WIN32:Agent-PBF[Trj]
WIN32:Trojan-gen{Delphi}

Mentre per la scansione online prima di utilizzare BiDefender di cui allego sotto il log, ho provato con Panda senza riuscirci, perchè mi diceva di installare un controllo, ma durante l'installazione Avast mi bloccava la connessione dicendo che rilevava:
WIN:CTX

Detto questo vi riporto i log e chiedo consiglio su come procedere:

A-Squared Free v3.x
Prevx CSI
BitDefender
Hijackthis
GMER

Grazie ancora per l'aiuto,
Alex

murack83pa · 19-01-2008, 08:50

ciao alex,
complimenti x aver seguito celermente e correttamente la guida, senza mi sembra alcun errore

una domanda: il ripristino configurazione sistema l'hai disattivato prima di seguire le scansioni con i programmi indicati?

credo che ti sei preso il classico virus da chiavetta usb......poi xò ho visto che c sono alcune schifezze nella cache di java, ho visto pure alcuni cr*c......evita xchè sono portatori virus

facciamo cosi, una prima procedura preliminare:

1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

2-svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

3-Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

fatto questo,a beneficio degli utenti + esperti, ho visto nel log di gmer questa voce:

Quote:

C:\WINDOWS\wisyst32.exe

che dovrebbe essere un trojan downloader.....cosa confermata da hijackthis

ti direi di far girare questo tool della kaspersky: DOWNLOAD

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato

vediamo cosa pensano in merito gli atri dottori, intanto le operazioni preliminari le puoi gia eseguire

ciao

redegaet · 19-01-2008, 10:24

Grazie per l'aiuto.
Il rispristino configurazione di sistema l'ho disattivato

, anche se rispetto alla guida il mio PC non mi ha chiesto se volevo eliminare i punti di ripristino. Anche graficamente è leggermente diversa la finestra che mi si apre da:
Risorse del Computer-->Proprietà....

rispetto a quella presente all'inizio della guida:
http://www.hwupgrade.it/forum/showthread.php?t=1599737

Ho fatto i 3 punti che mi hai consigliato, CCLEANER l'avevo già fatto girare perchè consigliato nella guida prima di aprire una discussione:
http://www.hwupgrade.it/forum/showpo...14&postcount=1

Il tool di Kaspersky se è quello presente nella guida alla rimozione di virus da MSN Messenger l'avevo già fatto girare l'altro ieri. Però ci ha messo più di 8 ore a finire la scansione (se vuoi ho anche il log, è nella discussione sui virus di MSN Messenger).

Il mio problema è che ho anche un'enormità di giga allocati nelle varie partizioni, quindi ci mette un'infinità di tempo a fare la scansione di tutti i file. Non so se le partizioni Dati le posso escludere dalla scansione, senza compromettere la disinfezione.

Grazie ancora,
Alex

P.S. Ho risvuotato la cartella Prefetch perchè per postare questo post (e fare lo screenshot) avevo ricreato dei file al suo interno, ho fatto bene vero?

murack83pa · 19-01-2008, 12:51

facciamo cosi: posta un nuovo log di HIJACKTHIS e poi fai una nuova scansione con il tool della kaspersky.
prima posta il log di hijackthis, ok?
ciao

redegaet · 19-01-2008, 13:08

Ecco la nuova scansione di Hijackthis:
Hijackthis

murack83pa · 19-01-2008, 13:12

Quote:

Originariamente inviato da redegaet

Ecco la nuova scansione di Hijackthis:
Hijackthis

ok, aspetta, nn fare la nuova scansione con kaspesky, quel file maledetto è ancora li

prova a fixare queste voci:

Quote:

C:\WINDOWS\wisyst32.exe

C:\DOCUME~1\Alex\IMPOST~1\Temp\direct3d.exe

F3 - REG:win.ini: load=System

O4 - HKLM\..\Run: [DirectX9] C:\DOCUME~1\Alex\IMPOST~1\Temp\direct3d.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

dopo aver fixate queste voci, nuova scansione e nuovo log di hijackthis...

ho l'impressione che tu hai scaricato directx 9 da un sito nn attendibile.....

redegaet · 19-01-2008, 13:22

Quote:

Originariamente inviato da murack83pa

ok, aspetta, nn fare la nuova scansione con kaspesky, quel file maledetto, insiemi agli amici suoi, sono ancora li

Ok, comunque grazie dell'aiuto.

redegaet · 19-01-2008, 13:32

Scusa non mi è ben chiaro il concetto di "fixare".

Mi sento una m...., è spiegato in qualche guida?

murack83pa · 19-01-2008, 13:35

Quote:

Originariamente inviato da redegaet

Scusa non mi è ben chiaro il concetto di "fixare".

Mi sento una m...., è spiegato in qualche guida?

riavvia hijackthis, fai la scansione come la prima volta, selezioni le voci che ti ho indicate, poi clicca sul pulsante fixa

redegaet · 19-01-2008, 13:46

Il primo :
C:\WINDOWS\wisyst32.exe

non c'è tra i file da fixare in Hijacthis, cosa faccio, fixxo gli altri?
ti loggo il nuovo log (in cui compare sempre: C:\WINDOWS\wisyst32.exe)

http://www.fileup.itadib.com/downloa...2NrmaNmQzy6VrW

murack83pa · 19-01-2008, 15:12

Quote:

Originariamente inviato da redegaet

Il primo :
C:\WINDOWS\wisyst32.exe

non c'è tra i file da fixare in Hijacthis, cosa faccio, fixxo gli altri?
ti loggo il nuovo log (in cui compare sempre: C:\WINDOWS\wisyst32.exe)

http://www.fileup.itadib.com/downloa...2NrmaNmQzy6VrW

mi sa che x quella voce bisogna usare avenger...mentre x le altre ho dei forti sospetti...

attendi un altro parere

redegaet · 20-01-2008, 00:12

Si è aggiunto un sintomo nel frattempo: ho provato a riavviare il pc e all'avvio mi ha aperto da solo la cartella "system" di windows nella barra degli strumenti in basso. Inoltre il pc era un po' rallentato: infatti aprendo il task manager mi trovo questa cartella aperta come applicazione, e ho degli sbalzi di utilizzazione della cpu dovuti al processo "svchost.exe" dell'utente SYSTEM. Inoltre mi si è aperto avast dicendomi che un dialer cercava di connettersi.

Non so cosa fare.

Alex

edit: ho provato a riavviare più volte il pc per capire meglio. Credo che a pc appena avviato sia il processo di avast ad usare cpu per bloccare il dialer e non dipenda da svchost.exe. Poi appena mi si apre la finesta di avast che mi comunica la presenza del dialer l'uso della cpu torna "apparentemente" normale.

redegaet · 20-01-2008, 23:21

Ragazzi non c'è nessuno che riesce a darmi una mano?

Non voglio sembrare un rompimaroni, ma ho una certa urgenza di sistemare il pc perchè sia io che mia sorella abbiamo degli esami all'università fra pochissimo e lei deve consegnare dei lavori fatti con autocad. Lo formatterei anche, ma perderei del tempo che mi è essenziale per lo studio (e non sono neanche sicuro di risolvere reimportando email e documenti).

Ho visto che state dietro a numerosissime persone, quindi capisco comunque l'impossibilità di dar retta a tutti.

Alex

murack83pa · 20-01-2008, 23:28

allora,scusami, ma un po mi sono dimenticato di te(avevo erroneamente cancellato l'iscrizione dal 3d mentre facevo un po di pulizia) e un po ho avuto da fare,sorry,facciamo cosi e vediamo come va:

1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

2-fai girare CCLEANER

3- scarica ed installa ASQUARED ANTIDIALER FREE
DOWNLOAD
Una volta installato, lancialo:
● scarica gli aggiornamenti
● esegui una scansione del sistema

4- BITDEFENDER ONLINE SCANNER:
http://www.bitdefender.com/scan8/ie.html
● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salva il Report che verrà rilasciato

5- Scarica ed installa SUPERANTISPYWARE: DOWNLOAD
lo aggiorni e poi gli fai fare una scansione completa del sistema e al termine salva il log e lo posti qui

6-posta un nuovo log di hijackthis

redegaet · 21-01-2008, 20:23

Ciao, ti ringrazio per l'aiuto che mi stai dando, davvero non lo do per scontato. Ti rispondo solo ora perchè ci mette molto a fare le scansioni e oggi son stato all'università tutto il giorno.

Venendo a noi:
A-squared antidialer mi ha detto che non ha trovato dialers, però durante la sua scansione mi si è aperto avast dicendo che ha trovato il malware:
WIN32:Agent-PBF[Trj] nel file:
C:\WINDOWS\TEMP\a2archive\keygen.exe\[UPX]

Alla fine della scansione di SUPERANTISPYWARE ho cliccato su avanti, non so se dovevo cliccare su annulla. Se ho sbagliato mi spiace. Così mi ha riavviato il pc e ho trovato di nuovo in esecuzione la cartella SYSTEM e l'applicazione STATIC (vista da task manager, poi dopo poco si chiudono) e Avast ha rilevato:
WIN32: Dialer-1222[Trj]

Posto tutti i log (di BitDefender serve il txt o l'html?)
BitDefender
SUPERAntiSpyware
Hijackthis

Grazie ancora, Alex

murack83pa · 21-01-2008, 20:26

sei infetto da trojan dropper....
bitdefender riuscito a cancellare i vari trojan dropper che ha rilevato....ma alcuni nn è riuscito a cancellare
attendi ulteriori istruzioni

edit: guarda questa voce

Quote:

[DirectX9] C:\DOCUME~1\Alex\IMPOST~1\Temp\direct3d.exe

bitdefender ha provato a cancellare questa voce.....da dove hai scaricato directx9?

redegaet · 21-01-2008, 20:32

Quote:

Originariamente inviato da murack83pa

sei infetto da trojan dropper....
bitdefender riuscito a cancellare i vari trojan dropper che ha rilevato....ma alcuni nn è riuscito a cancellare
attendi ulteriori istruzioni

Ok, grazie mille.
Alex

murack83pa · 21-01-2008, 20:37

andiamoci in questo modo

fai analizzare su www.virustotal.com questo file:

Quote:

C:\Documents and Settings\Alex\Impostazioni locali\Temp\direct3d.exe

e vediamo di capirci qualkosa....bitdefender lo rileva coma backdoor...

redegaet · 21-01-2008, 20:48

Spero sia questo quello che ti serve:
http://www.fileup.itadib.com/downloa...Y7vNWD617wlUE6

murack83pa · 21-01-2008, 20:52

Quote:

Originariamente inviato da redegaet

Spero sia questo quello che ti serve:

allora: hai scaricato da nn so dove un directx infetto....almeno questa è la spiegazione che mi do...
attendi istruzioni....

vedi questa voce:

Quote:

F3 - REG:win.ini: load=System

è il motivo x cui ti da quella schermata all'avvio...c'è qualke virus che modifca il file win.in, almeno credo....

19-01-2008, 01:24	#1
redegaet Senior Member Iscritto dal: Jan 2004 Città: Milano Messaggi: 704	[win XP] Aiuto sono infetto, mi aiutate? Riprendo qui la richiesta d'aiuto iniziata nel thread della rimozione di virus da MSN Messenger come suggeritomi. (http://www.hwupgrade.it/forum/showpo...postcount=1609) Riporto un riassunto della mia situazione: Ho il pc infetto. Uso WinXp SP2, e avast (sempre aggiornato) come antivirus. Il pc ultimamente lo usa mia sorella, che si è accorta che inviava frasi in inglese con inviti ad aprire pagine web ai suoi contatti di msn. Inoltre ha rilevato problemi a far riconoscere la sua chiavetta usb su altri pc. Ieri il pc si è notevolmente rallentato e lei ha avviato una scansione con avast senza dirmi nulla, di cui non conosco gli esiti. Adesso il pc sembrerebbe funzionare bene. Ho la partizione C con il sistema operativo, ne ho un altro in D (che però non uso mai) e tutte le altre partizioni sono di dati. Come consigliatomi nel thread di rimozione di virus da MSN Messenger ho eseguito la guida alla disinfezione per infetti, anche se ho incontrato qualche problema. Alcuno volte non ho capito se il programma che faceva la scansione oltre a fare ciò cercasse anche di rimuovere i virus, chiedo scusa, ma non sono molto esperto. Io ho sempre cercato di mettere tutto in quarantena come suggerito dalla guida. Durante la scansione con A-Squared mi si è avviato qualche volta avast indicandomi che aveva trovato virus,malware... esattamente mi è successo con questi file: WIN32ialer[Trj] WIN32:Agent-ONH[Trj] WIN32:Agent-PBF[Trj] WIN32:Trojan-gen{Delphi} Mentre per la scansione online prima di utilizzare BiDefender di cui allego sotto il log, ho provato con Panda senza riuscirci, perchè mi diceva di installare un controllo, ma durante l'installazione Avast mi bloccava la connessione dicendo che rilevava: WIN:CTX Detto questo vi riporto i log e chiedo consiglio su come procedere: A-Squared Free v3.x Prevx CSI BitDefender Hijackthis GMER Grazie ancora per l'aiuto, Alex

19-01-2008, 10:24	#3
redegaet Senior Member Iscritto dal: Jan 2004 Città: Milano Messaggi: 704	Grazie per l'aiuto. Il rispristino configurazione di sistema l'ho disattivato , anche se rispetto alla guida il mio PC non mi ha chiesto se volevo eliminare i punti di ripristino. Anche graficamente è leggermente diversa la finestra che mi si apre da: Risorse del Computer-->Proprietà.... rispetto a quella presente all'inizio della guida: http://www.hwupgrade.it/forum/showthread.php?t=1599737 Ho fatto i 3 punti che mi hai consigliato, CCLEANER l'avevo già fatto girare perchè consigliato nella guida prima di aprire una discussione: http://www.hwupgrade.it/forum/showpo...14&postcount=1 Il tool di Kaspersky se è quello presente nella guida alla rimozione di virus da MSN Messenger l'avevo già fatto girare l'altro ieri. Però ci ha messo più di 8 ore a finire la scansione (se vuoi ho anche il log, è nella discussione sui virus di MSN Messenger). Il mio problema è che ho anche un'enormità di giga allocati nelle varie partizioni, quindi ci mette un'infinità di tempo a fare la scansione di tutti i file. Non so se le partizioni Dati le posso escludere dalla scansione, senza compromettere la disinfezione. Grazie ancora, Alex P.S. Ho risvuotato la cartella Prefetch perchè per postare questo post (e fare lo screenshot) avevo ricreato dei file al suo interno, ho fatto bene vero? Ultima modifica di redegaet : 19-01-2008 alle 10:28.

19-01-2008, 13:46	#10
redegaet Senior Member Iscritto dal: Jan 2004 Città: Milano Messaggi: 704	Il primo : C:\WINDOWS\wisyst32.exe non c'è tra i file da fixare in Hijacthis, cosa faccio, fixxo gli altri? ti loggo il nuovo log (in cui compare sempre: C:\WINDOWS\wisyst32.exe) http://www.fileup.itadib.com/downloa...2NrmaNmQzy6VrW Ultima modifica di redegaet : 19-01-2008 alle 13:52.

20-01-2008, 00:12	#12
redegaet Senior Member Iscritto dal: Jan 2004 Città: Milano Messaggi: 704	Si è aggiunto un sintomo nel frattempo: ho provato a riavviare il pc e all'avvio mi ha aperto da solo la cartella "system" di windows nella barra degli strumenti in basso. Inoltre il pc era un po' rallentato: infatti aprendo il task manager mi trovo questa cartella aperta come applicazione, e ho degli sbalzi di utilizzazione della cpu dovuti al processo "svchost.exe" dell'utente SYSTEM. Inoltre mi si è aperto avast dicendomi che un dialer cercava di connettersi. Non so cosa fare. Alex edit: ho provato a riavviare più volte il pc per capire meglio. Credo che a pc appena avviato sia il processo di avast ad usare cpu per bloccare il dialer e non dipenda da svchost.exe. Poi appena mi si apre la finesta di avast che mi comunica la presenza del dialer l'uso della cpu torna "apparentemente" normale. Ultima modifica di redegaet : 20-01-2008 alle 13:31.

20-01-2008, 23:28	#14
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	allora,scusami, ma un po mi sono dimenticato di te(avevo erroneamente cancellato l'iscrizione dal 3d mentre facevo un po di pulizia) e un po ho avuto da fare,sorry,facciamo cosi e vediamo come va: 1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera: ● clicca su Risorse del Computer ● clicca su Disco locale C: ● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella) 2-fai girare CCLEANER 3- scarica ed installa ASQUARED ANTIDIALER FREE DOWNLOAD Una volta installato, lancialo: ● scarica gli aggiornamenti ● esegui una scansione del sistema 4- BITDEFENDER ONLINE SCANNER: http://www.bitdefender.com/scan8/ie.html ● una volta aperta la pagina, clicca I AGREE ● ti farà scaricare ed installare un Activex: segui la procedura guidata. salva il Report che verrà rilasciato 5- Scarica ed installa SUPERANTISPYWARE: DOWNLOAD lo aggiorni e poi gli fai fare una scansione completa del sistema e al termine salva il log e lo posti qui 6-posta un nuovo log di hijackthis Ultima modifica di murack83pa : 20-01-2008 alle 23:33.

19-01-2008, 12:51	#4
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	facciamo cosi: posta un nuovo log di HIJACKTHIS e poi fai una nuova scansione con il tool della kaspersky. prima posta il log di hijackthis, ok? ciao

19-01-2008, 13:08	#5
redegaet Senior Member Iscritto dal: Jan 2004 Città: Milano Messaggi: 704	Ecco la nuova scansione di Hijackthis: Hijackthis

19-01-2008, 13:32	#8
redegaet Senior Member Iscritto dal: Jan 2004 Città: Milano Messaggi: 704	Scusa non mi è ben chiaro il concetto di "fixare". Mi sento una m...., è spiegato in qualche guida?

20-01-2008, 23:21	#13
redegaet Senior Member Iscritto dal: Jan 2004 Città: Milano Messaggi: 704	Ragazzi non c'è nessuno che riesce a darmi una mano? Non voglio sembrare un rompimaroni, ma ho una certa urgenza di sistemare il pc perchè sia io che mia sorella abbiamo degli esami all'università fra pochissimo e lei deve consegnare dei lavori fatti con autocad. Lo formatterei anche, ma perderei del tempo che mi è essenziale per lo studio (e non sono neanche sicuro di risolvere reimportando email e documenti). Ho visto che state dietro a numerosissime persone, quindi capisco comunque l'impossibilità di dar retta a tutti. Alex

21-01-2008, 20:23	#15
redegaet Senior Member Iscritto dal: Jan 2004 Città: Milano Messaggi: 704	Ciao, ti ringrazio per l'aiuto che mi stai dando, davvero non lo do per scontato. Ti rispondo solo ora perchè ci mette molto a fare le scansioni e oggi son stato all'università tutto il giorno. Venendo a noi: A-squared antidialer mi ha detto che non ha trovato dialers, però durante la sua scansione mi si è aperto avast dicendo che ha trovato il malware: WIN32:Agent-PBF[Trj] nel file: C:\WINDOWS\TEMP\a2archive\keygen.exe\[UPX] Alla fine della scansione di SUPERANTISPYWARE ho cliccato su avanti, non so se dovevo cliccare su annulla. Se ho sbagliato mi spiace. Così mi ha riavviato il pc e ho trovato di nuovo in esecuzione la cartella SYSTEM e l'applicazione STATIC (vista da task manager, poi dopo poco si chiudono) e Avast ha rilevato: WIN32: Dialer-1222[Trj] Posto tutti i log (di BitDefender serve il txt o l'html?) BitDefender SUPERAntiSpyware Hijackthis Grazie ancora, Alex

21-01-2008, 20:48	#19
redegaet Senior Member Iscritto dal: Jan 2004 Città: Milano Messaggi: 704	Spero sia questo quello che ti serve: http://www.fileup.itadib.com/downloa...Y7vNWD617wlUE6

Strumenti
Mostra una versione stampabile Invia questa pagina per email