Ciao a tutti, ho un problemone con un trojan. All'avvio il mio Antivir dopo l'aggiornamento di ieri sera, rileva un bel po' di file eseguibili e dell'avvio rapido infetti da un trojan che Antivir mi dice essere:
TR/Dldr.Obfuscated.BK

Qualcuno saprebbe darmi una mano gentilmente? Grazie

Posta il log di Hijackthis ;)

instant access tanto per capirsi

posta il log di findawf

ecco il log


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\WINDOWS\BAK

11/05/2000 02.00 90.112 UpdReg.EXE
1 File 90.112 byte
2 Directory 112.083.779.584 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\ANTIVI~1\BAK

21/08/2006 13.06 241.704 avgnt.exe
1 File 241.704 byte
2 Directory 112.083.779.584 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\DAEMON~1\BAK

12/11/2006 12.48 157.592 daemon.exe
1 File 157.592 byte
2 Directory 112.083.775.488 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 112.083.775.488 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
09/07/2001 11.50 155.648 NeroCheck.exe
2 File 171.008 byte
2 Directory 112.083.775.488 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\ATITEC~1\ATICON~1\BAK

25/11/2003 22.10 335.872 atiptaxx.exe
1 File 335.872 byte
2 Directory 112.083.775.488 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\CREATIVE\SHAREDLL\BAK

26/12/2001 04.00 191.488 CtNotify.exe
1 File 191.488 byte
2 Directory 112.083.775.488 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\CREATIVE\SPLASH~1\BAK

20/12/2001 02.00 28.672 CTEaxSpl.EXE
1 File 28.672 byte
2 Directory 112.083.775.488 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\SYGATE\SPF\BAK

30/06/2004 17.56 2.376.928 smc.exe
1 File 2.376.928 byte
2 Directory 112.083.775.488 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\TRUST\TRUSTM~1\BAK

03/09/2006 23.00 462.848 CnxDslTb.exe
1 File 462.848 byte
2 Directory 112.083.775.488 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\CREATIVE\SBLIVE\AUDIOHQ\BAK

0 File 0 byte
2 Directory 112.083.775.488 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\CREATIVE\SBLIVE\PROGRAM\BAK

04/10/2001 02.00 28.672 ADGJDet.exe
1 File 28.672 byte
2 Directory 112.083.771.392 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\JAVA\JRE15~2.0_0\BIN\BAK

12/10/2006 04.10 49.263 jusched.exe
1 File 49.263 byte
2 Directory 112.083.771.392 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\CREATIVE\SBLIVE\REMOTE~1\RC\BAK

31/01/2002 02.40 122.880 Rcman.exe
1 File 122.880 byte
2 Directory 112.083.771.392 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

24076 5 Apr 2007 "C:\WINDOWS\UpdReg.EXE"
90112 11 May 2000 "C:\WINDOWS\bak\UpdReg.EXE"
262184 5 Apr 2007 "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe"
241704 21 Aug 2006 "C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe"
24076 5 Apr 2007 "C:\Programmi\DAEMON Tools\daemon.exe"
157592 12 Nov 2006 "C:\Programmi\DAEMON Tools\bak\daemon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
24076 5 Apr 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
24076 5 Apr 2007 "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
335872 25 Nov 2003 "C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe"
24076 5 Apr 2007 "C:\Programmi\Creative\ShareDLL\CtNotify.exe"
191488 26 Dec 2001 "C:\Programmi\Creative\ShareDLL\bak\CtNotify.exe"
24076 5 Apr 2007 "C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE"
28672 20 Dec 2001 "C:\Programmi\Creative\Splash Screen\bak\CTEaxSpl.EXE"
2376928 30 Jun 2004 "C:\Programmi\Sygate\SPF\Smc.exe"
2376928 30 Jun 2004 "C:\Programmi\Sygate\SPF\bak\smc.exe"
2577632 15 Oct 2004 "E:\Programmi\Sygate\SPF\Smc.exe"
24076 5 Apr 2007 "C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe"
462848 3 Sep 2006 "C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\bak\CnxDslTb.exe"
24076 5 Apr 2007 "C:\Programmi\Creative\SBLive\Program\ADGJDet.exe"
28672 4 Oct 2001 "C:\Programmi\Creative\SBLive\Program\bak\ADGJDet.exe"
36975 10 Nov 2005 "C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe"
24076 5 Apr 2007 "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
49263 12 Oct 2006 "C:\Programmi\Java\jre1.5.0_09\bin\bak\jusched.exe"
32873 19 Aug 2003 "C:\Programmi\Techland\Xpand Rally Xtreme\jre\bin\jusched.exe"
24076 5 Apr 2007 "C:\Programmi\Creative\SBLive\RemoteCenter\Rc\Rcman.exe"
122880 31 Jan 2002 "C:\Programmi\Creative\SBLive\RemoteCenter\Rc\bak\Rcman.exe"


end of report

e che ti avevo detto

con the avanger http://www.megalab.it/articoli.php?id=946

insersci questo script


Files to move:
C:\WINDOWS\bak\UpdReg.EXE | C:\WINDOWS\UpdReg.EXE
C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe | C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\DAEMON Tools\bak\daemon.exe | C:\Programmi\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Sygate\SPF\bak\smc.exe | C:\Programmi\Sygate\SPF\smc.exe
C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\bak\CnxDslTb.exe | C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe
C:\Programmi\Creative\SBLive\Program\bak\ADGJDet.exe | C:\Programmi\Creative\SBLive\Program\ADGJDet.exe
C:\Programmi\Java\jre1.5.0_09\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmi\Creative\SBLive\RemoteCenter\Rc\bak\Rcman.exe | C:\Programmi\Creative\SBLive\RemoteCenter\Rc\Rcman.exe

ok, questo è lo script di risposta. Now?

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\djugqrjm

*******************

Script file located at: \??\C:\WINDOWS\system32\pgjdiwww.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\bak\UpdReg.EXE|C:\WINDOWS\UpdReg.EXE completed successfully.
File move operation C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe|C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe completed successfully.
File move operation C:\Programmi\DAEMON Tools\bak\daemon.exe|C:\Programmi\DAEMON Tools\daemon.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe completed successfully.
File move operation C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe|C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe completed successfully.
File move operation C:\Programmi\Sygate\SPF\bak\smc.exe|C:\Programmi\Sygate\SPF\smc.exe completed successfully.
File move operation C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\bak\CnxDslTb.exe|C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe completed successfully.
File move operation C:\Programmi\Creative\SBLive\Program\bak\ADGJDet.exe|C:\Programmi\Creative\SBLive\Program\ADGJDet.exe completed successfully.
File move operation C:\Programmi\Java\jre1.5.0_09\bin\bak\jusched.exe|C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe completed successfully.
File move operation C:\Programmi\Creative\SBLive\RemoteCenter\Rc\bak\Rcman.exe|C:\Programmi\Creative\SBLive\RemoteCenter\Rc\Rcman.exe completed successfully.

Completed script processing.

*******************

elimina le cartelle bak

C:\WINDOWS\bak <-----
C:\Programmi\AntiVir PersonalEdition Classic\bak <-----
C:\Programmi\DAEMON Tools\bak <-----
C:\WINDOWS\system32\bak <-----
C:\Programmi\ATI Technologies\ATI Control Panel\bak <-----
C:\Programmi\Creative\ShareDLL\bak <-----
C:\Programmi\Creative\Splash Screen\bak <-----
C:\Programmi\Sygate\SPF\bak <-----
C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\bak <-----
C:\Programmi\Creative\SBLive\Program\bak <-----
C:\Programmi\Java\jre1.5.0_09\bin\bak <-----
C:\Programmi\Creative\SBLive\RemoteCenter\Rc\bak <-----

Se vuoi, disinstalla il java jre1.5.0_09 ed installa la versione + recente
https://sdlc6a.sun.com/ECom/EComActionServlet;jsessionid=EC8BF6E1B367D316ADDFBDDF7DDA92E2

Ciao

ho cancellato le cartelle però mi escono acnora messaggi di errore quindi ho rifatto il log con FindAWF ed è uscito ciò:


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 112.133.738.496 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\CREATIVE\SBLIVE\AUDIOHQ\BAK

0 File 0 byte
2 Directory 112.133.738.496 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

perfetto, sei pulito

perfetto, sei pulito

eppure mi escono ancora tre file infetti!!

help

dove te li trova i files infetti?

dove te li trova i files infetti?

nella cartella della creative, dove c'è tutto l'ambaradam per la scheda audio

reinstalla la roba crative; altrimenti posta un log di hijackthis; c'è qualcosa che mi è sfuggito;

ecco il log di hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 17.15.21, on 22/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Creative\SBLive\RemoteCenter\Rc\Rcman.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\dario\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O3 - Toolbar: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\SBLive\RemoteCenter\Rc\Rcman.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0835BC90-6ABC-4F52-A103-4FC3A61F2C33} (A18X Control) - http://www.albatross18.com/season2/cabs/A18X.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B82CFE5-8EFE-4B6B-B895-B9E12C7232D0}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

Log pulito...

visto che sono in avvio automatico potrebbero essere stati infettati anche quelli...

riposta il log di findawf per sicurezza

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 111.743.631.360 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 8444-BD97

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 111.743.631.360 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

In base a questo report non sei infetto...:confused:

eh nn so, ogni volta all'avvio mi escono gli avvisi di questi 3 file infetti nella cartella creative sempre con quel trojan lì

prova a far analizzare i files su virustotal e vedere se sono falsi positivi...

su virustotal molti lo rilevano cm virus trojan!

scaricati sysclean
http://www.megalab.it/articoli.php?id=533

e fai una bella scan in modalità provvisoria

ma l'hai disabilitato il ripristino di config di sistema?

ma l'hai disabilitato il ripristino di config di sistema?

cioè, da dove lo vedo?

scaricati sysclean
http://www.megalab.it/articoli.php?id=533

e fai una bella scan in modalità provvisoria

anche così i virus persistono :cry:

cioè, da dove lo vedo?
forse il problema della persistenza dei virus sta proprio nel fatto che non hai disabilitato il ripristino di configurazione di sistema. (credo)
Per vedere se ce l'hai disabilitato o meno vai su:
START - IMPOSTAZIONI - PANNELLO DI CONTROLLO - SISTEMA - linguetta RIPRISTINO CONFIG DI SIST. - Poi vedi se c'é la spunta su DISATTIVA RIPRISTINO CONFIG DI SISTEMA

forse il problema della persistenza dei virus sta proprio nel fatto che non hai disabilitato il ripristino di configurazione di sistema. (credo)
Per vedere se ce l'hai disabilitato o meno vai su:
START - IMPOSTAZIONI - PANNELLO DI CONTROLLO - SISTEMA - linguetta RIPRISTINO CONFIG DI SIST. - Poi vedi se c'é la spunta su DISATTIVA RIPRISTINO CONFIG DI SISTEMA

sì c'è la spunta su disattiva ripristino config di sistema

levala e clicca su ok e poi rifai la scansione

levala e clicca su ok e poi rifai la scansione

fatto, li trova ancora

fatto, li trova ancora

si può sapere il percordo preciso dei file?

C:\Programmi\Creative\Splash Screen\CTEaxSpl.exe

poi ci sono altri file infetti in altre sotto cartelle della cartella Creative tipo la cartella ShareDLL

quello dellacreative cancellalo, a mali estremi lo reinstalli; gli altri devo sapere che file sono prima di dirti qualcosa

C:\Programmi\Creative\ShareDLL\CtNotify.exe

questo è l'altro file

ma cm faccio ad eliminarli visto che nn me lo fa fare?

ma cm faccio ad eliminarli visto che nn me lo fa fare?


con avenger;

script

files to delete:
[percorso]

ok grazie mille sembra che nn ci siano + virus. Un'ultima cosa: la cartella creata da avenger con un file .zip chiamato backup dove dentro ci sn i virus devo eliminarla?

ok grazie mille sembra che nn ci siano + virus. Un'ultima cosa: la cartella creata da avenger con un file .zip chiamato backup dove dentro ci sn i virus devo eliminarla?


prima inviami il file all'indirizzo che ti speditò in privato

pc dell'ufficio infettato a causa delle incursioni in rete delle figlie del titolare.. :(

provata scansione con avast, spybot e adaware aggiornati ma nulla...

trovato in rete notizie + dettagliate

questo report di findawf:

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D066-8CF6

Directory di C:\PROGRA~1\MICROS~2\BAK

12/07/2000 12.59 24.576 wkfud.exe
12/07/2000 14.14 311.350 WksSb.exe
2 File 335.926 byte
2 Directory 26.637.197.312 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D066-8CF6

Directory di C:\WINDOWS\SYSTEM32\BAK

09/07/2001 11.50 155.648 NeroCheck.exe
1 File 155.648 byte
2 Directory 26.637.197.312 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D066-8CF6

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

15/01/2007 19.28 108.160 ashDisp.exe
1 File 108.160 byte
2 Directory 26.637.193.216 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D066-8CF6

Directory di C:\PROGRA~1\HEWLET~1\HPSHAR~1\BAK

17/04/2002 11.42 69.632 hpgs2wnd.exe
1 File 69.632 byte
2 Directory 26.637.193.216 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D066-8CF6

Directory di C:\PROGRA~1\FILECO~1\MICROS~1\WORKSS~1\BAK

11/09/2001 14.27 28.738 WkUFind.exe
1 File 28.738 byte
2 Directory 26.637.193.216 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D066-8CF6

Directory di C:\PROGRA~1\HEWLET~1\DIGITA~1\UNLOAD\BAK

07/10/2002 01.23 90.112 hpqcmon.exe
1 File 90.112 byte
2 Directory 26.637.193.216 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

24076 6 Apr 2007 "C:\Programmi\Microsoft Works\wkfud.exe"
24576 12 Jul 2000 "C:\Programmi\Microsoft Works\bak\wkfud.exe"
24076 6 Apr 2007 "C:\Programmi\Microsoft Works\WksSb.exe"
311350 12 Jul 2000 "C:\Programmi\Microsoft Works\bak\WksSb.exe"
24076 6 Apr 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
108160 15 Jan 2007 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"
24076 6 Apr 2007 "C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe"
69632 17 Apr 2002 "C:\Programmi\Hewlett-Packard\HP Share-to-Web\bak\hpgs2wnd.exe"
24076 6 Apr 2007 "C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe"
28738 11 Sep 2001 "C:\Programmi\File comuni\Microsoft Shared\Works Shared\bak\WkUFind.exe"
24076 6 Apr 2007 "C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe"
90112 7 Oct 2002 "C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\bak\hpqcmon.exe"


end of report


personalmente però nn mi fido a impostare da solo lo script x avenger... qualcuno può aiutarmi?

la spunta su disattiva ripristino configurazione di sistema va messa o no?
(se la metto mi dice che perdo i punti di ripristino salvati... nn è rischioso? a casa x esempio pur non avendo la spunta ho provato a tornare indietro di un mese e mi dice che nn è possibile... forse è il tea timer resident di spybot che me lo impedisce?)
la spunta va messa prima della scansione con findawf? prima del ciclo con avenger? durante ste cose devo spegnere tutto tipo antivirus e programmi in background?


tia

pc dell'ufficio infettato a causa delle incursioni in rete delle figlie del titolare.. :(


con the avanger http://www.megalab.it/articoli.php?id=946

insersci questo script
Files to move:
C:\Programmi\Microsoft Works\bak\WksSb.exe | C:\Programmi\Microsoft Works\WksSb.exe
C:\Programmi\Microsoft Works\bak\wkfud.exe | C:\Programmi\Microsoft Works\wkfud.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe | C:\Programmi\Alwil Software\Avast4\ashDisp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\bak\hpgs2wnd.exe | C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\bak\WkUFind.exe | C:\Programmi\File comuni\Microsoft Shared\Works Shared\\WkUFind.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\bak\hpqcmon.exe | C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe



apparte un hips (se ce l'hai ) no ndevi disattivare niente

poi posta il log di avenger

con la spunta su disattiva ripristino configurazione di sistema e tutto il resto lasciato normallmente attivo, questo è quanto...

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ryusttha

*******************

Script file located at: \??\C:\Documents and Settings\tygoxkxo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Programmi\Microsoft Works\bak\WksSb.exe not found!
File move operation C:\Programmi\Microsoft Works\bak\WksSb.exe|C:\Programmi\Microsoft Works\WksSb.exe failed!

Could not process line:
C:\Programmi\Microsoft Works\bak\WksSb.exe|C:\Programmi\Microsoft Works\WksSb.exe
Status: 0xc0000034



File C:\Programmi\Microsoft Works\bak\wkfud.exe not found!
File move operation C:\Programmi\Microsoft Works\bak\wkfud.exe|C:\Programmi\Microsoft Works\wkfud.exe failed!

Could not process line:
C:\Programmi\Microsoft Works\bak\wkfud.exe|C:\Programmi\Microsoft Works\wkfud.exe
Status: 0xc0000034



File C:\WINDOWS\system32\bak\NeroCheck.exe not found!
File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe failed!

Could not process line:
C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe
Status: 0xc0000034



File C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe not found!
File move operation C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe|C:\Programmi\Alwil Software\Avast4\ashDisp.exe failed!

Could not process line:
C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe|C:\Programmi\Alwil Software\Avast4\ashDisp.exe
Status: 0xc0000034



File C:\Programmi\Hewlett-Packard\HP Share-to-Web\bak\hpgs2wnd.exe not found!
File move operation C:\Programmi\Hewlett-Packard\HP Share-to-Web\bak\hpgs2wnd.exe|C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe failed!

Could not process line:
C:\Programmi\Hewlett-Packard\HP Share-to-Web\bak\hpgs2wnd.exe|C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
Status: 0xc0000034



File C:\Programmi\File comuni\Microsoft Shared\Works Shared\bak\WkUFind.exe not found!
File move operation C:\Programmi\File comuni\Microsoft Shared\Works Shared\bak\WkUFind.exe|C:\Programmi\File comuni\Microsoft Shared\Works Shared\\WkUFind.exe failed!

Could not process line:
C:\Programmi\File comuni\Microsoft Shared\Works Shared\bak\WkUFind.exe|C:\Programmi\File comuni\Microsoft Shared\Works Shared\\WkUFind.exe
Status: 0xc0000034



File C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\bak\hpqcmon.exe not found!
File move operation C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\bak\hpqcmon.exe|C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe failed!

Could not process line:
C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\bak\hpqcmon.exe|C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

con la spunta su disattiva ripristino configurazione di sistema e tutto il resto lasciato normallmente attivo, questo è quanto...





allora la cosa è semplice; devo aver fatto un leggero casino nello script; credi di essere capace di fare manualmente il procedimento?

cioè cosa intendi?

cioè cosa intendi?

se ti dico come fare pensi di saperlo fare in maniera manuale la rimozione del trojan?

bhe se mi spieghi di cosa si tratta forse sì...

bhe se mi spieghi di cosa si tratta forse sì...

allora vediamo se questo articolo che ho scritto per tale virus è abbastanza chiaro http://www.megalab.it/articoli.php?id=985

da quello che ho capito i files buoni sono quelli dentro le cartelle bak... quelli cattivi sono quelli dentro le cartelle originali che sono stati sostituiti dal dialer...

le coppie di files in questione sono 7... e tutti e 7 sono da eliminare (questo era il mio dubbio) e tutti e 7 erano nel tuo script che quindi sembra fatto bene...

se si tratta solo di prendere i 7 files dalle cartelle bak e fare un copia e incolla e sostituisci in quello originali si può fare anche a mano... cancellando poi le cartelle bak vuote...

funzionerà?
a sto punto però mi chiedo come mai avenger nn ha funzionato col tuo script che sembra ok...

da quello che ho capito i files buoni sono quelli dentro le cartelle bak... quelli cattivi sono quelli dentro le cartelle originali che sono stati sostituiti dal dialer...

le coppie di files in questione sono 7... e tutti e 7 sono da eliminare (questo era il mio dubbio) e tutti e 7 erano nel tuo script che quindi sembra fatto bene...

se si tratta solo di prendere i 7 files dalle cartelle bak e fare un copia e incolla e sostituisci in quello originali si può fare anche a mano... cancellando poi le cartelle bak vuote...

funzionerà?
a sto punto però mi chiedo come mai avenger nn ha funzionato col tuo script che sembra ok...



bho; non vorrei che i file fossero stati cancellati dal virus; prova a fare la procedura in modalità provvisoria

x cui dici che se guardo dentro le cartelle bak nn trovo nemmeno + i file originali?
cosa cambierebbe farla in modalità provvisoria?

x cui dici che se guardo dentro le cartelle bak nn trovo nemmeno + i file originali?
cosa cambierebbe farla in modalità provvisoria?

te prova è solo un mio dubbio personale

vabbè ci proverò... ti farò sapere grazie mille :)