Ciao a tutti!
Vi spiego rapidamente la situazione:
Da qualche giorno, il mio pc non si connette più alla rete.
Dopo aver fatto una scansione con avast (che non ha rilevato nulla), mi hanno suggerito di provare Spyware Doctor che in effetti ha rilevato diverse infezioni.
Ecco qui la schermata:

http://img205.imageshack.us/img205/6535/spywaredoctornt3.png (http://imageshack.us)

Il programma ha cancellato le minacce presenti tranne una:
Trojan-Downloader.Agent.akq
Quando cerco di cancellarlo esce questa finestra:

http://img90.imageshack.us/img90/3580/spywaredoctor3gx7.png (http://imageshack.us)

Il problema alla rete persiste e io non so come fare ad eliminare questo virus.
Grazie mille per l'attenzione...

Ester

Ciao,

procedi cosi scaricando questi tool:

CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup141.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.


ESET AGVPFIX: clicca qui per il download (http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua, rimuove e eventuali Win32/Agent.VP trojan


Vedi se alla fine il problema si ripropone ancora e facci sapere :D

disinstalla avast e metti antivir, tanto per cominciare...
poi fai una scansione del sistema e vedi cosa trova, poi installa a-squared-free e rifai un altra scansione eliminandio cio che trova.

antivir -> http://www.antivir-pe.com/freet/index.php?id=25&domain=free-av.com

a-squared-free -> http://download5.emsisoft.com/a2FreeSetup.exe


fatto quanto detto dovrai fare una passata con:
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log)

-> http://www.zonavirus.com/datos/descargas/78/elistara.asp
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ElistarA per scaricare il Tool (per comodità, posizionalo su Desktop)

e mi posti il log che ha creato :)

Dopo ever eseguito le istruzioni di cui sopra, rilancia la scansione con Spyware Doctor ma da modalità provvisoria F8

Per Glenda.

Ok, ora provo.
Purtroppo non posso scaricare gli aggiornamenti perchè il pc non si connette alla rete. Va bene lo stesso?
I tool è meglio che li lancio in modalità provvisoria o in quella normale?

Per Glenda.

Ok, ora provo.
Purtroppo non posso scaricare gli aggiornamenti perchè il pc non si connette alla rete. Va bene lo stesso?
I tool è meglio che li lancio in modalità provvisoria o in quella normale?

F8

F8

vero, in modalità provvisoria! :D

vero, in modalità provvisoria! :D

sorry stavo scrivendo il post quando hai postato :)

Ho seguito la procedura indicata da Glenda:

Cccleaner ha riparato alcuni file.

Panda antirootkit, asquared free e eset agvpfix non hanno trovato nulla di sospetto.

Il problema persiste. Ho disistallato Avast e dopo cena installerò antivir e gli farò fare una scansione del sistema.

Ciao!!!

Ho seguito la procedura indicata da Glenda:

Cccleaner ha riparato alcuni file.

Panda antirootkit, asquared free e eset agvpfix non hanno trovato nulla di sospetto.

Il problema persiste. Ho disistallato Avast e dopo cena installerò antivir e gli farò fare una scansione del sistema.

Ciao!!!

rilancia la scansione con Spyware Doctor ma da modalità provvisoria F8

Ho seguito la procedura indicata da Glenda: Il problema persiste. Ho disistallato Avast e dopo cena installerò antivir e gli farò fare una scansione del sistema.
Ciao michiru, prima che tu esegua la scansione con il nuovo Antivirus, vorrei vedere unl log di ElistartA, se fosse possibile (è un tool che ti ha indicato, nel suo reply, Deg).
In ogni caso, ti posto, qui di seguito, qui le relative istruzioni:

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
per scaricare il tool scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA
● per comodità, posizionalo su Desktop
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt
● clicca su Risorse del Computer, poi su Disco Locale C:
●trovi il log e lo alleghi alla discussione
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

Poi, una volta disintallato Avast (per procedere alla corretta disinstallazione, prima lo devi terminare, dalla relativa icona che trovi sulla traybar, accanto all'orologio) ed installato in nuovo Antivirus:
● lo aggiorni ed esegui una scansione completa del sistema;
● ripeti la scansione con SpyDoctor, con le modalità che ti ha indicato Chill, nel suo reply.

Al termine di tutto questo, pubblica, anche, un nuovo log di Hthis.

Ok, allora faccio partire ElistartA.
Appena ho finito posto il log.

Ecco fatto.
Ha trovato un file infetto.

Ecco qui il log:


Tue Oct 16 20:10:34 2007
EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Oct 16 20:11:06 2007
EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Oct 16 20:11:08 2007
EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\CMDLINEEXT03.DLL --> Eliminado, Spy-CmdLineExt

sorry.. abbiamo postato insieme...

cmq una cosa l'ha trovata:
C:\WINDOWS\system32\CMDLINEEXT03.DLL --> Eliminado, Spy-CmdLineExt

ora prova a installare avira dopo un restart, poi aggiorni subito e avvii il pc in modalità provvisoria (F8 subito dopo che ha fatto lo splesh screen della scheda madre)

No, altro che fastidio... senza il vostro aiuto sarei persa...
Ringrazio davvero tutti, siete fantastici. Non so che altro fare... vi offrirei pure una pizza ma mi sa che abitiamo lontani... :D

Ho già installato Avira prima di fare partire Elistarta.
Lo devo reistallare?
L'aggiornamento non lo posso fare perché non mi si connette alla rete.

sorry.. abbiamo postato insieme...

cmq una cosa l'ha trovata:
C:\WINDOWS\system32\CMDLINEEXT03.DLL --> Eliminado, Spy-CmdLineExt

ora prova a installare avira dopo un restart, poi aggiorni subito e avvii il pc in modalità provvisoria (F8 subito dopo che ha fatto lo splesh screen della scheda madre)

Vedi qui!

Vedi qui!

Scusa ma qui dove?
Se è un collegamento a me nn parte...

Scusa ma qui dove? Se è un collegamento a me nn parte...
Intendeva dire qui: Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho.
Leggi, attentamente, i primi tre post (in ogni caso la Guida contiene altre cose importanti ed interessanti in relazione ad Antivir).
Per ora, visto che non puoi connetterti ad Internet (poi mi spiegi la ragione) limitati a eseguire una scansione completa senza aggiornamenti.

@ Michiru, fai una cosa, per favore, pubblica un log di Hthis:

HIJACKTHIS: clicca qui per il download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
● crea una nuova Cartella sul Desktop (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona di Startup)
● lancialo poi clicca su Scan ed una volta che è stata creata la list, clicca su Save Log
● pubblica, il relativo log

Procedura alternativa, per pulire gli ADS:
● rilancia Hthis
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Ah, ora ho capito. Grazie per il chiarimento!
Appena antivir finisce la scansione, faccio quello che mi hai detto.
E' quasi alla fine, penso che entro 10/15 minuti avrà finito.

Per il fatto che il pc non si collega alla rete, un mio amico ha detto che dovrebbe essere un virus. La scheda di rete funziona, le impostazioni della connessione esatte e il router va (infatti con questo portatile posso connettermi)... sinceramente non so cosa altro possa essere se non un virus.

una volta fatte tutte le scansioni,prova ad eseguire questo (http://www.xp-smoker.com/downloads/xptcprep.exe) file,remposta te manualmente le impostazioni di connessione e prova a collegarti

Antivir ha rilevato 3 infezioni:
TR/Drop.HotWebBar.C
CC/00233
HEUR-DBLEXT/Crypted

Ho riavviato e ho lanciato Hthis
Ecco il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.45.13, on 16/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Spyware Doctor\svcntaux.exe
C:\Programmi\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spyware Doctor\SDTrayApp.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Documents and Settings\MICHIRU\Desktop\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SDTray] "C:\Programmi\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151655586015
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI1933~1\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

--
End of file - 7597 bytes

il log è pulito.
ora però ce ne serve uno di findawf

Antivir ha rilevato 3 infezioni:
TR/Drop.HotWebBar.C
dovrebbe esser relativo a questo
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
C:\Programmi\Delicious winter edition Deluxe English\deliciouswinteredition.exe
falli analizzare entrambi qui (http://www.virustotal.com)

Ho riavviato e ho lanciato Hthis
Come ti ha ha già detto Juninho il log è a posto.

devi aggiornare JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al suo Pannello di controllo
● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso

per scaricare FINDAWF: clicca qui per il download (http://www.alground.com/site/modules/mydownloads/visit.php?cid=3&lid=6)

@ Michiru82: quanto noi che il sito "Drunken Donkey" non sia proprio un logo "lecito" , non a caso la finanza è stata costretta più di una volta a mettere briglie agli admin..
detto questo quel nome (abbreviato DD) non lo voglio più leggere su questo forum, credo tu comprenda il problema :)

PS: hai tempo fino a domattina alle 08:00 per cancellare la porola "Drunken Donkey" dopo di che sarò costretto a prendere provvedimenti.
spiacente :boh:

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll

La toolbar in questione sarebbe legittima: fa riferimento a:

http://www.megaupload.com/it/
http://www.megaupload.com/toolbar/it/

evitare di installarla sarebbe consigliabile.

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll

La toolbar in questione sarebbe legittima: fa riferimento a
http://www.megaupload.com/it/
http://www.megaupload.com/toolbar/it/

per me avira ha colpito ancora...vediamo se secondo virustotal è l'unico a steccare

per me avira ha colpito ancora...
Quella toolbar, contiene uno spyware: Alexa toolbar.
Il fatto è che se non la installi non hai modo di scaricare i file hostati.

Ho modificato il post incriminato. Comprendo benissimo la situazione.
Avrei dovuto pensarci.

Ecco il log di findawf:

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report


Poi ho fatto analizzare i due file su virus total:

C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll risulta pulito

C:\Programmi\Delicious winter edition Deluxe English\deliciouswinteredition.exe risulta pulito per tutti escluso

Webwasher-Gateway 6.6.1 2007.10.16 Worm.Win32.Malware.gen (suspicious)

prova QUESTO TOOL (http://www.snapfiles.com/php/download.php?id=107303&a=7120710&tag=1445888&loc=2) serve per ristabilire i valori di default dei Winsock, ripristinando la funzionalità delle connessioni internet.

Ok, quando torno a casa stasera ci provo.
Oggi sono fuori per tutto il giorno.
Grazie a tutti per i consigli!!!

Ho rifatto una scansione in modalità provvisoria con Antivir, dopo che l'ho configurato come diceva la guida di Juninho (è molto chiara e utilissima, complimenti all'autore) e ha rilevato altri virus.
Dopo aver riavviato ho fatto una scasione sempre in modalità provvisioria con Spyware Doctor e ha trovato un altro virus, che ha poi rimosso. Stavolta si trattava di Trojan-PWS.delf.EJ
Ho riavviato e usato il tool che ristabilisce i valori di default dei Winsock che mi ha gentilmente consigliato Lancetta, ma niente... la rete non funziona...

Non pensavo di avere ancora dei virus...
Cosa mi consigliate?

Grazie mille a tutti per l'aiuto e i consigli!

Ecco il log di Antivir:


AntiVir PersonalEdition Classic
Report file date: martedì 16 ottobre 2007 21:15

Scanning for 835736 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: MICHIRU
Computer name: MICHIRU82

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 13:26:55
ANTIVIR2.VDF : 7.0.0.1 2048 Bytes 13/09/2007 13:27:04
ANTIVIR3.VDF : 7.0.0.2 2048 Bytes 13/09/2007 13:27:13
AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 17/09/2007 16:43:56
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\programmi\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: martedì 16 ottobre 2007 21:15

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'SDTrayApp.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'swdsvc.exe' - '0' Module(s) have been scanned
Scan process 'svcntaux.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'lsass.exe' - '0' Module(s) have been scanned
Scan process 'services.exe' - '0' Module(s) have been scanned
Scan process 'winlogon.exe' - '0' Module(s) have been scanned
Scan process 'csrss.exe' - '0' Module(s) have been scanned
Scan process 'smss.exe' - '0' Module(s) have been scanned
5 processes with 5 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '31' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\MICHIRU\Desktop\Programmi\Setup programmi\eon.ptp_ShareAccelerator.exe
[DETECTION] Is the Trojan horse TR/Drop.HotWebBar.C
[INFO] The file was deleted!
C:\Documents and Settings\MICHIRU\Desktop\Programmi\Setup programmi\Nero_Burning_ROM_6.6.0.8_MultiLang_incl_KeyGen.rar
[0] Archive type: RAR
--> Nero Burning ROM 6.6.0.8\KeyGen\MultiKeyGen.exe
[DETECTION] Contains detection pattern of a probably damaged sample CC/00233
[INFO] The file was deleted!
C:\Documents and Settings\MICHIRU\Desktop\Programmi\Setup programmi\[PCGame] Bricks Of Atlantis + Keygen.rar
[0] Archive type: RAR
--> KG\eclboa10_ttdown.com.exe
[DETECTION] Contains detection pattern of the HEUR-DBLEXT/Crypted virus
[INFO] The file was deleted!
C:\WINDOWS\system32\drivers\atapi.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!


End of the scan: martedì 16 ottobre 2007 22:39
Used time: 1:24:06 min

The scan has been done completely.

7818 Scanning directories
375723 Files were scanned
2 viruses and/or unwanted programs were found
1 Files were classified as suspicious:
3 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
375721 Files not concerned
2897 Archives were scanned
3 Warnings
11 Notes

Prova a scaricare PREVX 2.0 (versione trial 30 giorni), installalo, aggiornalo e fai una scansione completa.

Vediamo cosa trova!

ci serve un log di findawf

ciao , per ripristinare la connessione internet potresti provare questa procedura:
In Windows Xp Service Pack 2 è possibile riparare Winsock nel seguente modo:

Start -> Esegui -> digita “cmd” (senza virgolette) -> OK.

Al prompt dei comandi digitare quanto segue, quindi premere il tasto [INVIO]:

netsh Winsock reset

Al termine del programma verrà visualizzato il seguente messaggio:

“Reimpostazione catalogo Winsock completata. È necessario riavviare il computer.”

• Reset dello stack tcp/ip: Start->Esegui -> digita “cmd” (senza virgolette) -> OK

Al prompt dei comandi digitare quanto segue, quindi premere il tasto [INVIO]:

netsh int ip reset reset.log
Entrambi i comandi vanno lanciati previa chiusura di tutte le applicazioni.


oppure prova a scaricare questa applicazione
http://www.cexx.org/lspfix.htm

questa procedura è tratta da questo link
http://www.microsoft.com/italy/technet/community/mvp/editoriali/spyware.mspx

Ho installato perevx 2.0 ma non mi parte. Non riesco ad attivare il trial di 30 giorni perchè c'è connessione ad internet.

Il log di find awf è tutto qui:

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

Ho provato la procedura che mi hai suggerito, Shoshen, e ho anche fatto partire lspfix, ma non ha trovato nulla da sistemare. Il pc non si connette lo stesso. Non riesce nè a inviare nè a ricevere pacchetti.
Non riesco a capirne il motivo...

Ho provato ad eseguire la diagnostica per i problemi di rete, ecco il risultato:

Ultima esecuzione diagnostica: 10/18/07 18:13:42
Diagnostica WinSock
Stato WinSock

info Errore durante il tentativo di convalidare il provider servizi di base di Winsock: 2
error Non è stato possibile trovare tutte le voci dei provider servizi di base nel catalogo Winsock. È necessaria una reimpostazione.
info Reindirizzamento dell'utente al supporto tecnico

Diagnostica scheda di rete
Rilevamento percorso di rete

info Utilizzo di connessione Internet domestica
Identificazione scheda di rete

info Connessione di rete: nome=Connessione alla rete locale (LAN), periferica=NVIDIA nForce Networking Controller, tipo supporto=LAN, tipo supporto secondario=LAN
info Connessione Ethernet selezionata
Stato scheda di rete

info Stato della connessione di rete: Connesso.

Diagnostica HTTP, HTTPS, FTP
Connettività HTTP, HTTPS, FTP

warn FTP (passiva): errore 12007 durante la connessione a ftp.microsoft.com: The server name or address could not be resolved
warn HTTP: errore 12007 durante la connessione a www.microsoft.com: The server name or address could not be resolved
warn HTTPS: errore 12007 durante la connessione a www.microsoft.com: The server name or address could not be resolved
warn FTP (attiva): errore 12007 durante la connessione a ftp.microsoft.com: The server name or address could not be resolved
warn HTTP: errore 12007 durante la connessione a www.hotmail.com: The server name or address could not be resolved
warn HTTPS: errore 12007 durante la connessione a www.passport.net: The server name or address could not be resolved
error Impossibile eseguire una connessione HTTP.
error Impossibile eseguire una connessione HTTPS.
error Impossibile eseguire una connessione FTP.

prova a leggere questa guida...il software presentato dovrebbe avere tra le sue opzioni una modalità per il ripristino della connessione ad internet danneggiata da eventuali malware (gia che ci sei fai pure una scansione)
qui la guida
http://www.hwupgrade.it/forum/showthread.php?t=1567399
qui il download
http://www.superantispyware.com/

Ok grazie!
Ho scaricato il programma, l'ho installato e ora ho fatto partire una scansione.
Quando finisce vi comunico i risultati.

la scansione è sempre utile ...oltre a quella però mi riferivo alla modalità elencata nella guida nella figura f (repairs)... ti conviene darci un occhiata e seguire le istruzioni in quanto potrebbe ritornarti utile in relazione al ripristino della tua connessione :)

Durante la scansione ha trovato un paio di files infetti.

Sono andata in Repairs e ho riparato, ma la connessione è cmq assente.

visto che ormai hai utilizzato un bel po di strumenti di pulizia e non sei riuscito a risolvere ( considerando anche che l ultima scansione fatta con superantispyware ha trovato file infetti) ti consiglio di provare a questo punto anche avg antispyware, magari da modalità provvisoria facendo uno scan completo
http://free.grisoft.com/doc/download-free-anti-spyware/us/frt/0

Ok, lo scarico e provo a fare una scansione.
Ma secondo te riuscirò a risolvere o conviene formattare?

io ti consiglierei di non formattare per il momento , magari qualcuno qui sul forum ti darà qualche utile consiglio a breve... non riesco a capire come mai non si riesca a ripristinare la connessione ad internet pur avendo provato tutti i tool per il ripristino...è molto probabile che tu sia ancora infetto considerando che ogni software di pulizia che fai girare trova qualcosa che l altro non aveva trovato :)

Ok, lo scarico e provo a fare una scansione.
Ma secondo te riuscirò a risolvere o conviene formattare?

Allora...
1)Al tuo modem il segnale ADSL giunge regolarmente?
2)poi fai questo rapido controllo: Risorse di Rete - e verifica se la CONNESSIONE ALLA RETE LOCALE (LAN) è connesa o meno e inoltre controlla se è presente la connessione di ALICE ADSL

Aspettiamo tue notizie!

Sì anche secondo me il pc è ancora infetto.

Il segnale asdl c'è. Ho un router a cui sono collegata tramite lan con questo portatile e con il pc infetto. La connessione sul portatile è attiva.
Inoltre ho provato a scaricare il cd di knoppix e avviare linux da cd. Con linux il pc incriminato si connette, quindi non è un problema di linea.

Cmq sul pc infetto la connessione viene segnalata come attiva ma non lo è.
Il pc non scarica nè riceve pacchetti e non pinga.

Sì anche secondo me il pc è ancora infetto.

Il segnale asdl c'è. Ho un router a cui sono collegata tramite lan con questo portatile e con il pc infetto. La connessione sul portatile è attiva.
Inoltre ho provato a scaricare il cd di knoppix e avviare linux da cd. Con linux il pc incriminato si connette, quindi non è un problema di linea.

Cmq sul pc infetto la connessione viene segnalata come attiva ma non lo è.
Il pc non scarica nè riceve pacchetti e non pinga.
hai già provato a disinstallare la scheda di rete? (se ti colleghi al router tramite essa)
verrà reinstallata in automatico al sucecssivo riavvio ;)

cmq dai una passata di a-squared-free perchè qualcosa da rimuovere ancora c'è e possibilmente in modalità provvisoria :)
per la guida a come configurarlo: http://www.hwupgrade.it/forum/showthread.php?t=1564958

Ho provato anche avg antispyware da modalità provvisoria. Ho fatto uno scan completo e non ha trovato nulla.

Non ho provato a disinstallare la scheda di rete... ci provo subito!

Poi faccio un'altra passata con asquared free.

Grazie a tutti!

Ho provato anche avg antispyware da modalità provvisoria. Ho fatto uno scan completo e non ha trovato nulla.

Non ho provato a disistallare la scheda di rete... ci provo subito!

Poi faccio un'altra passata con asquared free.

Grazie a tutti!

conviene prima la passata di a-squared e poi il reinstallare la scheda di rete ;)

Ok, ho fatto partire asquared free. Ora aspetto!

se non sei ancora riuscita a risolvere potresti provare scaricando la trial di kaspersky antivirus(clicca su prova gratuita)
http://www.kasperskystore.it/eval.html
ciao:)

Asquared free ha finito la scansione e non ha trovato nulla di sospetto.

Ho provato a disinstallare la scheda di rete, ma non è cambiato niente.

OK provo a scaricare anche Kaspersky... grazie e a dopo!

Scusate se non mi sono fatta sentire prima, ma non ero a casa.
Ho provato ad installare kaspersky e mi ha eliminato 2 file infetti.
All'avvio del pc Kaspersky mi rileva dei rootkit relativi a queste applicazioni:
svchost.exe (pid 1616) - winlogon.exe (pid 1212) - wuauclt.dll (pid 2280) - explorer.EXE (pid 1004)
Kaspersky mi chiede se devo terminare, bloccare, saltare o aggiungere ad una zona attendibile.
Ho provato a terminarle, ma mi si impalla il pc... come mi devo comportare?
Grazie a tutti in anticipo!

Prova questo:
PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

Ricordati il log di Elisarta da allegare qui.

Panda Antirootkit non ha trovato nulla.

Ecco il log di Elistarta:

Wed Oct 24 14:32:26 2007
EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Wed Oct 24 14:32:30 2007
EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Exploración Detenida por el Usuario.

Wed Oct 24 14:33:19 2007
EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE

Wed Oct 24 14:33:22 2007
EliStartPage v14.83 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

prova a postarci un log di gmer con le sole system e rootkit spuntate

prova anche a vedere se c'è il file rasapi32.dll
nella cartella windows\system32.

Ho allegato i log:
gmer1 è il log ottenuto in modalità normale, gmer2 in modalità provvisoria.

Sì, c'è rasapi32.dll nella cartella che hai detto.