Saluti a tutti del Forum,
ieri sera a casa di un amico mi sono imbattuta in una infezione nuova a quantomeno fastidiosa.
Ho cercato tramite Google se c'erano già notizie utili su come pulire il PC da questo problema ma per ora ho trovato solo un rifermento ad uno dei files incriminati sul PC http://www.prevx.com/filenames/278861429341602763-0/MROFINU.EXE.html

che dice sia stato scoperto il 1 novembre 2007 in America ma ancora nessuna istruzione sulla rimozione.

Mi sono dotata di avenger, combofix, PrevXCSIfree, HiJackThis e Gmer e ora andrò a casa del mio amico alla caccia di questo strano intruso, avviando il PC in Modalità provvisoria...

Praticamente i sintomi su un WinXP con SP2 e Avast! installato sono i seguenti: poco dopo l'avvio compare una finestra che segnala un Virus Alert Infection e suggerisce di cliccare su Ok per scaricare un virus remover, però non fa riferimento a nessun software antivirus che potrebbe essere l'origine di questa segnalazione.

Poi periodicamente compaiono delle finestrelle gialle simili ai balloons di avviso di WinXP nell'angolo in basso a destra vicino all'ora di sistema, anch'essi che segnalano varie forme di infezione (Trojan-Spy.win32@mx oppure PSW.x_Vir trojan o Spyware.Cyberlog-X), senza però identificare l'origine della segnalazione, sono scritte in inglese, piene di errori di scrittura e tutte invitano a cliccare per scaricare fantomatici anti-malware o malware remover...

I files strani che ho trovato hanno i seguenti nomi:
nella cartella windows:
mrofinu572.exe.tmp
mrofinu572.exe
mrofinu1000106.exe
17PHolmes572.exe

nella cartella System32:
una dozzina di files .dll con nome lungo da 5 a 8 caratteri a caso, del tipo jkkjjhh.dll oppure qadfwjdc.dll o gebyw.dll di cui 3 non si riescono a cancellare nemmeno dalla modalità provvisoria.

sul desktop si ricreano ad ogni riavvio due icone con links:
Live Safety Center
Online Security Guide
che assomigliano mostruosamente alle icone del firewall di Windows ma con colori diversi, e che puntano entrambi ad un dominio htepo.com con a seguire codici che non son riuscita a trascrivere.
e anche un rMa01yy1065.exe che non ricordo dov'era salvato...

Nessuno di questi nomi di files si ritrovano nel registro di sistema o in msconfig...

Se risolvo la situazione vi descriverò come ho fatto...
se avete suggerimenti aggiuntivi ben accetti per tutti.
Buona serata!
Valeria

Il tuo amico ha cliccato su un ADS infetto e si installato un falso antivirus/antispyware con annesso un bel Trojan.
Edit: nessuna nuova infezione - Kaspersky Trojan-Downloader.Win32.Agent.emo

prima di proseguire senza schemi ti consiglierei di frenare gli animi, prendere fiato e seguire una facile scaletta che spesso identifica gran parte dei problemi.
avremo senz'altro indicazioni più precise di quel canchero che usi come antivirus.

per iniziare segui alla lettera le indicazioni date in "Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984)" e intendo rispettandone completamente l'ordine di esecuzione.

Nel tuo caso ti chiederei di fare sia la scansione con i servizi Online sia con Dr.Web o "Avira Antivir Classic". (il resto rimane uguale a come detto in quel thread che ti ho suggerito).

Una volta finite tutte le scansioni ritorna e dicci i risultati.. per HiJackThis attenderei i risultati delle prime analisi :)

Ciao xcdegasp, prima di scrivere il thread iniziale in effetti ho letto tutte le regole, e ho già seguito i consigli, tranne quello di inviare i files sospetti a visurtotal oppure a pcalsicuro...
CCleaner ha pulito tutto quello che si poteva pulire, ho il log se non sbaglio.
Ho disattivato il ripristino di sistema.
Ho fatto la scansione con HiJackThis ma non ha funzionato il Fix dei problemi legati ai files che non riuscivo a cancellare. Posto il log dopo la descrizione, sto facendo intanto la scanzione online con A-squared Anti Malware e sul PC con Avast! aggiornato.
Ho provato ad usare anche Gmer ma non partiva.
Poi ho utilizzato PREVXCSIfree per vedere se scopriva il nome dell'intruso.
Ne ha trovati ben 2: Trojan.Vundo (che ho eliminato con il Removal Tool della Symantec) e Trojan.Zlob (di cui non ho trovato removal tools ma di cui non ho ancora cercato istruzioni su questo forum...faccio subito!).
Seguirò sicuramente anche la pista suggerita da Chill-Out cercando istruzioni su come rimuovere il Trojan-Downloader.Win32.Agent.emo
Qualcuno di voi conosce per caso una "Security Toolbar 7.1" per IE???? Non riesco a disabilitarla... e il mio amico non sa da dove sia giunta... Farò ricerca sul Forum anche per questo eventualmente...
Grazie della consulenza, spero di darvi buone notizie fra poco...
Saluti
Valeria

(ho eliminato il log HiJackThis doppio che non era tra i tag CODE)

devi mettere il lig tra i tag CODE o inserirlo tramite la funzione "Gestisci allegati"

le scansioni falle esattamente come te le ho consigliate e con i prodotti consigliati, a tutto c'è un perchè e se vuoi quando sei disinfettata ti dirò tale motivazione.
quindi mi raccomando rispetta quell'ordine e sopratutto accetta il consiglio di disinstallare quel coso di Avast per fare la scansione con DrWeb e poi con Avira Antivir Classic che adotterai come antivirus.

Chiedo scusa per il log...l'avevo letto ma mi sono scordata di applicarlo...rimedio subito.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.03.14, on 13/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Prevx2\PXConsole.exe
C:\Programmi\Prevx2\PXAgent.exe
C:\Programmi\Alwil Software\Avast4\ashSimpl.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Gaspari\Desktop\malware protection\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.corriere.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {388A3483-4C04-4D83-9426-C7EF92348D9B} - C:\WINDOWS\system32\gebyw.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\ajncixpj.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ajncixpj.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx2\PXConsole.exe"
O4 - HKLM\..\Run: [384eb3ea] rundll32.exe "C:\WINDOWS\system32\fxmahfvd.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F8799A3-9C92-46E8-A761-3C1EDD4DFBD7}: NameServer = 85.37.17.7 85.38.28.95
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00D1164.dat
O20 - Winlogon Notify: ajncixpj - C:\WINDOWS\SYSTEM32\ajncixpj.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PREVXAgent - Prevx - C:\Programmi\Prevx2\PXAgent.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 4843 bytes


Per l'ordine delle istruzioni, ho stoppato il tutto e sto cercando di seguire di nuovo le istruzioni dall'inizio, anche se un po' mi confonde che il primo punto di REGOLE di SEZIONE sia di leggere la GUIDA alla DISINFEZIONE e il primo punto della GUIDA mi dica di leggere le REGOLE..... se sbaglio qualcosa correggetemi, che sto andando in confusione...
Seguo la GUIDA e solo alla fine eseguo CCleaner..giusto?
Grazie ancora e scusate il casino...
Valeria

O2 - BHO: (no name) - {388A3483-4C04-4D83-9426-C7EF92348D9B} - C:\WINDOWS\system32\gebyw.dll

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\ajncixpj.dll

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ajncixpj.dll

O4 - HKLM\..\Run: [384eb3ea] rundll32.exe "C:\WINDOWS\system32\fxmahfvd.dll",b

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00D1164.dat

O20 - Winlogon Notify: ajncixpj - C:\WINDOWS\SYSTEM32\ajncixpj.dll



Per i "colleghi del forum": è la seconda volta che vedo questa appinit dll
C:\WINDOWS\system32\__c00D1164.dat
sarà il caso di studiarci su?

Piccolo OT: Guarda caso anche l'altro utente (http://www.hwupgrade.it/forum/showthread.php?t=1601427) aveva Avast.:muro:

Per i "colleghi del forum": è la seconda volta che vedo questa appinit dll C:\WINDOWS\system32\__c00D1164.dat
sarà il caso di studiarci su?
Giusta osservazione Bunny.
.dat è una estensione utilizzata, spesso, dagli allegati di posta elettronica in Outlook, se non ricordo male.
PERò concentrerei l'attenzione su questo appinit dll: la voce corretta dovrebbe essere AppInit_DLLs
Azzardo: worm_bagz.f o comunque una variante.

ADSR non ha rilevato nulla di anomalo, tanti files thumbs.db legittimi sparsi ovunque, solo questo strano che ho cancellato:
[Note]: Stream C:\Documents and Settings\Gaspari\Desktop\ShareLandingSignin.htm:Zone.Identifier:$DATA deleted successfully.
a2free - log:

a-squared Free - Version 3.0
Last update: 13/11/2007 21.00.14

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\WINDOWS\, C:\Programmi
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata: 13/11/2007 21.01.04

[684] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[760] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[948] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[1024] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[1132] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[1252] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[1480] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[1492] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[1824] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[1884] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[1900] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[2028] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[392] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[2232] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
[2296] C:\WINDOWS\system32\__c00C325B.dat rilevati: Trojan-Downloader.Win32.ConHook.hl
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> cmd rilevati: Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> configversion rilevati: Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> i rilevati: Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> nextupdate rilevati: Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> p rilevati: Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> version rilevati: Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Products --> compname rilevati: Trace.Registry.BestsellerAntivirus
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Products --> prodname rilevati: Trace.Registry.BestsellerAntivirus
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Products --> rdomain rilevati: Trace.Registry.BestsellerAntivirus
C:\Documents and Settings\Gaspari\Cookies\gaspari@doubleclick[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Gaspari\Cookies\gaspari@mediaplex[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\Gaspari\Cookies\gaspari@tradedoubler[1].txt rilevati: Trace.TrackingCookie
C:\WINDOWS\b122.exe rilevati: Trojan-Downloader.Win32.Agent.erf
C:\WINDOWS\system32\elusluwp.dll rilevati: Trojan-Downloader.Win32.ConHook.hl
C:\WINDOWS\system32\ufdsqeql.exe rilevati: Heuristic.LOP
C:\WINDOWS\system32\uwdkkeao.dll rilevati: Trojan-Downloader.Win32.ConHook.hl

Scansionati

Files: 19027
Tracce: 339607
Cookies: 47
Processi: 27

Rilevato

Files: 4
Tracce: 9
Cookies: 3
Processi: 15
Chiavi registro: 0

Fine scansione: 13/11/2007 21.18.58
Tempo scansione: 0.17.54

C:\WINDOWS\system32\ufdsqeql.exe Cancellato Heuristic.LOP
C:\WINDOWS\b122.exe Cancellato Trojan-Downloader.Win32.Agent.erf
C:\Documents and Settings\Gaspari\Cookies\gaspari@doubleclick[2].txt Cancellato Trace.TrackingCookie
C:\Documents and Settings\Gaspari\Cookies\gaspari@mediaplex[1].txt Cancellato Trace.TrackingCookie
C:\Documents and Settings\Gaspari\Cookies\gaspari@tradedoubler[1].txt Cancellato Trace.TrackingCookie
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Products --> compname Cancellato Trace.Registry.BestsellerAntivirus
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Products --> prodname Cancellato Trace.Registry.BestsellerAntivirus
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Products --> rdomain Cancellato Trace.Registry.BestsellerAntivirus
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> cmd Cancellato Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> configversion Cancellato Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> i Cancellato Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> nextupdate Cancellato Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> p Cancellato Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> version Cancellato Trace.Registry.BitTorrent Smart
[684] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[760] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[948] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[1024] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[1132] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[1252] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[1480] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[1492] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[1824] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[1884] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[1900] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[2028] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[392] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[2232] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
[2296] C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl
C:\WINDOWS\system32\elusluwp.dll Cancellato Trojan-Downloader.Win32.ConHook.hl
C:\WINDOWS\system32\uwdkkeao.dll Cancellato Trojan-Downloader.Win32.ConHook.hl

Cancellato

Files: 4
Tracce: 9
Cookies: 3

PrevX CSI a seguire segnala ora 4 files infetti (prima erano 3)
%windir%\system32\ __C00C325B.DAT Trojan.Zlob
%windir%\system32\ AJNCIXPJ.DLL Trojan.Zlob
%windir%\system32\ FXMAHFVD.DLL Trojan.Vundo
%windir%\system32\ GEBYW.DLL Trojan.Vundo

Domanda: la cancellazione del file __C00C325B.DAT segnalata da a2free non sembra essere andata a buon fine... o queste scansioni di riferiscono a diversi processi?

Dr.Web CureIT sta ancora analizzando il disco intero, la scansione Express non ha trovato niente...

Vale la pena cercare di ripulire il PC o la formattazione risolve il problema senza penare troppo?

Vale la pena cercare di ripulire il PC o la formattazione risolve il problema senza penare troppo?
Calma Oli, da qui, quasi mai, nessuno è uscito formattando.
Quindi vediamo di risolvere la cosa.
Inzia, intanto, con l'allegare il log di PREVX CSI quindi, procedi in questo modo:
● riesegui una scansione con PrevX CSI
● al termine della scansione, clicca su:
● Options
● Save Log
● allega il log salvato per farlo analizzare, poi valutiamo come proseguire.

PrevX CSI mi ha rimandato sul web per il log, l'ho riportato prima ma forse c'erao troppe info:
Your Prevx CSI Scan Results:
Computer Name gaspari-01e8023
Security Product Prevx 2.0 Version 1.0.1.33
Windows Windows XP Professional Service Pack 2 (Build 2600) 32bit
Scans 2 (First Scan: Nov 13 17:59 UCT Last Scan: Nov 13 20:20 UCT)
Files Checked 2,778
Bad Files 4
Your Computer Status INFECTED
Pathname Filenames Groupname
%windir%\system32\ __C00C325B.DAT Trojan.Zlob
%windir%\system32\ AJNCIXPJ.DLL Trojan.Zlob
%windir%\system32\ FXMAHFVD.DLL Trojan.Vundo
%windir%\system32\ GEBYW.DLL Trojan.Vundo
E' questo che ti serviva?

Trojan.Winpop.origin è stato trovato proprio ora da Dr. Web, non può essere curato. File C:\Programmi\Temporary\wininstall.exe
Procedo intanto con PrevX CSI e riprovo a salvare il log... non ho notato questa opzione nelle scanzioni precedenti, così avevo salvato il report mostrato nella pagina web che era comparsa alla fine della scansione...
Nel frattempo, per evitare di usare IE che conteneva come componenti aggiuntivi due dll infette (AJNCIXPJ.DLL come Oggetto Helper Browser e come Security Toolbar; e GEBYW.DLL come Oggetto Helper Browser; che ho disabilitato), ho installato e sto usando FireFox 2.0.

Per il log, segui semplicemente le istruzioni che ho indicato nel mio precedente reply.

Segui anche quanto stabilito dal Regolamento di sezione, per favore, quindi:

Per allegare quello e gli altri log o report che ti verrano richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, deve essere allegato utlizzando il tag code dall'editor del messaggio;
● in alternativa sempre se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download.

prevxcsi20071113.log - 0.29MB (http://www.zshare.net/download/48857957e6eb61/) è il link al log di PrevxCSI, 299KB...
Dr.Web ha terminato trovando e cancellando anche
C:\WINDOWS\system32\rMa01yy\rMa01yy1065.exe
identificato come Trojan.Downloader.24715 e tutti i sintomi problematici ci sono ancora:
icone sul desktop che cancello e si ricreano, finestre/ballons gialle in zona ora di sistema di vari security alerts, avviso di Critical System Warning sul desktop, e ora si sono aggiunte finestre di IE che si aprono a caso su immagini palesemente pubblicitarie e altro.
Grazie del supporto ragazzi.
Posso verificare o fare altro?

prevxcsi20071113.log - 0.29MB (http://www.zshare.net/download/48857957e6eb61/) è il link al log di PrevxCSI, 299KB...
Ho Dr.Web all'89% e tutti i sintomi problematici ci sono ancora:
icone sul desktop, finestre/ballons gialle in zona ora di sistema, avviso di Critical System Warning sul desktop, e ora si sono aggiunte finestre di IE che si aprono a caso su immagini palesemente pubblicitarie e altro.
Grazie del supporto ragazzi.
Posso verificare o fare altro?
Ok Oli, vediamo si stroncare il nemico :cool:

Intanto fai terminare la scansione con Dr Web, poi, inzia a seguire questa procedura (la facciamo per gradi):

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
lo devi tenere disattivato fino a quando non avremo risolto il problema

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

pulisci gli ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Scarica questi software e tool per eseguire una pulizia:

CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

E qui ci fermiamo: eseguiti questi passaggi, riavvia il sistema, ed alleghi un nuovo log di Hthis (lo carichi su ZShare, mi viene più comodo).

Ok vediamo si stroncare il nemico :cool:

Intanto fai terminare la scansione con Dr Web,

Dr.Web ha terminato trovando e cancellando anche
C:\WINDOWS\system32\rMa01yy\rMa01yy1065.exe
identificato come Trojan.Downloader.24715

poi, inzia a seguire questa procedura (la facciamo per gradi)

Ok, ora comincio...
Ripristino del sitema già disattivato quasi da subito.
Ora eseguo svuotamento Prefetch ed eliminazione ADS con HTHIS, CCleaner è già installato, seguirò le procedure da te descritte, anche se già l'avevo fatto prima con le opzioni descritte...rieseguo. Poi farò anche la scansione con Panda Antirootkit...
Ci sentiamo fra un po' con i risultati.
Grazie ancora!

@ Oli, ho visto che parte della procedura che ti ho indicato la hai già eseguita.
Preferisco fartela ripetere e seguire, passo dopo passo, l'evolversi della cosa.

@ Oli, ho visto che parte della procedura che ti ho indicato la hai già eseguita.
Preferisco fartela ripetere e seguire, passo dopo passo, l'evolversi della cosa.

Si, nessun problema, a volte sono solo pignola nelle descrizioni.
Ho avuto problemi a cancellare i files nella cartella Prefetch perchè il sistema era diventato instabile, sfarfallavano tutte le icone nel desktop e non funzionava né il tasto dx del mouse e nemmeno un modo per cancellare i files... ho riavviato e ora sto proseguendo come hai richiesto tu, a parte il ripristino di sistema che era già disabilitato, ho verificato.
A più tardi.

@ OliVale:
è probabile che a fine scansione con a-squared tu non abbia impartito nessun comando..
in fondo dovresti avere i pulsanti "quarantena" ed "elimina", quindi rifai la scansione DEEP da modalità provvisoria e poi selezione quello che trova e metti in quarantena.

sicura di aver disabilitato il ripristino di sistema?

spero che con questa dimostrazione tu possa fidarti maggiormente rispetto a prima ;)

Per i "colleghi del forum": è la seconda volta che vedo questa appinit dll
C:\WINDOWS\system32\__c00D1164.dat
sarà il caso di studiarci su?

è un caso interessante e che potrebbe meritare un bello studio :)

è un caso interessante e che potrebbe meritare un bello studio :)

variante del Vundo

variante del Vundo
Socio, resta nei paraggi, ci sarà bisogno di te.
Intanto direi che è il caso di farle pulire tutto quello che incontra.
Poi pensiamo al Vundo: che ne pensi?

ok

Disattiva il Ripristino configurazione di sistema
Fatto. Non mi sono fidata della memoria e ho verificato seguendo la procedura descritta: una finestra mi ha avvisato che i ripristino di sistema era disabilitato, e non l'ho riattivato.

Provvedi a svuotare del suo contenuto la cartella Prefetch
Fatto

pulisci gli ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Fatto. Qui ho provato Quick Scan sel e desel, entrambi nessuna rilevazione. Poi ho tolto la spunta anche a "Ignore safe system info stream" e ho verificato che tutti i files trovati sono conosciuti: jpg, pdf e un sacco di thumbs.db nelle cartelle personali del mio amico, che presumo non siano da cancellare... giusto?

CCLEANER
eseguito secondo istruzioni, segnala tutto cancellato e riparato, non ho visto i nomi dei files rilevati in precedenza come trojan.

PANDA ANTIROOTKIT
Aggiornato ed eseguito in In-depth scan. Nessun Rootkit trovato.

E qui ci fermiamo: eseguiti questi passaggi, riavvia il sistema, ed alleghi un nuovo log di Hthis (lo carichi su ZShare, mi viene più comodo).
Fatto: hijackthis4.txt - 0.00MB (http://www.zshare.net/download/488709280401c7/)

Visivamente l'unico sintomo che sembra scomparso è l'apertura a caso delle finestre di IE, il resto c'è ancora tutto...però sto navigando con Firefox...

Ho letto che pensate sia Vundo...dopo la prima scansione con PrevxCSI che segnalava la presenza di un file legato a Vundo, ho usato il Removal Tool per Vundo della Symantec, la scansione segnalava il Vundo come rimosso, ma alle successive scansioni con PrevxCSI i files legati a Vundo sono diventati due....e li ho rivisti nell'ultimo log di HTHIS...

Attendo responso.

@ OliVale:
è probabile che a fine scansione con a-squared tu non abbia impartito nessun comando..
in fondo dovresti avere i pulsanti "quarantena" ed "elimina", quindi rifai la scansione DEEP da modalità provvisoria e poi selezione quello che trova e metti in quarantena.

sicura di aver disabilitato il ripristino di sistema?

spero che con questa dimostrazione tu possa fidarti maggiormente rispetto a prima ;)

Ora riprovo anche questa scansione con nuove impostazioni.
Già mi fido di voi :) altrimenti perchè disturbarvi?

Ho letto che pensate sia Vundo...dopo la prima scansione con PrevxCSI che segnalava la presenza di un file legato a Vundo, ho usato il Removal Tool per Vundo della Symantec, la scansione segnalava il Vundo come rimosso, ma alle successive scansioni con PrevxCSI i files legati a Vundo sono diventati due....e li ho rivisti nell'ultimo log di HTHIS...
Attendo responso.

Infatti l'infezione viene evidenziata dal log di Hthis (voci O2)

O2 - BHO: (no name) - {3D29ABF1-6850-4782-8E69-2FB12555EAA9} - C:\WINDOWS\system32\gebyw.dll

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\ajncixpj.dll

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ajncixpj.dll

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ajncixpj.dll

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00D1164.dat

O20 - Winlogon Notify: ajncixpj - C:\WINDOWS\SYSTEM32\ajncixpj.dll

Per ora non fixare nulla ed esegui questi:

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
per scaricare il tool scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA
● per comodità, posizionalo su Desktop
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt
● clicca su Risorse del Computer, poi su Disco Locale C:
●allega il log alla discussione
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

SYSCLEAN TRENDMICRO: clicca qui per il download (http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● devi creare una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean

● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download (http://it.trendmicro-europe.com/enterprise/support/pattern.php)

● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● lascia disabilitato in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean attendi il responso finale
● allega il log che verrà rilasciato

P.S.: già che ci sei, prima delle due scansioni, installa JAVASUN: clicca qui per il download (http://www.java.com/it/)

Al termine, allega un nuovo log di Hthis e vediamo se è cambiato qualcosa.

Dopo aver eseguito le procedure di cui sopra, scarica ed esegui i seguenti tool:

VundoFix
Download: http://www.atribune.org/public-beta/VundoFix.exe

FixVundo
Download: http://securityresponse.symantec.com/avcenter/FixVundo.exe

VirtumundoBeGone
Download: http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
N.B: da eseguire in modalità provvisosria F8

allegare i log

COMBOFIX:
Download: http://www.techsupportforum.com/sectools/combofix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)

Allega nuovo log di HJT e log completo di Gmer http://www.gmer.net/gmer.zip + i log dei tool come richiesto,thx.

Dopo aver eseguito le procedure di cui sopra, scarica ed esegui i seguenti tool .......
Dopodiché, segui, esattamente, tutto quello che ti verrà suggerito da Chill.


P.S.: grazie Socio.

@ OliVale:
è probabile che a fine scansione con a-squared tu non abbia impartito nessun comando..
in fondo dovresti avere i pulsanti "quarantena" ed "elimina", quindi rifai la scansione DEEP da modalità provvisoria e poi selezione quello che trova e metti in quarantena.

Ho rifatto questa scansione, ci ha messo un po' ma non ha trovato le stesse cose della prima volta, molte meno. Questo è il log: a2scan_071113-235638.txt - 0.01MB (http://www.zshare.net/download/4888449297054e/)

Per i suggerimenti successivi, se non sono troppo lunghi li provo ora...altrimenti dovrei lasciar andare a dormire il mio amico qui accanto che è curioso e preoccupato, ma anche stanco...

Che mi dite?

Off Topic (ma neppure molto):

Per i "colleghi del forum": è la seconda volta che vedo questa appinit dll C:\WINDOWS\system32\__c00D1164.dat
sarà il caso di studiarci su?
Giusta osservazione Bunny.
.dat è una estensione utilizzata, spesso, dagli allegati di posta elettronica in Outlook, se non ricordo male.
PERò concentrerei l'attenzione su questo appinit dll: la voce corretta dovrebbe essere AppInit_DLLs
Azzardo: worm_bagz.f o comunque una variante.


C:\Documents and Settings\Gaspari\Documenti\3 - TUTTO 405mb 23-03-05\Installazioni\UPX\upx.exe rilevati: Email-Worm.Win32.Warezov.hy
C:\Documents and Settings\Gaspari\Documenti\3 - TUTTO 405mb 23-03-05\Installazioni\UPX\upx108w.zip/upx.exe rilevati: Email-Worm.Win32.Warezov.hy

C:\Documents and Settings\Gaspari\Documenti\3 - TUTTO 405mb 23-03-05\Installazioni\UPX\upx.exe Cancellato Email-Worm.Win32.Warezov.hy
C:\Documents and Settings\Gaspari\Documenti\3 - TUTTO 405mb 23-03-05\Installazioni\UPX\upx108w.zip/upx.exe Cancellato Email-Worm.Win32.Warezov.hy


Non accontentandosi, l'amico, si propaga, anche, alla rubrica di posta.

ELISTARTA TOOL pare abbia eliminato qualcosa, finalmente!
Ecco il log:infosat.txt - 0.00MB (http://www.zshare.net/download/48891258325ecf/)
dopo alcune scansioni e un riavvio almeno le finestrelle gialle sembrano sparite insieme alle icone simil-WinSecurity.
Ah...installata anche JavaSun.
Ora però non riesco proprio a proseguire... mi metto in pausa prima di SysClean e domani eseguo tutto il resto delle procedure, con post dei log dove richiesto...
E' vero che sono da un amico, ma non posso approfittare oltre, nemmeno per pulire il suo PC... e non posso approfittare troppo nemmeno di voi.
Ci aggiorniamo a domani.
Grazie ancora infinitamente di tutto!
Buona notte.

Ho rifatto questa scansione, ci ha messo un po' ma non ha trovato le stesse cose della prima volta, molte meno. Questo è il log: a2scan_071113-235638.txt - 0.01MB (http://www.zshare.net/download/4888449297054e/)

Per i suggerimenti successivi, se non sono troppo lunghi li provo ora...altrimenti dovrei lasciar andare a dormire il mio amico qui accanto che è curioso e preoccupato, ma anche stanco...

Che mi dite?
ecco cosa ha eliminato:
C:\WINDOWS\system32\__c00C325B.dat Cancellato Trojan-Downloader.Win32.ConHook.hl

C:\Documents and Settings\Gaspari\Documenti\3 - TUTTO 405mb 23-03-05\Installazioni\UPX\upx.exe Cancellato Email-Worm.Win32.Warezov.hy

C:\Documents and Settings\Gaspari\Documenti\3 - TUTTO 405mb 23-03-05\Installazioni\UPX\upx108w.zip/upx.exe Cancellato Email-Worm.Win32.Warezov.hy

sono email vecchie che ti sei salvato?

risultato ESET ADS revelear
Fatto. Qui ho provato Quick Scan sel e desel, entrambi nessuna rilevazione. Poi ho tolto la spunta anche a "Ignore safe system info stream" e ho verificato che tutti i files trovati sono conosciuti: jpg, pdf e un sacco di thumbs.db nelle cartelle personali del mio amico, che presumo non siano da cancellare... giusto?


ESET ADS revelear non cancella nessun file ma piùttosto spezza i legami tra due file che consentono al secondo di nascondersi completamente agli occhi dell'utente e di windows.
il file system NTFS consente appunto di legare "n" file sfruttando la particolarità degli ADS.
per fare un esempio molto "estremo" (per via che ti accorgeresti che qualcosa non va') può essere quello di legare ad un file pippo.txt un filmato divx da 700Mb, quest'ultimo occuperebbe lo spazio come avviene normalmente ma non potresti vederlo.
quando sposti il txt sposti anche il video, ma sopratutto quando esegui il txt esegui anche il video :)

se fossero 2 exe legati tra loro il problema assume una certa rilevanza.

ma gli ADS none rano nati con questi intenti e scopi bensì con quello di offrire maggiore compatibilità tra windows e sistemi unix-like (Unix/linux/Mac) e memorizzare ulteriori informazioni su quel dato file... basti pensare alle foto digitali che possono memorizzare, luogo, data, macchina usata, obiettivo, tempi d'espozione e otturato :)


riassumendo devi correggere tutti i problemi che trova per ritenerti sufficentemente al sicuro sopratutto se sai d'avere il pc infetto :)

ELISTARTA TOOL pare abbia eliminato qualcosa, finalmente!
Direi di si, ma non ci siamo ancora:

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AJNCIXPJ] -> C:\WINDOWS\SYSTEM32\ajncixpj.dll

Entrada Eliminada [HKLM\...\Run] "384eb3ea"="rundll32.exe "C:\WINDOWS\system32\owmdgwbn.dll",b" (Vundo)

C:\WINDOWS\SYSTEM32\AJNCIXPJ.DLL --> SecToolBar.F Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\OWMDGWBN.DLL.Muestra EliStartPage v15.02
a "[email protected]". Gracias.

C:\WINDOWS\SYSTEM32\OWMDGWBN.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\__C006C719.DAT --> Acceso Denegado.
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Prosegui con la procedura indicata da Chill.

stesso problema anche a me... :muro:
ma io sono alla vecchia maniera...:p
tra un pò vado di formattazione:muro: :muro: :muro: :muro:

stesso problema anche a me... :muro:
ma io sono alla vecchia maniera...:p
tra un pò vado di formattazione:muro: :muro: :muro: :muro:

1) hai letto le regole di sezione?
2) hai fatto le scansioni preliminari?
3) hai seguito le istruzioni dato all'altro utente?
4) perchè se sei alla vecchia maniera e vuoi formattare ti sei iscritto e fatto un post senza dire altro? :doh:

1) perchè se sei alla vecchia maniera e vuoi formattare ti sei iscritto e fatto un post senza dire altro? :doh:

Ecco fatto...nuovo nuovo!
allora:
1) mi sono registrato a questo forum xkè lo ritendo interessante;;)
2) ho formattato xkè è da tanto ke nn lo facevo;:mbe:
3) grazie dei consigli utili :)

Contento te:confused:

piccolo off topic:

@ membri di "pulizia malware pc":

vorrei farvi i miei complimenti, sia per come state utilizzando la sezione tramite protocolli di comportamento ben studiati (proprio come negli ospedali e centri di ricerca :D) sia nella vostra abilità ad affrontare le infezioni nuove. tutto questo ha il sapore di qualcosa di mooolto professionale. bravi ragazzi, siete grandi! :winner:

ma per la conferma aspetto le vostre analisi...
Ecco i vari log richiesti dopo aver seguito le vostre istruzioni:

SYSCLEAN TRENDMICRO: sysclean.log - 0.00MB (http://www.zshare.net/download/490625217c1fe7/)
20071114.log - 0.00MB (http://www.zshare.net/download/4906287116c84b/)

HJT pre-vundoScan: hijackthis6prevundo.txt - 0.01MB (http://www.zshare.net/download/4906383e43cb5b/)

VundoFix: vundofix.txt - 0.00MB (http://www.zshare.net/download/4906301c493013/)

FixVundo: fixvundo.log - 0.00MB (http://www.zshare.net/download/4906308ae461b0/)

VirtumundoBeGone eseguito in modalità provvisosria F8: non ho trovato il log...dove cercarlo eventualmente?

COMBOFIX:combofix.txt - 0.01MB (http://www.zshare.net/download/4906362f9dae68/)
non ho trovato il file C:\ComboFix-quarantined-files.txt

HJT finale: hijackthis7fine.txt - 0.00MB (http://www.zshare.net/download/49063975f37123/)

Gmer completo: gmer_log.log - 0.03MB (http://www.zshare.net/download/490641408e4c80/)

ELISTARTA TOOL l'ho fatto girare più volte nel frattempo, il log finale: infosat.txt - 0.01MB (http://www.zshare.net/download/4906438bb4c491/)
Mi consigliate di tenerlo installato, oppure alla fine di tutte le verifiche lo si può eliminare?

Nel frattempo, dopo tutte le pulizie, per maggior protezione ho installato Comodo Firewall, prima non ce n'era nessuno... dite che può andare bene?

I sintomi per ora sembrano spariti tutti, inoltre ho suggerito al mio amico di navigare con Firefox invece che con IE.

Spero di non aver scordato nulla, eventualmente ci sentiamo più tardi.

Grazie ancora di tutto! A dopo e vista l'ora buon appetito!

VirtumundoBeGone : vbg.txt - 0.00MB (http://www.zshare.net/download/4906660cd2bcf7/)

fixa

O2 - BHO: {26d26291-1464-7c5b-a394-68dee5c82044} - {44028c5e-ed86-493a-b5c7-464119262d62} - C:\WINDOWS\system32\vwgektqu.dll (file missing)

Il log di Gmer non è completo, ma mi sembra che siamo a buon punto, dopo aver fixato la voce indicata da Bugs riallega un log di HJT

Il log di Gmer non è completo, ma mi sembra che siamo a buon punto, dopo aver fixato la voce indicata da Bugs riallega un log di HJT
Chill, facciamo che fargli rifare un log di GMER ed uno di ELISTARTA dopo il riavvio.
Poi, altro riavvio e log di HThis.

@Oli, una cosa dovresti dirci: su quel P.C. è stato, per caso, effettuato un backup di salvataggio di messaggi di posta elettronica?

In ogni caso, il log di Hthis è quasi a posto; devi fixare queste voci:

O2 - BHO: {26d26291-1464-7c5b-a394-68dee5c82044} - {44028c5e-ed86-493a-b5c7-464119262d62} - C:\WINDOWS\system32\vwgektqu.dll (file missing)

O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe

Poi, una volta definita la questione, prendi in considerazione la sostituzione di Avast con un antivirus più efficace come, per esempio:
ANTIVIR PERSONAL EDITION FREE: clicca qui per il download (http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe)
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho (leggi, attentamente, i primi tre post), ed altre cose importanti ed interessanti in relazione ad Antivir.
Se necessiti di informazioni o spiegazioni, posta, in quella discussione.

@Oli, una cosa dovresti dirci: su quel P.C. è stato, per caso, effettuato un backup di salvataggio di messaggi di posta elettronica?


Ho chiesto al mio amico e più che un salvataggio di messaggi di posta mi pare di aver capito che ha salvato dei vecchi files provenienti dal suo vecchio PC, che potevano anche provenire da scambi di email con amici suoi.
Per GMER ho avviato il SW e con tutte le voci selezionate ho fatto Scan, e poi Save log. Come posso fare per avere una scanzione più approfondita?

Domani pomeriggio dopo il lavoro ripasserò da lui per il fixaggio delle righe segnalate e per le ulteriori scansioni. Dal mio PC scarico addirittura l'antivirus consigliato e lo sostituisco ad Avast.
Poi dato che ha l'ADSL, come protezioni aggiuntive possono bastare Comodo Firewall, SpybotS&D e AdAware o è meglio aggiungere anche PrexX 2.0 con abbonamento annuale?
Lui personalmente naviga solo su siti web di testate giornalistiche online, tipo Corriere o Repubblica o simili...il guaio è nato dal figlio che sabato e domenica ha scorazzato chissàdove utilizzando la per lui pacchia dell'ADSL...e non essendoci altro che Avast come SW di protezione ovviamente è entrato di tutto...

Grazie ancora a tutti...posso offrirvi una cena virtuale?? :)

Ho chiesto al mio amico e più che un salvataggio di messaggi di posta mi pare di aver capito che ha salvato dei vecchi files provenienti dal suo vecchio PC, che potevano anche provenire da scambi di email con amici suoi.
Se non sono fondamentali, potrebbe farne a meno? deve avere delle email o qualche allegato infetto.
Per GMER ho avviato il SW e con tutte le voci selezionate ho fatto Scan, e poi Save log. Come posso fare per avere una scanzione più approfondita?
Allega il log cosi come ti viene salvato.
Dal mio PC scarico addirittura l'antivirus consigliato e lo sostituisco ad Avast.
Decisione sensata.
Poi dato che ha l'ADSL, come protezioni aggiuntive possono bastare Comodo Firewall, SpybotS&D e AdAware o è meglio aggiungere anche PrexX 2.0 con abbonamento annuale?
Ok per Comodo e per AdAware

Spybot lo lascierei perdere e punterei, piuttosto su:

SPYWARE TERMINATOR: clicca qui per il download (http://dnl.spywareterminator.com/Dnl/config/298/SpywareTerminatorSetup.exe)
Questo software, ti consente, inoltre, di eseguire scansioni anche parziali del sistema, di pianificare scansioni automatiche, e cosa più importante, garantisce una protezione in tempo reale.
Altri suggerimenti ed info in relazione a Spyware Terminator li puoi trovare nel Thread ufficiale (http://www.hwupgrade.it/forum/showthread.php?t=1246338)

aggiungerei, anche:

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati

PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

PrevX con regolare licenza, è un'ottima idea.

...il guaio è nato dal figlio che sabato e domenica ha scorazzato chissàdove utilizzando la per lui pacchia dell'ADSL...e non essendoci altro che Avast come SW di protezione ovviamente è entrato di tutto.
Per evitare il ripertersi del problema, per figlio ti consiglio di creare un apposito account utente, senza privilegi da Amministatore e farlo navigare con quello (ovviamente, è oppurtuno proteggere, con password, l'account del tuo amico :cool: )

Grazie ancora a tutti...posso offrirvi una cena virtuale?? :)
come no ;) ma direi che è il tuo amico che dovrebbe offrire una sontuosa cena, a te.

@ Riverside seguirò anche questi tuoi ultimi consigli, grazie. Sto già scaricando tutti i SW che hai consigliato, così li installo dopo il fixaggio finale e le scansioni per i log ma prima della prossima connessione, almeno sarà più protetto...
Ho navigato un po' negli ultimi post di questa sezione e ho visto altri con un problema simile al mio, devo dedurre che Vundo è in giro proprio in questo periodo....
Invece sui files sconosciuti che avevo trovato all'inizio e che mi hanno fatto dare al thread il titolo che ha... mrofinu572.exe.tmp, mrofinu572.exe, mrofinu1000106.exe e 17PHolmes572.exe, voi che siete più esperti, avete notizie in merito? Ho provato a cercare qui sul forum "mrofinu" e "mrofinu572" ma non mi trova nulla.... Tramite Yahoo invece ho visto che la pagina di PrevX è stata aggiornata con il nome Dropper.Payload, e che è proprio nuovo nuovo del 30 ottobre 2007, ma il resto delle pagine trovate non fa rifermiento a nessun altro SW antivirus o antispyware conosciuto...
Vundo è stato il più complicato da eliminare, ma mi pare proprio che dal mio amico ci fosse ben più di una infezione da quanto abbiamo visto con le scansioni varie.
Per la mia cena è già tutto sistemato :) poverino, ieri è stato vicino al PC con me dalle 18 alle 2 di notte e ha saltato la sua di cena, la moglie ci ha portato cioccolatini e grissini e acqua, e stasera mi hanno anche preparato dei panini e la birra... sono stati molto carini!
Domani pomeriggio ultimo round!
E penso che seguirò anche le indicazioni che ho trovato a proposito di prevenzione: creazione di un account senza privilegi di amministrazione, e applicazione di una sandbox... lo testo prima io per capire se per la poca esperienza informatica del mio amico è adatta più che altro ad un SW tipo sandbox, non l'ho mai utilizzato nemmeno io... proverò!
Buonanotte a tutti e ringraziamenti globali a voi che siete il meglio dei professionisti!

Invece sui files sconosciuti che avevo trovato all'inizio e che mi hanno fatto dare al thread il titolo che ha... mrofinu572.exe.tmp, mrofinu572.exe, mrofinu1000106.exe e 17PHolmes572.exe, voi che siete più esperti, avete notizie in merito?

come ti avevo precedentemente detto al post #2, nessuna nuova infezione Kaspersky lo riconosce come: Kaspersky Trojan-Downloader.Win32.Agent.emo

Rieccomi online, stasera altro giro dal mio amico che mi ha detto di aver visto nel tardo pomeriggio, mentre giocava a Spider in mia attesa, una segnalazione che il Comodo Firewall era disattivato ed è comparsa l'icona della connessione attiva, che lui ha prontamente chiuso dopo aver spento il modem... Infatti stasera sono arrivata da lui armata di tutti i SW suggeriti da Riverside, ho disinstallato Avast e ho messo Avira, e a seguire tutti i SW che ancora non erano stati già installati in questi giorni e per tutti ho effettuato gli aggiornamenti. Ho notato altri files strani in System32: qenwvmrw.dll, fxmahfvd.dll e aqhrribq.dll ma niente più finestre con falsi allarmi né icone ricomparse sul desktop.
Dopo gli aggiornamenti ho fatto lavorare nell'ordine:
Elistarta: nessuna infezione trovata
PandaAntiRootkit: nessuna infezione trovata
CCleaner: pulizia globale
Avira Antivir: ha eliminato ancora delle istanze di Vundo trovate nel Sistem Volume Information, i tre files strani segnalati sopra, di cui uno sicuramente segnalato come TR/Fotomoto.F.1 e i virus messi in quarantena dalle scansioni dei giorni scorsi. Qui il log: avscan-20071115-201415-6c7e1c12.log - 0.02MB (http://www.zshare.net/download/49346073271851/)
Ho creato un nuovo utente non admin che gli ho detto di usare per navigare sul web con Firefox, e gli ho lasciato il compito un po' stasera e un po' domani di analizzare di nuovo il PC sia con Spyware Terminator che con a2free Deep Scan e poi di nuovo con Avira, senza connettersi al web nel frattempo.
Con HjThis ho fixato due delle tre voci che mi avete segnalato perchè ho avuto il dubbio che
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
fosse legato al funzionamento dell'Alice Gate per la connessione al web. Leggendo nei Servizi di msconfig questo file viene espressamente legato al software di Alice per l'ADSL. Ora non ho sottomano i dati precisi perchè vi sto scrivendo da casa mia... nel dubbio ho preferito attendere a fixare.
Però mi sono accorta ora che non ho copiato i nuovi log di HJTHIS e GMER...mannaggia... vi servono per vedere se tutto è a posto, vero? Domani li recupero...
E' che sono un po' sotto pressione con il lavoro e aggiungendo la stanchezza per le ore dedicate alla caccia di questi virus qui sono alquanto fusa!!!
Stasera ferma in cortile con il motore acceso ho telefonato al mio amico per avvisarlo che stavo andando a casa sua, e finita la telefonata ho spento la macchina ma non il telefono... :doh: non ridete troppo però! :D
Ah ultima cosa strana... ancora poco prima di andare a casa stasera, e dopo gli aggiornamenti e un paio di riavvii del PC rimane nel system tray (si chiama così??) l'icona a scudetto rosso con croce del sistema di sicurezza di Microsoft che segnala il Comodo firewall disattivato, mentre l'icona di Comodo è presente e corretta, e se apro la finestra delle impostazioni, tutti i servizi sono On e uno Learning. Non so se sia il desiderio di Windows di attivare per forza il suo firewall o se ancora ci sia qualcosa di nascosto che rompe le scatole...
come ti avevo precedentemente detto al post #2, nessuna nuova infezione Kaspersky lo riconosce come: Kaspersky Trojan-Downloader.Win32.Agent.emo
Mi ero persa il dettaglio che era Kaspersky a riconoscerlo con questo nome... :stordita: Non avendo trovato in giro sui motori di ricerca altre info come solitamente avveniva quando ho cercato altri nomi di files sospetti in altre due situazioni di infezione da virus, mi sono lasciata ingannare a ritenerlo un nuovo virus, complice anche il fatto che l'unico riferimento era quello sul sito di PrevX che dava la scoperta dei files infettanti al 30 ottobre 2007...
Ok, resoconto dettagliato e terminato. Se ci fossero novità vi aggiorno, ma sinceramente spero di collegarmi domani o dopo per dirvi che è tutto a posto....
Buonanotte a tutti!!

Avira Antivir: ha eliminato ancora delle istanze di Vundo trovate nel Sistem Volume Information, i tre files strani segnalati sopra, di cui uno sicuramente segnalato come TR/Fotomoto.F.1

Ripartiamo da qui, per il momento; fai girare questo:

MSNFIX TOOL: clicca qui per il download (http://sosvirus.changelog.fr/MSNFix.zip) (la versione del Tool viene, costantemente, rilasciata, aggiornata)

● scompatta il file Zip che hai, precedentemente posizionato sul Desktop (verrà creata una cartella)
● lancia MSNFix File batch
● digita I per impostare la lingua, e, premi invio
● digita R per cercare il malware
● digita N per eliminare ciò che trova
● digita A per creare il log da pubblicare
● digita R per ripulire il registro ed uscire
● digita Q per terminare MSNFix
Il log che verrà creato, ti confermerà, o meno l'avvenuta rimozione.
MSNFix, creerà, inoltre un file Zip (lo trovi, assieme al log, all'interno della cartella posizionata sul Desktop), contenente i file infetti rimossi: cestina, solo il file Zip (il log serve in seguito), e ripulisci il cestino
Annotazione
MSNFix, rimuove automaticamente i file infetti ma indica, anche, alcuni files (di norma, sono Screensaver non legittimi) alla cui rimozione si deve provvedere, manualmente.

Allega, ovviamente, il log che verrà rilasciato.

@Olivale: per le infezioni relative al trojan Vundo e a sue varianti è stata stilata una guida:

[GUIDA] Rimuovere trojan vundo (http://www.hwupgrade.it/forum/showthread.php?p=19664171#post19664171)

Inoltre credo che ti possa essere utile leggere come è stato risolto qui:

[risolto][WINXP] Virtumonde, non se ne va (http://www.hwupgrade.it/forum/showthread.php?t=1601427)

@Olivale: per le infezioni relative al trojan Vundo e a sue varianti è stata stilata una guida:

:eek:

Avira Antivir: ha eliminato ancora delle istanze di Vundo trovate nel Sistem Volume Information, i tre files strani segnalati sopra, di cui uno sicuramente segnalato come TR/Fotomoto.F.1 e i virus messi in quarantena dalle scansioni dei giorni scorsi.

Nuovo aggiornamento sui SW fatti girare e i loro risultati:
come suggerito da Riverside, ho eseguito MSNFIX che pare abbia trovato e rimosso qualcosa, anche se dopo i primi tre passi I-R-N il SW ha creato lo zip e il lgo e si è chiuso da solo... Zip cancellato, cestino svuotato, il log è insieme agli altri nel file zippato che ho allegato...
Scansione successiva con Avira: nessuna infezionet rovata
Scansione con Elistarta: rilevato e pare eliminato "Spam-MailBot" dopo una nuova scansione in modalità provvisoria F8
Scanzione con VundoFix perchè il mio amico mi ha segnalato che stamattina, facendo girare per un controllo Avira, è stato rilevato ed eliminato ancora un riferimento a TR/Vundo.A5. Questa sansione di VundoFix non ha rilevato nulla.
Allegato anche log di HJthis fatto poco prima di postare.
Nello zip ci sono i log di MSNFIX, AVIRA, ELISTARTA e HJTHIS.
Attendo responso...
Domanda da ingenua: mi sembrava di aver capito leggendo la guida per rimuovere virus da MSN messenger che MSNFIX fosse legato a quel programma...chiedo perche il mio amico non usa MSN messenger, non ne vedo l'icona nel PC... ripeto però, è una domanda ingenua.
Grazie ancora! E buona serata.

Il log di hiJackThis non mostra nessuna infezione, quindi direi che sei a posto.
Anche il log di Avira non riporta nessuna infezione.
Per quanto riguarda MSNfix, come tu hai notato, è stato inutile, infatti si è limitato a cancellare la cartella C:\Temp, mentre il log dice chiaramente che nessun files sospetto è stato trovato.

Ho lo stesso GRANDE problema di Olivale!:cry:
Fatemi sapere se riuscite a risolverlo........ io sto provando altri metodi

Posso dirvi che le modalità con cui ho preso questo virus sono:
- o aprendo la posta di un mio amico (che ha il pc bloccato dai virus):muro:
- o attraverso un file che mi hanno inviato tramite msn....l'ho aperto ma non mi si apriva niente! Era un file .exe:confused:

[email protected]

Praticamente i sintomi su un WinXP con SP2 e Avast! installato sono i seguenti: poco dopo l'avvio compare una finestra che segnala un Virus Alert Infection e suggerisce di cliccare su Ok per scaricare un virus remover, però non fa riferimento a nessun software antivirus che potrebbe essere l'origine di questa segnalazione.

Poi periodicamente compaiono delle finestrelle gialle simili ai balloons di avviso di WinXP nell'angolo in basso a destra vicino all'ora di sistema, anch'essi che segnalano varie forme di infezione (Trojan-Spy.win32@mx oppure PSW.x_Vir trojan o Spyware.Cyberlog-X), senza però identificare l'origine della segnalazione, sono scritte in inglese, piene di errori di scrittura e tutte invitano a cliccare per scaricare fantomatici anti-malware o malware remover...


Hai anche tu gli stessi sintomi?
Se si allora ti può bastare leggere questa discussione dall'inizio almeno finchè non sarà fatta una sintesi dell'infezione e la guida alla rimozione.
Se, invece, il tuo problema è diverso allora ti invito a seguire la guida:

GUIDA alla DISINFEZIONE per INFETTI - obbligatoria la lettura (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

In cui trovi anche la guida alla rimozione virus da MSN Messenger che può esserti utile.

Domanda da ingenua: mi sembrava di aver capito leggendo la guida per rimuovere virus da MSN messenger che MSNFIX fosse legato a quel programma...chiedo perche il mio amico non usa MSN messenger, non ne vedo l'icona nel PC... ripeto però, è una domanda ingenua.

Ciao Oli, farti eseguire MSNFIX è stata una mia precauzione quando hai segnalato la presenza di questo trojano:
Avira Antivir: ha eliminato ..... tre files strani segnalati sopra, di cui uno sicuramente segnalato come TR/Fotomoto.F.1
Il fatto è che, controllati i log che hai pubblicato, Eliastarta continua a segnalare alcuni file infetti che non riesce a rimuovere.
Potrebbero essere dei falsi positivi ma, io resto del parere che, tra le email che il tuo amico ha backupato, alcune sono infette.
A questo punto, suggerirei di tenere sotto controllo il P.C. verificando non vengano segnalati, ancora problemi; in caso contrario, è davvero necessario rimuovere, completamente, quel backup.
Una ultima cosa vorrei chiederti: per caso, il tuo amico, utilizza programmi P2P come BitTorrent o BitComet?

il mio problema penso che sia lo stesso: mi compare un punto esclamativo in basso a destra, compaiono finestrelle gialle che mi dicono ke il pc è infetto, si aprono pagine internet di antispyware falsi e le 2 icone sul dekstop.......

Ho trovato una discussione:
http://forum.html.it/forum/showthread.php?threadid=1079415&perpage=15&highlight=&pagenumber=2
loro hanno risolto lo stesso problema a una persona, ma io non capisco come, non sono un mago dei pc, anke se mi serve tutti i giorni........
dateci un'occhiata e dite la vostra.....

il mio problema penso che sia lo stesso: mi compare un punto esclamativo in basso a destra, compaiono finestrelle gialle che mi dicono ke il pc è infetto, si aprono pagine internet di antispyware falsi e le 2 icone sul dekstop

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
e lo lasci disattivato fino a quando non avremo risolto il problema

Scarica ed installa HIJACKTHIS:clicca qui per il download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
● crea una apposta nuova Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona)
● lancialo, clicca su Do a system scan and save a logfile ed una volta che è stata creata la list, clicca su Save Log
Allega, nella discussione, il log di HijackThis per farlo controllare

già che ci sei, pulisci gli ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Per quanto riguarda la pubblicazione dei log e/o report che ti verrano richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, deve essere allegato utlizzando il tag code dall'editor del messaggio;
● in alternativa sempre se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download.

ditemi se va bene il log

quale log?

nn riesco ad allegare il file, mi dice formato non valido. Ora lo incollo, ditemi se è quello che volevate:

hijackthis.log - 0.01MB (http://www.zshare.net/download/4966163d47e5db/)

Per favore edita il tuo post (modifica) hosta il log in formato .txt qui http://www.zshare.net/ e indica il link dove prelevarlo.

c@zzo hai il gromozon e sei pieno di rumenta... asp che ci do un'occhiata + a fondo

1) disattiva ripristino conf di sys
2) fixa:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\iilyopaa.dll

O4 - HKLM\..\Run: [dmjmf.exe] C:\WINDOWS\system32\dmjmf.exe

O4 - HKLM\..\Run: [love junk phone cool] C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\CloseTwoLoveJunk\castplan.exe

O4 - HKLM\..\Run: [cashplatformsavememo] C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\New hope cash platform\Real third.exe

O4 - HKLM\..\Run: [System Terminal Server] smtsvc.exe

O4 - HKLM\..\Run: [Salestart] "C:\Programmi\File comuni\BestsellerAntivirus\bm.exe" dm=http://bestsellerantivirus.com; ad=http://bestsellerantivirus.com

O4 - HKLM\..\Run: [Salestart(1)] "C:\Programmi\File comuni\OnlineHelpmate\mc.exe" dm=http://onlinehelpmate.com ad=http://onlinehelpmate.com sd=http://ilp.onlinehelpmate.com

O4 - HKLM\..\Run: [9456afe4] rundll32.exe "C:\WINDOWS\system32\tjqnrmco.dll",b

O4 - HKCU\..\Run: [TZ Spyware Remover] C:\Programmi\TrackZapper.com\TZ Spyware Remover\SpyRem.exe /STARTUP

O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\svchost.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0022A25.dat

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\yygfduca.exe (file missing)

O23 - Service: SecNgo - Unknown owner - \\?\C:\Programmi\File comuni\Services\com3.exe (file missing)

O23 - Service: SecYjl - Unknown owner - \\?\C:\Programmi\File comuni\System\com6.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.26 85.255.112.166

O17 - HKLM\System\CS1\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.26 85.255.112.166

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.26 85.255.112.166


In avenger immetti

Files to delete:
C:\WINDOWS\system32\smtsvc.exe
C:\Programmi\File comuni\OnlineHelpmate\mc.exe
C:\WINDOWS\system32\iilyopaa.dll
C:\WINDOWS\system32\dmjmf.exe
C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\CloseTwoLoveJunk\castplan.exe
C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\New hope cash platform\Real third.exe
C:\Programmi\File comuni\BestsellerAntivirus\bm.exe
C:\Programmi\File comuni\OnlineHelpmate\mc.exe
C:\WINDOWS\system32\tjqnrmco.dll
C:\Programmi\TrackZapper.com\TZ Spyware Remover\SpyRem.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\yygfduca.exe
C:\Programmi\File comuni\Services\com3.exe
C:\Programmi\File comuni\System\com6.exe


Poi Fai una scansione con prevx gromozon removal e symantec linkoptimizer removal tool :

http://aknow.prevx.com/zeroL/T78AF85.exe
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixLinkopt.exe

e con prevx csi:

http://info.prevx.com/download.asp?grab=prevxcsi

poi allega un log di gmer

scusa non hai msn?
Xkè non ho capito cosa devo fare......

sono riuscito solo a fare la 2) ma non la 1)

le altre non riesco nemmeno a scaricare tools

Bunny, lascio la questione nelle tue mani in maniera da non sovrapporci e da non creare confusione.

scusa non hai msn?
Xkè non ho capito cosa devo fare......

sono riuscito solo a fare la 2) ma non la 1)

le altre non riesco nemmeno a scaricare tools

Disattivazione del ripristino configurazione sistema:
Disattivazione ripristino: start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok

Disattivazione del ripristino configurazione sistema:
Disattivazione ripristino: start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok

ok quello l'avevo fatto prima di fare la 2) ...............

Spiegazione sul punto 3:


8) Scarica avenger http://swandog46.geekstogo.com/avenger.zip


* Apriti avenger
* Seleziona input script manually
* Clicca sulla lente d'ingrandimento
* Incolla:
Files to delete:
C:\WINDOWS\system32\smtsvc.exe
C:\Programmi\File comuni\OnlineHelpmate\mc.exe
C:\WINDOWS\system32\iilyopaa.dll
C:\WINDOWS\system32\dmjmf.exe
C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\CloseTwoLoveJunk\castplan.exe
C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\New hope cash platform\Real third.exe
C:\Programmi\File comuni\BestsellerAntivirus\bm.exe
C:\Programmi\File comuni\OnlineHelpmate\mc.exe
C:\WINDOWS\system32\tjqnrmco.dll
C:\Programmi\TrackZapper.com\TZ Spyware Remover\SpyRem.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\yygfduca.exe
C:\Programmi\File comuni\Services\com3.exe
C:\Programmi\File comuni\System\com6.exe

* Clicca su done
* Clicca sul semaforo
* Rispondi sì 2 volte

Si è riavviato il pc ed è comparsa questa:
(allegato)

fai un nuovo log di hijackthis e allegalo.

riporta le righe rosse evidenziate da una scansione con gmer http://www.notrace.it/Download/download.asp?file=47

log........

hijackthis.log - 0.01MB (http://www.zshare.net/download/4994795a4d80b9/)

ora sto facendo lìaltra scansione.. dura molto?

fixa:

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\iilyopaa.dll (file missing)

O17 - HKLM\System\CCS\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166

O17 - HKLM\System\CS1\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0046541.dat

In avenger immetti questi script

Files to delete:
C:\WINDOWS\system32\__c0046541.dat

in rosso ho trovato solo C://WINDOWS/syss.exe(***hidden***)

X quanto riguarda C:\WINDOWS\system32\__c0046541.dat lo devo sia fixare che deletare?????
(ci sarebbe pure AVG Anti.Spyware che mi chiede di metterlo in quarantena)
Quale delle azioni devo fare?

prima fixi la chiave in hijackthis,poi immetti questo script in avenger:

Files to delete:
C:\WINDOWS\system32\__c0046541.dat
C:\WINDOWS\syss.exe

ora è tutto a posto?
sembrerebbe ritornato tutto alla normalità......

il rapporto di avenger...

non sono sicuro se l'ho salvato giusto o è quello vecchio:muro: :muro:

è quello vecchio.

azz!!! Come faccio a risalvare il rapporto?

usi di nuovo avenger.

per me l'infezione nn è soltanto una...sembrerebbe tipo gromozon+win dialer 1060

Allega anche un log di HiJackThis.

vediamo subito se è rimasto qualcosa di gromozon...
abilita la visualizzazione di files e cartelle nascosti e di sistema e vai in c:\Documents and settings

guarda se ci sono delle cartelle con nomi formati da lettere in ordine casuale(es: HGigUPbnYpYTSdggbIG)

x risalvare il rapporto cosa devo scrivere al posto di: Files to Delete........ ??

Allora: qua c'è il log hijackthis.log - 0.01MB (http://www.zshare.net/download/4997846fe4343a/)

rifai esattamente quello che hai fatto prima. incolli esattamente quello che hai messo prima

il log di hijackthis non va per niente bene... c'è qualcosa che non è stato trovato...

Fai così:

abilita la visualizzazione di files e cartelle nascosti e di sistema e vai in c:\Documents and settings

guarda se ci sono delle cartelle con nomi formati da lettere in ordine casuale(es: HGigUPbnYpYTSdggbIG)

ok dovrete aspettare un po xkè ora ke mi si riavvia il pc...........:cry:

In Document and settings non c'è niente a parte alcuni fle strani formato .tmp

Devo guardare pure nellesottocartelle?

io ti ho detto di guardare le cartelle non i files

cartelle tutto normale:
-"mio nome"
-Administrator
-All Users
-All Users.WINDOWS
-Amministratore
-Default User.WINDOWS

tutto ok, no?ora riavvio

edit: ecco il rapporto avenger

Da fixare
O4 - HKLM\..\Run: [9456afe4] rundll32.exe "C:\WINDOWS\system32\spdhrbpq.dll",b
O17 - HKLM\System\CCS\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166
O17 - HKLM\System\CS1\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166

nel post successivo allega un nuovo log di HJT

Le avevi fixate queste due?

O17 - HKLM\System\CCS\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166
O17 - HKLM\System\CS1\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166

Comunque ripeti l'operazione e subito dopo proviamo con questo tool:

Fixwareout (http://downloads.subratam.org/Fixwareout.exe)

Lo lanci e ti chiede di installarlo. Alla fine lo esegui e accetta quello che ti chiede. Alla fine si dovrebbe aprire hijackthis con cui fai un nuovo log. Inoltre in C:\fixwareot\ trovi il report.txt che devi allegare.
Siccome agirà sui DNS alla fine riavvia e fai:

Pannello di controllo -->Connessioni di rete.
Clicca col tasto destro sulla connessione di rete.
Poi su proprietà.
Ora nella nuova finestra vai su Protocollo Internet (TCP/IP)
Clicca su Proprietà. Si apre un'altra finestra.
Seleziona Ottieni DNS Automaticamente.


P.S. FixWareout: Designed to repair the symptoms caused by Wareout, whose main objective is to hijack the DNS system to redirect our search Internet sites predetermined by this infection.

Le avevi fixate queste due?

O17 - HKLM\System\CCS\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166
O17 - HKLM\System\CS1\Services\Tcpip\..\{181625E3-AB78-4953-AD25-3847B891C0CF}: NameServer = 85.255.115.26 85.255.112.166

Comunque ripeti l'operazione e subito dopo proviamo con questo tool:

Fixwareout (http://downloads.subratam.org/Fixwareout.exe)

Lo lanci e ti chiede di installarlo. Alla fine lo esegui e accetta quello che ti chiede. Alla fine si dovrebbe aprire hijackthis con cui fai un nuovo log. Inoltre in C:\fixwareot\ trovi il report.txt che devi allegare.
Siccome agirà sui DNS alla fine riavvia e fai:

Pannello di controllo -->Connessioni di rete.
Clicca col tasto destro sulla connessione di rete.
Poi su proprietà.
Ora nella nuova finestra vai su Protocollo Internet (TCP/IP)
Clicca su Proprietà. TSi apre un'altra finestra.
Seleziona Ottieni DNS Automaticamente.


li avevo già fixati! Li ho rifixati
il link mi apre una finestrella, faccio salva file, ma poi non succede nulla... riprovo ancora..............ora va........

ecco hijackthis.log - 0.01MB (http://www.zshare.net/download/4999191c9ae58e/)

log di HJT

Ora sei apposto. Devi comunque fixare questa voce relativa al Norton:

O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"

In più ti consiglio di disinstallare Avast e installare Avira Antivir. Qui trovi una dettagliata guida:

Avira Antivirus 7 (http://www.hwupgrade.it/forum/showthread.php?t=1514684)

Puoi anche fixare queste voci superflue:

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

ecco hijackthis.log

installa JAVASUN: clicca qui per il download (http://www.java.com/it/)

Sostituisci Avast (antivirus penoso) con:

ANTIVIR PERSONAL EDITION FREE: clicca qui per il download (http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe)
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho (leggi, attentamente, i primi tre post), ed altre cose importanti ed interessanti in relazione ad Antivir.
Se necessiti di informazioni o spiegazioni, posta, in quella discussione.

installa JAVASUN: clicca qui per il download (http://www.java.com/it/)

perchè dovrebbe isntallare la Java? :mbe:

non si può aspettare un altro log di HJT?, partendo dal presupposto che oltre al Norton ci sono ancora tracce di Panda. bisogna aggiornare Acrobat etc......

grazie 1000 di tutto.... siete stati la mia salvezza!;)

hijackthis.log - 0.01MB (http://www.zshare.net/download/49994895c7f2d3/)

i O17 vanno bene ora?

Ci sono da fixare anche queste:

O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmi\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" –atboottime

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE

Prima di fixarle Disattiva il Ripristino configurazione di sistema

Quando hai fatto tutto (compresa l'installazione di JavaSun e l'installazione del nuovo Antivirus), pubblica un nuovo log di Hthis e faremo il resto.

è tutto il giorno che è disattivato...........
poi devo riattivarlo?

è tutto il giorno che è disattivato...........
poi devo riattivarlo?

inizio ad avere il dubbio che tu non leggi posta in altro log di HJT per favore

hijackthis.log - 0.01MB (http://www.zshare.net/download/4999605028b228/)

hijackthis.log - 0.01MB (http://www.zshare.net/download/4999605028b228/)

Per quanto riguarda l'infezione sembra sia stata debellata, devi aggiornare necessariamente Acrobat sei ancora alla versione 7.

inizio ad avere il dubbio che tu non leggi posta in altro log di HJT per favore
Non è una impressione: è una certezza assoluta :cool:

hijackthis.log - 0.01MB (http://www.zshare.net/download/4999605028b228/)

Ti ho detto, prima:

Ci sono da fixare anche queste:

O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmi\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" –atboottime

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE

Prima di fixarle Disattiva il Ripristino configurazione di sistema

Quando hai fatto tutto (compresa l'installazione di JavaSun e l'installazione del nuovo Antivirus), pubblica un nuovo log di Hthis e faremo il resto.

ma io l'avevo messo xkè me l'aveva chiesto chill out

l'antivirus lo sto installando

ma io l'avevo messo xkè me l'aveva chiesto chill out ...... l'antivirus lo sto installando
Devi, anche, fixare le voci che ti ho indicato sopra :ncomment: come te lo devo dire?? :muro:

le ho fixate.......

le ho fixate.......
Bene, una volta installato l'antivirus e installato JavaSun, allega un ultimo log di Hthis, per favore.

io non riesco a capire come mai pur avendo gromoz gli partiva hcjkthis...:mbe:
e credo riuscisse pure a collegarsi al forum...
sarà qualche variante leggera?:fagiano:

come si fa a togliere il suono del pc quando trova un virus? Devo metterli in quarantena o eliminarli? (non vorrei eliminare qualcosa di utile, come già successo con avast....)
C://WINDOWS/system32/jkkjj.dll toyan--------> TR/Vundo.Gen

hijackthis.log - 0.01MB (http://www.zshare.net/download/50001064c8f374/)

Bene, una volta installato l'antivirus e installato JavaSun, allega un ultimo log di Hthis, per favore.

perchè sta fissa che ogni utente deve possedere la java?? se non ne ha bisognmo non vedo nessun motivo per fargliela installare...

io vedo tre antivirus nel log:mbe:
piu credo che queste andrebbero fixate:
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\dimitri comminesi\927153459.dll (file missing)
O2 - BHO: (no name) - {2a6af021-17a2-4014-8624-cf6015f82fad} - C:\WINDOWS\system32\omaa.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: {7e0f6ff2-286d-7f58-de74-2e354ee93888} - {88839ee4-53e2-47ed-85f7-d6822ff6f0e7} - C:\WINDOWS\system32\sdypmtjv.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\iilyopaa.dll (file missing)
O2 - BHO: (no name) - {FCBF1A6C-20F0-4F6A-AAC6-5F1E27953A46} - C:\WINDOWS\system32\jkkjj.dll
O20 - Winlogon Notify: iilyopaa - iilyopaa.dll (file missing)

come si fa a togliere il suono del pc quando trova un virus? Devo metterli in quarantena o eliminarli? (non vorrei eliminare qualcosa di utile, come già successo con avast....)
C://WINDOWS/system32/jkkjj.dll toyan--------> TR/Vundo.Gen

Andiamo alla grande vedo: ELIMINALI se te li fa eliminare.

Rilancia Hthis (e chiudi quel coso di Torrent per favore :mad: ) e fixa queste:

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\dimitri comminesi\927153459.dll (file missing)

O2 - BHO: (no name) - {2a6af021-17a2-4014-8624-cf6015f82fad} - C:\WINDOWS\system32\omaa.dll (file missing)

O2 - BHO: {7e0f6ff2-286d-7f58-de74-2e354ee93888} - {88839ee4-53e2-47ed-85f7-d6822ff6f0e7} - C:\WINDOWS\system32\sdypmtjv.dll

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\iilyopaa.dll (file missing)

O20 - Winlogon Notify: iilyopaa - iilyopaa.dll (file missing)

Riallega un nuovo log di Hthis

P.S.: Una domanda: ma hai disinstallato AVAST, prima di installare il nuovo Antivirus?

io vedo tre antivirus nel log:mbe:
piu credo che queste andrebbero fixate:
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\dimitri comminesi\927153459.dll (file missing)
O2 - BHO: (no name) - {2a6af021-17a2-4014-8624-cf6015f82fad} - C:\WINDOWS\system32\omaa.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: {7e0f6ff2-286d-7f58-de74-2e354ee93888} - {88839ee4-53e2-47ed-85f7-d6822ff6f0e7} - C:\WINDOWS\system32\sdypmtjv.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\iilyopaa.dll (file missing)
O2 - BHO: (no name) - {FCBF1A6C-20F0-4F6A-AAC6-5F1E27953A46} - C:\WINDOWS\system32\jkkjj.dll
O20 - Winlogon Notify: iilyopaa - iilyopaa.dll (file missing)

infatti se non si decide a disinstallare Avast , Panda e ad affiancare ad Antivir Comodo Firewall stiamo su questa discussione fino a Natale

Il fatto è che, controllati i log che hai pubblicato, Eliastarta continua a segnalare alcuni file infetti che non riesce a rimuovere.
Potrebbero essere dei falsi positivi ma, io resto del parere che, tra le email che il tuo amico ha backupato, alcune sono infette.
A questo punto, suggerirei di tenere sotto controllo il P.C. verificando non vengano segnalati, ancora problemi; in caso contrario, è davvero necessario rimuovere, completamente, quel backup.
Una ultima cosa vorrei chiederti: per caso, il tuo amico, utilizza programmi P2P come BitTorrent o BitComet?

Rieccomi...ho cantato vittoria troppo presto, forse ha ragione Riverside, dovrò chiedere al mio amico di buttare tutto quello che può buttare dei suoi vecchi backup...

Però sabato sera ho lasciato che facesse una scansione anche con BitDefender online e ho ricevuto messaggio dopo un paio d'ore che segnalava tutto pulito...
Stasera invece un nuovo messaggio diceva che ancora erano state trovate 4 infezioni, di cui non so però il nome, andrò domani a vedere dopo il lavoro nel tardo pomeriggio e vi farò sapere...

A quanto ne so non ci sono installati programmi P2P e nemmeno di messaggistica istantanea. Il mio amico sostanzialmente usa il PC per videoscrittura, per fare disegni con Paint e per le email, e naviga solo su siti tipo www.corriere.it oppure www.repubblica.it. Però tutto questo casino delle infezioni è nato dalla visita di suo figlio lo scorso weekend e non ci è dato di sapere cosa abbia navigato oppure installato... Mi sono però accorta ieri che era stato installato e poi disinstallato un programma chiamato SoleLuna Antivirus, era rimasta la cartella vuota nella cartella dei Programmi... lo conoscete? Può centrare qualcosa?
Accidenti...questa è una lotta dura con queste schifezze... spero alla fine di tutto di ricordarmi abbastanza bene il percorso di pulizia per fare un riassunto utile...
Ci aggiorniamo. Buona notte.

non me lo fa eliminare...........
access deny cosa fa?????

ora fixo..

Rieccomi...ho cantato vittoria troppo presto, forse ha ragione Riverside, dovrò chiedere al mio amico di buttare tutto quello che può buttare dei suoi vecchi backup... Accidenti...questa è una lotta dura con queste schifezze... spero alla fine di tutto di ricordarmi abbastanza bene il percorso di pulizia per fare un riassunto utile... Ci aggiorniamo. Buona notte.
Ciao Oli; come ti avevo già detto in precedenza, a mio parere su quel P.C. sono state salvate delle mail infette, quindi credo sia davvero il caso di fare tabula rasa di quei salvataggi.
In ogni caso, tienimi aggiornato sulla questione.
Mi sono però accorta ieri che era stato installato e poi disinstallato un programma chiamato SoleLuna Antivirus, era rimasta la cartella vuota nella cartella dei Programmi... lo conoscete? Può centrare qualcosa?
Sembrerebbe si tratti di un Antivirus: http://solelunaantivirus.c*o*m* .... devo dirti che, non lo avevo mai sentito nominare.

P.S.: ho editato il link, per evitare, eventuali, brutte soprese.

infatti se non si decide a disinstallare Avast , Panda e ad affiancare ad Antivir Comodo Firewall stiamo su questa discussione fino a Natale
Il problema è stabilire il Natale di quale anno, temo :(
La mia impressione è che qui, sarebbe necessario ricominciare tutto dall'inizio, spiegandogli, passo per passo, cosa deve fare, partendo da come si disinstalla un software.

hijackthis.log - 0.01MB (http://www.zshare.net/download/5000399a2266ad/)

@ dimoraptor: adesso ti spiego, brevemente, come stanno le cose (visto che non leggi o fai finta di non capire).
Su quella macchina, in questo momento, stanno girando almeno due antivirus (senza contare i diversi residui derivanti da precedenti disinstallazioni).
Ora o ti decidi a seguire ciò che ti viene suggerito oppure, da qui non se ne esce, malgrado tutta la nostra buona volontà (il problema è che la nostra non basta, ce la devi mettere anche tu, la buona volontà).
Quindi, ora, la prima cosa che devi fare è disinstallare Avast.
Quando avrai disinstallato Avast, vedremo il resto (ovvero, ricominciamo tutto dall'inizio).

l'ho già disinstallato!
Panda no xkè non posso da Installazione Applicazioni......

l'ho già disinstallato!
Se lo dici tu ..... dall'ultimo log che hai pubblicato, risulta ancora installato.
In ogni caso, per stasera credo si possa anche andare a dormire.

Secondo me Soleluna Antivirus è un fake al pari di toolsicuro.

Edit: qui una mezza conferma:

http://www.siteadvisor.com/sites/solelunaantivirus.com/postid?p=547200

hijackthis.log - 0.01MB (http://www.zshare.net/download/500082320015d5/) continuiamo domani.........
xò ora ditemi cosa fare col nuovo antivirus...? mi ha trovato quel trojan ma non posso metterlo in quarantena, negargli l'accesso, deletarlo, ignorarlo, pulirlo....
non posso fare niente, continuano ad aprirmi finestre dello stesso e a suonare!

Secondo me Soleluna Antivirus è un fake al pari di toolsicuro ....... qui una mezza conferma.
Due segnalazioni non le definierei una mezza conferma ma, un piccolo indizio da tenere in debita considerazione.
In ogni caso, sembrerebbe che il Soleluna in questione sia da evitare.

grazie x le risposte...................:mad:

cmq il vostro antivirus mi ha bloccato il pc e ora non parte più:mad:

Riesci ad entrare in modalità provvisoria?
Stai tranquillo perchè finchè non formatti nulla è perduto dei tuoi dati.

grazie x le risposte...................:mad:
cmq il vostro antivirus mi ha bloccato il pc e ora non parte più:mad:
Incredibile questo tipo :O :doh:

entra in modalità provvisoria(premendo f8 all'avvio e selezionando modalità provvisoria con rete),scarica ccleaner

http://www.filehippo.com/download_ccleaner/

e con esso rimuovi 2 antivirusdei 3 che hai. se non riesci a rimuoverli riportaci l'errore.

entra in modalità provvisoria(premendo f8 all'avvio e selezionando modalità provvisoria con rete),scarica ccleaner

http://www.filehippo.com/download_ccleaner/

e con esso rimuovi 2 antivirusdei 3 che hai. se non riesci a rimuoverli riportaci l'errore.

proverò domani sera......
metti che riesco a eliminare avast e panda....e tengo antivir..... cosa devo fare quando mi trova i virus??? Non posso nè cancellarli nè ignorarli nè pulirli nè ignorarli.....
Mi si aprono continuamente finestrelle DELLO STESSO VIRUS e così facendo mi hanno prima rallentato il pc, ora (dopo averlo spento e riacceso) non va oltre la visualizzazione del dekstop!

ho provato prima ma non riesco nemmeno a connettermi in modalità provvisoria..............
mi dice errore 711, e se provo a risolverlo mi dice errore 1068.....

sei andato in modalità provvisoria CON RETE?

sei andato in modalità provvisoria CON RETE?

si

vabbè allora mettiti ccleaner su un cd poi installalo in modalità provvisoria e leva 2 antivirus.+

poi posta un log di hijackthis e le righe rosse evidenziate da una scansione di gmer http://www.notrace.it/Download/Sicurezza/Anti-Rootkit/gmer.htm

mi è bastato disinstallare antivir e tutto è ripartito.......
con CCleaner non ho trovato tracce di antivirus......
hijackthis.log - 0.01MB (http://www.zshare.net/download/5040547a24767e/)
con gmer non c'è nulla rosso.......

consigliatemi un ALTRO antivirus!

hai ancora il vundo. segui questa guida:

http://www.hwupgrade.it/forum/showthread.php?t=1603273

per l'antivirus ci sono i thread ufficiali(sezione guida ai programmi)

hai ancora il vundo. segui questa guida:

http://www.hwupgrade.it/forum/showthread.php?t=1603273

per l'antivirus ci sono i thread ufficiali(sezione guida ai programmi)

grazie ora seguo la guida ;)

...
In ogni caso, tienimi aggiornato sulla questione.

Ciao Riverside, saluti a tutti :) Non sono più riuscita a passare dal mio amico né a darvi aggiornamenti causa surplus di lavoro in questa settimana... però ci siamo sentiti per telefono con l'amico "convalescente" e pare che Spyware Terminator, Avira e aSquared abbiano segnalato in questi giorni solo dei cookies, anche domenica scorsa erano solo cookies che avevano rilevato le scansoni.... Pensavo di provare a passare un'ultima volta a recuperare due log recenti di Gmer e di HTHIS per un'ultima verifica finale, posso postarli qui come links a files appena li recupero?
Poi direi che se è tutto a posto faccio un bel riassunto!!!
Se vedo che non riesco a passare dal mio amico in breve tempo eventualmente posto prima il riassunto...
Ancora grazie mille!!

Saluti e auguri di buon anno a tutti! Finalmente riesco a sedermi due minuti con tranquillità davanti al PC per fare un riassunto di questa per me anomala avventura, per fortuna finita bene grazie al VOSTRO PREZIOSO :cool: AIUTO!

Iniziamo dall'inizio: i sintomi strani trovati sul PC erano i seguenti:
poco dopo l'avvio compariva una finestra che segnalava un Virus Alert Infection e con solo il pulsante Ok che invitava a scaricare un virus remover, senza fare riferimento a nessun software antivirus/antimalware in particolare.

Poi periodicamente comparivano delle finestrelle gialle simili (ma non proprio uguali) ai balloons di avviso di WinXP nell'angolo in basso a destra vicino all'ora di sistema, anch'essi che segnalavano varie forme di infezione (Trojan-Spy.win32@mx oppure PSW.x_Vir trojan o Spyware.Cyberlog-X), senza però identificare l'origine della segnalazione. Gli avvisi erano scritti in inglese e pieni di errori di scrittura e tutte le scritte invitano a cliccare per scaricare fantomatici anti-malware o malware remover non meglio identificati...
Trovati molti files strani:
nella cartella windows:
mrofinu572.exe.tmp
mrofinu572.exe
mrofinu1000106.exe
17PHolmes572.exe
nella cartella System32:
una dozzina di files .dll con nome lungo da 5 a 8 caratteri a caso, del tipo jkkjjhh.dll oppure qadfwjdc.dll o gebyw.dll non cancellabili nemmeno dalla modalità provvisoria.
sul desktop si ricreavano ad ogni riavvio due icone con links:
Live Safety Center
Online Security Guide
che assomigliavano mostruosamente alle icone del firewall di Windows ma con colori diversi, e che puntavano entrambi ad un dominio htepo.com con a seguire codici che non son riuscita a trascrivere.
e anche un rMa01yy1065.exe che non ricordo dov'era salvato...
All'interno di IE si era installata una fantomatica "Security Toolbar 7.1" per IE che non si riusciva a disabilitare, e che era collegata al file infetto AJNCIXPJ.DLL identificato più tardi da PrevX CSI come Trojan.Zlob.
Ho cercato di seguire le "Regole di Sezione" del Forum, utilizzando i programmi nell'ordine indicato, e ho installato Firefox da usare al posto di IE per sicurezza.
Ho eseguito CCleaner, ho disattivato il ripristino di sistema, ho fatto la scansione con HiJackThis ma non ha funzionato il Fix dei problemi legati ai files che non riuscivo a cancellare. ho fatto la scansione online con A-squared Anti Malware e sul PC con Avast! aggiornato (che però ho subito disinstallato e sostituito con Avira Antivir su consiglio di xcdegasp). Ho provato ad usare anche Gmer ma non partiva.
Poi ho utilizzato PREVXCSIfree che ha identificato Trojan.Vundo (che ho eliminato con il Removal Tool della Symantec, ma che successivamente si è ripresentato di nuovo) e Trojan.Zlob.
Chill-Out ha ipotizzato la presenza anche di Trojan-Downloader.Win32.Agent.emo
La scansione con DR.Web ha evidenziato, ma non pulito, il Trojan.Winpop.origin e ha invece eliminato C:\WINDOWS\system32\rMa01yy\rMa01yy1065.exe identificato come Trojan.Downloader.24715
A questo punto però i sintomi problematici erano ancora presenti, nonostante alcuni files infetti eliminati.
Ho proseguito quindi così, secondo i consigli di Riverside:
ho cancellato il contenuto della cartella Prefetch di Windows, ho pulito gli ADS utilizzando l'opzione della Misc Tool Section di HJThis, ho rifatto la pulizia totale e approfondita con CCleaner, ho eseguito Panda Antirootkit, e alla fine ho ripostato il log di JHThis per un controllo. Apparentemente a questo punto sembrava che i files problematici fossero spariti, ma i sintomi problematici c'erano ancora.
Allora seguendo sempre i suggerimenti di Riverside, ho eseguito Elistarta e Sysclean Trendmicro, e qualcosa di pulizia finalmente ha funzionato! Anche se qualcosa ha resistito all'eliminazione, legato al Vundo, i sintomi delle finestrelle gialle e delle icone simil-winSecurity erano a questo punto sparite.
Una ulteriore scansione approfondita con A_Squared ha eliminati files riferiti a Trojan-Downloader.Win32.ConHook.hl e a Trojan-Downloader.Win32.ConHook.hl
A seguire ho eseguito le istruzioni di Chill-out facendo girare VundoFix, FixVundo, VirtumundoBeGone, e COMBOFIX.
A questo punto finalmente le cose si sono avviate a conclusione positiva, salvo qualche piccolo fix andato a buon fine subito.
Ho così protetto poi il PC del mio amico con i seguenti programmi, seguendo i consigli degli esperti:
Avira Antivir Personal Edition Free
Comodo Firewall
Spyware Terminator
AdAware
ASquared Free
Panda Antirootkit
Ho poi creato un utente senza privilegi di amministratore e l'ho predisposto con Firefox ultima versione per la navigazione.
Da una successiva scansione con Avira Antivir appena aggiornato è stato trovato ed eliminato TR/Fotomoto.F.1 insieme ad altri files collegati ancora a Vundo, e Riverside mi ha fatto eseguire anche MSNFIX TOOL.
Una nuova scansione con VundoFix ha trovato e rimosso un riferimento a TR/Vundo.A5 e una nuova scanzione con Elistarta ha trovato e rimosso un riferimento a Spam-MailBot.
A questo punto tutto sembra risolto. Sono passate alcune settimane, il mio amico utilizza sempre l'utente non admin per navigare e una volta alla settimana esegue scansione con Antivir a con A2Free e gli ho detto che se trova qualcosa di diverso da cookies di avvisarmi, e per ora ci siamo sentiti solo per gli auguri di Natale e di Capodanno :)
Perciò a questo punto vi posso solo dire
GRAZIE MILLE DI TUTTO!!
SIETE DAVVERO MITICI!!
:D

Saluti a tutti
Valeria

Sono passate alcune settimane, il mio amico utilizza sempre l'utente non admin per navigare e una volta alla settimana esegue scansione con Antivir a con A2Free e gli ho detto che se trova qualcosa di diverso da cookies di avvisarmi, e per ora ci siamo sentiti solo per gli auguri di Natale e di Capodanno :)
:mbe: dopo quello che hai fatto, Valeria, il tuo amico, almeno un invito a cena, te lo dovrebbe :muro:
:doh: porca la miseria, non ci sono più i galantuomini di una volta :cry:

Bè, il mio amico è un signore sessantenne felicemente sposato :)
Comunque in realtà una cena me l'ha offerta, l'ultima volta che sono passata a controllare il PC ai primi di dicembre, l'ha preparata la sua dolce mogliettina: tomini caldi con speck, tartine al salmone e ai wurstel e micropanini ai salumi vari, compreso un mitico salame di Varzi originale! :p
A parte tutto, per gli amici non sto a guardare il ritorno...anche se fa piacere un ringraziamento speciale :)
Lo stesso che vi meritate Voi che avete sempre una pazienza infinita con tutti e consigli sempre utilissimi e di vitale importanza!
Alla prossima occasione! Anche se mi piacerebbe non incontrare mai più virus e schifezze varie...so che il pericolo è sempre in agguato...argh!
Ciao a tutti!
Valeria

io dico che sto sessantenne è troppo arzillo,ecco dove sta il problema :D

io dico che sto sessantenne è troppo arzillo,ecco dove sta il problema :D

non è mai troppo tardi :D

E' proprio una peste bubbonica 'sto SoleLunaAntivirus.

RAGAZZI VOI SIETE BRAVISSIMI ma io sono piuttosto imbranato, pertanto, dopo aver letto attentamente tutta la faccenda, mi permetto di chiedervi se non fosse possibile, alla luce dell'esperienza condotta con successo, di sintetizzare il tutto in maniera operativa adeguata, non solamente agli smanettoni, ma anche agli imbranati come me.
Ve ne sarei molto grato e, credo, forse tantissimi sarebbero disposti a farvi il monumento.
Pendo dalle vostre labbra! Saluti. gigi.

.....

beh... parti dalla guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
e posta tutti i log dei programmi richiesti

c'è da dire che in questo caso, l'utente era infetto anche da vundo...vediamo cosa hai tu....

precisazioni sui programmi della guida (che devono essere lasciati lavorare in pace, nn fare nulla al pc nel frattempo) :

1-riguardo ESET ADS REVEALER, nn ti preoccupare dei nomi che compaiono a fine scansione, cancella tutte le voci, nn elimini alcuni file,ok?

2- ASQUARED è un ottimo programma antispyware, installalo, lo aggiorni, e poi fai la scansione in deep scan, ci impiegherà un bel po di tempo, ma è importante, e posta qui il log(il rapporto di scansione)

3-PREVX CSI è un tool di rilevamento malware, ma nn rimuove nulla, a fine scansione nn devi scaricare la versione a pagamento x la rimozione, nn chiudere il programma, e vai su options e poi save log x poter poi pubblicare qui il log

4-come scansione online fai quella con bitdefender (l'unica che rimuove i virus insieme a quella di f-secure):
http://www.bitdefender.com/scan8/ie.html

5-hijackthis, lo devi "installare" in una sua cartella che puoi creare anche sul desktop, poi a fine scansione,salva in formato .txt il log che ti apparirà e poi lo alleghi qui

5-gmer una volta avviato, lo lasci lavorare in pace (questo vale x tutti i programmi) e a fine scansione clicca sul pulsante copy e poi apri il blocco note e gli dici incolli, cosi salvi il file in formato .txt e lo posti qui

stai attento a come posti i log, guarda qui:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post

Intanto infinite grazie per la tempestiva risposta.
Ho cominciato a fare qualche cosa, come da istruzione e da guida. ma ho dovuto interrompere e temo di non avere la possibilità di proseguire per qualche giorno, ma non ibtendo certamente demordere.
Conto di riprendere non appena possibile relazionando in merito.
A presto.