Sono scoraggiato, provo a rispostare .....
Ho un problema che non riesco a risolvere!
mi compare in trusted zone un dominio "fasullo" *.whataboutadog.com e compare un file in C:\WINDOWS\Temp un file che cambia di volta in volta, ora trovo RUCEDB.exe (lo cancello in modalità provvisoria ma ricompare con altro nome). Il file cambia nome ma cmq è sempre formato da sei caratteri alfanumerici e maiuscoli.
Ho fatto girare un pò di "cose" ma non risolvo il problema....
ccleaner
spybot
trend micro antispyware
AD aware se
trend nicro office scan
ewido online
e
altro
allego log hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 15.16.44, on 26/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Officescan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Officescan NT\tmlisten.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Officescan NT\OfcPfwSvc.exe
C:\WINDOWS\TEMP\RUCEDB.EXE
C:\WINDOWS\Explorer.EXE
C:\Officescan NT\pccntmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Officescan NT\Pop3Trap.exe
C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\SealedMedia\sealmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office Communicator\Communicator.exe
C:\Program Files\Last.fm\LastFMHelper.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\a-squared Free\a2free.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
E:\antivir\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://noiportal.telecomitalia.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://noiportal.telecomitalia.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Telecom Italia s.p.a.
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Officescan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [PDUiP6220DMon] C:\Program Files\Canon\Memory Card Utility\iP6220D\PDUiP6220DMon.exe
O4 - HKLM\..\Run: [RUN_PWR_SETTINGS] %windir%\system32\RunUnset.vbs
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [sealmon] C:\Program Files\SealedMedia\sealmon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [COMMUNICATOR] "C:\Program Files\Microsoft Office Communicator\Communicator.exe" /background
O4 - Startup: Last.fm Helper.lnk = C:\Program Files\Last.fm\LastFMHelper.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Download All by Gigaget - C:\Program Files\Giganology\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - C:\Program Files\Giganology\Gigaget\geturl.htm
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://noiportal.telecomitalia.it
O15 - Trusted Zone: *.doginhispen.com
O15 - Trusted Zone: http://organigramma.griffon.local
O15 - Trusted Zone: *.griffon.local
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it
O15 - Trusted Zone: http://griffon.open.telecomitalia.it
O15 - Trusted Zone: http://hr.open.telecomitalia.it
O15 - Trusted Zone: http://mpa.dg.telecomitalia.it
O15 - Trusted Zone: http://paperless.open.telecomitalia.it
O15 - Trusted Zone: http://tils.open.telecomitalia.it
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local
O15 - Trusted Zone: http://soa404.telecomitalia.local
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: http://organigramma.griffon.local (HKLM)
O15 - Trusted Zone: *.griffon.local (HKLM)
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://hr.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://paperless.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://tils.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local (HKLM)
O15 - Trusted Zone: http://soa404.telecomitalia.local (HKLM)
O15 - Trusted IP range: 10.74.27.45
O15 - Trusted IP range: http://10.173.215.15
O15 - Trusted IP range: 10.74.27.45 (HKLM)
O15 - Trusted IP range: http://10.173.215.15 (HKLM)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = telecomitalia.local
O17 - HKLM\Software\..\Telephony: DomainName = telecomitalia.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{04B7E05C-ECA4-4393-BC1B-FC1B635BA7C4}: NameServer = 156.54.205.68,156.54.17.166
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9FA1FB0-D522-4225-95FD-95A29CD25D01}: NameServer = 85.37.17.16 85.38.28.68
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = telecomitalia.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = telecomitalia.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{04B7E05C-ECA4-4393-BC1B-FC1B635BA7C4}: NameServer = 156.54.205.68,156.54.17.166
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = telecomitalia.local
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Officescan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Officescan NT\OfcPfwSvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Officescan NT\tmlisten.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

Ciao, prima di postare avresti dovuto leggere la guida alla disinfezione e leggere le regole di sottosezione, entrambe sono evidenziate in grassetto e recano la scritta importante.

Dal log si nota che devi aggiornare internet explorer, ora è disponibile la versione 7.

Ciao e buone feste

gentile MARMOTTA88, potresti essere meno "criptico"!
Ho letto la guida, forse non con l'attenzione dovuta, ma non riesco a capire quali siano le sottosezioni che descrivono le modalità risolutive.
A riguardo di IE il fatto che sia nella versione 6 è indice di infezione?
Tra l'altro io uso OPERA e non IE, per cui l'aggiornamento della release, visto l'uso che ne faccio (nessuno), è relativamente importante.
Anzi sai che ti dico, se potessi disinstallarlo, lo farei subito....

Comunque grazie per i consigli.

è il trojan.obfuscated,di cui chissà quante volte si sarà parlato.
se provi a fare una ricerca capirai che è di facile rimozione

Devi editare il log che hai postato utilizzando i tag code come è ben evidenziato nelle regole di sezione: http://www.hwupgrade.it/forum/showthread.php?t=1589984

grazie 1000, la prossima volta allegherò il log nella modalità indicata.

grazie 1000, la prossima volta allegherò il log nella modalità indicata.

No, dovresti gentilmente MODIFICARE il tuo post iniziale dove cè il log di HJT e metterlo come da regole di sezione altrimenti nessuno di noi potrà darti assistenza.

:rolleyes:

grazie 1000, la prossima volta allegherò il log nella modalità indicata.
La prossima volta? scusa, vorrei farti notare che quel P.C., è infetto ;)

Riverside, aiutami a capire.....
Sarai un grande per quanto riguarda il software, ma a riguardo l'italiano sembri avaro.
Qualche parola in più non guasterebbero.
Scusate ma io non sono un esperto e se mi aiutate come si fa con i bambini magari non creo problemi al forum....
Non avertene, ma date per scontate troppo cose.
Probabilmente non ho letto con attenzione le guide, ho accodato il il log al messaggio senza allegare in un file txt il risultato.
ho chiesto scusa dicendo che al prossimo messaggio avrei fatto attenzione.
non capisco la tua risposta
"La prossima volta? scusa, vorrei farti notare che quel P.C., è infetto"
grazie e scusa l'ardire.

grazie anticipatamente.

A proposito, visto che hai già fatto la diagnosi, di che si tratta?

Non avertene, ma date per scontate troppo cose.
Diamo per scontato che, una volta postato, chi richiede assistenza legga le risposte che riceve.
visto che hai già fatto la diagnosi, di che si tratta?
Juninho ti aveva già fornito la riposta:
è il trojan.obfuscated,di cui chissà quante volte si sarà parlato.
se provi a fare una ricerca capirai che è di facile rimozione

Comunque:

Disabilita il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Deve restare disabiitato fino a quando non avremo risolto il problema

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

scarica CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Rilancia HThis ed inzia con il fixare queste voci:

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O4 - HKLM\..\Run: [RUN_PWR_SETTINGS] %windir%\system32\RunUnset.vbs

O15 - Trusted Zone: *.doginhispen.com

O15 - Trusted Zone: http://organigramma.griffon.local

O15 - Trusted Zone: *.griffon.local

O15 - Trusted Zone: http://atomwfe1.telecomitalia.it

O15 - Trusted Zone: http://atomwfe2.telecomitalia.it

O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it

O15 - Trusted Zone: http://griffon.open.telecomitalia.it

O15 - Trusted Zone: http://hr.open.telecomitalia.it

O15 - Trusted Zone: http://mpa.dg.telecomitalia.it

O15 - Trusted Zone: http://paperless.open.telecomitalia.it

O15 - Trusted Zone: http://tils.open.telecomitalia.it

O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local

O15 - Trusted Zone: http://soa404.telecomitalia.local

O15 - Trusted Zone: *.whataboutadog.com

O15 - Trusted Zone: http://organigramma.griffon.local (HKLM)

O15 - Trusted Zone: *.griffon.local (HKLM)

O15 - Trusted Zone: http://atomwfe1.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://atomwfe2.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://griffon.open.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://hr.open.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://paperless.open.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://tils.open.telecomitalia.it (HKLM)

O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local (HKLM)

O15 - Trusted Zone: http://soa404.telecomitalia.local (HKLM)

O15 - Trusted IP range: 10.74.27.45

O15 - Trusted IP range: http://10.173.215.15

O15 - Trusted IP range: 10.74.27.45 (HKLM)

O15 - Trusted IP range: http://10.173.215.15 (HKLM)

Pulisci gli eventuali ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

scarica TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)
● scompattalo in una cartella dedicata (è un tool standalone)
● lancia il tool e clicca su Scan
● al termine della scasione ti verrà richiesto di salvare il log
● se venissero rilevati Rootkit provvedi alla loro eliminazione
● il log verrà salvato in una cartella denominata TRMBLog che trovi all'interno della cartella dedicata che hai precedentemente creato
● allega il log salvato

BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online (http://www.bitdefender.com/scan8/ie.html)
● una volta aperta la pagina, clicca I AGREE: ti farà scaricare un activex, tu segui la procedura guidata.
allega il Report che verrà rilasciato

Al termine riavvia e scarica FINDAWF: clicca qui per il download (http://www.alground.com/site/modules/mydownloads/visit.php?cid=3&lid=6)
Tool per la rilevazione della directory BAK e per la rimozione del Trojan.win32.Obfuscated.dr
● una volta scaricato, avvialo
● si aprirà un finestra in stile dos: clicca su un tasto qualunque
al termine della scansione verrà proposto un Report: lo alleghi

allega, inoltre, un nuovo log di Hthis

Per quanto riguarda la pubblicazione dei log e/o report richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download

Per ora, ci fermiamo qui; il resto lo vediamo dopo aver analizzato i log che ti sono stati richiesti.

Quoto il socio:D
fai la procedura per una prima parte di pulizia alla fine dopo i log richiesti
...CUT...

Edit: preceduto da River

l'avevo detto che sei un grande ( ti seguivo già nel forum), bastava un piccolo stimolo :D !!
Grazie

provo a seguire le indicazioni.

per il ripristino:
già disabilitato (si tratta di computer aziendale)
ccleaner ok secondo le modalità descritte
hjthis ok fixato rununset, dogin... e wathab...... ( il resto è inserito in funzione della policy aziendale) no ads
trendmicro no rootkit
bitdefender http://www.zshare.net/download/59372633f42844/
findaws nothing http://www.zshare.net/download/5937302f231ba3/
hjthis ecco il log http://www.zshare.net/download/593754236fbcbd/
awf http://www.zshare.net/download/5937577a4b2fe9/

Il PC Aziendale lo fanno usare in modalità Administrator ? :confused:

Forse + che aziendale è della TUA azienda.

lper il ripristino: già disabilitato (si tratta di computer aziendale)
Questo avresti dovuto farlo sapere prima :muro: e poi, scusa, ma dove navighi per incasinarti in questa maniera?.

Ma tutta questa pappardella di roba è aggiunta all’elenco dei siti attendibili?:

O15 - Trusted Zone: http://organigramma.griffon.local
O15 - Trusted Zone: *.griffon.local
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it
O15 - Trusted Zone: http://griffon.open.telecomitalia.it
O15 - Trusted Zone: http://hr.open.telecomitalia.it
O15 - Trusted Zone: http://mpa.dg.telecomitalia.it
O15 - Trusted Zone: http://paperless.open.telecomitalia.it
O15 - Trusted Zone: http://tils.open.telecomitalia.it
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local
O15 - Trusted Zone: http://soa404.telecomitalia.local
O15 - Trusted Zone: http://organigramma.griffon.local (HKLM)
O15 - Trusted Zone: *.griffon.local (HKLM)
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://hr.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://paperless.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://tils.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local (HKLM)
O15 - Trusted Zone: http://soa404.telecomitalia.local (HKLM)
O15 - Trusted IP range: 10.74.27.45
O15 - Trusted IP range: http://10.173.215.15
O15 - Trusted IP range: 10.74.27.45 (HKLM)
O15 - Trusted IP range: http://10.173.215.15 (HKLM)

Questa roba la conosci?

O17 - HKLM\System\CCS\Services\Tcpip\..\{04B7E05C-ECA4-4393-BC1B-FC1B635BA7C4}: NameServer = 156.54.205.68,156.54.17.166

O17 - HKLM\System\CS1\Services\Tcpip\..\{04B7E05C-ECA4-4393-BC1B-FC1B635BA7C4}: NameServer = 156.54.205.68,156.54.17.166

156.54.205.68, 156.54.17.166
Address: P.O. Box 10096
address: Via Saverio Dioguardi, 1
address: I-70124 Bari
address: Italy
address: Netsiel S.p.A.
address: Via Saverio Dioguardi, 1
address: I-70124 Bari
address: IT

Poi, fai analizzare questo exe su VIRUS TOTAL: vai a Virustotal (http://www.virustotal.com/it/)

C:\WINDOWS\TEMP\HK843.EXE

allega il Report che verrà rilasciato

Il PC Aziendale lo fanno usare in modalità Administrator ?

Forse + che aziendale è della TUA azienda.
Magari fossi il proprietario, purtroppo è un notebook dato in dotazione come dipendente ad alta mobilità con account da amministratore per via del lavoro che svolgo.

Ma tutta questa pappardella di roba è aggiunta all’elenco dei siti attendibili?

si, è aggiunta volontariamente.

il file HK843.exe non è più presente nella directory c:\windows\temp. ora trovo AV8BB5.exe (icona con un cane).
faccio analizzare questo file da virustutorial?

L'icona raffigurante un cane è inerente al tuo AV TrendMicro, allega un nuovo log di HJT dopo aver fixato le voci indicate.

Ma tutta questa pappardella di roba è aggiunta all’elenco dei siti attendibili?
si, è aggiunta volontariamente.
Sono sicuro di averti detto, nel mio primo reply, che quella roba va fixata.
il file HK843.exe non è più presente nella directory c:\windows\temp.
Te la ho indicata perché era ancora presente nell'ultimo log di Hthis che hai pubblicato.
Tra l'altro, nel reply precendente, ti ho anche indicato due voci O17 che contengono degli IP: ti ho chiesto se ne conosci la provenienza.
Il log di Bitdender, è pulito; quello di FindAWF non evidenzia nulla di particolare.
Prima di alllegare, come ti ha richiesto, giustamente, Chill, dopo aver fixato tutte quelle voci, un nuovo log di Hthis:

scarica SYSCLEAN TRENDMICRO: clicca qui per il download (http://www.trendmicro.com/ftp/products/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● devi creare una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean

● scarica il Virus pattern files per Windows (le definizioni vengono aggiornate, quotidianamente): clicca qui per il download (http://www.trendmicro.com/download/pattern.asp)

● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● lascia disabilitato in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● lancia l'eseguibile Sysclean.com
● spunta la la casella Automatically Clean
● avvia la scansione
allega il log che verrà rilasciato

sorry, per la risposta incompleta !
le voci 17 sono IP conosciuti.
esegue quanto suggerito e riposto....

Intanto ringrazio.

DA

Prima di alllegare, come ti ha richiesto, giustamente, Chill, dopo aver fixato tutte quelle voci, un nuovo log di Hthis:
ecco il log Hjthis
http://www.zshare.net/download/59578446e33505/

● lancia l'eseguibile Sysclean.com
● spunta la la casella Automatically Clean
● avvia la scansione
allega il log che verrà rilasciato
http://www.zshare.net/download/59597956aaabda/

ragazzi sono un pò scoraggiato!
ancora niente.
Il delizioso cagnolino fa ancora capolino nella directory c:windows\temp
http://www.zshare.net/download/595986159937c5/

un log completo di gmer?

da hijackthis devi eliminare soltanto questo
O2 - BHO: IE - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\WinBudget\bin\matrix.dll
ma non trarrai grossi benefici,bisogna far fuori il componente rootkit

gmer autostart
http://www.zshare.net/download/59601342088ff0/

gmer rootkit
http://www.zshare.net/download/59601728c95719/

caro juninho85,
mi sa che ci hai preso!!

La directory c\program files\winbudget l'avevo cancellata ieri con tutti i files e le sotto directories perchè mi pareva "fasulla".
Quando hai scritto
da hijackthis devi eliminare soltanto questo
Quote:O2 - BHO: IE - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\WinBudget\bin\matrix.dll

ma non trarrai grossi benefici,bisogna far fuori il componente rootkit
sono andato a controllare....
ed ecco magicamente ricomparsa la directory.

Adesso che si fa?

ecco il log Hjthis ......... ragazzi sono un pò scoraggiato! ......
Allora, io credo di scrivere ancora in italiano: ti avevo indicato di fixare da HThis, tutte quelli voci corrispondenti alla sezione O15 (Trusted zone) ma nell'ultimo log che hai pubblicato le vedo ancora li.
Se vuoi fare di testa tua, dillo, cosi evitiamo di proseguire e di perdere, inutilmente, del tempo.

O2 - BHO: IE - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\WinBudget\bin\matrix.dll
Questa, m...... per ora, non la toccare.

Fixa quelle stramaledette voci della sezione O15 e poi allega un nuovo log di Hthis.

i 15 apparte i soliti 2 noti e gli IP per far girare la sua rete lan dovrebbero essere innocui.
piuttosto io ho chiesto il log completo di gmer,probabilmente ti sei confuso con l'olimpo informatico :D

piuttosto io ho chiesto il log completo di gmer,probabilmente ti sei confuso con l'olimpo informatico :D
Sarà che siamo sotto le feste e gli effetti non sono ancora stati smaltiti completamente, Juninho ;)
A proposito di feste, Socio: hai passato un buon Natale?.

Ragazzi io non sono esperto come voi!
non ho fixato tutte le voci 15 perchè avevo capito che erano da fixare quelle non volontariamente inserite..........

fixo tutto ?

piuttosto io ho chiesto il log completo di gmer,probabilmente ti sei confuso con l'olimpo informatico

il log completo come si ottiene?

Fixa quelle voci :muro: come te lo devo dire? in una lingua diversa da quella che presumo saper ancora scrivere in maniera corretta? :mad:
Ed allega un nuovo log di Hthis: hai ancora un AdAware che gira per il P.C. e lo dobbiamo rimuovere.

fixato tutte le voci 15
log
http://www.zshare.net/download/5961303e6417d7/

ma una curiosità?
Perchè sei così "diretto" nei miei confronti?
ho scritto qualcosa che ti ha urtato?
non bastava dire: fixa tutte le voci 015?

Io ti ringrazio per la disponibilità, ma siccome probabilmente sono un bel po' più vecchietto di te e non sono un'esperto di informatica, perchè trattarmi in maniera così "aspra"?
Posso aiutarti?

ma una curiosità? Perchè sei così "diretto" nei miei confronti?
ho scritto qualcosa che ti ha urtato? non bastava dire: fixa tutte le voci 015?
Spero tu stia scherzando: te lo ho detto non una ma, ben quattro volte.
Posso aiutarti?
Certo che puoi: fai quello che ti viene suggerito; mi appare una strada semplice da percorrere.
Non possiamo stare qui tre giorni per risolvere un problema che si sarebbe potuto risolvere in 30 minuti.

C'è da risolvere un ultimo problema: c'è un adaware che corrisponde a questa voce che dobbiamo rimuovere:

O2 - BHO: IE - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\WinBudget\bin\matrix.dll

Rilancia Hthis e fixa anche quella voce

Poi procedi in questa maniera:
scarica ed installa SUPER ANTI SPYWARE: clicca qui per il download (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
● una volta installato, clicca sulla voce Scan you Computer
● nella finestra successiva, nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibiità di salvare il log che verrà rilasciato
Allega il log

scarica GMER: clicca qui per il download (http://www.gmer.net/gmer113.zip)
è una utility Antirootkit in grado di rilevare molte informazioni nascoste di Windows
Allega il log che verrà rilasciato a termine della scansione (leggi la nota sotto)

GMER fornisce anche un’ottima funzionalità di LOG, attraverso il pulsante COPY che è possibile trovare solitamente vicino al pulsante SCAN. Cliccando il tasto COPY viene copiato tra gli appunti tutto ciò che la schermata di GMER mostra all’utente. Basta dunque aprire un qualunque editor di testo (Blocco note, Word, Wordpad, etc…), fare MODIFICA - INCOLLA e avrete esportato tutti i dati elencati da GMER.

Al termine, allega un nuovo log di HThis

log SAS
http://www.zshare.net/download/59637964c889fe/
log GMER
http://www.zshare.net/download/5963904b5f58b1/
log Hjthis
http://www.zshare.net/download/5963946e1c21aa/

Riavvia il PC in modalita provvisoria F8 e fai girare Combofix
http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe
http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)

Al termine oltre ad allegare il log di ComboFix allega un nuovo log di HJT,ciao.

Sarà che siamo sotto le feste e gli effetti non sono ancora stati smaltiti completamente, Juninho ;)
A proposito di feste, Socio: hai passato un buon Natale?.

natale si relax e abbuffate in casa,si un OTTIMO natale!:D

log SAS
http://www.zshare.net/download/59637964c889fe/
log GMER
http://www.zshare.net/download/5963904b5f58b1/
log Hjthis
http://www.zshare.net/download/5963946e1c21aa/

non ci siamo
questo è gmer
http://www.megalab.it/immagini/articoli/gmer_/gmer_1_.jpg
tu devi fare lo scan avendo spuntate tutte le caselle sulla destra,come da immagine

lo scan è stato effettuato spuntando tutte le checkbox presenti!
scanso di equivoci lo rifaccio.
http://www.zshare.net/download/597688529ac691/

Saluti
DA

lo scan è stato effettuato spuntando tutte le checkbox presenti!
Poi non mi dire che è diventato un fatto personale :mad:
Qui siamo in presenza di un problema molto più serio rispetto a quello che ha il tuo P.C.: il problema è che tu non leggi quello che ti viene suggerito (cosa, questa che ci fa perdere, inutilmente, del tempo).

Ti è stato chiesto (vedi post #32) di scaricare COMBO FIX: clicca qui per il download (http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe)
● completata la prima fase della scansione il sistema verrà riavviato automaticamente; dopo il riavvio, verranno creati due log in Risorse del Computer - Disco Locale C:
● combofix.txt
● comboFix-quarantined-files.txt
allega, entrambi i log che verranno rilasciato

Note: Durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)

Vediamo se, prima dell'avvento del nuovo anno, saremo riusciti a riolvere questo problema.

marmottra è sto l'unico a richiedere i log della "Guida alla disinfezione degli infetti" e nonostante questo nessuno lo ha tenuto in considerazione!
mi meraviglio della grande coesione d'assistenza e sopratutto per come vi imbronciate se vi faccio notare le metodologie che usate..
qualcuno mi criticò su questi fronti cercando di porsi come vittima ma tanto è sempre il moderatore a sbagliare...

vorrà dire che dovrò diventare più fiscale e questo per non creare confusione e anarchia nelle assistenze agli infetti :)

ma RIVER, sai che sei proprio un bel "fumino" :D

Considera che tra una scansione e l'altra, mi tocca anche lavorare, per cui l'attività con combofix pensavo di farlo stasera da casa....

Ti ringrazio comunque per la disponibilità accordata e la competenza con cui sta affrontando la mia criticità.

ciao
DA

Ci sentiamo più tardi.

....che si sarà fumato gmer?!:D
comunque ciò che non mi torna è il fatto che findawf ha trovato delle cartelle di backup,dentro i quali però non è presente però nessun file....da ciò dovrei supporre che l'infezione è stata stroncata sul nascere :confused:

....che si sarà fumato gmer?!:D
Gmer non si è fumato nulla, Juninho :cool:
comunque ciò che non mi torna è il fatto che findawf ha trovato delle cartelle di backup,dentro i quali però non è presente però nessun file....da ciò dovrei supporre che l'infezione è stata stroncata sul nascere
Infatti doveva essere cosi.
Se ricontrolli i diversi log di Hthis successivi al primo pubblicato, dopo aver eseguito FindAWF, nel settore O15 erano presenti solo le voci che, dopo una sorta di battaglia, il nostro amico si è deciso a rimuovere.
A quel punto, il problema doveva essere non risolto ma strarisolto.

Invece, dall’ultimo log pubblicato, cosa ti salta fuori?

Questa, che tutto sommato, potrebbe essere anche spiegabile, dopo aver ripulito l’intera trusted zone:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;*.local;*.pv.telecomitalia.it;*.rete.telecomitalia.it;*.dre;*.dg.telecomita lia.it; ...... ecc. ecc.

e queste che non sono spiegabili, se non con il fatto che, dopo 5 minuti, il nostro amico ci è ricascato e si è, nuovamente infettato:

O15 - Trusted Zone: *.doginhispen.com

O15 - Trusted Zone: *.whataboutadog.com

Come abbia potuto, non è dato a sapersi ;)

ma RIVER, sai che sei proprio un bel "fumino" ...... considera che tra una scansione e l'altra, mi tocca anche lavorare .......
Tre suggerimenti gratis:
1) non navigare in Rete con un P.C. aziendale: non è davvero il caso.
E, se proprio non puoi o non vuoi rinunciare, cerca di avere una navigazione molto accorta;
2) se vuoi risolvere questo problema, trovati tre ore di tempo, perchè fare le cose a pezzettini non serve a nulla e, soprattutto, non si risolve niente.
3) ricominciamo tutto dall'inizio, che forse è meglio.

ma RIVER, sai che sei proprio un bel "fumino" :D

Considera che tra una scansione e l'altra, mi tocca anche lavorare, per cui l'attività con combofix pensavo di farlo stasera da casa....

Ti ringrazio comunque per la disponibilità accordata e la competenza con cui sta affrontando la mia criticità.

ciao
DA

Ci sentiamo più tardi.
non evitare quanto scritto prima perchè riguarda anche te dato che nella "guida alla disinfezione per infetti" non si accenna a nessuna sottosezione
gentile MARMOTTA88, potresti essere meno "criptico"!
Ho letto la guida, forse non con l'attenzione dovuta, ma non riesco a capire quali siano le sottosezioni che descrivono le modalità risolutive.
A riguardo di IE il fatto che sia nella versione 6 è indice di infezione?
Tra l'altro io uso OPERA e non IE, per cui l'aggiornamento della release, visto l'uso che ne faccio (nessuno), è relativamente importante.
Anzi sai che ti dico, se potessi disinstallarlo, lo farei subito....

Comunque grazie per i consigli.

questo è quanto tu risposi a marmotta ma se tu avessi realmente letto la guida avresti già risolto :)

OK, ricominciamo dall'inizio.:)
xcdegasp ha perfettamente ragione nell'indicare come propedeutica a qualsisi intervento, l'esecuzione della procedura riportata nelle guida alla disinfezione.
E io me scuso per primo :( ma a mia discolpa devo dire sinceramente che avevo effettuato quasi tutte le operazioni indicate nella guida.
Ma al fine di arrivare una risoluzione non causale e in tempi accettabile è necessario eseguire preventimente quanto descritto dalla guida in maniera puntuale.

quindi

ESET ADS Revealer
log http://www.zshare.net/download/6007361c5b143b/

A-Squared Free v3.x
log http://www.zshare.net/download/6007744b5244ee/

Prevx CSI
log http://www.zshare.net/download/60077817275773/

scansione EWIDO online NO minacce
scansione PANDA online NO minacce

HiJACKTHIS
log http://www.zshare.net/download/600819719ad07c/

GMER
log http://www.zshare.net/download/6008124ae4844f/


Grazie
DA

a-squared:
Value: HKEY_CLASSES_ROOT\Media Type\Extensions\.avi --> Source Filter rilevati: Trace.Registry.DivoCodec

Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.avi --> Source Filter rilevati: Trace.Registry.DivoCodec
puoi non metterlo in quarantena perchè segnalazione non corretta mentre la segnalazione sulla toolbar.dll potresti farla analizzare su www.virustotal.com e http://virusscan.jotti.org/
e sempre su questi due siti fai analizzare anche C:\WINDOWS\TEMP\TLF91F.EXE che potrebbe essere realmente dell'OfficeScan ma è sempre meglio un analisi in più che di meno..

prevx CSI:
pulito

HiJackThis:
fixare queste voci:
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [sealmon] C:\Program Files\SealedMedia\sealmon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Last.fm Helper.lnk = C:\Program Files\Last.fm\LastFMHelper.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &Download All by Gigaget - C:\Program Files\Giganology\Gigaget\getallurl.htm

O8 - Extra context menu item: &Download by Gigaget - C:\Program Files\Giganology\Gigaget\geturl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

Allora qui continuamo a non esserci; la trusted zone è di nuovo piena:

O15 - Trusted Zone: http://organigramma.griffon.local
O15 - Trusted Zone: *.griffon.local
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it
O15 - Trusted Zone: http://griffon.open.telecomitalia.it
O15 - Trusted Zone: http://hr.open.telecomitalia.it
O15 - Trusted Zone: http://paperless.open.telecomitalia.it
O15 - Trusted Zone: http://tils.open.telecomitalia.it
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local
O15 - Trusted Zone: http://soa404.telecomitalia.local
O15 - Trusted Zone: http://organigramma.griffon.local (HKLM)
O15 - Trusted Zone: *.griffon.local (HKLM)
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://hr.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://paperless.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://tils.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local (HKLM)
O15 - Trusted Zone: http://soa404.telecomitalia.local (HKLM)
O15 - Trusted IP range: 10.74.27.45
O15 - Trusted IP range: http://10.173.215.15
O15 - Trusted IP range: 10.74.27.45 (HKLM)
O15 - Trusted IP range: http://10.173.215.15 (HKLM)

E' presente un processo che, ogni volta si rigenera con un nome diverso:
C:\WINDOWS\TEMP\TLF91F.EXE

E per non farci mancare nulla, il trojan Obfuscated è ancora presente:
O15 - Trusted Zone: *.doginhispen.com
O15 - Trusted Zone: *.whataboutadog.com

Quindi ora:

scarica ed installa SUPER ANTI SPYWARE: clicca qui per il download (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
● una volta installato, clicca sulla voce Scan you Computer
● nella finestra successiva, nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibiità di salvare il log che verrà rilasciato
Allega il log

scarica FINDAWF: clicca qui per il download (http://www.alground.com/site/modules/mydownloads/visit.php?cid=3&lid=6)
Tool per la rilevazione della directory BAK e per la rimozione del Trojan.win32.Obfuscated.dr
● una volta scaricato, avvialo
● si aprirà un finestra in stile dos: clicca su un tasto qualunque
allega il log che verrà rilasciato

scarica COMBO FIX: clicca qui per il download (http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe)
● completata la prima fase della scansione il sistema verrà riavviato automaticamente; dopo il riavvio, verranno creati due log in Risorse del Computer - Disco Locale C:
● combofix.txt
● comboFix-quarantined-files.txt
allega, entrambi i log che verranno rilasciato

Scusate l'ignoranza ma non riesco a far analizzare il file toolbar.dll..
a-squared:
Codice:
Value: HKEY_CLASSES_ROOT\Media Type\Extensions\.avi --> Source Filter rilevati: Trace.Registry.DivoCodec

Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.avi --> Source Filter rilevati: Trace.Registry.DivoCodec
puoi non metterlo in quarantena perchè segnalazione non corretta mentre la segnalazione sulla toolbar.dll potresti farla analizzare su www.virustotal.com e http://virusscan.jotti.org/

come devo fare?

Intanto allego analisi del
e sempre su questi due siti fai analizzare anche C:\WINDOWS\TEMP\TLF91F.EXE che potrebbe essere realmente dell'OfficeScan ma è sempre meglio un analisi in più che di meno..

Analisi VirusTotal del file TLF91F.EXE

http://www.zshare.net/download/60090567dce8b8/

xcdegasp dice:
HiJackThis:
fixare queste voci:

voci fixate

per RIVER
LE voci 015, tranne what..... e dogin..... sono inserite ad ogni connessione alla rete LAN del mio ufficio penso con script (notebook aziendale)

procedo con SUPERantiSpyware ed il resto...

grazie
SAluti

Analisi VirusTotal del file TLF91F.EXE

Pare sia leggitima; ma non è quello che preme.
Forse non ci siamo ancora capiti: qui bisogna rimuovere il trojan obfuscated
Sarebbe possibile vedere i log che ti ho richiesto nel mio ultimo reply?.

LE voci 015, tranne what..... e dogin..... sono inserite ad ogni connessione alla rete LAN del mio ufficio penso con script (notebook aziendale)
Questo, oramai era appurato.

Analisi VirusTotal del file TLF91F.EXE
Trend Micro icona a forma di cane

Trend Micro icona a forma di cane
Grazie, Chill, almeno ora la cosa è chiara, una volta per tutte.

log SAS
http://www.zshare.net/download/601128752bc47d/

log FINDAWF
http://www.zshare.net/download/601131994a2f5c/

log COMBOFIX
http://www.zshare.net/download/6011336a60d22a/
http://www.zshare.net/download/6011379f34df9d/

saLUTI
DA

per mettere in quarantena quelle due key devi rifare la scansione e quando finisce selezioni quelle due voci e premi "quarantena" :)

appena puoi riavvia il notebook e poi consiglia al ufficio di SicurezzaInformatica di cambiare software perchè OfficeScan è sempre stato un antivirus mediocre, lo dimostra il fatto che esistano le cartelle bak seppur vuote che è appunto la conseguenza della lentezza con cui ha individuato un principio di infezione.
doveva individuare il problema prima che agisse come ogni antivirus degno di nota riesce a fare!

@ tempestasolare allega un nuovo log di Hthis, per favore.

ecco il log
http://www.zshare.net/download/6012937866ae9c/

Saluti
DA

purtroppo è tornato whataboutadog...
log hijackthis
http://www.zshare.net/download/60133465312fee/

Scarica DelDomains da qui:
http://www.mvps.org/winhelp2002/DelDomains.inf
salvalo sul DeskTop

clicca col tasto dx del mouse e scegli installa, dopidichè apri HJT e fixa tutti gli 015 in quanto come hai detto tu anche quelli aziendali vengono ricreati, al termine nuovo log di HJT.

allego log hijackthis

http://www.zshare.net/download/60309936805f17/

sembra non abbia funzionato ....

che si fa ora?

questa voce che fine ha fatto?
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9FA1FB0-D522-4225-95FD-95A29CD25D01}: NameServer = 85.37.17.16 85.38.28.68

persa nel camin di nostra vita? :D

io non l'ho fixata ..... a meno di una svista :eek:

hai una situazione un po' strana per il tuo pc...
rifammi una scansione con a-squared :)

e se fosse stato facile. secondo te. avrei postato sul forum? :D

e se fosse stato facile. secondo te. avrei postato sul forum? :D

non ho mai detto che sarebbe stato semplice o veloce, semplicemente molto particolare... penso che potrebbe valere la pena di installare Prevx2.0 in versione trial :D

tu sei il mio moderatore, per te sono disposto a tutto :sbav:
sarà la tua cavia :D

prevx2.0 ha un'analisi comportamentale quindi dovremmo riuscire ad avere più indizi :)