Ciao a tutti,
non sono messo mica tanto bene: spero che qualcuno possa darmi una mano.
Dunque, con Win XP Pro SP2, dopo una scansione in modalità provvisoria con Ad-Aware 2007, Spybot S&D, e Spy Sweeper, diciamo di manutenzione (visto che avevo una seccatura su Internet Explorer che mi reindirizzava dalle ricerche google a siti 89.xxx.xxx.xxx), quando sono andato a riavviare in modalità normale ho i seguenti sintomi:

- le icone compaiono dopo almeno 3-4 minuti di sfondo desktop (ma l'hd sembra fermo),
- il programma di gestione wireless non riesce più a comunicare con la scheda wifi (con un generico "an error has occurred"),
- la lan stessa non funziona,
- viene fuori il fumetto "nessun firewall attivato", se lo attivo manualmente mi dice di attivare il servizio, se vado ad attivare il servizio mi da errore ("impossibile attivare il servizio Windows Firewall / Condivisione connessione Internet (ICS). Errore 2001: il driver specificato non è valido")
- avast tira fuori 4 messaggi di errore in cui dice che non potrà proteggere la posta in arrivo, la posta in uscita, e le news.

Spero che non sia grave, allego il log di Hijackthis, e ringrazio chiunque mi voglia aiutare a non formattare tutto da capo:

Logfile of HijackThis v1.99.1
Scan saved at 18.34.11, on 28/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Ciao, allora inizia con il controllare le seguent voci:
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [StartUp] "C:\WINDOWS\trayicons.exe" /optimize speed
O20 - Winlogon Notify: gqgoitby - C:\WINDOWS\SYSTEM32\comaddinu.dll
O2 - BHO: (no name) - {F333BCEC-FE0D-4067-8310-9D19295AA86F} - c:\windows\system32\comaddinu.dll
O2 - BHO: (no name) - {17EF91F8-A924-4052-AB23-B1086B26716B} - C:\WINDOWS\system32\acctresr.dll
In maniera particolare soprattutto la prima, falla analizzare su www.virustotal.com

ciao
incomincia a seguire la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

stai attento a come posti i log, scegliendo tra:
1)i tag (code) (/code)
2)la funzione allegati, rinominando i log in formato txt
l3)caricare il log su un server come www.zshare.net, copiando qui i link x il download
è preferibile la terza opzione

NB: modifica il tuo primo post, eliminando il log di hijackthis,grazie

@ programmatore: le hai lette le regole di sezione? ;) inoltre: nn è la prima voce quella preoccupante, ma le altre

ciao

In maniera particolare soprattutto la prima, falla analizzare su www.virustotal.com
Componente della scheda audio Realtek.
D'accordo che di norma quella voce la facciamo fixare, ma arrivare a farla analizzare su Virustotal ..... :)
Direi di evitare, per favore: in questa sottosezione c'è già parecchia confusione.

@ koanstudio: segui le indicazioni suggerite da Murack, per favore.

rimosso il log inquanto non conforme alle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984) e si ricorda che per la semplice analisi di HiJackThis esiste un thread specifico :)

Chiedo scusa a tutti per non aver letto le regole prima di postare.
Le ho lette e le ho seguite: ho fatto scan con Ccleaner, Ads revealer, A-squared, Hijackthis, e Gmer, di cui sotto trovate i link per i relativi logs.
Purtroppo non ho potuto fare tutti quegli scan indicati che necessitavano però della connessione internet, in quanto non piu' presente.
Avast in modalità provvisoria aggiornato non ha comunque trovato nulla.
Per i sintomi (che persistono anche dopo questi scan), rimando al primo post di questo thread.
Grazie mille e ancora scusate per ieri...

log ccleaner.txt (http://www.koanstudio.com/temp/logs/log ccleaner.txt)

log ads revealer.txt (http://www.koanstudio.com/temp/logs/log ads revealer.txt)

log a-squared.txt (http://www.koanstudio.com/temp/logs/log a-squared.txt)

log hijackthis.txt (http://www.koanstudio.com/temp/logs/log hijackthis.txt)

log gmer.txt (http://www.koanstudio.com/temp/logs/log gmer.txt)

Manca il log di Prevx CSI e quello di a-squared è tutto un programma.

Manca il log di Prevx CSI e quello di a-squared è tutto un programma.

manca perchè nella guida c'era scritto che necessitava della connessione internet, e io non ce l'ho più: è uno dei sintomi!
in che senso quell'altro log è "tutto un programa"?...

manca perchè nella guida c'era scritto che necessitava della connessione internet, e io non ce l'ho più: è uno dei sintomi!
in che senso quell'altro log è "tutto un programa"?...

C:\Programmi\eMule\Incoming\Webroot Spy Sweeper 5.5.7.48 [Cracked by Black Knight].zip/Spy Sweeper Updater 2.0.0 Alpha 4000.exe In quarantena Adware.Win32.Rabio.a

C:\Programmi\eMule\Incoming\Webroot Spy Sweeper 5.5.7.48 [Cracked by Black Knight].zip/Spy Sweeper Updater 2.0.0 Alpha 4000.exe In quarantena Adware.Win32.Rabio.a

quello è un programma anti spyware che avevo scaricato da emule: conteneva lui un virus?

manca perchè nella guida c'era scritto che necessitava della connessione internet, e io non ce l'ho più .....
E come le hai eseguite le scansioni suggerite? con la sola imposizione delle mani?.
Mi appare evidente che, allo stato, alcuni log che hai pubblicato, sono, totalmente, inattendibili.
Himo: devi far ripartire la connessione.

E come le hai eseguite le scansioni suggerite? con la sola imposizione delle mani?.
Mi appare evidente che, allo stato, alcuni log che hai pubblicato, sono, totalmente, inattendibili.
Himo: devi far ripartire la connessione.

Ho scaricato i programmi suggeriti da un altro computer in buona salute, e li ho portati su quello che non va con un'unità esterna di memorizzazione: non mi sembra ci sia niente di trascendentale in questo.
I log SONO attendibili, nella misura in cui ho semplicemente salvato quello che usciva da questi programmi dopo la scansione: ovviamente essendo bloccata la connessione internet (sia wifi che lan), non posso essere in grado di fare scansioni on line o di utilizzare programmi di diagnostica che necessitano di connessione.
Ho provato anche a fixare le voci suggerite in questo thread da Il Programmatore, ma le ultime tre, appena fixate, anche in Mod Prov, tornano subito presenti ad uno scan successivo.
In ogni caso, se hai qualche idea per fare ripartire la connessione, come da te suggerito, aspetto notizie.

il file "comaddinu.dll" (che su virustotal è stato trovato infetto da trojan.crypt.morohine.gen), non si fa cancellare manualmente nemmeno in modalità provvisoria! e se si prova a rinominarlo (anche in modalità provvisoria), si autorigenera col nome giusto in circa due secondi.

il file "comaddinu.dll" (che su virustotal è stato trovato infetto da trojan.crypt.morohine.gen), non si fa cancellare manualmente nemmeno in modalità provvisoria! e se si prova a rinominarlo (anche in modalità provvisoria), si autorigenera col nome giusto in circa due secondi.

dovresti scansionare il pc con DrWeb CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) o con "Avira Antivir Premium" (nella sezione "AV - discussioni generiche" trovi i dettagli per averlo gratuitamente per 6 mesi) e postare il log, meglio se scansioni in modalità provvisoria.

fixa:

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {17EF91F8-A924-4052-AB23-B1086B26716B} - C:\WINDOWS\system32\acctresr.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.9.24.dll
O2 - BHO: (no name) - {F333BCEC-FE0D-4067-8310-9D19295AA86F} - c:\windows\system32\comaddinu.dll
O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Matrox PowerDesk SE] "C:\Programmi\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"
O4 - HKCU\..\Run: "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Scarica tutti i video usando BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Scarica tutto usando BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Scarica usando &BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
[b]O20 - Winlogon Notify: gqgoitby - C:\WINDOWS\SYSTEM32\comaddinu.dll
O23 - Service: Matrox Centering Service - Matrox Graphics Inc. - C:\Programmi\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe

non serve a nulla installare un programma per ottimizzare i tempi di boot se poi lasci attivi tanti di quei servizi che ci vuole un CED come potenza elaborativa, ma tra queste voci ci sono anche quelle del worm che ti sta dando troppe preoccupazioni.
quelle in grassetto sono appunto quelli che dovresti prima killare e poi fixare ;)

Grazie xcdegasp,
sto facendo fare la scansione ad Avira Classic, per ora avevo quello disponibile. Il file comaddinu.dll risulta infetto da trojan.crypt.morphine.gen. alla richiesta di quarantena non da l'autorizzazione ad essere spostato, alla richiesta di cancellazione tanto meno.
Le voci che mi hai detto di fixare si riformano subito dopo essere state fixate (basta rifare la scansione e ci sono già).
Ovviamente tutto in mod prov.
Mi potresti fare un link a quel thread come ottenere Avira Premium per 6 mesi, che non sono riuscito a trovarlo? Grazie. Così provo anche con quello e poi posto il suo log.

allora, aggiornamento: purtroppo va sempre peggio: avira classic ha trovato come detto sopra questa comaddinu.dll infetta, ma non riesce a cancellarla o metterla in quarantena.
ho provato allora a prendere l'avira premium in licenza per 6 mesi, e quando vado a fare il manual update (con le definizioni che avevano funzionato per la versione classic), il programma da "manual update failed", senza molte indicazioni aggiuntive.
ricordo che stiamo parlando di un pc su cui NON FUNZIONA la connessione internet, quindi sono obbligato a portare gli aggiornamenti con una pennina da un sistema pulito e collegato a internet.

ciao , ma hai provato con DrWeb CureIT come ti era stato suggerito da xcdegasp? (non lo devi nemmeno aggiornare o installare ti basterà scaricare la versione più recente...quindi è ottimo se non disponi di connessione ad internet) nel caso vai anche di superantispyware
http://www.superantispyware.com/

ciao , ma hai provato con DrWeb CureIT come ti era stato suggerito da xcdegasp? (non lo devi nemmeno aggiornare o installare ti basterà scaricare la versione più recente...quindi è ottimo se non disponi di connessione ad internet) nel caso vai anche di superantispyware
http://www.superantispyware.com/

li ho usati entrambi e in tutti e due non è venuto fuori un solo file infetto... :muro:

li ho usati entrambi e in tutti e due non è venuto fuori un solo file infetto... :muro:

scarica e usa http://www.nod32.it/tools/undll.php per mettere in quarantena quella dll, con questo programmino metti fuori uso la dll così potrai spostarla o eliminarla :p

ti ringrazio tanto xcdegasp, ma purtroppo l'operazione non è andata a buon fine: ho provato a usare undll, ma il file in questione, al riavvio, è sempre lì... :muro:
ecco il log comunque: undll log (http://www.koanstudio.com/temp/logs/undll.txt)

scusa ma se dalla modalità provvisoria provi a rinominare l estensione (tipo in txt), riavviare e cancellare la dll manualmente te lo fa fare? in alcuni casi a me ha funzionato...

allora rimane da eliminarla con avenger dove lo script da creare è il seguente:

Files to delete:
C:\WINDOWS\system32\comaddinu.dll

:)

purtroppo questo file sta resistendo a tutto:

- se lo rinomino, in qualsiasi modo, dopo due secondi si autorigenera accanto con il solito nome.

- anche the avenger fallisce, semplicemente sembra che non riesca a toccarlo, questo (http://www.koanstudio.com/temp/avenger3.txt) è il log che ha lasciato. :muro:

purtroppo questo file sta resistendo a tutto:

- se lo rinomino, in qualsiasi modo, dopo due secondi si autorigenera accanto con il solito nome.

- anche the avenger fallisce, semplicemente sembra che non riesca a toccarlo, questo (http://www.koanstudio.com/temp/avenger3.txt) è il log che ha lasciato. :muro:

per favore un log nuovo di HJT

ma quella dll è in quel percorso vero?
ce ne erano 2 di dll che ti avevo segnalato, per me ci siamo concentrati su quella che è scatenata dalla infezione ma non è colei che la innesca...

ma quella dll è in quel percorso vero?
ce ne erano 2 di dll che ti avevo segnalato, per me ci siamo concentrati su quella che è scatenata dalla infezione ma non è colei che la innesca...

O20 - Winlogon Notify: gqgoitby - C:\WINDOWS\SYSTEM32\comaddinu.dll

bisogna falciare la chiave di registro che innesca il caricamento al boot, ovvero gqgoitby, è per questo che ho chiesto un nuovo log di HJT.

ecco il nuovo log di HJT, eseguito in mod prov, perchè la normale non va più:

log hijackthis (http://www.koanstudio.com/temp/logs/hijackthis.txt)

ma lo avevo già dato da fare su quella voce O20 e si ricrea...

potresti mandarmi in pvt questi due bat?
O4 - HKLM\..\Run: [wrcbvxdc] C:\rcsuahqp.bat
O4 - HKLM\..\Run: [oemgwiio] C:\jgkjqyeg.bat

:D

non posso nemmeno credere che i bitcomet si ricreino come voci... dopo un po' ci si stanca ;)

si ma il problema è che se si fixa quella voce, al successivo scan quella riga è di nuovo lì in buona salute... io non capisco se sono io che sbaglio qualcosa o se anche hjt non riesce a fermare questa robaccia.

mandami in due bat in pvt :)

mandati, grazie mille! :)

Avenger http://swandog46.geekstogo.com/avenger.zip
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.
Script tutto quello che è all'interno del Quote:

Files to delete:
c:\windows\system32\comaddinu.dll
C:\WINDOWS\SYSTEM32\comaddinu.dll

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gqgoitby
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F333BCEC-FE0D-4067-8310-9D19295AA86F}


al termine log di Avenger + nuovo log di HJT, ciao.

ecco i log richiesti:

log avenger (http://www.koanstudio.com/temp/logs/avenger4.txt)

log hjt (http://www.koanstudio.com/temp/logs/hijackthis3.txt)

i sintomi persistono e continuano a formarsi files bat con nomi strani in c:\

Scarica i seguenti tool e falli girare:

Combofix
http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
N.B: da eseguire in modalità provvisosria F8

VundoFix
Download: http://www.atribune.org/public-beta/VundoFix.exe

FixVundo
Download: http://securityresponse.symantec.com/avcenter/FixVundo.exe

VirtumundoBeGone
Download: http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
N.B: da eseguire in modalità provvisosria F8

al termine oltre ai log dei tool, nuovo log di Prevx CSI + HJT, ciao.

ho fatto tutto tranne prevx csi perchè sembra che abbia bisogno dela connessione internet (che non ho più causa virus): c'è un modo di fare un manual update? o di farlo funzionare senza connessione?

ho fatto tutto tranne prevx csi perchè sembra che abbia bisogno dela connessione internet (che non ho più causa virus): c'è un modo di fare un manual update? o di farlo funzionare senza connessione?

lascia stare Prevx, log dei tool + HijackThis

ecco qua: tutti i log si trovano a questa cartella:

http://www.koanstudio.com/temp/logs/new

non ce l'ha fatta neanche combofix... :muro:
quel comaddinu.dll è una fortezza........ :confused:

scarica e installa prevx2.0-trial e con la connessione internet attiva fai una scansione profonda includendo tutti i files (non solo i conosciuti) e gli archivi compressi :)

scarica e installa prevx2.0-trial e con la connessione internet attiva fai una scansione profonda includendo tutti i files (non solo i conosciuti) e gli archivi compressi :)

..ma non ho la connessione internet sul pc infetto... :(
ormai si avvia solo in mod prov.

sono riuscito a rimuovere comaddinu.dll!!! :sofico:
ho usato semplicemente unlocker.
il problema è che quel file dat nella cartella c:\windows\system32\drivers non riesce a eliminarlo, ne a spostarlo/rinominarlo... rimane lui :mad:

almeno però ora il sistema si avvia in mod normale, pur senza connessione, lan, firewall, e conuna latenza di circa 4 minuti prima che compaiano le icone sul desktop...

questo mi ha permesso di installare kaspersky con aggiornamento manuale alla data di 2 giorni fa. scansione in corso. posto qui il risultato + hjt log al termine.

grazie a tutti e BUON ANNO! ;)

ora monta anche prevx2.0 visto che sei riuscito a eliminare quella dll ;)

Grazie al vostro gentilissimo e professionale aiuto, il sistema è ora perfettamente funzionante!
Restano solo quelle righe su HJT che, se fixate in mod prov, tornano subito attive. Per fortuna fanno riferimento alla dll cancellata ("missing"): questo è il log:

http://www.koanstudio.com/temp/logs/hijackthis4.txt

Ora la configurazione per la sicurezza è questa:

- Avira Premium
- Comodo Firewall Pro
- A-squared 3 free

spero sia buona

Prova a rieseguire lo Script in Avenger vediamo se và a buon fine

Files to delete:
c:\windows\system32\comaddinu.dll
C:\WINDOWS\SYSTEM32\comaddinu.dll

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gqgoitby
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F333BCEC-FE0D-4067-8310-9D19295AA86F}

dopodichè riesegui il fix con HJT da mod.provvisoria con il browser chiuso

purtroppo, anche se il sistema sta funzionando perfettamente, sembra che quelle due chiavi di registro non si vogliano far cancellare, e di conseguenza HJT non fixa.
Ecco il backup di Avenger: backup.zip (http://www.koanstudio.com/temp/logs/backup.zip)

start->esegui,digita regedit e naviga fino a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
clic con destro su gqgoitby seleziona l'opzione "autorizzazioni", seleziona il tuo account e spunta la casella controllo completo nella colonna "consenti".Clik con destro->elimina.

poi navighi sempre in regedit HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
clic con destro su {F333BCEC-FE0D-4067-8310-9D19295AA86F} seleziona l'opzione "autorizzazioni", seleziona il tuo account e spunta la casella controllo completo nella colonna "consenti".Clik con destro->elimina.


Vedi se si riesce così....

appena provo a chiedere l'autorizzazione si apre una finestra con titolo "protezione" on dentro scritto "impossibile salvare le modifiche apportate alle autorizzazioni su gqgoitby. accesso negato.

appena provo a chiedere l'autorizzazione si apre una finestra con titolo "protezione" on dentro scritto "impossibile salvare le modifiche apportate alle autorizzazioni su gqgoitby. accesso negato.

nella maschera Autorizzazioni -> Avanzate -> Proprietario
e imposta il tuo account

ancora una volta picche :mbe:

"Impossibile impostare un nuovo proprietario su gqgoitby. Accesso negato."

BINGO! Pc pulito. :)
E' bastato Combofix che ha agito sotto uno script consigliatomi da un utente.
Il thread si può marcare come risolto. Solo se può aiutare altri a risolvere problemi simili al mio e se non ci sono problemi per i moderatori, posso postare lo script.
Volevo ringraziare tutti gli utenti che mi hanno aiutato, passo passo, a migliorare la situazione e la stabilità del mio sistema.

;)

devi fare il riassunto (sintomi e procedure seguita dall'inizio alla fine) quindi postare lo script e poi marco risolto