Riprendo qui la richiesta d'aiuto iniziata nel thread della rimozione di virus da MSN Messenger come suggeritomi.
(http://www.hwupgrade.it/forum/showpost.php?p=20626468&postcount=1609)

Riporto un riassunto della mia situazione:

Ho il pc infetto. Uso WinXp SP2, e avast (sempre aggiornato) come antivirus.
Il pc ultimamente lo usa mia sorella, che si è accorta che inviava frasi in inglese con inviti ad aprire pagine web ai suoi contatti di msn. Inoltre ha rilevato problemi a far riconoscere la sua chiavetta usb su altri pc. Ieri il pc si è notevolmente rallentato e lei ha avviato una scansione con avast senza dirmi nulla, di cui non conosco gli esiti. Adesso il pc sembrerebbe funzionare bene.
Ho la partizione C con il sistema operativo, ne ho un altro in D (che però non uso mai) e tutte le altre partizioni sono di dati.

Come consigliatomi nel thread di rimozione di virus da MSN Messenger ho eseguito la guida alla disinfezione per infetti, anche se ho incontrato qualche problema. Alcuno volte non ho capito se il programma che faceva la scansione oltre a fare ciò cercasse anche di rimuovere i virus, chiedo scusa, ma non sono molto esperto. Io ho sempre cercato di mettere tutto in quarantena come suggerito dalla guida.
Durante la scansione con A-Squared mi si è avviato qualche volta avast indicandomi che aveva trovato virus,malware... esattamente mi è successo con questi file:
WIN32:Dialer[Trj]
WIN32:Agent-ONH[Trj]
WIN32:Agent-PBF[Trj]
WIN32:Trojan-gen{Delphi}

Mentre per la scansione online prima di utilizzare BiDefender di cui allego sotto il log, ho provato con Panda senza riuscirci, perchè mi diceva di installare un controllo, ma durante l'installazione Avast mi bloccava la connessione dicendo che rilevava:
WIN:CTX

Detto questo vi riporto i log e chiedo consiglio su come procedere:

A-Squared Free v3.x (http://www.fileup.itadib.com/download.php?id=z6B76JZ0ErAuC9dNl6Xs)
Prevx CSI (http://www.fileup.itadib.com/download.php?id=b03laaAIQvwPYsxWw4NY)
BitDefender (http://www.fileup.itadib.com/download.php?id=x2xziGcf6PjTAzEygMRN)
Hijackthis (http://www.fileup.itadib.com/download.php?id=PcjlHtXdmmF5Vuk8jdaT)
GMER (http://www.fileup.itadib.com/download.php?id=tQy1mTqQLJAQ7DtvxC3e)

Grazie ancora per l'aiuto,
Alex

ciao alex,
complimenti x aver seguito celermente e correttamente la guida, senza mi sembra alcun errore

una domanda: il ripristino configurazione sistema l'hai disattivato prima di seguire le scansioni con i programmi indicati?

credo che ti sei preso il classico virus da chiavetta usb......poi xò ho visto che c sono alcune schifezze nella cache di java, ho visto pure alcuni cr*c......evita xchè sono portatori virus

facciamo cosi, una prima procedura preliminare:

1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)


2-svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

3-Scarica CCLEANER: DOWNLOAD (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

fatto questo,a beneficio degli utenti + esperti, ho visto nel log di gmer questa voce:
C:\WINDOWS\wisyst32.exe
che dovrebbe essere un trojan downloader.....cosa confermata da hijackthis

ti direi di far girare questo tool della kaspersky: DOWNLOAD (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato

vediamo cosa pensano in merito gli atri dottori, intanto le operazioni preliminari le puoi gia eseguire

ciao

Grazie per l'aiuto.
Il rispristino configurazione di sistema l'ho disattivato;) , anche se rispetto alla guida il mio PC non mi ha chiesto se volevo eliminare i punti di ripristino. Anche graficamente è leggermente diversa la finestra che mi si apre da:
Risorse del Computer-->Proprietà....
http://img185.imageshack.us/img185/7381/ripristinoip1.th.jpg (http://img185.imageshack.us/my.php?image=ripristinoip1.jpg)
rispetto a quella presente all'inizio della guida:
http://www.hwupgrade.it/forum/showthread.php?t=1599737

Ho fatto i 3 punti che mi hai consigliato, CCLEANER l'avevo già fatto girare perchè consigliato nella guida prima di aprire una discussione:
http://www.hwupgrade.it/forum/showpost.php?p=19388314&postcount=1

Il tool di Kaspersky se è quello presente nella guida alla rimozione di virus da MSN Messenger l'avevo già fatto girare l'altro ieri. Però ci ha messo più di 8 ore a finire la scansione (se vuoi ho anche il log, è nella discussione sui virus di MSN Messenger).:cry: Il mio problema è che ho anche un'enormità di giga allocati nelle varie partizioni, quindi ci mette un'infinità di tempo a fare la scansione di tutti i file. Non so se le partizioni Dati le posso escludere dalla scansione, senza compromettere la disinfezione.

Grazie ancora,
Alex

P.S. Ho risvuotato la cartella Prefetch perchè per postare questo post (e fare lo screenshot) avevo ricreato dei file al suo interno, ho fatto bene vero?

facciamo cosi: posta un nuovo log di HIJACKTHIS e poi fai una nuova scansione con il tool della kaspersky.
prima posta il log di hijackthis, ok?
ciao

Ecco la nuova scansione di Hijackthis:
Hijackthis (http://www.fileup.itadib.com/download.php?id=Trudf0kFDEzmy1Q5AIXY)

Ecco la nuova scansione di Hijackthis:
Hijackthis (http://www.fileup.itadib.com/download.php?id=Trudf0kFDEzmy1Q5AIXY)

ok, aspetta, nn fare la nuova scansione con kaspesky, quel file maledetto è ancora li

prova a fixare queste voci:
C:\WINDOWS\wisyst32.exe

C:\DOCUME~1\Alex\IMPOST~1\Temp\direct3d.exe

F3 - REG:win.ini: load=System

O4 - HKLM\..\Run: [DirectX9] C:\DOCUME~1\Alex\IMPOST~1\Temp\direct3d.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

dopo aver fixate queste voci, nuova scansione e nuovo log di hijackthis...

ho l'impressione che tu hai scaricato directx 9 da un sito nn attendibile.....

ok, aspetta, nn fare la nuova scansione con kaspesky, quel file maledetto, insiemi agli amici suoi, sono ancora li

Ok, comunque grazie dell'aiuto.

Scusa non mi è ben chiaro il concetto di "fixare".:help: Mi sento una m...., è spiegato in qualche guida?

Scusa non mi è ben chiaro il concetto di "fixare".:help: Mi sento una m...., è spiegato in qualche guida?

riavvia hijackthis, fai la scansione come la prima volta, selezioni le voci che ti ho indicate, poi clicca sul pulsante fixa

Il primo :
C:\WINDOWS\wisyst32.exe

non c'è tra i file da fixare in Hijacthis, cosa faccio, fixxo gli altri?
ti loggo il nuovo log (in cui compare sempre: C:\WINDOWS\wisyst32.exe)

http://www.fileup.itadib.com/download.php?id=wlYqxi2NrmaNmQzy6VrW

Il primo :
C:\WINDOWS\wisyst32.exe

non c'è tra i file da fixare in Hijacthis, cosa faccio, fixxo gli altri?
ti loggo il nuovo log (in cui compare sempre: C:\WINDOWS\wisyst32.exe)

http://www.fileup.itadib.com/download.php?id=wlYqxi2NrmaNmQzy6VrW

mi sa che x quella voce bisogna usare avenger...mentre x le altre ho dei forti sospetti...

attendi un altro parere

Si è aggiunto un sintomo nel frattempo: ho provato a riavviare il pc e all'avvio mi ha aperto da solo la cartella "system" di windows nella barra degli strumenti in basso. Inoltre il pc era un po' rallentato: infatti aprendo il task manager mi trovo questa cartella aperta come applicazione, e ho degli sbalzi di utilizzazione della cpu dovuti al processo "svchost.exe" dell'utente SYSTEM. Inoltre mi si è aperto avast dicendomi che un dialer cercava di connettersi.

Non so cosa fare.:(
Alex

edit: ho provato a riavviare più volte il pc per capire meglio. Credo che a pc appena avviato sia il processo di avast ad usare cpu per bloccare il dialer e non dipenda da svchost.exe. Poi appena mi si apre la finesta di avast che mi comunica la presenza del dialer l'uso della cpu torna "apparentemente" normale.

Ragazzi non c'è nessuno che riesce a darmi una mano?:(
Non voglio sembrare un rompimaroni, ma ho una certa urgenza di sistemare il pc perchè sia io che mia sorella abbiamo degli esami all'università fra pochissimo e lei deve consegnare dei lavori fatti con autocad. Lo formatterei anche, ma perderei del tempo che mi è essenziale per lo studio (e non sono neanche sicuro di risolvere reimportando email e documenti).:cry:
Ho visto che state dietro a numerosissime persone, quindi capisco comunque l'impossibilità di dar retta a tutti.

Alex

allora,scusami, ma un po mi sono dimenticato di te(avevo erroneamente cancellato l'iscrizione dal 3d mentre facevo un po di pulizia) e un po ho avuto da fare,sorry,facciamo cosi e vediamo come va:

1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)


2-fai girare CCLEANER

3- scarica ed installa ASQUARED ANTIDIALER FREE
DOWNLOAD (http://download5.emsisoft.com/a2AntiDialerSetup.exe)
Una volta installato, lancialo:
● scarica gli aggiornamenti
● esegui una scansione del sistema

4- BITDEFENDER ONLINE SCANNER:
http://www.bitdefender.com/scan8/ie.html
● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salva il Report che verrà rilasciato

5- Scarica ed installa SUPERANTISPYWARE: DOWNLOAD (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
lo aggiorni e poi gli fai fare una scansione completa del sistema e al termine salva il log e lo posti qui

6-posta un nuovo log di hijackthis

Ciao, ti ringrazio per l'aiuto che mi stai dando, davvero non lo do per scontato. Ti rispondo solo ora perchè ci mette molto a fare le scansioni e oggi son stato all'università tutto il giorno.:(
Venendo a noi:
A-squared antidialer mi ha detto che non ha trovato dialers, però durante la sua scansione mi si è aperto avast dicendo che ha trovato il malware:
WIN32:Agent-PBF[Trj] nel file:
C:\WINDOWS\TEMP\a2archive\keygen.exe\[UPX]

Alla fine della scansione di SUPERANTISPYWARE ho cliccato su avanti, non so se dovevo cliccare su annulla. Se ho sbagliato mi spiace. Così mi ha riavviato il pc e ho trovato di nuovo in esecuzione la cartella SYSTEM e l'applicazione STATIC (vista da task manager, poi dopo poco si chiudono) e Avast ha rilevato:
WIN32: Dialer-1222[Trj]

Posto tutti i log (di BitDefender serve il txt o l'html?)
BitDefender (http://www.fileup.itadib.com/download.php?id=IhR6pPpZcLItyQluF2bu)
SUPERAntiSpyware (http://www.fileup.itadib.com/download.php?id=KZaMXveppyM9RnYQH6eh)
Hijackthis (http://www.fileup.itadib.com/download.php?id=NhfQQAwRAvZ4XWi1s1CD)

Grazie ancora, Alex

sei infetto da trojan dropper....
bitdefender riuscito a cancellare i vari trojan dropper che ha rilevato....ma alcuni nn è riuscito a cancellare
attendi ulteriori istruzioni

edit: guarda questa voce
[DirectX9] C:\DOCUME~1\Alex\IMPOST~1\Temp\direct3d.exe

bitdefender ha provato a cancellare questa voce.....da dove hai scaricato directx9?

sei infetto da trojan dropper....
bitdefender riuscito a cancellare i vari trojan dropper che ha rilevato....ma alcuni nn è riuscito a cancellare
attendi ulteriori istruzioni

Ok, grazie mille.
Alex

andiamoci in questo modo

fai analizzare su www.virustotal.com questo file:
C:\Documents and Settings\Alex\Impostazioni locali\Temp\direct3d.exe

e vediamo di capirci qualkosa....bitdefender lo rileva coma backdoor...

Spero sia questo quello che ti serve:
http://www.fileup.itadib.com/download.php?id=jwlzoDY7vNWD617wlUE6

Spero sia questo quello che ti serve:

allora: hai scaricato da nn so dove un directx infetto....almeno questa è la spiegazione che mi do...
attendi istruzioni....

vedi questa voce:
F3 - REG:win.ini: load=System

è il motivo x cui ti da quella schermata all'avvio...c'è qualke virus che modifca il file win.in, almeno credo....

Grazie della spiegazione, anche se per me è un po' ostica.
Se ti può aiutare: le directx credo d'averle scaricate dal sito microsoft. Anzi credo siano nell'SP2 che ho scaricato sempre dal sito microsoft. Sono mesi che non le tocco (almeno che io sappia), quindi rimango un po' perplesso.
Grazie ancora, Alex

ciao fai una scansione con questo toolCombofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni. allega il log dopodichè fai
uno startup list sempre da hijackthis Open the misc tools section->Generate start up list log,spuntando le 2 caselline al lato e posti anche questo ;)

Non mi ero accorto che a-squared si carica nella tray e quando mi si è riavviato il pc è partito mentre lavorava Combofix (ho anche avast che parte all'avvio). E' un problema? Devo rifare la procedura, prima di andare avanti?
Allego il report intanto:
ComboFix (http://www.fileup.itadib.com/download.php?id=5JFrA33zm42xgTvbBkCv)

Grazie, Alex

Mi sa che prima ho fatto un po' di casino. Ho ripetuto la procedura suggeritami da lancetta, evitando l'avvio di a-squared al riavvio del PC. Credo che il log postato prima fosse sbagliato.
Il log giusto di Combofix è:
ComboFix (http://www.fileup.itadib.com/download.php?id=AvbJpEWYbOKppYxe0eqW)
E questa è la startup list di hijackthis:
Startup (http://www.fileup.itadib.com/download.php?id=9TY0oIzhP2ZGAduf7jt7)

Avast continua a segnalarmi:
WIN32: Dialer-1222[Trj]

Grazie mille per l'aiuto che mi state dando.
Alex

ragazzi è tutta la serata che sto cacchio di sito hosting non ne vuole sapere di aprirsi:muro: ma succede anche a voi?...vabbè se ne parla domani..vado a letto..notte;)

Boh, magari li ho infettati io. :D Non so a me si apre.
Ok, vado a letto anch'io allora, che domani ho lezione all'università.:cry:
Alex

Boh, magari li ho infettati io. :D Non so a me si apre.
Ok, vado a letto anch'io allora, che domani ho lezione all'università.:cry:
Alex

allora con tutti i log che ci hostano è peggio di un inferno dantesco :asd:

"yawn" .....vado a letto;)

Ragazzi non c'è proprio nessuno che riesce ad aiutarmi? :(
Stasera quando ho acceso il pc non mi ha caricato la cartella SYSTEM, però dopo qualche minuto dall'avvio Avast continua a segnalarmi:
WIN32: Dialer-1222[Trj]

:mc:

Alex

Avenger
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che ti indico cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da allegare per il controllo

http://swandog46.geekstogo.com/avenger.zip

Files to delete:
C:\WINDOWS\wisyst32.exe

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run | 7G21B2J74A


oltre al log di Avenger per il controllo, mi alleghi per favore un log di HJT ed un log di Prevx CSI http://www.prevx.com/freescan.asp
dopo aver terminato la scansione cliccare su "Option - Save log"

Grazie per l'aiuto, è che davvero il pc serve sia a me che a mia sorella per dare gli esami all'università a breve.:cry:

Durante la scansione di Prevx CSI, Avast mi si è aperto per chiudere la connessione, visto che ha rilevato il solito:
WIN32: Dialer-1222[Trj]
Alla fine della scansione di Prevx CSI ho salvato il log, ma non ho proceduto alla disinfezione, ho fatto giusto vero?

Ecco i log:
Avenger (http://www.fileup.itadib.com/download.php?id=vKW0PvPjbVZ6NM0de3Sp)
Hijackthis (http://www.fileup.itadib.com/download.php?id=1w8ChEqo03yTAJA3ZE6r)
Prevx CSI (http://www.fileup.itadib.com/download.php?id=a10DH5KHwMLvnSIxneDl)

Grazie mille, Alex

hijackthis nn lo rileva piu, mentre prevx csi lo rileva ancora

ti consiglierei PANDA ANTIROOTKIT: DOWNLOAD (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
● scompatta il file Zip, sul Desktop (verrà creata una icona di Startup)
● lancia il Tool, che si aggiornerà, automaticamente, ed eseguirà una scansione per verificare la presenza, o meno, di Rootkit, sul P.C. (se rilevati, provvederà a rimuoverli).

dopo rifai una nuova scansione con prevx csi e vediamo se lo rileva ancora....
notte

Ok, ho fatto, per sicurezza ho rifatto anche il log di hijackthis:
Prevx CSI (http://www.fileup.itadib.com/download.php?id=3DIEupUuDQ0QEI23yHDw)
Hijackthis (http://www.fileup.itadib.com/download.php?id=7P5SY1etNMEC1JMHBOhg)
Sembra che Prevx CSI non lo rilevi più, ma io non ci capisco molto.

Adesso vado a dormire anch'io, che al mattino poi muoio per andare in università.:cry:
Grazie ancora a tutti per l'aiuto che mi state dando.;)
Alex

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\depagsdx

*******************

Script file located at: xaunrfno

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!


allega il log di Avenger che non può essere certo questo, se no non si spiega come mai HJT non lo rilevi, inoltre nuovo log di Prevx CSI in formato .txt, ciao.

allega il log di Avenger che non può essere certo questo, se no non si spiega come mai HJT non lo rilevi, inoltre nuovo log di Prevx CSI in formato .txt, ciao.

Scusa Chill-Out non ho ben capito cosa intendi? Hai quotato me o un altro utente? :confused:
Credevo d'averti allegato quello che mi chiedevi. 0ggi ho fatto girare anche kaspersky, che ha rilevato ancora questo:
Trojan.Win32.Inject.sb
nel file: C:\windows\logon.dll

Ciao e grazie ancora,
Alex

Scusa Chill-Out non ho ben capito cosa intendi? Hai quotato me o un altro utente? :confused:
Credevo d'averti allegato quello che mi chiedevi. 0ggi ho fatto girare anche kaspersky, che ha rilevato ancora questo:
Trojan.Win32.Inject.sb
nel file: C:\windows\logon.dll

Ciao e grazie ancora,
Alex

Ho quotate te, comunque sarebbe opportuno che tu disinstallasi Avast in favore di Antivir una volta installato - settato ed aggiornato lancia una scansione completa del sistema
http://www.hwupgrade.it/forum/showthread.php?t=1514684

Avast è tutto fuorchè un'antivirus

Ciao, scusa se ho fatto un po' confusione.
Ho rifatto girare Avenger e poi Prevx CSI come mi hai chiesto:

Avenger (http://www.fileup.itadib.com/download.php?id=3rmNundgKzVtPlwUZttj)
Prevx CSI (http://www.fileup.itadib.com/download.php?id=gcrcDKVPNPixU6lhwNKc)

Adesso provvedo a disinstallare avast e ad installare Antivir. Mi consigli questo quindi tra gli antivirus free in circolazione?
Grazie per la pazienza.
Alex

Tutto Ok, vai di Antivir ottimo e gratuito

Hum...ho visto strane cose nei log però mò con tutte ste scansioni...
rifai combofix ..vediamo se ne veniamo fuori ;)

T spiace dare un'occhiata anche al log di kaspersky che ho fatto girare questa notte se te lo allego? (E' normale che siano più di 300 mega?:help:
Poi ho notato che all'avvio ho una 50ina di processi che partono, mi sembrano tanti. Se ti allego magari uno screenshot, mi aiuti a togliere il superfluo?
Ultima cosa e poi ti faranno santo, ho installato un po' di roba per debellare il virus, cosa posso togliere e come?
Ricapitolando dovrei avere usato:

Ccleaner (ha l'utility di disinstallazione)
Spyware doctor setup (?)
Hijackthis (?)
Virus removal tool setup (?)
Live Clean messenger (ha l'utility)
ADS revealer (?)
A-squared free setup (ha l'utility)
Dr Web CureIt(?)
gmer(?)
A-squared anti Dialer (ha l'utility, tra l'altro non riesco a non farlo caricare all'avvio, nonostante abbia deselezionato l'apposita opzione)
SUPERAntiSpyware (?)
ComboFix (?)
PREVXCSIFREE (?)
AntiRootkit(?)
Avenger (?)

Grazie mille per l'aiuto, davvero di cuore.
Alex

Hum...ho visto strane cose nei log però mò con tutte ste scansioni...
rifai combofix ..vediamo se ne veniamo fuori ;)

Avevo capito d'essere alla fine del tunnel, invece ho frainteso.:cry:
Allora andando con ordine, per quello che ho scritto nel precedente post, ne riparliamo a virus debellato/i.
Adesso faccio il combofix e poi che log allego, solo il suo? Cambio anche Avast con Avira e faccio una scansione?
Scusate il casino...:(
Alex

Partiamo da questo presupposto, riscontri problemi?

Partiamo da questo presupposto, riscontri problemi?

Così a freddo non è facile risponderti. E' una settimana che non sto usando il pc per le cose "normali", ma solo per la disinfezione. La cartella SYSTEM che mi caricava all'avvio non me la carica più, così come avast non mi rileva più:
WIN32: Dialer-1222[Trj]
Però senza usarlo un attimo non potrei mettere la mano sul fuoco che non ho problemi.
Pe quello che mi ha rilevato kaspersky, cosa mi dite?:
Trojan.Win32.Inject.sb
nel file: C:\windows\logon.dll

Sono disponibilissimo a fare qualunque cosa pur di sistemare bene il pc.
Grazie ancora.
Alex

Rifai girare Combo ed allega il log, poi scansione completa del sistema con Antivir

ho visto strane voci solo nei vecchi log ecco perchè ti chiedevo il nuovo...tranquillo che se ce qualcosa sa a magnamo :D

ho visto strane voci solo nei vecchi log ecco perchè ti chiedevo il nuovo...tranquillo che se ce qualcosa sa a magnamo :D

Grazie per la disponibilità e pazienza. Ho sempre il problema che al riavvio di Combofix mi parte Asquared-Guard, non riesco a non farlo caricare nella tray...
Il log è questo, non so se va bene:
Combofix (http://www.fileup.itadib.com/download.php?id=rMDqBoANh3rPOHEAFNwT)

Alex

edit: serve anche la startup list da hijackthis?
startuplist (http://www.fileup.itadib.com/download.php?id=myVqM2FfCk5cNhyahGv1)

in avenger:
Files to delete:
C:\WINDOWS\system32\drivers\onocrqtanrir.sys
C:\WINDOWS\{00000003-00000000-0000000A-00001102-00000004-00511102}.BAK
C:\WINDOWS\logon.dll

poi fai analizzare questi su virus total posta qui i link del risultato


C:\WINDOWS\system32\1D5CB9EEF1.sys
C:\WINDOWS\0
C:\WINDOWS\system32\0
C:\WINDOWS\system32\drivers\fidbox.dat
C:\WINDOWS\system32\drivers\fidbox.idx
alcuni dovrebbero essere del kasper stesso...solo che non ricordo il nome preciso

facci sapere

Questo è il report di avenger:
avenger (http://www.fileup.itadib.com/download.php?id=OkDTf3ypNPVUBNWI53oT)
Questa è l'analisi di C:\WINDOWS\0:
C:\WINDOWS\0 (http://www.fileup.itadib.com/download.php?id=O2Y3I7gemGZVTzNv2cfU)

Invece C:\WINDOWS\0 virustotal non me lo analizza, mi dice: "0 bytes size received / Se ha recibido un archivo vacio"
E gli altri tre non ci sono nelle cartelle...:muro: :help:

Vado a dormire che è da lunedì che mi alzo alle 6 per andare in università e sto collassando.
Ho tolto Avast, che come dite voi fa pasare anche gli orsi; e ho installato avira antivir (l'ho configurato come nel primo post della guida che mi avete gentilmente linkato), ma navigando dentro le cartelle del pc mi appare una finestra di avira che mi dice:
C:\WINDOWS\NirCmd.exe
Contains detection pattern of the application APPL/NirCmd.3
Io clicco su ignore, ma cosa devo fare?

Grazie mille, Alex

edit: ecco il report della scansione di antivir:
antivir (http://www.fileup.itadib.com/download.php?id=lNMghaecUfpXzPKlqwgh)

Questo è il report di avenger:
avenger (http://www.fileup.itadib.com/download.php?id=OkDTf3ypNPVUBNWI53oT)
Questa è l'analisi di C:\WINDOWS\0:
C:\WINDOWS\0 (http://www.fileup.itadib.com/download.php?id=O2Y3I7gemGZVTzNv2cfU)

Invece C:\WINDOWS\0 virustotal non me lo analizza, mi dice: "0 bytes size received / Se ha recibido un archivo vacio"
E gli altri tre non ci sono nelle cartelle...:muro: :help:

Vado a dormire che è da lunedì che mi alzo alle 6 per andare in università e sto collassando.
Ho tolto Avast, che come dite voi fa pasare anche gli orsi; e ho installato avira antivir (l'ho configurato come nel primo post della guida che mi avete gentilmente linkato), ma navigando dentro le cartelle del pc mi appare una finestra di avira che mi dice:
C:\WINDOWS\NirCmd.exe
Contains detection pattern of the application APPL/NirCmd.3
Io clicco su ignore, ma cosa devo fare?

Grazie mille, Alex

edit: ecco il report della scansione di antivir:
antivir (http://www.fileup.itadib.com/download.php?id=lNMghaecUfpXzPKlqwgh)


questo è già il primo effetto positivo di avira...;)

sei ancora infetto, quel file credo sia un rootkit, aspetta le istruzioni di lancetta o chill

ciao

NirSoft c:\windows\nircmd.exe nulla di preoccupante in ogni caso
C:\WINDOWS\NirCmd.exe
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[INFO] A backup was created as '4809f819.qua' ( QUARANTINE )
[INFO] The file was deleted!

Alex per fortuna che ti avevamo detto di disabilitare il system restore :D

Buongiorno a tutti!:)
Avira, mentre scansioni con i tool tienilo disabilitato, a maggior ragione se settato come da guida altrimenti te li blocca tutti...;)
Quello è un processo di combofix stesso (o meglio che utilizza combo:D ) tranquilli....;)
per gli altri file da analizzare che non trovi, abilita file e cartelle nascosti:
apri una cartella qualsiasi vai su sulla barra :strumenti->opzioni cartella->visualizzazione->metti la spunta a "visualizza file e cartelle nascoste" e togli la spunta a "nascondi file protetti di sistema"--> applica
fai sapere come và il pc.....e se ha trovato qualcosa avira;)

NirSoft c:\windows\nircmd.exe nulla di preoccupante in ogni caso
C:\WINDOWS\NirCmd.exe
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[INFO] A backup was created as '4809f819.qua' ( QUARANTINE )
[INFO] The file was deleted!

Alex per fortuna che ti avevamo detto di disabilitare il system restore :D

Un po' di cazzate le faccio io, non sono un esperto, però l'informatica ci mette del suo a darmi una mano. L'ho disabilitato e si è riabilitato da solo!! Queste sono le cose che amo del pc. E siccome sapevo che mi avreste accusato, ho postato lo screenshot a pagina 1 in tempi non sospetti::sofico:
http://img185.imageshack.us/my.php?image=ripristinoip1.jpg
Ciao, Alex

Buongiorno a tutti!:)
Avira, mentre scansioni con i tool tienilo disabilitato, a maggior ragione se settato come da guida altrimenti te li blocca tutti...;)
Quello è un processo di combofix stesso (o meglio che utilizza combo:D ) tranquilli....;)
per gli altri file da analizzare che non trovi, abilita file e cartelle nascosti:
apri una cartella qualsiasi vai su sulla barra :strumenti->opzioni cartella->visualizzazione->metti la spunta a "visualizza file e cartelle nascoste" e togli la spunta a "nascondi file protetti di sistema"--> applica
fai sapere come và il pc.....e se ha trovato qualcosa avira;)

Grazie ancora per l'interessamento. Ho fatto come dici, ma mi spiace quei file non li trovo ancora (i file nascosti li avevo già selezionati).:confused:
Ma dalla scansione di avira che ho postato cosa risulta? Sono ancora infetto? Io intanto vedo di usare il pc per vedere se succedono cose strane.
Ciao, Alex

Grazie ancora per l'interessamento. Ho fatto come dici, ma mi spiace quei file non li trovo ancora (i file nascosti li avevo già selezionati).:confused:
Ma dalla scansione di avira che ho postato cosa risulta? Sono ancora infetto? Io intanto vedo di usare il pc per vedere se succedono cose strane.
Ciao, Alex

disabilita il ripristino e rifai una scansione con avira.....e posta qui il report...

disabilita il ripristino e rifai una scansione con avira.....e posta qui il report...

Eccolo:
avira (http://www.fileup.itadib.com/download.php?id=vt89TZTdjQqKub19CVtw)

Sto quasi trattenendo il respiro nel postarlo.:)
Grazie ancora una volta per il tempo che mi dedicate.
Alex

Eccolo:
avira (http://www.fileup.itadib.com/download.php?id=vt89TZTdjQqKub19CVtw)

Sto quasi trattenendo il respiro nel postarlo.:)
Grazie ancora una volta per il tempo che mi dedicate.
Alex

dal log di avira sei pulito come il culetto di un bambino...
vediamo cosa dicono gli altri....

Un po' di cazzate le faccio io, non sono un esperto, però l'informatica ci mette del suo a darmi una mano. L'ho disabilitato e si è riabilitato da solo!! Queste sono le cose che amo del pc. E siccome sapevo che mi avreste accusato, ho postato lo screenshot a pagina 1 in tempi non sospetti::sofico:
http://img185.imageshack.us/my.php?image=ripristinoip1.jpg
Ciao, Alex

ti sei creato addirittura l'alibi :D

Eccolo:
avira (http://www.fileup.itadib.com/download.php?id=vt89TZTdjQqKub19CVtw)

Sto quasi trattenendo il respiro nel postarlo.:)
Grazie ancora una volta per il tempo che mi dedicate.
Alex

sei pulito ;)

Ccleaner (ha l'utility di disinstallazione)
Spyware doctor setup (?)
Hijackthis (?)
Virus removal tool setup (?)
Live Clean messenger (ha l'utility)
ADS revealer (?)
A-squared free setup (ha l'utility)
Dr Web CureIt(?)
gmer(?)
SUPERAntiSpyware (?)
ComboFix (?)
PREVXCSIFREE (?)
AntiRootkit(?)
Avenger (?)

Alex

Ragazzi non sapete quanto vi sono grato, davvero.
Domani lo provo un po' con calma e vedo se è tutto ok.
Piuttosto mi date una risposta per i programmi che ho quotato? Li posso eliminare? Quelli che non hanno il tool di disinstallazione come li tolgo?
Poi avete qualche programma e/o consiglio per ridurre i processi all'avvio di windows? Se vi posto uno screenshot del taskmanager riuscite a darmi un consiglio?
Grazie ancora.
Alex

ccleaner è un programma molto utile x eliminare periodicamente file inutili dal tuo pc e x pulire il registro di sistema

spyware doctor è molto pesante, ti consiglio di disinstallarlo

hijakcthis è un programma che devi lasciare, xchè è molto utile x capire eventuali problemi del tuo pc

tu hai parlato di "virus removal tool"...ti riferisci a KASPERSKY VIRUS REMOVAL TOOL? se è si, questa è la corretta procedura di rimozione:
● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.

live clean messanger lo puoi anche disinstallare

ads revealer anche

asquared è un ottimo programma antispyware con cui fare scansioni a comando....ti consiglio di tenerlo: GUIDA DEL FORUM (http://www.hwupgrade.it/forum/showthread.php?t=1564958)

DRWeb CureIt lo puoi anche rimuovere

gmer è un programma antirootkit, lo puoi anche rimuovere, ma anche lasciarlo....xò nn mi ricordo se c'è una procedura particola x la rimozione (credo che c sia un programma unistall nella cartella di windows....ma nn fare nulla, io nn ne sono certo)

superantispyware è un ottimo programma, piu affidabile di asquared...ti consiglio di tenerlo ( 3D UFFICIALE) (http://www.hwupgrade.it/forum/showthread.php?t=1567399)

COMBOFIX lo puoi rimuovere

prevx csi lo puoi anche rimuovere, considerando che c'è la possibilita d fare un controllo online dal sito di prevx

avenger lo puoi rimuovere

nn capisco qual è l'altro programma antirootkit....

Ok ho fatto tutto. Ho un'ultima domanda da porvi, per non ritrovarmi a rompere di nuovo a breve per colpa di questi maleddettissimi virus.
Mia sorella scambia moltissimi files con la chiavetta usb, per quello che fa all'università.
Credo sia superfluo dirvi l'esposizione ai virus che ciò comporta. Avete dei consigli? Io in questo momento ho la chiavetta e son convinto che ci siano su dei virus, come mi devo comportare? Se la infilo e la faccio analizzare da antivir rischio di infettarmi lo stesso? Rischio che partano degli eseguibili prima che la scansioni con antivir?
Mentre per i files scambiati con msn? Scansione con antivir prima di eseguirli?
Vorrei ringraziarvi per l'aiuto che mi avete dato, anche ad orari impossibili, siete stati davvero gentili.:read:
Alex

Ciao, la penna usb non l'ho ancora utilizzata, la sto tenendo come se contenesse uranio impoverito.:)
Mi avevate detto di segnalare se c'era qualche cosa anomala, in effetti suando un po' il pc ho notato che aprendo windows mediaplayer mi dice che c'è un errore negli script di pagina, alla linea 677. Ho provato a disabilitare il controllo degli script sulle opzioni di IE6 e a reinstallare mediaplayer, ma non ho risolto.
Se avete ancora qualche prezioso consiglio è ben accetto. Grazie mille.
Alex

P.S. Lo so mediaplayer fa schifo e anche IE6, ma dovrei uccidere mia sorella per passare a firefox.:muro:

Ciao, la penna usb non l'ho ancora utilizzata, la sto tenendo come se contenesse uranio impoverito.:)
Mi avevate detto di segnalare se c'era qualche cosa anomala, in effetti suando un po' il pc ho notato che aprendo windows mediaplayer mi dice che c'è un errore negli script di pagina, alla linea 677. Ho provato a disabilitare il controllo degli script sulle opzioni di IE6 e a reinstallare mediaplayer, ma non ho risolto.
Se avete ancora qualche prezioso consiglio è ben accetto. Grazie mille.
Alex

P.S. Lo so mediaplayer fa schifo e anche IE6, ma dovrei uccidere mia sorella per passare a firefox.:muro:

a sto punto formatta la chiavetta..se la devi tenere così
la inserisci nel pc tenendo premuto il tasto shift così non parte l'autoplay e vai di tasto dx e formatta...;)

per il mediaplayer è più un problema di applicazione che di virus...dovresti chiedere nella sezione windows...:)

Saluti:cool:

....la inserisci nel pc tenendo premuto il tasto shift così non parte l'autoplay e vai di tasto dx e formatta...;)


Ma così sono sicuro di bloccare qualunque tipo di "virus" prima di formattare? No perchè avevo letto che il "Cavaliere Nero" riusciva a partire anche tenendo premuto shift e formattando.
Grazie ancora una volta sei stato gentilissimo.
Alex