Ciao a tutti..
una scansione cn kasperski online mi ha trovato questi trojan che nn riesco ad eliminare... cs posso fare??? vi incollo il log di kasperski e di hijack

grazie anticipatamente

x favore, modifica il tuo post come da regole di sezione, grazie

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post

edit.

comincia a buttare tutte ste email infette allega i log comi ti ha indicato il buon Murack e comincia con la procedure per gli infetti così abbiamo un quadro preciso;)
http://www.hwupgrade.it/forum/showthread.php?t=1589984
http://www.hwupgrade.it/forum/showthread.php?t=1599737

ok ho aggiunto i log in formato .txt.. veramente gli ho usati tutti quegli software... e anche altri... ma niente da fare...l'avevo già letta la guida alla disinfestazione che in altri casi ho trovato utilissima in altri meno...in questo nessun riscontro:cry:

C:\Programmi\Enigma Software Group\SpyHunter\SpyHunter3.exe

disinstalla questa porcheria da Pannello di controllo - Installazione applicazioni

poi procediamo, sarebbe opportuno allegare anche i log mancanti inerenti la Guida alla disinfezione

ok ho aggiunto i log in formato .txt.. veramente gli ho usati tutti quegli software... e anche altri... ma niente da fare...l'avevo già letta la guida alla disinfestazione che in altri casi ho trovato utilissima in altri meno...in questo nessun riscontro:cry:
Scansione da Bitdefender scanner online.
Al termine allegare sia il log che il report html rilasciati.

per adesso vi mando sl i report di bitdefender e prevxcsi xkè sn quelli che mi sn rimasti sul pc. se pensate che gli altri siano proprio necessari li riscaricherò. Cmq niente da fare... AVG free continua a darmi un messaggio di infezione di un virus con il nome di un codice numerico sempre diverso...
cm faccio a sapere quale sn le mail infette????

io avrei una soluzione...distruggere il pc cn una mazza chiodata... ma preferirei fosse l'ultima alternativa...:D

http://www.fileup.itadib.com/download.php?id=OIi5ksepAENB6PUU6cvL

ovviamente il ripristino configurazione sistema è disattivato, giusto?

si è disattivto ma anche se fosse attivato nn vedo cm potrebbe interagire... spiegatemi xkè oltre a fare quello che mi dite cm un automa vorrei anche capire e possibilmente imparare ;)

perchè gli eseguibili infetti si introducono anche lì ;)
butta le email: From Bastardidentro, rocco/[From Security Center, From (Mrs.) Irena Kovac. queste risultano infette (se guardi il log di kasper le vedi)

si è disattivto ma anche se fosse attivato nn vedo cm potrebbe interagire... spiegatemi xkè oltre a fare quello che mi dite cm un automa vorrei anche capire e possibilmente imparare ;)

nel ripristino configurazione sistema molto spesso si annidano virus e worm: sono cartelle molto delicate, e spesso, se nn lo si è disattivato, una volta eliminato il file infetto, il virus si annida nel ripristino e al successivo riavvio rispunta...

infatti la scansione antivirus deve essere sempre fatta a ripristino disattivato xchè queste cartelle sono cartelle protette dal sistema, che spesso gli antivirus nn riescono ad esaminare compiutamente....ecco perchè i virus si annidano li....da ciò si spiega la necessità di disattivarlo

Hai disinstallato spy hunter? disinstallalo e scarica Avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:
C:\Documents and Settings\R\Desktop\Free-SpyHunter-Scanner-Install.exe

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui
fai girare nell'ordine:
SMITHFRAUD
http://siri.geekstogo.com/SmitfraudFix.exe
Salvalo sul desktop, apri la cartella SmitfraudFix, avvia SmithFraudFix. scegli l'opzione 1 (scrivere 1 e premere ENTER),
salva il log che ti dà dove dovrebbe indicarti quello che ha trovato, riavvia in provvisoria (F8 al boot)riapri la cartella SmitfraudFix, avvia SmithFraudFix.cmd,
scegliere l'opzione 2 (scrivere 2 e premere ENTER), digiti Y(yes) alla domanda "Vuoi pulire il registro?", in caso venisse chiesto di rimpiazzare eventuali
files .dll digiti Y(yes), salva il nuovo log riavvia il pc, è probabile che se avevi uno sfondo lo devi reimpostare.

ROGUEREMOVER
Scarica http://www.majorgeeks.com/RogueRemover_d5360.html installalo, doppio click su RogueRemover.exe (fallo aggiornare)->scan e segui le
istruzioni a video

Combofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.


vediamo di stroncare sto finto antispy;)

per la cronaca ho disinstallato proprio thunderbird e le relative cartelle e ho usato ccleaner quindi addio mail infette spero... finito di mandare questo mex faccio cm mi avete detto
cmq ho cancellato spy hunter prima
AVG free mi ha segnalato il programma Spyfraudfix cm un virus ma ho fatto ignora

per la cronaca ho disinstallato proprio thunderbird e le relative cartelle e ho usato ccleaner quindi addio mail infette spero... finito di mandare questo mex faccio cm mi avete detto
cmq ho cancellato spy hunter prima
AVG free mi ha segnalato il programma Spyfraudfix cm un virus ma ho fatto ignora

mentre fai girare questi programmi, disabilita momentaneamente l'antivirus

per la cronaca ho disinstallato proprio thunderbird e le relative cartelle e ho usato ccleaner quindi addio mail infette spero... finito di mandare questo mex faccio cm mi avete detto
cmq ho cancellato spy hunter prima
AVG free mi ha segnalato il programma Spyfraudfix cm un virus ma ho fatto ignora

Cancella anche l'installer
C:\Documents and Settings\R\Desktop\Free-SpyHunter-Scanner-Install.exe

AVG free mi ha segnalato il programma Spyfraudfix cm un virus ma ho fatto ignora
Fai girare, oltre agli altri segnalati:

● KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

PROCEDURA DI DISINSTALLAZIONE DI KASPERSKY VIRUS REMOVAL TOOL:

● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta risolto il probema

● TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)
Compatibilità: Windows XP

Devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● verrà generato un log in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato
salva il log che verrà rilasciato

[B]Allega i due log richiesti

sn lieto di risentirvi dp che combofix mi ha fatto essiccare davanti al pc...
ho fatto tutto cm mi avete detto
ho fatto anche di + ho utilizzato GMER che nn avevo ancora utilizzato
il virus persiste cn tenacia... adesso vi lascio i report di tutti i programmi che ho utilizzato e vado a mangiare... questo è l'ultimo mex di oggi.
il 3 programma che mi hai consigliato ha dato esito positivo... tutto regolare (per lui)
per la cronaca nel smitfraudfix AVG mi ha trovato un trojan... cm se quello che avevo nn bastasse...
trojan.horse VB.CEC

grazie ancora buon fortuna a voi e buon appetito a me...


http://www.fileup.itadib.com/download.php?id=efJJAjCHQaEvN6d7w5EM Gmer
http://www.fileup.itadib.com/download.php?id=5IfkjmL0mCqdL2KDLKTt Combofix
http://www.fileup.itadib.com/download.php?id=oEa5qAdhJSorPdXtd5ZB Smithfraudfix

sn lieto di risentirvi dp che combofix mi ha fatto essiccare davanti al pc...
ho fatto tutto cm mi avete detto
ho fatto anche di + ho utilizzato GMER che nn avevo ancora utilizzato
il virus persiste cn tenacia... adesso vi lascio i report di tutti i programmi che ho utilizzato e vado a mangiare... questo è l'ultimo mex di oggi.
il 3 programma che mi hai consigliato ha dato esito positivo... tutto regolare (per lui)
per la cronaca nel smitfraudfix AVG mi ha trovato un trojan... cm se quello che avevo nn bastasse...
trojan.horse VB.CEC

grazie ancora buon fortuna a voi e buon appetito a me...


http://www.fileup.itadib.com/download.php?id=efJJAjCHQaEvN6d7w5EM Gmer
http://www.fileup.itadib.com/download.php?id=5IfkjmL0mCqdL2KDLKTt Combofix
http://www.fileup.itadib.com/download.php?id=oEa5qAdhJSorPdXtd5ZB Smithfraudfix

hai l'obfuscated e tracce di vundo :rolleyes:

fai così:Scarica Avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:
Files to delete:
C:\$$CORSE.TMP
C:\~~TEMP.BMP
C:\~~ESP.DIS
C:\~~COMP.DIS
C:\WINDOWS\Setup1.exe

File to move:
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe | C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\ATI Technologies\ATI.ACE\bak\cli.exe | C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\bak\avgas.exe | C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Grisoft\AVG7\bak\avgcc.exe | C:\Programmi\Grisoft\AVG7\avgcc.exe
C:\Programmi\MemoRex\bak\MemoRexStart.exe | C:\Programmi\MemoRex\MemoRexStart.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe | C:\Programmi\Grisoft\AVG Free\avgcc.exe
clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

poi scarica QUESTO TOOL (http://noahdfear.geekstogo.com/FindAWF.exe) lo avvii si aprirà un finestra dos che chiederà di digitare un tasto qualunque,(anche invio)al termine, FindAWF ti proporrà un log aprendo una pagina del block notes,posta qui il risultato.
ed un log di hijackthis

quali erano i patti?
l'ho ripetuto troppe volte...

come trasgressori vedo che propongono tool senza nemmeno avvertire della procedura fuori standard:

Riverside (il pvt era chiaro che c'è in corso l'ultimatum) 7 giorni di sospensione

se volete usare un metodo empirico vostro ben venga purchè venga detto in modo esplicito e assolutamente chiaro all'utente che non sono sistemi e modi adottati di base.
inoltre se l'utente non è al corrente della procedura ritenuta come punto di partenza Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) gli va notificato il suo deficit...

gli altri si sono limitati a dire cosa eliminare direttamente in modo marginale... ad ogni modo il discorso sulla procedura preliminare vale anche per loro.

quali erano i patti?
l'ho ripetuto troppe volte...

come trasgressori vedo che propongono tool senza nemmeno avvertire della procedura fuori standard:
Lancetta (primo richiamo nonostante hai avuto pvt chiarificatore)
Riverside (il pvt era chiaro che c'è in corso l'ultimatum) 7 giorni di sospensione

se volete usare un metodo empirico vostro ben venga purchè venga detto in modo esplicito e assolutamente chiaro all'utente che non sono sistemi e modi adottati di base.
inoltre se l'utente non è al corrente della procedura ritenuta come punto di partenza Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) gli va notificato il suo deficit...

gli altri si sono limitati a dire cosa eliminare direttamente in modo marginale... ad ogni modo il discorso sulla procedura preliminare vale anche per loro.
forse ti è sfuggita una cosa:
http://www.hwupgrade.it/forum/showpost.php?p=20691179&postcount=4

hai ragione non avevo controllato i due link... ho editato il precedente post :)

vi posto il risultato di avenger ma il fiwav mi chiedere di premere un tasto da 1 a 4 più la E per uscire io ho fatto scan i file bak cioè l'1

findawf lo hai fatto girare dopo lo script di avenger?

io ho seguito alla lettera quello che mi hai detto prima avenger e poi finaws...
adesso ti mando i log di kasperski e trendmicro...
per la cronaca... kasperski ha trovato un trojan risalente al rogueremover che mi avete consigliato... tra un po eliminiamo questo e mi trovo di nuovo punto e a capo cn i trojan scaricati cn gli antivirus... :D

abbiamo eliminato l'ofuscaret ma AVG continua a cacciarmi un virus cn un nome di un codice numerico sempre diverso ogni volta che riavvio

abbiamo eliminato l'ofuscaret ma AVG continua a cacciarmi un virus cn un nome di un codice numerico sempre diverso ogni volta che riavvio

al di fuori dei falsi positivi...hai fatto pulizia con ccleaner? svuotato chache java ecc..dove lo trova sto cacchio di virus avg?

abbiamo eliminato l'ofuscaret ma AVG continua a cacciarmi un virus cn un nome di un codice numerico sempre diverso ogni volta che riavvio

puoi pubblicare il log della scansione?

il virus si chiama abc123.pid e anche se lo cancello al riavvio si ripresenta...questo file crea un file codicenumerico.exe sempre nei temporali(C:\Documents and Settings\a\Impostazioni locali\Temp) dopo pochi secondi dall'avvio d windows. Avg che è sempre attivo lo trova e mi chide d eliminarlo... lo elimino ma al riavvio d sistema si ripresenta d nuovo cn un codice numerico diverso... fare la scansione sarebbe inutile xkè il file.exe l'ho già eliminato e il .pid nn lo trova... ma se volete lo faccio...

vediamo di aggirare il virus e prenderlo di spalle...
modifica nella scheda TCI/IP della tua connessione i riferimenti ai ServerDNS impostando:
208.67.222.222
208.67.220.220

per avere la guida su come fare, collegati a http://www.opendns.com/ clicka "get stated" poi su "Computer" ed infine sul sistema operativo che usi, inquesto modo dovrai seguire le semplici istruzioni riportate a video.

poi ad AVG fai escludere nelle scansioni in tempo reale la cartella in cui risiedeva quel *.cpl ...

poi fai una scansione con HiJackThis e fixa, se presente questa voce:

O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll


se c'era, riavvia il pc e fai la scansione totale/completa/profonda con avg e pubblica il log, insieme ad un nuovo lo g di prevx CSI e di hijackthis :)


se non c'è quella voce riavvia e fai un nuovo log di prevxCSI e pubblicalo insieme a quello di hijackthis :)

riposta anche findawf per favore....il pid è sempre relativo al zonebac

sicuri che devo fixare memorex e browserui??? sn entrambi file che conosco...nn vorrei che nn partisse + il prog poi...

edit: tienile entrambe..

che palle!!!! ho letto tutto quello che esisteva su abc123.pid... tutti lo hanno risolto cn avenger e findaws tranne io :cry: ...mi spiegate che significa edit: ?????

ok quei 2 processi nn li fixo... ma cs devo fare allora???

ok quei 2 processi nn li fixo... ma cs devo fare allora???

posta un nuovo log di findawf

ecco il log di findawf

ecco il log di findawf

come aveva detto lancetta (che è uno che la sa lunga :D ) hai una variante di instant access accompagnato da ofbuscated

ora ti posto uno script che devi inserire utilizzando avenger: lo conosci?

fai cosi:

1-disattiva il ripristino configurazione sistema ( è importante)

2-Disattiva momentaneamente l'antivirus e scarica avenger: DOWNLOAD (http://swandog46.geekstogo.com/avenger.zip)
lo scompatti in una sua cartella dedicata,

3-avvia avenger,seleziona input script manually, clicca sulla lente d'ingrandimento, inserisci il seguente script (tutto quello che è compreso nel quote):
files to move:

C:\Programmi\MemoRex\bak\MemoRexStart.exe | C:\Programmi\MemoRex\MemoRexStart.exe

C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\ATI Technologies\ATI.ACE\bak\cli.exe | C:\Programmi\ATI Technologies\ATI.ACE\cli.exe

C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programmi\Grisoft\AVG7\bak\avgcc.exe | C:\Programmi\Grisoft\AVG7\avgcc.exe

C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\bak\avgas.exe | C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe | C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
Cliccare su done, Cliccare sul semaforo, Rispondere sì 2 volte;il pc dovrebbe riavviarsi, casomai lo riavvii manualmente

4- nuovo log di findawf

ho buone nuove...
allora tu avevi detto che avevo tracce di vundo...
in realtà avevo proprio il trojan vundo... e cn vundofix l'ho eliminato eliminando pure il secondo processo iexplorer.exe che avevo visto in altri post ma che a me nn appariva...
il problema del codicenumerico.exe nn è stato + visualizzato ma abc123.pid è ancora presente... che faccio provo a elimarlo manualmente????'

ho buone nuove...
allora tu avevi detto che avevo tracce di vundo...
in realtà avevo proprio il trojan vundo... e cn vundofix l'ho eliminato eliminando pure il secondo processo iexplorer.exe che avevo visto in altri post ma che a me nn appariva...
il problema del codicenumerico.exe nn è stato + visualizzato ma abc123.pid è ancora presente... che faccio provo a elimarlo manualmente????'

allora, devi inserire di nuovo un altro script in avenger, come ti avevo indicato nel mio post precedente

inserisci questo:


file to move:

C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe | C:\Programmi\Grisoft\AVG Free\avgcc.exe


dopo aver terminato con avenger, nuovo log di findawf e poi attendi ulteriori istruzioni

a quanto ho capito dal log il trojan si sta diffondendo... catso...
cn quel post avenger nn è partito... e l'ho spostato manualmente il file

a quanto ho capito dal log il trojan si sta diffondendo... catso...

sta facendo una strage :D
cmq ora il log di findawf è pulito...
riguardo il log di vundofix io nn lo so leggere, sii fiducioso che tra lancetta o chill uno dei 2 darà il suo responso definitivo

il pc ti da problemi?
quel file pd che dicevi, se puoi cancellalo manualmente....altrimenti utilizziamo avenger

posta un nuovo log di hijackthis

Signore e Signori... Oggi 27 gennaio 2008 alle ore 18 e 11 min... posso dichiarare ufficialmente che il trojan è stato debellato...
ringrazio tutti voi che mi avete aiutato a compiere questa impresa durata 1 settimana
Ben 7 giorni di Mission Impossible... ma cm dice la Nike... impossible is nothing

Veniamo ai ringraziamenti:
un applauso e un grazie di cuore a:
murack83pa
lancetta
chill-out
riverside
xcdegasp

grazie di cuore :cry:
:mano:

se puoi fai un riassunto con problema, analisi, procedura/soluzione :)