Salve a tutti.
Da un po' di giorni il mio PC è impazzito.
Vengono aperti in sequenza processi cmd.exe fino ad arrivare a 20 anche 30 processi cmd.exe contemporaneamente.
Inoltre windows da in continuazione avvisi del tipo "file ha smesso di funzionare" (non specificando il file), in altri casi vengono citati i file cmd.exe / slp.exe / hvnrtld.exe / ftp.exe
Nelle mie partizioni secondarie viene creata una cartella "hvnrt_pass" che sparisce dopo pochi secondi dall'apertura del disco da risorse del computer.
Se tolgo un qualsiasi disco (a cd inutilizzato e fermo, anche con un cd vergine inserito) si presenta il messaggio d'errore "impossibile leggere dall'unità".
Stasera è apparso anche un altro messaggio: "C:/Windows/Installer/24ha12/inet/intupdate/inteupdate.exe non è un applicazione win32 valida."

Penso di avere un bel casino, ho fatto una scansione profonda con NOD32 aggiornato ma non risultano virus.
A questo punto ho installato kaspesky e dalla scansione sono venuti fuori 2 file riconosciuti come Trojan Dropper e Trojan Bat Agent. I file infetti sono int2com.exe - hvnrtld.exe - insDr.exe e dopo averli eliminati di conseguenza la cartella "hvnrt_pass" nella directory principale delle mie partizioni è sparita. Al riavvio del PC il problema si ripresenta.

Ho pensato che fosse un Virus Beagle ed ho proceduto alla rimozione come da guida, ma senza risultati.
Vi allego tutti i log che ho eseguito.

Link per scaricare. (http://www.phantomlords.it/Upped/log_arcano.rar)

1- il ripristino configurazione sistema lo devi disattivare

2- riavvia il pc e fai le seguenti operazioni di pulizia:
Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Scarica CCLEANER: DOWNLOAD (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui


3-rifai una nuova scansione completa di tutto il sistema con kaspersky e metti tutto ciò che rileva in quarantena, posta il log della scansione

4-segui la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737), esegui tutti i programmi indicati, e poi a fine scansione posta tutti i log

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

grazie mille per la risposta, vi farò sapere al più presto!

seguo interessatissimo....perchè anche io ho lo stesso problema....e cmq non riesco a fare tutti i passaggi descritti da "murack83pa"
spero si trovi un metodo piu veloce...ciao a tutti

seguo interessatissimo....perchè anche io ho lo stesso problema....e cmq non riesco a fare tutti i passaggi descritti da "murack83pa"
spero si trovi un metodo piu veloce...ciao a tutti

le procedure di disinfezione per noi non potranno essere mai veloci visto che non abbiamo il tuo pc sotto mano dobbiamo capire prima che quale situazione si trova il tuo sistema e poi procedere con le indicazioni che devi seguire.
ovviamente il grosso del lavoro lo facciamo noi senza nessun tipo di renumerazione o di incentivo ma siamo sempre molto lieti a consigliarti di portarlo al centro d'assistenza specializzato più vicino a casa tua dove tu dovvrai solo portare il tuo pc e ritirarlo :D

se descrivi che errori riscontri nell'eseguire quei programmi ti possiamo aiutare altrimenti ai centro d'assistenza o un amico bravo o un format come possibili alternative... :(

ciao! ho anch'io lo stesso problema... ho provato a fare come descritto ma:
-quando svuoto la cartella prefetch, subito dopo mi si ricreano i file che mi danno problemi cmd, slp, fhu, hvnrtud (.exe)
-ho eseguito e riparato tutte le cose con ccleaner
-la scansione l'ho effettuata con avira e non ha rilevato nulla
-aprendo taskmanager, nei processi continuo ad avere una ventina di cmd.exe e uno slp.exe

Che fare?

Grazie, ciao

Segui la guida indicata al post 2 http://www.hwupgrade.it/forum/showpost.php?p=21757950&postcount=2 (tutta) ed allega i log, ciao

Buondì,
credo di avere un problema simile a quello di Arcano. :confused:
Anche a me è apparso il messaggio "C:/Windows/Installer/24ha12/inet/intupdate/inteupdate.exe non è un applicazione win32 valida."

ho eseguito le prime 3 istruzioni di murack83pa e ho eliminato manualmente alcuni autorun.inf che mi ricreavano di continuo il problema.
adesso la situazione si è quietata..

Vi posto il log della scansione di kaspersky e intanto procedo alla disinfezione secondo la guida.
http://www.fileup.itadib.com/download.php?id=8a0pvMC2v4Tds1n3mwDl

Buondì,
credo di avere un problema simile a quello di Arcano. :confused:
Anche a me è apparso il messaggio "C:/Windows/Installer/24ha12/inet/intupdate/inteupdate.exe non è un applicazione win32 valida."

ho eseguito le prime 3 istruzioni di murack83pa e ho eliminato manualmente alcuni autorun.inf che mi ricreavano di continuo il problema.
adesso la situazione si è quietata..

Vi posto il log della scansione di kaspersky e intanto procedo alla disinfezione secondo la guida.
http://www.fileup.itadib.com/download.php?id=8a0pvMC2v4Tds1n3mwDl

Anche per te è opportuno seguire la Guida indicata al post #2 http://www.hwupgrade.it/forum/showpost.php?p=21757950&postcount=2
attendiamo i log, ciao.

alla fine io ho risolto tornando indietro di un apio di giorni da "Ripristino Configurazione di Sistema".....per fortuna non ho dovuto portare il pc ne da un tecnico ne ho dovuto reistallare windows....grazie cmq a tutti....sempre gentilissimi

ecco i miei log:
kaspersky http://www.fileup.itadib.com/download.php?id=DzbbTB6IHvBgNgUvmuIF
ESET ADS Revealer http://www.fileup.itadib.com/download.php?id=cNmysBhzdFbHkOo0CKjR
A-Squared Free v3.x
http://www.fileup.itadib.com/download.php?id=aYJSCRaUPdH88SKwaMsS
Prevx CSI
http://www.fileup.itadib.com/download.php?id=4TXvUFXu3jvIMtQEaeca

poi ho eseguito anche alcuni scan online tra cui questi:
http://www.fileup.itadib.com/download.php?id=dg0yNwl2RjzlaQNOSj3y
http://www.fileup.itadib.com/download.php?id=HaUMCzO9PGADAxIGAzGY
http://www.fileup.itadib.com/download.php?id=yNdnpRc8x1yjS3GyshTt

hijackthis
http://www.fileup.itadib.com/download.php?id=7ewIshzcY5yuo3GmFnzd

gmer
http://www.fileup.itadib.com/download.php?id=JIJUhoFQ2Htt8colVaHo

Non sono riuscita a togliere il virus che mi ha rilevato Prevx CSI e all'avvio si apre sempre la cartella documenti in modalità esplora.

che mi dite? grazie fin d'ora per l'attenzione:help:

eccomi!
ho seguito tutti i passaggi, fatto gli scan con i vari programmi indicati... e questi sono i log

gmer http://www.fileup.itadib.com/download.php?id=NWmlevC3rftUVkw6Txtr

prevx http://www.fileup.itadib.com/download.php?id=ZyPGSdzke23uDsAMnUXE

hjthis http://www.fileup.itadib.com/download.php?id=l0YVmcwkZFHfsRTXNXyL

grazie in anticipo, io ancora non ho ben capito cos'ho (a parte il malware che mi trova prevx ma di cui il percorso non mi porta da nessuna parte e non so come levarlo :muro: )

ciao ciao

ecco i miei log:
kaspersky http://www.fileup.itadib.com/download.php?id=DzbbTB6IHvBgNgUvmuIF
ESET ADS Revealer http://www.fileup.itadib.com/download.php?id=cNmysBhzdFbHkOo0CKjR
A-Squared Free v3.x
http://www.fileup.itadib.com/download.php?id=aYJSCRaUPdH88SKwaMsS
Prevx CSI
http://www.fileup.itadib.com/download.php?id=4TXvUFXu3jvIMtQEaeca

poi ho eseguito anche alcuni scan online tra cui questi:
http://www.fileup.itadib.com/download.php?id=dg0yNwl2RjzlaQNOSj3y
http://www.fileup.itadib.com/download.php?id=HaUMCzO9PGADAxIGAzGY
http://www.fileup.itadib.com/download.php?id=yNdnpRc8x1yjS3GyshTt

hijackthis
http://www.fileup.itadib.com/download.php?id=7ewIshzcY5yuo3GmFnzd

gmer
http://www.fileup.itadib.com/download.php?id=JIJUhoFQ2Htt8colVaHo

Non sono riuscita a togliere il virus che mi ha rilevato Prevx CSI e all'avvio si apre sempre la cartella documenti in modalità esplora.

che mi dite? grazie fin d'ora per l'attenzione:help:
Disinstalla Download Accelerator Plus e installati "Down Them All" che è sempre un downloader-manager ma è opensource e svincolato da spyware..

Prevx CSI:

C:\Documents and Settings\Bianca\Desktop\msicuu2.exe InMem: 0 Det [U] MD5: D5F4AB6063B3B3795B1C0F0CF30C7DFB PX5: 98026679E847203F7CE805852CC35B00FB28A1E8


C:\Documents and Settings\Bianca\Desktop\setupita.exe InMem: 0 Det [UP] PX5: EAA47E6998DA0D8AC0512C7C42E28201EBC804AE


C:\WINDOWS\system32\fsmgmt.dll InMem: 0 Det MD5: 8ABF371BFD85E7F571057197D5B19221 PX5: 5E02F275A57BCC57159D0069F070EB0025877BD8 Malware Group: Generic.Malware
REGWINLOG - \REGISTRY\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fsmgmt - DllName [fsmgmt.dll]



bit-Defender ha trovato:

D:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}\hvNrt_ins\24ha12\inet\int2com.TXT
Infected with: Generic.Botget.0D1B4EFF
D:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}\hvNrt_ins\24ha12\inet\int2com.TXT
Deleted

F:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}\hvNrt_ins\24ha12\inet\int2com.TXT
Infected with: Generic.Botget.0D1B4EFF
F:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}\hvNrt_ins\24ha12\inet\int2com.TXT
Deleted

H:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}\hvNrt_ins\24ha12\inet\int2com.TXT
Infected with: Generic.Botget.0D1B4EFF
H:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}\hvNrt_ins\24ha12\inet\int2com.TXT
Deleted
e altra robetta che è meglio se non riporto :p



Ewido:

Name: Trojan.Hack.Vg
Path: C:\Programmi\ESET\nod32fix.reg
Risk: High

esiste un eccellente antivirus che è rilasciato pure in versione Free cosa vi costa installare direttamente quello anzicchè cercarvi i problemi?
Avira Antivir Classic è quanto di meglio si possa avere o al limite anche la versione a pagamento (20€ annui) chesarebbe Avira Antivir PremiumEdition.

Io avrei usato come motore dis cansione quello di kaspersky, se puoi e se hai voglia fammi una scansioen anche con quello :)


Rifai la scansione con HiJackthis scegliendo la funzione "Scan Only", a fine scansione il tasto in basso a sinistra si chiamerà "Fix This", quindi seleziona le voci desiderate e premi quel tasto :)
le voci da "fixare" sono:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Last.fm Helper.lnk = C:\Programmi\Last.fm\LastFMHelper.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.co.uk/scan_uk/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187602299840
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
[b]O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll


ci sono anche altre voci strane, hai un mix di programmi acer, toshiba e dell ma che notebook usi?

eccomi!
ho seguito tutti i passaggi, fatto gli scan con i vari programmi indicati... e questi sono i log

gmer http://www.fileup.itadib.com/download.php?id=NWmlevC3rftUVkw6Txtr

prevx http://www.fileup.itadib.com/download.php?id=ZyPGSdzke23uDsAMnUXE

hjthis http://www.fileup.itadib.com/download.php?id=l0YVmcwkZFHfsRTXNXyL

grazie in anticipo, io ancora non ho ben capito cos'ho (a parte il malware che mi trova prevx ma di cui il percorso non mi porta da nessuna parte e non so come levarlo :muro: )

ciao ciao

Ti manca il log di a-squared e di uno scanner-online tipo kaspersky o bit-defender :)

grazie xcdegasp :D

cmq ho fatto lo scan anche con kaspersky, è il primo log che ho inserito nel messaggio!

a proposito di bit defender, cosa intendi con "e altra robetta che è meglio se non riporto :p" ?

ho un hp compaq nw8000.

procedo col fixaggio se nn hai altro da dirmi! :)

@ Julie:
meglio quello online per il kav, non vorrei che tu avessi infettato anche quel antivirus in cerca di come dire un tempo più lungo di valutazione del prodotto :D

in sostituzione a winzip, che non ti serve visto che è integrato in winXP (avrebbe avuto senso un winrar), potresti installarti Zipgenius che è free o 7zip anch'esso free.
per ulteriori programmi free (free nel senso reale) puoi fare riferimento alla discussione:
http://www.hwupgrade.it/forum/showthread.php?t=668898

dove appunto puoi prendere FoxitReader e cestinare quell'aborto di AcrobatReader :D

procedi con il fixaggio e sappimi dire se si ricreano quelle voci al riavvio del pc :)

ok .
del KAV cmq ho la versione di prova ,) quindi non è certamente infettata

non capisco cosa dici a proposito di winzip, dato che ho winrar .

grazie, sei gentilissimo ad aiutarci così

ok è vero era winrar quello di cui avevi scaricato il crack e non winxip ad ogni modo il discorso di usare programmi free (che non fanno rimpiangere nulla) rimane valido :)

visto che sei in prova con il kav a maggior ragione usa Avira Antivir Classic che tra le altre cose è ai vertici come efficacia e in ogni caso tra 20€ e i 45€ di licenza c'è una bella differenza :p

sono daccordissimo con te per quanto riguarda i programmi free. il problema è che spesso non ho davvero il tempo per tenermi aggiornata..
Ho tolto il DAP e ho messo quel plugin per firefox, tanto per cominciare. ( grazie per la dritta!)

l'unica voce rimasta è O4 - Startup: Last.fm Helper.lnk = C:\Programmi\Last.fm\LastFMHelper.exe

Ho il kav in prova perché volevo qualcosa di diverso dal nod, che non mi aveva rilevato i problemi stavolta.
però pensavo di ritornare al nod una volta risolto tutto! perché ho bisogno di un antivirus leggero. Cmq ora mi informo su Avira :)

sono daccordissimo con te per quanto riguarda i programmi free. il problema è che spesso non ho davvero il tempo per tenermi aggiornata..
Ho tolto il DAP e ho messo quel plugin per firefox, tanto per cominciare. ( grazie per la dritta!)

l'unica voce rimasta è O4 - Startup: Last.fm Helper.lnk = C:\Programmi\Last.fm\LastFMHelper.exe

Ho il kav in prova perché volevo qualcosa di diverso dal nod, che non mi aveva rilevato i problemi stavolta.
però pensavo di ritornare al nod una volta risolto tutto! perché ho bisogno di un antivirus leggero. Cmq ora mi informo su Avira :)

a maggior ragione Avira che è leggero quanto il nod32 ma ha sia l'euristica migliore in assoluto sia aggiornamenti frequenti..


ad ogni modo:
ti ha eliminato anche "O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll" ma non quel exe ?

allora passiamo alle maniere forti:
scarica avenger -> http://swandog46.geekstogo.com/avenger.zip
scompattalo in una cartella che sia per lui esclusiva così ti tiene il backup

poi eseguigolo e ti chiede di dargli uno script, lo script è il seguente:

File to delete:
C:\Programmi\Last.fm\LastFMHelper.exe

ho semplicimente rifatto lo scan ed è scomparsa anche l'ultima voce.
grazie ancora, ottimo lavoro!

ora rifammi se puoi un nuovo log di PrevCSI che verifichiamo che non ci siano altre cosucce :)

fatto dice che finalmente il computer è pulito :) :cool:

Rieccomi!
stavolta con tutti i log al posto giusto! :doh:

gmer http://www.fileup.itadib.com/download.php?id=NWmlevC3rftUVkw6Txtr

prevx http://www.fileup.itadib.com/download.php?id=ZyPGSdzke23uDsAMnUXE

hjthis http://www.fileup.itadib.com/download.php?id=l0YVmcwkZFHfsRTXNXyL

a-squared http://www.fileup.itadib.com/download.php?id=LS2FEkKA6FfsNCNyX8KK

kaspersky 1 http://www.fileup.itadib.com/download.php?id=G5HL0O1OxhDeRAueWYtp

kaspersky 2 http://www.fileup.itadib.com/download.php?id=KeFN7ER6HZ25Jxnf18Ac

grazie di nuovo! ciao ciao

Ciao, inizia col disabilitare il riprtistino configurazione sistema se non sai come fare leggi qui: http://www.hwupgrade.it/forum/showthread.php?t=1599737

mmm... quello l'ho già fatto... almeno, questo è quello che mi dice nelle proprietà di risorse del computer...
me lo dicevi come consiglio di base o perchè dai log risulta un'altra cosa? :confused:

mmm... quello l'ho già fatto... almeno, questo è quello che mi dice nelle proprietà di risorse del computer...
me lo dicevi come consiglio di base o perchè dai log risulta un'altra cosa? :confused:

Devi disabilitarlo sia in C che in D, dopodiche procedi così e falciamo il falciabile:

1 - Installa KASPERSKY VIRUS REMOVAL TOOL scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione
http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/
● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare TUTTE (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato

2 - Scansione online con BitDefender http://www.bitdefender.co.uk/scan_uk/scan8/ie.html
salva il log in formato html ed allegalo

Al termine nuovo log di HijackThis e Prevx CSI

Riepilogo log da allegare:
Kaspersky removal tool
BitDefender
HijackThis
Prevx CSI

Ciao a tutti.
Ho letto un pò il trhead perchè anche io ho preso sti virus.
Poi con una scansione con AVG ho risolto.
Però ora AVG mi trova BootSector Change. Che significa??
E' qualcosa che ha a che fare con i virus??
Grazie in anticpo.

ehm... vorrei postarvi tutti i log, ma sto avendo qualche problema a caricare su fileup quelli di kaspersky: è normale che mi pesi quasi 60 MB?

Ciao a tutti.
Ho letto un pò il trhead perchè anche io ho preso sti virus.
Poi con una scansione con AVG ho risolto.
Però ora AVG mi trova BootSector Change. Che significa??
E' qualcosa che ha a che fare con i virus??
Grazie in anticpo.

ti dice che qualcosa sta tentando di cambiare il MBR ovviamente fa bene a bloccare l'attività :p

ehm... vorrei postarvi tutti i log, ma sto avendo qualche problema a caricare su fileup quelli di kaspersky: è normale che mi pesi quasi 60 MB?

lascia solo le scritte iniziali, i file che ha trovato infetti e il riassunto il resto cancelllalo :)

ok... vediamo se ci riusciamo :)

ecco i log

questo è kaspersky appena individuati i trojan
http://fileup.itadib.com/download.php?id=FS88cEsW1ZZvCARNBFKC

poi dopo aver disinfettato
http://fileup.itadib.com/download.php?id=1rmCKxbqBCOjUb0UZndX

questo e prevxcsi fatto subito dopo
http://fileup.itadib.com/download.php?id=DVmFqgHiDvYeSmxefhU3

questo è bitdefender
http://fileup.itadib.com/download.php?id=D2IcBYEPIm87UaH7y8OQ

...e htjack
http://fileup.itadib.com/download.php?id=amwkkHiwuswOi0USsvPD

questo invece è prevxcsi dopo un riavvio e dopo un po' che lavoravo
http://fileup.itadib.com/download.php?id=ZiMZ0E0TBIy3SfiZ3R0J
:cry:


inoltre se faccio doppio click per aprire la partizione d:, si apre la finestra dove mi chiede con quale applicazione voglio aprire il file :confused: ; per aprire devo cliccare col destro e fare esplora.

Su task manager continuo a vedere processi in corso cmd.exe e slp.exe

Ho controllato di nuovo e la funzione ripristina sistema è disattivata su tutti i dischi...

per l'errore sull'HD segui questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1599603


prevxcsi:

C:\WINDOWS\Installer\24ha12\Ic2d\str_insDr.exe InMem: 0 Det [U] MD5: 19BDCB59D55C90FF001C28ACF62119C5 PX5: DEE7746E00FB03822485014B99846E0078480362
REGRUNKEY - \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Run - str_insDr [C:\WINDOWS\Installer\24ha12\Ic2d\str_insDr.exe]



C:\WINDOWS\system32\MANDALA.SCR InMem: 0 Det [U] MD5: 0F0C99006A8CA96D15922BCD17909781 PX5: 241D1A1A0067C06FBABE08BA0C2AF4003D4563C6
REGSCRNSAVE - \REGISTRY\User\S-1-5-21-2772702787-866484455-1410461591-1006\Control Panel\Desktop - SCRNSAVE.EXE [C:\WINDOWS\system32\MANDALA.SCR]



C:\Documents and Settings\Gippo\Desktop\vnlt6274.exe InMem: 0 Det [U] MD5: 58D66CAD815CA91BDA3755DF80E5F575 PX5: 630526A800CD52F2EA6722648830AA006F03249C



C:\WINDOWS\system32\drivers\klif.sys InMem: 0 Det [U] MD5: 214B9713C850A8C798AD76147F82EDF7 PX5: 13E0634510B595D40C5802FB042F50007F4FBFC1
REGSERVICE - \REGISTRY\Machine\SYSTEM\ControlSet001\Services\klif - ImagePath [C:\WINDOWS\system32\drivers\klif.sys]



C:\Documents and Settings\Gippo\Desktop\setup_7.0.0.180_01.04.2008_11-32.exe InMem: 0 Det [U] PX5: 8B98308CE0FC6C07B2D20CE1D988C301398E6061



C:\WINDOWS\Installer\24ha12\inet\int2com.exe InMem: 1 Det [B] MD5: 7F29ABE2872D561CC1BDB0617BC2996A PX5: DEE7746E00FB03823A85024B99846E00EBED9F49 Malware Group: Generic.Malware



Summary:
C:\WINDOWS\Installer\24ha12\inet\int2com.exe - [B] >> Generic.Malware

Che roba è questa :mbe: C:\Documents and Settings\Gippo\slp.exe se non sai cos'è controlla il file su www.virustotal.com e posta il link per visualizzare i risultati

allora...

questo è il link di virustotal
http://www.virustotal.com/it/analisis/cf462f697e226f879c3a1cac341c5c8f

per il problema dell'harddisk ho risolto scaricando flashdisinfector. Ho risolto nel senso che ora me lo apre normalmente, ma guardando i file di sistema nascosti vedo il file autorun.inf in d:, lo cancello, ma dopo un po' ritorna da solo. C'è da dire che per ora continua ad aprire normalmente d: anche dopo che mi si è ricreato il file.

Visualizzando i file di sistema nascosto ho visto che su d: c'è anche questa cartella, che contiene hvnrt_ins, uno di quelli che venivano individuati... ha senso cancellarla a mano?
restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}

detto questo non ho capito se in quella parte di log di prevxcsi che mi ha postato xcdegasp c'era qualche cosa che mi diceva cosa fare? :confused:

Flash Disinfector creerà una cartella nascosta denominata autorun.inf in ogni partizione e ogni unità USB collegata è preferibile non eliminare questa cartella aiuterà a proteggere le unità da infezioni future.

avevo fatto solo un estratto del log di prevx...


la cartella "24ha12" va eliminata quindi devi prima di tutto killare i processi che sono attivi con i file localizzati lì dentro e poi li eliminiamo con avenger :)

Scarica Avenger da qui: http://www.fileup.itadib.com/download.php?id=qg3FqMxAzKZCKP1cBzFC
ed inserisci questo Script (copi ed incolli) e clicca su Execute:

Files to delete:
C:\WINDOWS\Installer\24ha12\Ic2d\str_insDr.exe
C:\WINDOWS\Installer\24ha12\inet\int2com.exe

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | str_insDr

al termine allega log di Avenger, nuovo log HijackThis e Prevx CSI

Edit: dimenticavo anche un log di Gmer

arieccomi...

dai controlli vari sembrerebbe vada tutto bene, ma in d: continuo a vedere la cartella nascosta
restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}

in compenso si task manager non ci sono più ne cmd.exe ne slp.exe :cool:

avenger
http://fileup.itadib.com/download.php?id=GDKhgn05qEugjVULUyp8

prevxcsi
http://fileup.itadib.com/download.php?id=PZ5LFoZ7FDjHfS9bTqWk

hijack
http://fileup.itadib.com/download.php?id=kqIiWiWIEWVJ9BRMzSpx

gmer
http://fileup.itadib.com/download.php?id=pfQYSaYYiK0tPWU6ei2q

che dite?

Direi che andiamo bene, per cortesia il percorso completo di questa cartella restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1} e relativo contenuto
poi ci sono altre cosuccie da fare

Edit: la cartella dovrebbe essere vuota il trojan è stato falciato dal Kav

Ciao a tutti.
Ho letto un pò il trhead perchè anche io ho preso sti virus.
Poi con una scansione con AVG ho risolto.
Però ora AVG mi trova BootSector Change. Che significa??
E' qualcosa che ha a che fare con i virus??
Grazie in anticpo.

Qualcuno può spiegarmi qualcosa, pls?? :help:

allora...
la cartella è
d:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}

dentro c'è 2 cartelle
la prima si chiama
"vers" e contiene "vers001" e "vers002", entrambe vuote

la seconda è
"hvNrt_ins" che contiene
"24ha12" con dentro le seguenti cartelle
"c2d"; "d2c"; "Ic2d"; Id2c"; "inet"; "pers"; "UD"... di seguito elenco il
contenuto

"c2d" contiene un autorun

"d2c" contiene due file: hvNrtAuto.bat e hvNrtAuto.exe

"Ic2d" contiene una serie di .exe: insA; insB; insC; insDr; insE; insF; insG; insH; str_insDr

"Id2c" è vuota

"inet" contiene una cartella vuota "intupdate" e un file: int2com.exe

"pers" è vuota

"UD" contiene diversi .exe: FHU; hvNrtUD; hvNrtUD_A; hvNrtUD_B; hvNrtUD_D; hvNrtUD_E; hvNrtUD_F; hvNrtUD_G; hvNrtUD_H; hvNrtUD_I


dimensioni totali su 1,7 MB

Elimina manulamente il contenuto della cartella in questione

d:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}

dopodichè ti colleghi a questo sito http://secunia.com/software_inspector/ ed aggiorni in base alle segnalazioni in software obsoleti, quindi vulnerabili.
inoltre è opportuno dare un a letta a questo Thread per mettere in sicurezza il PC http://www.hwupgrade.it/forum/showthread.php?goto=newpost&t=1476319

Ciao

Qualcuno può spiegarmi qualcosa, pls?? :help:

pubblicaci tutti i log richiesti :)

:doh:
purtroppo mi sono resa conto di avere ancora qualche problemino.

ho trovato anch'io le stesse cartelle e i file che ha trovato celebra all'interno della cartella restore, in D.

Mi confermate di eseguire le stesse operazioni che avete indicato a lui?

- seconda domanda: credo di aver preso questa "infezione" tramite il mio hd esterno. Avevo necessità di scambiare dei dati con una persona e purtroppo tra poco dovrò di nuovo farlo. C'è un modo per evitare di infettare nuovamente il mio povero portatile? :/

purtroppo mi sono resa conto di avere ancora qualche problemino.

ho trovato anch'io le stesse cartelle e i file che ha trovato celebra all'interno della cartella restore, in D.

Mi confermate di eseguire le stesse operazioni che avete indicato a lui?

Si

- seconda domanda: credo di aver preso questa "infezione" tramite il mio hd esterno. Avevo necessità di scambiare dei dati con una persona e purtroppo tra poco dovrò di nuovo farlo. C'è un modo per evitare di infettare nuovamente il mio povero portatile?

Disinfettare l'HD esterno, ma molto probabilmente il PC del tuo conoscente è infetto

- va bene. Ma la cosa che non mi piace tanto è che avevo già cancellato il contenuto di quella cartella. e questa mattina i simpatici file sono comparsi di nuovo..


- si il computer del mio compagno di gruppo è certamente infetto. volevo sapere se c'è un modo per evitare di farsi infettare di nuovo.

va bene. Ma la cosa che non mi piace tanto è che avevo già cancellato il contenuto di quella cartella. e questa mattina i simpatici file sono comparsi di nuovo..

Allega un log aggiornato di Prevx CSI
http://www.hwupgrade.it/forum/showpost.php?p=21807042&postcount=23 avresti dovuto allegarlo


si il computer del mio compagno di gruppo è certamente infetto. volevo sapere se c'è un modo per evitare di farsi infettare di nuovo

la risposta mi sembra abbastanza ovvia, ovvero disinfettare il suo PC

ecco il log
http://www.fileup.itadib.com/download.php?id=Ktk7I1FlMWqrsVvlLnKd

- va bene. Ma la cosa che non mi piace tanto è che avevo già cancellato il contenuto di quella cartella. e questa mattina i simpatici file sono comparsi di nuovo..


- si il computer del mio compagno di gruppo è certamente infetto. volevo sapere se c'è un modo per evitare di farsi infettare di nuovo.

quando devi attaccare quel hd, che non sia mai sia infetto o meno (o altro supporto rimovibile di cui non hai certezza dei contenuti), utilizza un account limitato in questo modo il 90% delle infezioni sono apriori evitate :)

ecco il log
http://www.fileup.itadib.com/download.php?id=Ktk7I1FlMWqrsVvlLnKd

dal log emerge:

C:\Documents and Settings\Bianca\Desktop\msicuu2.exe InMem: 0 Det [U] MD5: D5F4AB6063B3B3795B1C0F0CF30C7DFB PX5: 98026679E847203F7CE805852CC35B00FB28A1E8


C:\Programmi\Power Soft\Freebie Notes\FreebieNotes.exe InMem: 1 Det [UP] MD5: 9E6AA5323F0F75BB9C6F70ACCD51FDF7 PX5: 5DA4D903005735C0E41C119DCB8E2700B3418A74
REGRUNKEY - \REGISTRY\User\S-1-5-21-1202660629-1993962763-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Run - Freebie Notes ["C:\Programmi\Power Soft\Freebie Notes\FreebieNotes.exe"]



sai dirci che programmi sinano? :confused:

uno è il file di installazione di microsoft office update
e l'altro è freebie-notes, un programma "free" che ho preso dalla lista che mi avevi passato :D

sì il primo è il "Microsoft Windows Installer CleanUp" ..

il secondo.. hem.. non lo conoscevo, provvedo a colmare la lacuna :p

uhm non ti perdi niente.. non mi pare che sia granché

allora adesso che devo fare? :(

nel log di prevx non vedevo altre cose...
proviamo con hijackthis :)

ma nella prima pagina del thread free non lo trovo quel programma :(

ecco

oggi scopro di non conoscere molti programmi :(
esempio:
O4 - HKLM\..\Run: [AClntUsr] C:\Program Files\Altiris\AClient\AClntUsr.EXE

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe

da fixare:

O4 - Startup: Last.fm Helper.lnk = C:\Programmi\Last.fm\LastFMHelper.exe



è un notebook o postazione fissa aziendale?

Fai anche una scansione completa col Kaspersky ed allega il log

ok ho fixato la voce relativa a lastfm, ma sei sicuro che non sia un file innocuo?
non conosci last fm?

è un notebook hp compaq nw8000
e
quelle voci che non conosci sono relative a:
Utility client Atheros è un software progettato per modificare e aggiungere profili di configurazione, nonché per visualizzare la diagnostica relativa al dispositivo LAN wireless HP W400 o HP W500.

procedo kaspersky

ok capito... era uno dei prodotti venduti nella fase di trasizione ossia nel periodo in cui hp e compaq di fatto erano ancora "divise" equindi non uniformate :)

last.fm non lo conosco proprio :D

pubblicaci tutti i log richiesti :)

Come??
Cosa devo fare?
In genere sono cauto e per questo uso solo AVG
mentre quotidianamente o al più ogni due giorni pulisco con CCleaner
e Registry Mechanic.

Come??
Cosa devo fare?
In genere sono cauto e per questo uso solo AVG
mentre quotidianamente o al più ogni due giorni pulisco con CCleaner
e Registry Mechanic.

pensavo avessi anche letto i primi messaggi di questa discussione (ossia thread) ad ogni modo rimedio subito:

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

Perfetto, grazie.

buongiorno signori
ecco anche il log di kaspersky

buongiorno signori
ecco anche il log di kaspersky

log pulito :)

già :) spero che stavolta i file bstrd non tornino di nuovo. mi pareva che il log di kav fosse pulito anche l'ultima volta e poi li ho trvati cmq.
incrocio le dita.. :D

grazie di tutto

speriamo bene :)

Ecco alcuni log.
non so perchè riesco a caricare solo questi.
Non mi fa caricare
- hijackthis
- Prevex
- adsr-20080403135322.txt

per le dimensioni infatti è consigliato la strada via upload su host remoto cosicchè inserisci i link al semplice download :)

Rieccomi!! :D
Sembra che vada tutto bene. :cool:
Ho aggiornato i programmi che mi individuava su secunia.
Dando un'occhiata al thread indicato da chillout ho individuato i programmi per mettermi in sicurezza (avira-spywaredoctor-onlinearmor), a questo punto posso disinstallare quelli che mi sono serviti per risolvere questo problema (gmer-avenger-htjack-adsr-ccleaner-prevxcsi)?

Altra domanda... come julie anch'io ho un HD esterno che sarà probabilmente infetto, sono in grado di ripulirlo con la configurazione di programmi indicata sopra o devo utilizzare tutti i programmi come ho fatto per liberare il computer?
Cosa intendeva xcdegasp dicendo che con l'accesso limitato all'HD quasi si evita ogni rischio di infezione?

Ultima domanda... ancora non ho capito esattamente cosa avevo preso... penso dei trojan (bat agent e dropper?), o dei rootkit (se non sbaglio mi avevate inviato a una discussione dove spiegava cos'erano ma non ritrovo il link)... in ogni caso volevo sapere se per prevenirlo mi bastava avere un'anti-spyware installato, considerato che avira lo avevo già, aggiornato, e non si era reso conto di nulla....:mbe:

Comunque, grazie mille a tutti, siete stati veramente gentili e pronti ad aiutarmi!!! :D

quei programmi oltre a occupare veramente poco in termini di spazio disco sono altrettanto ottimi per controlli da eseguire saltuariamente o costantemente (dipende da gralle proprie esigenze di sicurezza)..
io personalmente li terrei :)

quando devi visionare o comunque usare supporti rimovibili (vedi cd/dvd masterizzati o hd-esterni o penne-usb) potresti entrare in windows con utente limitato (creato ovviamente precedentemente) in questo modo l'eventuale malware che viene caricato non avrebbe il privilegio di infettare l'intero pc rimanendo segregato in questa sessione di lavoro ben limitata.
in sostanza crei un altro utente sul tuo pc con pochi poteri, sarebbe bene abituarsi tale utente sempre visto che le volte in cui è richiesto un account priviligeggiato sono solo riconducibili a installazioni/disinstallazioni e modifiche al registro o di sistema, cose che in sostanza non avvengono sempre ogni minuto e ogni giorno.
In fondo alla Guida ci sono link interessanti proprio da questo punto di vista.


per disinfettare quel pc che infetta l'hd sì dovreste seguire i passi che avete fatto, mentre per ripulire l'hd potreste seguire questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1599603


potresti verificare che Avira sia impostato correttamente confrontando le impostazioni applicate con quelle suggerite dal thread specifico linkato in "Thread Importanti", dovrai pensare ad usare un browser alternativo Opera o Firefox con NoScript e AdBlock installati, ti serviva inoltre un firewall cosa che appunto hai ora...

:)

per le dimensioni infatti è consigliato la strada via upload su host remoto cosicchè inserisci i link al semplice download :)

E quindi come faccio?
Uso un server tipo rapidshare??
O posto qualche shot di quello chi mi hanno trovato??

--

porca miseria :( ho collegato un hd esterno che pensavo di aver pulito e ci ho trovato i simpatici amici.. di nuovo!!! :muro:

Faccio così

Prevex :
Summary:
No malicious items found

ActiveScanner :
Virus:Trj/Passtealer.FQ
Virus:Trj/Agent.GQN
Virus:GenericTrojan
Virus:Trj/Agent.GQN
Virus:Trj/Agent.GQN

ADS Scan :
rilevati: Adware.Win32.BitAccelerator.j
rilevati: Adware.Win32.BitAccelerator.j
rilevati: Adware.Win32.BitAccelerator.j
rilevati: Backdoor.Win32.Agent.eop

Alternate Data Streams Revealer
Questo mi ha rilevato un pò di cose ma sono, sostanzialmente, file conosciuti
tipo "brushes" di photoshop, file Thumbs e dei fonts.

hijackthis :
Anche qui non mi sembra di aver visto processi sospetti.

Poi con Nod32
ho trovato un sacco di cose che come per ADSR mi sono sembrate cose normali.
Credo, forse, che il vero problema era la backdoor rilevata da ADS scan.
Vorrei cmq trovare un modo per postarli.

Ciao back hosta i tuoi log in base a queste modalità

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Fatto
A2Scan
http://www.fileup.itadib.com/download.php?id=hqwPy9Pw0KhZRwChF5ck
ActiveScan
http://www.fileup.itadib.com/download.php?id=xMTkoRRyUSsMBsPjC9Ef
Adsr
http://www.fileup.itadib.com/download.php?id=gS28WQP3wsmwz6vU8X30
hijackthis
http://www.fileup.itadib.com/download.php?id=KuX2jfN3lbhBF9klM6sz
Prevex
http://www.fileup.itadib.com/download.php?id=MFQzaU3Qksun5Azsppif

Aspetto consigli e pareri.

Continuo però ad evere questo messaggio da parte di AVG
http://img385.imageshack.us/img385/7624/shotjp3.jpg
Cosè?

buongiorno!
ecco tutti i miei report. cosa mi dite? vorrei risolvere definitivamente il problema.. :help:

a2scan (http://www.fileup.itadib.com/download.php?id=XLfH1CwTy0olt6J1mCOF)
prevxcsi (http://www.fileup.itadib.com/download.php?id=K7IaHyOXaPmnMcQIOPxy)
gmer (http://www.fileup.itadib.com/download.php?id=iuwtJweGiuwRE1tyjzuH)
ewido (http://www.fileup.itadib.com/download.php?id=HLGwrTVR6D5z9erzuCzF)

Continuo però ad evere questo messaggio da parte di AVG
http://img385.imageshack.us/img385/7624/shotjp3.jpg
Cosè?

NB: il riprisitno configurazione sistema deve essere disattivato

Gli oggetti rilevati da A-Squared sono stati messi in quarantena?

Allega un log di Gmer -> Download (http://www2.gmer.net/beta/gmer.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione - scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare su pannello di destra tutte le caselle
Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

Continuo però ad evere questo messaggio da parte di AVG

clicca su Details e fornisci le info aggiuntive

Per prima cosa, buon giorno chill

in secundis: il link è sbagliato,socio... reindirizza su prevx csi :D

GMER: DOWNLOAD (http://www.gmer.net/gmer.zip)

Buongiorno, ho provveduto ad editare il link

Buongiorno, ho provveduto ad editare il link

pensi anche tu a quello che penso io?

cmq, riguardo l'mbr (anche se magari questo nn è il caso, aspettiamo gmer) a me sembra che entrambe le versioni di gmer rilevano mbr,no?

anzi: dal log della versione standard di gmer si individua piu facilmente l'mbr, no? a me è sembrato cosi...è solo un impressione

ciao

scusate ma come mai nessuno mi risponde? ho passato qualche limite?

NB: il riprisitno configurazione sistema deve essere disattivato

Gli oggetti rilevati da A-Squared sono stati messi in quarantena?

Allega un log di Gmer -> Download (http://www2.gmer.net/beta/gmer.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione - scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare su pannello di destra tutte le caselle
Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log



clicca su Details e fornisci le info aggiuntive

Il ripristino è stato disattivato.
Allego il log di GMER.
Riguardo all'avviso di AVG la schermata che ho inserito è tutto quanto mi dice.
Null'altro. Ahh dimenticavo. Tutto quello che ho rilevato con i softwares
che mi avete consigliato è stato messo in quarantena

Il ripristino è stato disattivato.
Allego il log di GMER.
Riguardo all'avviso di AVG la schermata che ho inserito è tutto quanto mi dice.
Null'altro. Ahh dimenticavo. Tutto quello che ho rilevato con i softwares
che mi avete consigliato è stato messo in quarantena

Sicuro di aver messo il segno di spunta in tutte le caselle a dx

Sicuro di aver messo il segno di spunta in tutte le caselle a dx

Si, anche se poi per scrupolo l'ho rifatto.
Però ci sono delle stranezze così come potrai notare dagli allegati.
Intanto ho rifatto GMER e mi ha trovato altre cose appartenenti ad AVG.
Mi spiego.
Io ho una penna sulla quale ho una serie di utility portablili, tra cui AVG.
Intanto GMER come noterai, mi ha segnalato delle cose che saranno
gli aggiornamenti di AVG della penna.
Ma la cosa strana è che con la scansione da penna AVG non mi segnala
il cambio sector C: così come poi regolarmente avviene con AVG
installato sul computer.
Qui puoi notare tutto
http://img150.imageshack.us/img150/6866/shot01hs4.jpg

Riallega un log di Gmer selezionado tutte le partizioni C:\ - D:\ - G:\ - H:\

sei sicuro che il messaggio di AVG non sia per esempio il seguente:

Boot sector of disk... Change... C:

user32.dll... Change... C:|Windows\system32.dll

controlla bene il log

il messaggio di AVG è proprio questo che ha descritto tu.
Boot sector of disk... Change... C:
Cosa significa??
Riguarda GMER cosa ti preoccupa??
Ora rifarò anche con tutti i dischi esterni inseriti.
(ne ho tre :cry: ) e poi riposto il log.

Cerchiamo di capirci il messagio qual'è:

Opzione 1
Boot sector of disk... Change... C:

e basta oppure

Opzione 2
Boot sector of disk... Change... C:

user32.dll... Change... C:|Windows\system32.dll

buongiorno!
ecco tutti i miei report. cosa mi dite? vorrei risolvere definitivamente il problema.. :help:

a2scan (http://www.fileup.itadib.com/download.php?id=XLfH1CwTy0olt6J1mCOF)
prevxcsi (http://www.fileup.itadib.com/download.php?id=K7IaHyOXaPmnMcQIOPxy)
gmer (http://www.fileup.itadib.com/download.php?id=iuwtJweGiuwRE1tyjzuH)
ewido (http://www.fileup.itadib.com/download.php?id=HLGwrTVR6D5z9erzuCzF)

io ho avuto un po' da fare, sai com'è :D
non vedo nulla di preoccupante dai log..

Cerchiamo di capirci il messagio qual'è:

Opzione 1
Boot sector of disk... Change... C:

e basta oppure

Opzione 2
Boot sector of disk... Change... C:

user32.dll... Change... C:|Windows\system32.dll

Opzione 1. Ho solo quella dicitura li.
Nulla a che vedere poi con problemi di librerie.

Opzione 1. Ho solo quella dicitura li.
Nulla a che vedere poi con problemi di librerie.

Leggi qui:

http://forum.grisoft.cz/freeforum/read.php?8,102236,backpage=,sv=

prendi in considerazione la possibilità di disinstallare Avg a favore di Avira Antivir Free

io ho avuto un po' da fare, sai com'è :D
non vedo nulla di preoccupante dai log..

va bene allora forse :confused: mi sono allarmata per niente.
abbi pazienza con me :)
per mia fortuna non ho mai preso un virus e adesso questa cosa mi ha dato ai nervi!

Leggi qui:

http://forum.grisoft.cz/freeforum/read.php?8,102236,backpage=,sv=

prendi in considerazione la possibilità di disinstallare Avg a favore di Avira Antivir Free

Intanto grazie infinite.
Mi sembra di capire che sia una cosa normale e forse lo fa perché
la scansione l'ho effettuata dopo che, visto un attacco di virus, ho sovrascritto
la mia partizione con una perfetta precedentemente archiviata con Ghost.
Proverò ad eseguire i consigli dati dal link postato.
Proverò anche il software che mi consigli visto che ogni tuo consiglio
é andato a buon fine. Solo una ultima cosa, se mi dici qualcosa riguardo GMER.
PErché mi chiedevi se avevo spuntato tutto. Grazie ancora e a buon rendere!

Intanto grazie infinite.
Mi sembra di capire che sia una cosa normale e forse lo fa perché
la scansione l'ho effettuata dopo che, visto un attacco di virus, ho sovrascritto
la mia partizione con una perfetta precedentemente archiviata con Ghost.
Proverò ad eseguire i consigli dati dal link postato.
Proverò anche il software che mi consigli visto che ogni tuo consiglio
é andato a buon fine. Solo una ultima cosa, se mi dici qualcosa riguardo GMER.
PErché mi chiedevi se avevo spuntato tutto. Grazie ancora e a buon rendere!

Perchè volevo vedere un log completo tutto qui

Ahh ok. E grazie ancora

Salve! Vorrei togliere i residui del virus su un mio HD esterno senza dover formattare.
Il problema è il virus hs attaccato il file system dell'HD, infatti quando faccio doppio click sull'icona dell'HD appare un messaggio "impossibile trovare il dile insDr.exe (sarebbe il trojan che ho rimosso).
In poche parole il virus aveva impostato che all'apertura dell'HD si avviasse il virus per infettare il PC a cui era collegato (e così è successo diverse volte ).

Con un programma di recupero dati sono riuscito a vedere che nella directory principale c'è un file autoran.inf che da le indicazione per l'apertura del virus, non esistendo più il file insDr.exe windows non riesce ad aprire il disco e l'unico modo è quello di fare click col destro ed esplora.

Mi chiedevo come fosse possibile rimuovere queste cartelle nascoste che non si vedono da risorse del computer o se fosse possibile riparare il danno senza formattazione. Ho provato a formattare un altro hard disk esterno infetto ed il problema è difatti sparito.

Leggi qui: http://www.hwupgrade.it/forum/showthread.php?t=1599603

Ciao ragazzi, ieri sera finalmente sono riuscito a capire come funziona sto maledetto trojan e sono riuscito a toglierlo, sia dal pc che da tutte le varie chiavette usb e hd esterni.

Cercherò di essere il più chiaro possibile:

1) ho scaricato il software freeware Process Explorer di Microsoft (http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx dopo averlo fatto partire, selezionare i processi (di solito sono in fondo, gli ultimi due) insDr.exe e int2com.exe. Importantissimo: non fare Kill Process ma Kill Process Tree, in modo tale da distruggere completamente tutti i processi di questo trojan.

2) Andare su C:/Windows/Installer/ ed eliminare completamente (quindi anche dal cestino) la cartella 24ha12

3) Andare sul Registro di windows (start-->esegui-->regedit) cercare e cancellare tutte (c'è ne potrebbe essere più di una) le chiavi di registro sys32_.exe

A questo punto il trojan è stato debellato, ma rimane ancora nelle chiavette usb o hd esterni. Il problema sta nel fatto che su questi supporti esterni è presente un file autorun.inf nascosto, che fa partire il file hvnrtld.exe anch'esso presente nel supporto esterno ma nascosto. Ho provato ad eliminare col command di dos il file autorun.inf ma niente, non me lo faceva eliminare. A questo punto ho scaricato Total Commander che invece riesce sia a vedere che ad eliminare i due file in questione (ovviamente abilitando su Total Commander la visualizzazione dei file nascosti).

Il gioco è fatto. Mi sono tolto finalmente dai cogl.... questo maledetto trojan!!!

Ciao a tutti,

ho contratto questo virus del cavolo ed ho dovuto inventarmi una procedura manuale per rimuoverlo. Valida per Windows XP, ma verosimilmente anche per Windows 2000 e Vista.

Siccome ho cercato in lungo e in largo informazioni chiare e veniva indicato di fare le azioni più diverse, ma nessun post risolutivo e completo, ho pensato di inviare questa procedura per i posteri.

Questo virus comunque è veramente subdolo perché la sua potenzialità di autoreplicazione è esponenziale sui PC Windows. Solo i PC che hanno l'autoplay disattivato per le memorie rimovibili dovrebbero salvarsi.

A quanto ho notato il "virus" in realtà non fa granché di dannoso in sé. A quanto ho capito invia qualcosa all'esterno. Cosa? Probabilmente "dati" (di che tipo e quali non ho appurato). Sul mio PC aveva tentato di instaurare un collegamento FTP.

La procedura è abbastanza completa e, avendola provata su tre PC, direi risolutiva.

Ciao!


Attivare la visualizzazione di cartelle e file nascosti e di cartelle e file di sistema e la visutalizzazioen delle estensioni.

Killare tutti i processi indesiderati (insDr, int2com, slp2 e i vari cmd.exe)

Cancellare l'avvio automatico dell'applicazione incriminata N_prog.exe (se non si riesce a killare cmd.exe si può usare l'Utilità di Spybot Search&Destroy per cancellare l'avvio automatico di questo file)

Cancellare tutte le cartelle del tipo restore{seriedilettereenumeri} (sono cartelle nascoste e di solito si trovano nella radice del disco interessato)

N.B. Non ho avuto bisogno di disabilitare il ripristino del sistema. Le cartelle restore{seriedilettereenumeri} a cui faccio riferimento NON sono le cartelle del ripristino di Windows, ma una cartellina che fondamentalmente contiene i file del virus.

In WINDOWS\Installer cancellare la cartella 24ha12

Cancellare tutti i file in WINDOWS\Prefetch (questa fase è probabilmente superflua ma non si sa mai!)

Cancellare il file Windows\System32\N_prog.exe

Nella cartella C:\Documents and Settings\Nomeutente\Impostazioni locali\Temp cancellare tutti i file (e in particolare quelli che terminano con .bat)

Nella cartella C:\Documents and Settings\Nomeutente\Impostazioni locali\Dati applicazioni cancellare tutti i file incriminati (vedi lista più avanti) e se si trova un file autorun.inf eliminarlo

Nella cartella C:\Documents and Settings\Nomeutente\Dati applicazioni cancellare tutti i file incriminati (vedi lista più avanti) e se si trova un file autorun.inf eliminarlo

Modificare tutti i file autorun.inf togliendo la linea che richiama il file N_prog.exe o uno dei file interessati

Verificare con Spybot Search & Destroy, in Utilità, opzione Esecuzione automatica se c'è ancora in avvio il file N_prog.exe e disabilitare e cancellare quella linea (va evidenziata per poterla eliminare)

Riavviare.

Verificare nei task se è ancora presente il processo cmd.exe (identificativo del problema).

Potrebbe essere necessario eseguire questa procedura in modalità provvisoria e per tutti gli utenti del computer.

File interessati e collelati al virus (da eliminare)
hvNrtID.exe
hvNrtUD.exe
N_prog.exe
slp.exe
slp2.exe
sleep.exe
insDr.exe
int2com.exe
sys32_.exe


Il virus inoltre aggiunge una linea per autoinstallarsi in tutti i file autorun.inf che trova.
In un caso il virus ha addirittura creato il file autorun.inf un una cartella dell'utente (in Documents and Settings).

Le penne USB e similari vengono infettate prontamente dal virus e grazie alla modifica del file autorun.inf (che fa sì che il virus parta subdolamente non appena si connetta l'hard disk esterno o la pennina al malcapitato PC) si autoreplicherà (basterà però cancellare da questo file la linea incriminata).

Per poter aprire le penne USB evitando l'avvio automatico alla connessione va disabilitato il relativo autoplay delle periferice rimovibili, ma questo è disabilitabile solo tramite un'applicazione specifica scaricabile da http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx (link diretto http://download.microsoft.com/download/f/c/a/fca6767b-9ed9-45a6-b352-839afb2a2679/TweakUiPowertoySetup.exe)

Oppure (cito wjmat) per disabilitare la funzione di riproduzione automatica basta semplicemente fare:
Start > Esegui > digita gpedit.msc (invio) > Configurazione computer > Modelli amministrativi > Sistema > Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica > Seleziona Attivata > Nella tendina che si accende scegli Tutte le unità > OK (ricordatevi di riattivare l'autoplay dopo le pulizie!)

Ottimo lavoro, molto utile!

grazie per le info,
riassumendola un pochino... disabilitazione ripristino di sistema, la solita pulizia dei temporanei e qualcosa da segare a mano.... con la guida generica non avevi risolto??

Per disabilitare la funzione di riproduzione automatica basta semplicemente fare:
Start ► Esegui ► digita gpedit.msc (invio) ► Configurazione computer ► Modelli amministrativi ► Sistema ► Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica ► Seleziona Attivata ► Nella tendina che si accende scegli Tutte le unità ► OK

ciao

Ciao,

no, le guide non mi sono state molto utili.

Non ho avuto bisogno di disattivare il ripristino configurazione di sistema.

Né ho dovuto, con questa procedura che mi sono inventata, toccare direttamente il registro di sistema.

Inoltre le guide non fanno riferimento ai file interessati.

Le cartelle restore{seriedilettereenumeri} a cui faccio riferimento NON sono le cartelle del ripristino di Windows, ma una cartellina che fondamentalmente contiene i file del virus.

Grazie per l'info sulla disattivazione dell'autoplay, non ero riuscita a trovarla da nessuna parte! :)






con la guida generica non avevi risolto??

Per disabilitare la funzione di riproduzione automatica basta semplicemente fare:
Start ► Esegui ► digita gpedit.msc (invio) ► Configurazione computer ► Modelli amministrativi ► Sistema ► Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica ► Seleziona Attivata ► Nella tendina che si accende scegli Tutte le unità ► OK

ciao

prevx non trovava nulla?

Ciao,

no, le guide non mi sono state molto utili.

Non ho avuto bisogno di disattivare il ripristino configurazione di sistema.

Né ho dovuto, con questa procedura che mi sono inventata, toccare direttamente il registro di sistema.

Inoltre le guide non fanno riferimento ai file interessati.

Le cartelle restore{seriedilettereenumeri} a cui faccio riferimento NON sono le cartelle del ripristino di Windows, ma una cartellina che fondamentalmente contiene i file del virus.

Grazie per l'info sulla disattivazione dell'autoplay, non ero riuscita a trovarla da nessuna parte! :)

Infatti questa non è una Guida ma una normalissima discussione come tante altre dove gli utenti hanno trovato la soluzione.

Sì sì :) infatti mi riferivo alle guide a cui si è fatto riferimento in questa stessa discussione e alle guide correlate che si trovano nel forum... :)

Infatti questa non è una Guida ma una normalissima discussione come tante altre dove gli utenti hanno trovato la soluzione.

Ragazzi anche io ho un problema con questo virus,che mi è entrato nel computer e anche nell'HD esterno.Ho letto la procedura e credo anche di essere in grado di toglierlo da me,IL PROBLEMA E' CHE NEL MIO COMPUTER NON C'E' LA CARTELLA C:/WINDOWS/Installer

COME FACCIO???? spero che mi possiate aiutare...:help: :help: :help:

Ragazzi anche io ho un problema con questo virus,che mi è entrato nel computer e anche nell'HD esterno.Ho letto la procedura e credo anche di essere in grado di toglierlo da me,IL PROBLEMA E' CHE NEL MIO COMPUTER NON C'E' LA CARTELLA C:/WINDOWS/Installer

COME FACCIO???? spero che mi possiate aiutare...:help: :help: :help:

Ciao è opportuno seguire la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

in questo modo abbiamo una situzione più chiara su come intervenire.

PS: ti consiglio di dedicare anche pochi minuti alla lettura delle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Ragazzi anche io ho un problema con questo virus,che mi è entrato nel computer e anche nell'HD esterno.Ho letto la procedura e credo anche di essere in grado di toglierlo da me,IL PROBLEMA E' CHE NEL MIO COMPUTER NON C'E' LA CARTELLA C:/WINDOWS/Installer

COME FACCIO???? spero che mi possiate aiutare...:help: :help: :help:

Che sistema operativo hai?

Prova a cercare la cartella 24ha12 con la funzione di ricerca.

Io confesso che la “Guida alla disinfezione” non mi è stata utile per niente :eek: :stordita:

Che sistema operativo hai?

Prova a cercare la cartella 24ha12 con la funzione di ricerca.

Io confesso che la “Guida alla disinfezione” non mi è stata utile per niente :eek: :stordita:

E 2, tanto è vero che altri utenti che hanno seguito la Guida hanno risolto, con questo non stò dicendo che la Guida è un rimedio contro tutti i mali, ma i log prodotti dai tool indicati ci danno un quadro della situazione per decidere come intervenire, ti posso assicurare che spesso chi crede di avere il Pc contaminato dal Virus PINCO PALLA, dopo aver seguito la Guida scopre di avere questo, quello e qell'altro.

Mi fa molto piacere che ci siano tante persone che hanno risolto con lunghe procedure, trepidanti attese di infiniti log, numerosi dowload e installazioni di applicazioni di terze parti, invio di report in svariati post sul forum, attesa di risposte che non sempre arrivano rapidamente, eccetera...

Magari a volte un utente non necessariamente inesperto può preferire una via più diretta e rapida, quando è in grado di riconoscere nel proprio PC lo stesso tipo di "problema" per cui un altro utente ha fornito una soluzione (che naturalmente non è detto che sia l'unica).

Ma l'importante alla fine è risolvere! No?

Ciao!

;)


E 2, tanto è vero che altri utenti che hanno seguito la Guida hanno risolto, con questo non stò dicendo che la Guida è un rimedio contro tutti i mali, ma i log prodotti dai tool indicati ci danno un quadro della situazione per decidere come intervenire, ti posso assicurare che spesso chi crede di avere il Pc contaminato dal Virus PINCO PALLA, dopo aver seguito la Guida scopre di avere questo, quello e qell'altro.

Mi fa molto piacere che ci siano tante persone che hanno risolto con lunghe procedure, trepidanti attese di infiniti log, numerosi dowload e installazioni di applicazioni di terze parti, invio di report in svariati post sul forum, attesa di risposte che non sempre arrivano rapidamente, eccetera...

Innazitutto bisogna prima stabilire se le installazione di terze parti di cui parli sono necessarie o meno, ma questo chi lo stabilisce?. (se hai proposte da fare sono ben accette) Se desideri evitare inifiniti log, trepidanti attese e risposte celeri, rivolgersi ai tecnici a pagamento. Forse ti è appena sfuggito che questo è un Forum chi presta aiuto non riceve nessun compenso ed impiega parte del suo tempo libero, ti sembra poco?

Magari a volte un utente non necessariamente inesperto può preferire una via più diretta e rapida, quando è in grado di riconoscere nel proprio PC lo stesso tipo di "problema" per cui un altro utente ha fornito una soluzione (che naturalmente non è detto che sia l'unica).

Si certo ma purtroppo i malware si evolvono più velocemente di quanto si possa immaginare e le infezioni multiple sono all'ordine del giorno

Ma l'importante alla fine è risolvere! No?

Ciao!

certo che alla fine l'importante è risolvere, perchè alla fine contano sempre e solo fatti non le parole, conta quello che sei non quello che credi di essere.

Ciao

Mi fa molto piacere che ci siano tante persone che hanno risolto con lunghe procedure, trepidanti attese di infiniti log, numerosi dowload e installazioni di applicazioni di terze parti, invio di report in svariati post sul forum, attesa di risposte che non sempre arrivano rapidamente, eccetera...

Magari a volte un utente non necessariamente inesperto può preferire una via più diretta e rapida, quando è in grado di riconoscere nel proprio PC lo stesso tipo di "problema" per cui un altro utente ha fornito una soluzione (che naturalmente non è detto che sia l'unica).

Ma l'importante alla fine è risolvere! No?

Ciao!

;)

non vedo motivo delle tue esternazioni se realmente ti fossi sforzato un minimo a leggere almeno il primo quarto della Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) avresti sicuramente visto che esiste una procedura veloce, efficace e sopratutto che non fa scaricare mille software ed è quello di usare PrevxCSI e seguire le eventuali indicazioni a video per risolvere le problematiche individuate :)

immagino che sia solo pura e mera ingenua distrazione ma un briciolo di attenzione farebbe evitare anche molte infezioni :p

perchè alla fine contano sempre e solo fatti non le parole, conta quello che sei non quello che credi di essere.

Già.

Già.

Vedo che concordi, infatti ti sei limitata ad un: "Già"

Lungi da me l'idea di far partire un flame, che non credo sia l'interesse di questo topic né degli utenti, né tantomeno il mio.

Mi rendo conto che essendo nuova di questa community non posso arrivare e discutere qualcosa che è prassi consolidata in essa, prassi certamente creata con il contributo dei senior e degli habitué, qualunque sia il motivo tecnico o meno che mi ha indotta a cercare strade alternative o scorciatoie e, poi, a produrre un contributo alieno a tale modus operandi.

Se ho peccato in questo, me ne scuso. Non era certamente mia intenzione urtare la sensibilità di qualcuno, men che meno quella di chi, magari, ha fatto numerosi sforzi per arrivare a produrre guide e quant'altro, che proficuamente vengono adoperate dagli utenti (e mai e poi mai affermerei il contrario).

Per il resto auguro a tutti buon lavoro e buona notte.



Vedo che concordi, infatti ti sei limitata ad un: "Già"

non hai urtato nessuna sensibilità e nemmeno hai urtato una "religione", semplicemente hai espresso una tua opinabilissima idea, non ho ancora letto il modus operandi che avevi seguito quindi rimane una sola idea inespressa, sul fattore lunghezza e quantità di scansioni..

se hai qualcosa da fornire in relazione al tema del thead in cui hai dato inizio a questo avvincente scambio di messaggi non ho nulla da contestare, in caso contrario se è solo una considerazione a livello generale della pratica usata inquesto forum allora ti annovero il possibile off-topic inquanto esiste un thread specifico per
Consigli & Suggerimenti & Proposte - Parliamone assieme (http://www.hwupgrade.it/forum/showthread.php?t=1559050)

:)

Lungi da me l'idea di far partire un flame, che non credo sia l'interesse di questo topic né degli utenti, né tantomeno il mio.

Nemmeno il mio

Mi rendo conto che essendo nuova di questa community non posso arrivare e discutere qualcosa che è prassi consolidata in essa, prassi certamente creata con il contributo dei senior e degli habitué, qualunque sia il motivo tecnico o meno che mi ha indotta a cercare strade alternative o scorciatoie e, poi, a produrre un contributo alieno a tale modus operandi.

Se ho peccato in questo, me ne scuso. Non era certamente mia intenzione urtare la sensibilità di qualcuno, men che meno quella di chi, magari, ha fatto numerosi sforzi per arrivare a produrre guide e quant'altro, che proficuamente vengono adoperate dagli utenti (e mai e poi mai affermerei il contrario).

Si può discutere di tutto senza nessun problema ed il tuo sforzo di cercare strade alternative è assolutamente apprezzabile, è il continuo ribadire questo: "Io confesso che la “Guida alla disinfezione” non mi è stata utile per niente" che secondo mè è ingiustificato

Per il resto auguro a tutti buon lavoro e buona notte.

Altrettanto a te

Spero di non aver scatenato io questo piccolo screzio...

Cmq prima di postare ho letto tutta la discussione,ho seguito la procedura di Cassandra e anche quella che si trova a pagina 5.
Ho tolto tutti i file che vengono nominati,ho cancellato le cartelle,ho fatto la ricerca anche di questa 24ha12 e non l'ho trovata(pur avendo reso visibili anche le cartelle visibili).Ho windows XP Home Edition .
Alla fine ero quasi convinto che il virus se ne fosse andato.All'avvio non avevo più quei processi "malvagi",non c'erano + le cartelle incriminate,e anche con SpyBot in esecuzione automatica non c'era niente di losco.PERFETTO mi sono detto....
Il problema è che mi è riapparso dopo 2 giorni l'allerta di Avast del solito virus,e dentro il PC non c'è un file di quelli incriminati.Il PC va perfettamewnte..,l'ho riavviato mille volte e non mi trova niente...Spero solo un falso positivo,però il dubbio m'è rimasto.
Non è che per caso si rigenera da solo?

p.s. Comunque oltre a non avere la cartella Installer non so dove sia quella Restore....................................Sorry.....

Ciao!

Se non hai cancellato la cartellina _restore{seriediletterenuemeri} vedrai è possibile che si sia autorigenerato, visto che tale cartella è come il suo "backup" per così dire...

Premesso che dovresti anche tentare di fare quanto illustrato nella guida o nelle guide come già segnalato in questo topic, la domanda mi sorge spontanea: ma hai attivato la visualizzazione di cartelle e file nascoste? :)

Apri Risorse del computer quindi vai in menu Strumenti > Opzioni cartella > scegli la scheda Visualizzazione e scorrendo verifica che:
- sia attiva l'opzione Visualizza cartelle e file nascosti;
verifica inoltre che:
- NON sia attiva la voce Nascondi file protetti e di sistema.
(Io disattiverei anche Nascondi le estensioni per i tipi di file conosciuti).

Fammi/ci sapere! :)




Non è che per caso si rigenera da solo?

p.s. Comunque oltre a non avere la cartella Installer non so dove sia quella Restore....................................Sorry.....

Spero di non aver scatenato io questo piccolo screzio...

Cmq prima di postare ho letto tutta la discussione,ho seguito la procedura di Cassandra e anche quella che si trova a pagina 5.
Ho tolto tutti i file che vengono nominati,ho cancellato le cartelle,ho fatto la ricerca anche di questa 24ha12 e non l'ho trovata(pur avendo reso visibili anche le cartelle visibili).Ho windows XP Home Edition .
Alla fine ero quasi convinto che il virus se ne fosse andato.All'avvio non avevo più quei processi "malvagi",non c'erano + le cartelle incriminate,e anche con SpyBot in esecuzione automatica non c'era niente di losco.PERFETTO mi sono detto....
Il problema è che mi è riapparso dopo 2 giorni l'allerta di Avast del solito virus,e dentro il PC non c'è un file di quelli incriminati.Il PC va perfettamewnte..,l'ho riavviato mille volte e non mi trova niente...Spero solo un falso positivo,però il dubbio m'è rimasto.
Non è che per caso si rigenera da solo?

p.s. Comunque oltre a non avere la cartella Installer non so dove sia quella Restore....................................Sorry.....
il problema potrebbe essere che la procedura di MrsCassandra non sia standard... può essere che alcuni file abbiano nomi a random, che con la pulizia manuale non trovi.
Il ripristino configurazione di sistema l'hai disabilitato?
Conta che spybot e avast non sono il meglio sulla piazza, ed il non rilevare non sempre corrisponde ad essere pulito.
Ciao

Dunque...
Sono quasi a fine.Mi vergogno a dire che non trovavo quel file...
In effetti avevo abilitato la visualizzazione di file e caratele nascoste,ma mi mancava di togliere il flag dall'altra opzione...
Scusami tanto.
Ho solo due domande veloci..e poi ti giuro che non rompo più.!!!:D :D
Comunque ci tengo a precisare che la discussione l'ho letta tuta..ma spesso mi bloccavo nel procedere come indicavi e avevo bisogno di una "spintarella"diciamo...

1)Facendo la ricerca di cartelle Restore ne ho trovata solo una in C:\WINDOWS\System32 ... E non so se è quella che indichi te.
2) Inoltre da bravo fesso ho infettato il mio hard disk esterno. Come c'è scritto ho scaricato quell'utilityu per togliere l'autoplay e adesso se attacco una penna USB ovviamente non ho autoplay..Perfetto.Non ho capito però come tolgo il virus dall'HD esterno.

Ciao eheheheh,

a volte le cose più ovvie non ci vengono nemmeno in mente... :D

Per quanto riguarda l'HD nel mio HD esterno c'erano:
- la cartellina _restore{...};
- il file autorun.inf che devi modificare manualmente (mi pare di aver scritto come, basta un editor di testo cmq);
- e i file incriminati, basta che tu li cerchi vedrai che li trovi...

La cartellina incriminata è una cartellina nascosta che inizia proprio con _restore{...} (tra le parentesi graffe si trovano lettere e numeri).

Nota bene che spesso il finder (opzione Cerca) di Windows XP non trova un fico secco, perciò guardaci manualmente nei tuoi hard disk e partizioni... se aspetti che Windows XP ti trovi tutto ciò che speri stai fresco :D (in realtà c'è un modo per fargli trovare tutto, ma una volta eseguita la procedura me ne sono dimenticata!! :D )

Non devi scambiare comunque tale cartella con quella di sistema.

La cartellina di restore del virussaccio potrebbe trovarsi ovunque, nel mio caso mi pare fosse sia nell'hard disk esterno che nella partizione secondaria del mio hard disk interno.

La cartella "C:\WINDOWS\system32\Restore" non è quella interessata comunque.

Ciao ciao!



P.S. Come ha notato wjmat la procedura da me indicata può non essere standard, anche se può ugualmente andare bene per il tuo specifico caso, che parrebbe essere proprio l'esatta versione del mio virus (al quale specificamente si riferisce la mia procedura). wjmat consiglia anche di disabilitare la funzionalità di ripristino del sistema, a me non è servito, ma disabilitarla prima di fare le pulizie non costa nulla, potrai sempre riabilitarla dopo le pulizie. Sempre wjmat ha perfettamente ragione quando dice che il fatto che non venga rilevato nulla non vuol dire essere puliti. Io ho usato proficuamente Spybot in quel caso più che altro per disabilitare l'avvio automatico del programma N_prog.exe che si occultava nella classica Utilità di configurazione del sistema di Windows. Se, infine, hai ancora dei dubbi, non dimenticare tutte le indicazioni date da altri utenti, tra cui proprio wjmat, seguendo la guda utile e quant'altro... Ciaooo!!!


Dunque...
Sono quasi a fine.Mi vergogno a dire che non trovavo quel file...
In effetti avevo abilitato la visualizzazione di file e caratele nascoste,ma mi mancava di togliere il flag dall'altra opzione...
Scusami tanto.
Ho solo due domande veloci..e poi ti giuro che non rompo più.!!!:D :D
Comunque ci tengo a precisare che la discussione l'ho letta tuta..ma spesso mi bloccavo nel procedere come indicavi e avevo bisogno di una "spintarella"diciamo...

1)Facendo la ricerca di cartelle Restore ne ho trovata solo una in C:\WINDOWS\System32 ... E non so se è quella che indichi te.
2) Inoltre da bravo fesso ho infettato il mio hard disk esterno. Come c'è scritto ho scaricato quell'utilityu per togliere l'autoplay e adesso se attacco una penna USB ovviamente non ho autoplay..Perfetto.Non ho capito però come tolgo il virus dall'HD esterno.

ciao a tutti, mi scuso se scrivo cose già dette ma non ho avuto tempo di leggere 7 pagine di 3D
scrivo perchè anch'io da giovedì scorso ho avuto ben 4 PC + 2 EXT HD USB infetti da questo maledetto worm
ho provato i miei soliti avast 4.8 ed avg 8.0 ma non lo vedevano, eppure c'era
ho provato anche Secutity Task Manager 1.7 (fantastico!) che identificava il problema ma non riusciva a bloccarlo
alla fine però l'ho spuntata, almeno credo, ormai sono alla 3 scansione senza nessun indizio di errore
ho usato Kaspersky in semplice modalità prova e dopo INNUMEREVOLI scansioni e cambio di impostazioni sono riuscito a debellare tutte le finestre e tutti i messaggi di errore, disco non presente e cmd che mi si aprivano a raffica
il virus poi è incredibilmente volative, il Kar lo identificava ma poi cercava di toglierlo e mi dava un messaggio d'errore impossibile trovare il file
poi qualsiasi cosa attaccavo tramite USB al PC o qualsiasi macchina accedeva in rete al mio veniva subito infettata nel file hvNtrlD.exe
insomma una tragedia, ho anche formattato 3 volte ma non è servito a nulla perchè la partizione dei DOCUMENTI era infetta nel file di cui subito sopra
cmq, ecco qua sotto di cosa si tratta, per toglierlo quindi pazienza e Kar

worm.BAT.autorun su SoPhos (http://www.sophos.com/security/analyses/viruses-and-spyware/batautorunbj.html)
worm.BAT.autorun su FrSIRT (http://www.frsirt.com/english/virus/2008/01085)

non ci credo...procedimento fatto alla perfezione..PC pulito.
Oggi lo accendo..attacco l'ipod e vedo che mi si pianta tutto..ipod compreso.
Brivido sulla schiena !!!!
Faccio una piccola ricerca e trovo lo slp.exe...Solo quello in C:\Documents and Settings\NomeUtente

Solo quello...ma vuol dire che il pc non è pulito allora...

UFFA !!!

non ci credo...procedimento fatto alla perfezione..PC pulito.
Oggi lo accendo..attacco l'ipod e vedo che mi si pianta tutto..ipod compreso.
Brivido sulla schiena !!!!
Faccio una piccola ricerca e trovo lo slp.exe...Solo quello in C:\Documents and Settings\NomeUtente

Solo quello...ma vuol dire che il pc non è pulito allora...

UFFA !!!
quale procedimento??

quello scritto da cassandra con cui avevo tolto tutto...
in più il problem è che mi sono accorto del problema qyuando ho attaccato l'ipod,che adesso è morto.mi resta acceso,non risponde a nessun comando e non viene riconosciuto da itunes...Che infetti anche l'ipod?

Avevi pulito anche l'ipod?

Perché se lo avevi connesso al PC e non lo hai ripulito, grazie all'Autoplay, dall'Ipod ripassa di nuovo e per intero al PC...

L'Ipod funziona esattamente come una qualunque penna USB, hard disk esterno, ecc.

Ti suggerisco di seguire le indicazioni delle varie Guide alla disinfezione che sono state indicate in questo topic.

In ogni caso, nella mia procedura era indicato di pulire anche penne USB, hard disk esterni e similari. Il virus si autocopia in tali periferiche, modifica l'autorun.inf così che la prima volta che lo riutilizzi... ZAC!!

Ciao e buona fortuna.

Ho controllato l'ipod...non ci sono i file del virus.Forse era solo piantato l'ipod stesso,che ora funziona.
Infatti avevo staccato l'autoplay subito quindi non dovrebbe essere entrato.Avevo subito modificato i file autorun e cmq l'ho proprio toli dal pc..Cmq adesso formatto tutto.faccio un back up e formatto tutto..almeno credo di eliminare anche futuri "ritorni di fiamma del virus"...
Non ci voglio più pensare...
Grazie davvero

T'invidiooooooooo!!!

Per me formattare tutto è sempre una tragedia!! :D
Quindi le cerco sempre tutte pur di evitarlo!!

Buon lavoro!!! :)



Ho controllato l'ipod...non ci sono i file del virus.Forse era solo piantato l'ipod stesso,che ora funziona.
Infatti avevo staccato l'autoplay subito quindi non dovrebbe essere entrato.Avevo subito modificato i file autorun e cmq l'ho proprio toli dal pc..Cmq adesso formatto tutto.faccio un back up e formatto tutto..almeno credo di eliminare anche futuri "ritorni di fiamma del virus"...
Non ci voglio più pensare...
Grazie davvero

Ho controllato l'ipod...non ci sono i file del virus.Forse era solo piantato l'ipod stesso,che ora funziona.
Infatti avevo staccato l'autoplay subito quindi non dovrebbe essere entrato.Avevo subito modificato i file autorun e cmq l'ho proprio toli dal pc..Cmq adesso formatto tutto.faccio un back up e formatto tutto..almeno credo di eliminare anche futuri "ritorni di fiamma del virus"...
Non ci voglio più pensare...
Grazie davvero
se segui la guida alla disinfezione vieni fuori pulito, io formatterei solo in caso di s.o. installato da anni, troppi programmi inutili e pc lento
poi vedi tu ;)

ciao, io col kaspersky non ho più segnalazioni di errori, finestre strane o processi di cui sopra però uno dei file infetti cancellati era probabilmente quello che mi apriva la partizione D a seguito di doppio click, ora quando lo faccio mi chiede con quale programma devo aprire il file e non so più come riattruibuire l'operazione a esplora
sapete come aiutarmi?

ciao, io col kaspersky non ho più segnalazioni di errori, finestre strane o processi di cui sopra però uno dei file infetti cancellati era probabilmente quello che mi apriva la partizione D a seguito di doppio click, ora quando lo faccio mi chiede con quale programma devo aprire il file e non so più come riattruibuire l'operazione a esplora
sapete come aiutarmi?

Leggi qui:
http://www.hwupgrade.it/forum/showthread.php?t=1599603
eventualmente procediamo in altro modo

mmm ho letto tutto compresi i link
sta famiglia di infezioni è un mondo sconfinato
cmq io ora dovrei essere pulito, il KASPERSKY non mi da più nessuna minaccia
solo che ancora devo usare il tasto destro o un collegamento per aprire la partizione, dici che al momento che uno è pulito si dovrebbe ripristinare da solo il fatto di poterla aprire con un doppio click?

conosco il creatore del prog.
spiegazioni: il prog nn fà niente di male. è stato creato per motivi di "curiosità"
per sapere come si diffonde un virus e quanto tempo serve ke un antivirus lo rilevi come tale. (per i curiosi: circa 4-5 mesi)
la ragione xke si collega cn ftp è per sapere quante pc hanno il prog.
quindi è inoquo.
il prog viene dai flesh drive ke sono entrati nei comp infetti.

se volete togliere il virus dal computer:
andate su taskmanager e spegnete tutti i cmd.exe
il prog è creato in bat ed è convertito in exe:quindi usa cmd.exe
cancellate c:\windown\system32\n_prog.exe e tutto quello ke ce in c:\windows\installer\24ha12 tranne alla cartella vuota "vers" (dove è scritta la versione del prog) se nn volete ke entri di nuovo. riaviate e nn dovrebbero esserci più problemi.

se volete togliere il virus da flesh drive:
basta ke canc il file autorun.inf ke è nascosto p.esemp: f:\autorun.inf
questo è il file ke fà in modo da eseguire il prog in automatico.

cmq devono essere 2 virus perchè oltre a 24ha12 a me si aprivano anche un sacco di finestre "windows disco non presente" ed ora non posso più fare doppio click sulla partizione documenti devo per forza fare tasto destro apri

Leggi qui:
http://www.hwupgrade.it/forum/showthread.php?t=1599603
eventualmente procediamo in altro modo

mmm ho letto tutto compresi i link
sta famiglia di infezioni è un mondo sconfinato
cmq io ora dovrei essere pulito, il KASPERSKY non mi da più nessuna minaccia
solo che ancora devo usare il tasto destro o un collegamento per aprire la partizione, dici che al momento che uno è pulito si dovrebbe ripristinare da solo il fatto di poterla aprire con un doppio click?

cmq devono essere 2 virus perchè oltre a 24ha12 a me si aprivano anche un sacco di finestre "windows disco non presente" ed ora non posso più fare doppio click sulla partizione documenti devo per forza fare tasto destro apri

ti avevo risposto qui su come procedere http://www.hwupgrade.it/forum/showpost.php?p=22935423&postcount=134

ti ringrazio, avevo risolto con Kaspersky, per quello non avevo risposto
pensavo fossero la stessa cosa invece no
grazie, ciao

se non riuscite ad aprire con doppio click le partizioni vuol dire ke un virus (anke se tolto dal antivirus) ha lasciato un file autorun.inf nel drive, molto probabilmente nascosto.
esempio: se la partizione è f:\ allora il file è f:\autorun.inf
se cancellate il file (penso si debba anke riaviare) nn ci devono essere prob.
in caso viene di nuovo vuol dire ke il virus e ancora attivo.
se nn riuscite a trovare il file fate questo:
1. andate su dos (cmd.exe)
2. se la partizione è f:\ allora scrivete " f: " e poi enter
3.scrivete " del /A h s autorun.inf " e poi enter
cosi dovrebbe cancellare il file.
riaviate.

porcapupazza! ha funzionato! ma come diavolo...... :)
sei proprio bravo è, grazie infinite :)

Ottime procedure ;)

Io comunque l'ho tolto a mano da tutti i pc dei miei colleghi :P

1) Killato con ProcessExplorer "SLP.EXE" definitivamente
2)Tolto dall'avvio, nel REGEDIT, "str_insDr.exe"
3) Cancellata la cartella "24ha12" da C:\Windows\Installer
4) Cancellato SLP.EXE da C:\Documents and Settings\user\Impostazioni locali\Dati applicazioni

E ovviamente controllando su tutte le chiavette che non ci fosse "SLEEP.EXE" e il file di "auotorun.inf" assieme ad una cartella "restore{oidfj'94juf}"
:D