Mi sono imbattuto su una chiavatta portatrice di del maledetto virut. :mad: :mad:

Per ora non sono riuscito ad eradicarlo completamente.
Quello che ho fatto è stato disabilitare il ripristino di configurazione e fare diverse scansioni con hjack this di cui posto il log
hijackthis.log (http://wikisend.com/download/470160/hijackthis.log)

con

A squered:

a2scan_080605-095618.txt (http://wikisend.com/download/470262/a2scan_080605-095618.txt)

e poi ho utilizzato il kaspersky virus removal tool che ha rilevato ma non rimosso:

kaspersky_virus_removal_tool.txt (http://wikisend.com/download/470158/kaspersky_virus_removal_tool.txt)


Antivir non parte più, devo reinstallarlo!!!
Come diavolo faccio ad eradicare questo bastardo???

Grazie

Ciao benvenuto nel pronto soccorso di HU.
Leggi le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni nell'ordine indicato.


Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di A-squared scansione deep aggiornato ad oggi fatto ma dove hai messo gli oggetti trovati?
log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi fatto
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
immagine della schermata di PrevxCSI in caso di rilevazioni


La tua versione di Hijackthis non è aggiornata....scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, rifai la scansione e carica il nuovo log quando sarai al punto giusto della guida

In questa maniera, tu avrai un pc già parzialmente ripulito, e noi le informazioni necessarie per i restanti interventi.
Intanto che aspetti la nostra assistenza, o durante le scansioni lunghe, comincia a leggerti il trattamento di prevenzione (http://www.hwupgrade.it/forum/showthread.php?t=1726383) così comincerai a comprendere eventuali problemi della configurazione di sicurezza del tuo pc. Solo al termine della pulizia, leggi l'ultimo punto di questo trattamento, per eliminare programmi e tool che ti abbiamo fatto utilizzare e che non ti serviranno più....si spera ;)

Ciao

Ho eseguito in circa 6 ore tutto ciò che consigliavate.
I files sono stati messi in quarantena o eliminati.
Bitdefender on line ha scovato circa 1500 file infetti :confused: :confused: :confused:

di seguito il pacchetto dei log:

Pacchetto Logs (http://www.fileqube.com/shared/KMVdfA36318)


Adesso ho ripristinato anche antivir, ma mi segnala ancora l'infezione su explorer

Maledizione!!!!

Grazie

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati -> si aprirà una finestra -> Click su Sfoglia -> seleziona il file da caricare -> Click su Carica -> sotto allegati correnti vedrai il tuo log caricato -> Chiudi la finestra
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse (es. nel caso di PrevX) salvale in JPG, essendo più leggere, e caricale su fileqube.com (http://fileqube.com) che permette di visualizzarle direttamente online.

Si va bene, ma prevex non ha rilevato niente quindi niente img....
ed i log mica li potevo caricare uno ad uno.... Un pacchetto è più versatile.... o no?!?!?! :confused: :confused: :confused:

Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = MAKEART
O17 - HKLM\Software\..\Telephony: DomainName = MAKEART
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = MAKEART
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = MAKEART

Si va bene, ma prevex non ha rilevato niente quindi niente img....
ed i log mica li potevo caricare uno ad uno.... Un pacchetto è più versatile.... o no?!?!?! :confused: :confused: :confused:
a me sta anche bene vederli tutti insieme ma le regole sono le regole ;)
quindi uno alla volta....

a me sta anche bene vederli tutti insieme ma le regole sono le regole ;)
quindi uno alla volta....

Chiedo venia!

Nel ringraziarti per la disponibilità allego il nuovo log di HJackThis, l'ho snellito parecchio...

hijackthis_nuovo.log (http://wikisend.com/download/548156/hijackthis_nuovo.log)

Questa infezione è davvero difficile da eradicare.... :muro: :muro:

Ora rimane infetto solo explorer.exe maledetto...

Chiedo venia!

Nel ringraziarti per la disponibilità allego il nuovo log di HJackThis, l'ho snellito parecchio...

hijackthis_nuovo.log (http://wikisend.com/download/548156/hijackthis_nuovo.log)

Questa infezione è davvero difficile da eradicare.... :muro: :muro:

Ora rimane infetto solo explorer.exe maledetto...

fixa:
O23 - Service: Apache MS4W Web Server (ApacheMS4WWebServer) - Unknown owner - C:\Documents and Settings\Davide\Desktop\mapserver\ms4w\Apache\bin\httpd.exe (file missing)

non vedo altro :)

Questa infezione è davvero difficile da eradicare.... :muro: :muro:

Ora rimane infetto solo explorer.exe maledetto...
il problema è proprio questo.... l'infezione si sostituisce nei files .exe di sistema, ho guardato ln discussioni simili qui e in altri forum e rimane da provare un tool della trend micro (che mi pare non abbia mai risolto nulla) e ahimè la formattazione... forse si poteva provare con un ripristino (sempre che non avesse toccato anche quello) ma li avevi già fatti sparire al primo post.
aspetta il parere anche di altri per come procedere

No, non ci credo!!!! :cry: :cry:

Non posso formattare...!!!!
Possibile che non si riesce ad eradicare???

infetti sono ctfmon ed explorer.... Proverò con nod32 e kaspersky



O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')



sono giusti...? a me la voce in neretto non convince

ctfmon è normale che ci sia... il problema è che sono infetti tutti gli exe di sistema e qualsiasi tool non può rimuoverli.....
ce l'hai il cd di win sp2?

Io credo che siano infetti siano rimasti solo explorer e ctfmon.

il cd ce l'ho, sto pensando che magari tramite la console di ripristino è possibile sostituire explorer e ctfmon....:muro:

intanto vedo la rete se mia aiuta... a una nota, chi mi riesce a rilevare l'infezione è solo antivir, dr web, bit defender, il tool di kasper non sentono un cavolo....

le prove che vorrei fare io sono 2

Start -> Esegui -> digita sfc /scannow (invio)
ripristino da console

se vuoi provare la prima (che ti richiederà il cd di win), altrimenti aspetta qualche altro parere

Questa discussione può essere di aiuto http://www.hwupgrade.it/forum/showthread.php?t=1306329
ma sinceramente non sò se in questo caso il gioco vale la candela

Start -> Esegui -> digita sfc /scannow (invio)




Già fatto!
Nulla..... :muro:

Per ora posto il responso di virustotal


File explorer.exe

AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.26 2008.06.06 W32/Virut.AT
Authentium 5.1.0.4 2008.06.05 -
Avast 4.8.1195.0 2008.06.06 -
AVG 7.5.0.516 2008.06.05 Win32/Virut
BitDefender 7.2 2008.06.06 -
CAT-QuickHeal 9.50 2008.06.05 -
ClamAV 0.92.1 2008.06.06 -
DrWeb 4.44.0.09170 2008.06.05 -
eSafe 7.0.15.0 2008.06.05 -
eTrust-Vet 31.6.5853 2008.06.06 -
Ewido 4.0 2008.06.05 -
F-Prot 4.4.4.56 2008.06.05 -
F-Secure 6.70.13260.0 2008.06.06 -
Fortinet 3.14.0.0 2008.06.06 -
GData 2.0.7306.1023 2008.06.06 -
Ikarus T3.1.1.26.0 2008.06.06 Virus.Win32.Virut.q
Kaspersky 7.0.0.125 2008.06.06 -
McAfee 5311 2008.06.05 -
Microsoft 1.3604 2008.06.06 -
NOD32v2 3162 2008.06.05 -
Norman 5.80.02 2008.06.05 -
Panda 9.0.0.4 2008.06.05 -
Prevx1 V2 2008.06.06 -
Rising 20.47.40.00 2008.06.06 -
Sophos 4.30.0 2008.06.06 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.06 W32.Virut.W
TheHacker 6.2.92.337 2008.06.06 -
VBA32 3.12.6.7 2008.06.05 -
VirusBuster 4.3.26:9 2008.06.05 -
Webwasher-Gateway 6.6.2 2008.06.06 Win32.Virut.AT
Informazioni addizionali
File size: 1890304 bytes



File ctfmon.exe
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.26 2008.06.06 W32/Virut.AT
Authentium 5.1.0.4 2008.06.05 -
Avast 4.8.1195.0 2008.06.06 -
AVG 7.5.0.516 2008.06.05 Win32/Virut
BitDefender 7.2 2008.06.06 -
CAT-QuickHeal 9.50 2008.06.05 -
ClamAV 0.92.1 2008.06.06 -
DrWeb 4.44.0.09170 2008.06.05 -
eSafe 7.0.15.0 2008.06.05 -
eTrust-Vet 31.6.5853 2008.06.06 -
Ewido 4.0 2008.06.05 -
F-Prot 4.4.4.56 2008.06.05 -
F-Secure 6.70.13260.0 2008.06.06 -
Fortinet 3.14.0.0 2008.06.06 -
GData 2.0.7306.1023 2008.06.06 -
Ikarus T3.1.1.26.0 2008.06.06 -
Kaspersky 7.0.0.125 2008.06.06 -
McAfee 5311 2008.06.05 -
Microsoft 1.3604 2008.06.06 -
NOD32v2 3162 2008.06.05 -
Norman 5.80.02 2008.06.05 -
Panda 9.0.0.4 2008.06.05 -
Prevx1 V2 2008.06.06 -
Rising 20.47.40.00 2008.06.06 -
Sophos 4.30.0 2008.06.06 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.06 W32.Virut.W
TheHacker 6.2.92.337 2008.06.06 -
VBA32 3.12.6.7 2008.06.05 -
VirusBuster 4.3.26:9 2008.06.05 -
Webwasher-Gateway 6.6.2 2008.06.06 Win32.Virut.AT

Ho trovato questo:
http://free.grisoft.com/ww.66558

ma il tool dove si scarica :mad:

Questa discussione può essere di aiuto http://www.hwupgrade.it/forum/showthread.php?t=1306329
ma sinceramente non sò se in questo caso il gioco vale la candela
chill l'ho visto ieri sera, solo dopo che gli ho consigliato inutilmente la guida.... anche in giro per il web, sembra non ci siano soluzioni valide per questo virus.... escludendo il format ovviamente....

chill l'ho visto ieri sera, solo dopo che gli ho consigliato inutilmente la guida.... anche in giro per il web, sembra non ci siano soluzioni valide per questo virus.... escludendo il format ovviamente....

Purtroppo no, ti infetta gli .exe e spesso l'unica soluzione è il format

Fortunatamente ho sostituito dalla console di ripristino explorer.exe.

qualcuno di buova volontà, mi fa l'upload di C:\WINDOWS\system32\ctfmon.exe

è per SP2 la versione non è riportata sul file in questione

Grazie

Urrà infezione eradicata!!!!!


Formattare proprio non era possibile!!!!!!!!!!!!!!!!!!


Grazie a tutti

semplicemente sostituendo i 2 files??
fai una scansione antivirus di verifica...

semplicemente sostituendo i 2 files??
fai una scansione antivirus di verifica...

Si,ho preventivamente copiato nell'altra mia partizione D: i files e poi ho avviato da cd la console di ripristino.
Ho eliminato i vecchi sostituendoli con i nuovi.
Sia antivir che bitdefender online non rilevano infezioni :D

Urrà! Era un pochino bastardo più del solito ma si risolve

Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

http://www.hwupgrade.it/forum/showthread.php?t=1631690&page=5

virus bastardo. adesso sto cercando di eradicarlo dal PC di mio nipote :mad: