Ho un problemuccio con questo trojan....che sul task si chiama a.exe e tenta di accedere al web!Io lo blocco con sygate,ma a volte sygate si chiude da solo,che sia lui a farlo chiudere?

cmq ho gia' scansionato con nod32,stinger della mcafee e altri tools ma non ahnno trovato nulla!

nemmeno nel registro trovo il file sulla cartella "run" come indicano certe guide per eliminarlo!

che posso fare??

Segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

a parte il fatto che il link di atf-cleaner nn funziona...

l'ho trovato da un altra parte....appena lo avvio mi si blocca e lo devo terminare col task manager...

a parte il fatto che il link di atf-cleaner nn funziona...

l'ho trovato da un altra parte....appena lo avvio mi si blocca e lo devo terminare col task manager...

il link funziona regolarmente, eventualmente prova questo http://www.atribune.org/ccount/click.php?id=1

niente anche quello mi da pagina non disponibile...

ho notato che TUTTI i siti di antivirus non vanno..evidentemente sto virus mi blocca l'accesso...

cmq spybot l'ha rilevato...ora sta finendo di scansionare..speriamo bene

l'eseguibile a.exe nella cartella system32 sembra non esserci +!

ho pero' ancora problemi ad entrare in un qualsisasi sito di antivirus....

ed inoltre se apro internet explorer mi si pianta il sistema e devo riavviare a mano col tasto reset...

e' forse dovuto al fatto dell'utilizzo con atf-cleaner? mi avra' combinato casini con ie?

ora mi blocca i download,non riesco a scaricare nullaaaaaaa

il problema dell'accesso dei siti e' di firefox...invece che andare x esempio nella home della symantec,mi indirizza su un sito estero con pubblicita'...

ora con google chrome nessun problema e riesco anche a scaricare i file..

c'e' un modo per disinfettare firefox? senza perdere preferiti,passwords ecc?

Se ti è impossibile seguire la Guida alla disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) per mancanza o problemi con la connessione internet, devi procurarti tutto il necessario, possibilemente aggiornato, da un altra postazione.

Per comodità copia tutti gli eseguibili e file d'installazione su una chiavetta usb.
Alcuni di questi saranno già corretti, per altri devi procurarti gli aggiornamenti prima di andare sul pc infetto e senza internet

tipologie di programmi:

█ senza firme da aggiornare / senza installazione -> invariato
█ procedura diversa



█ ATFCleaner: puoi scaricarlo da qui (http://www.atribune.org/ccount/click.php?id=1) o da qui (http://www.snapfiles.com/download/dlatfcleaner.html)


█ Malwarebytes Anti-Malware: il file dell'installazione lo trovi qui (http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html), qui (http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html) o qui (http://projects.securitywonks.net/projects/download.php?file=158)
Scarica da qui (http://www.gt500.org/malwarebytes/mbam-rules.exe) mbam-rules.exe, un file eseguibile che andrà ad aggiornare le firme del programma.
A volte da problemi, quindi riprova più volte a distanza di 10 minuti.
Nel caso il link dovesse cambiare, vai qui (http://www.malwarebytes.org/mbam.php) nella homepage di Malwarebytes' Anti-Malware e cerca in fondo Latest Database
Una volta sul pc infetto, installa il programma, chiudilo e successivamente lancia mbam-rules.exe per aggiornare le firme del programma.
Successivamente il programma sarà correttamente aggiornato


█ A-squared free: lo scarichi in versione Emergency USB Stick da qui (http://download1.emsisoft.com/a2usb.zip).
Estrailo nella cartella a2usb sul pc con connessione ad internet, lancia a2free.exe, si aprirà la classica interfaccia, clicca su aggiorna ora, una volta aggiornato il programma chiudilo.
Ora sulla chiavetta devi copiare tutta la cartella a2usb
Per la scansione rilanciare sul pc infetto il file a2free.exe e sotto Scansiona pc effettuare Deep Scan


█ F-Secure/Kaspersky Virus Removal Tool la prima, essendo una scansione online, non puoi effettuarla, quindi obbligatoriamente usa l'alternativa Kaspersky Virus Removal Tool. Qui (http://www.hwupgrade.it/forum/showthread.php?t=1631690) trovi la guida ed il link per il download
Se hai già installato un prodotto Kaspersky salta questo punto.


█ Dr.Web CureIT lo scarichi da qui (ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe) ed è già aggiornato


█ ESET SysInspector lo trovi qui (http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe)


█ Hijackthis lo trovi qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)


█ Gmer lo trovi qui (http://www.gmer.net/gmer.zip)


█ Prevx se la connessione ad internet si è ristabilita lo trovi qui (http://info.prevx.com/downloadcsi.asp), altrimenti salta questo punto


Per le modalità di scansione, leggi la Guida alla disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
Per la pubblicazione dei log, leggi le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

ho verificato il log con hijackthid ed e' tutto ok...

scansionato con spybot,mi ha trovato l'eseguibile e cancellato credo,ma i problemi persistono

prevx mi rileva un file dannoso ma non me lo fa cancellare,devo per forza comprarlo...

asquared free non mi trova nulla

gmer mi da errore appena lo lancio

dr web mi ha trovato in system 32 un trojan.clb.15

sysinspector sia avvia ma dopo un po' si pianta...

scansionato interamente con nod32 in provvisoria ma nn ha trovato nulla

io proverei con kaspersky o antivir che dite?

non capisco come faccia questo virus a bloccarmi l'accesso ad ogni sito di antivirus o tool di pulizia generali...li blocca tutti!

leggi qui http://www.hwupgrade.it/forum/showpost.php?p=24016743&postcount=9
per procurarti la roba, poi sul pc infetto rimani sconnesso
carica i log nell'ordine indicato


poi
Start → Pannello di Controllo → Rete e connessioni internet → Doppio click Connessione di rete → Doppio click su Protocollo Internet TCP/IP → Metti la spunta su Utilizza i Seguenti DNS → Inserisci
208.67.222.222
208.67.220.220

Ok → Ok → Riavvia il pc

leggi qui http://www.hwupgrade.it/forum/showpost.php?p=24016743&postcount=9
per procurarti la roba, poi sul pc infetto rimani sconnesso
carica i log nell'ordine indicato


poi
Start → Pannello di Controllo → Rete e connessioni internet → Doppio click Connessione di rete → Doppio click su Protocollo Internet TCP/IP → Metti la spunta su Utilizza i Seguenti DNS → Inserisci
208.67.222.222
208.67.220.220

Ok → Ok → Riavvia il pc

grazie con questi dns riesco nuovamente ad accedere a tutti i siti,compresi quelli di antivirus!!

ma con i dns di prima come mai nn riuscivo ad accedervi?

ora sto scansionando con gmer ma nn capisco...ho fatto scan nella voce rootkit/malware e durante la scansione penso sia comparso una specie di log..

Potresti almeno allegare i log dei tool che hanno lavorato, perchè senza vedere i log risulta difficile dare assistenza.

ho allegato sopra i 2 log dei programmi che fin'ora me l'hanno fornito!

cmq prima ho dovuto cancellare 2 ddl da system32

una era tdssadw.dll (dalla provvisoria xke in win era in uso)

e un altra con un nome simile

ho allegato sopra i 2 log dei programmi che fin'ora me l'hanno fornito!

cmq prima ho dovuto cancellare 2 ddl da system32

una era tdssadw.dll (dalla provvisoria xke in win era in uso)

e un altra con un nome simile

I log secondo le modalità http://www.hwupgrade.it/forum/showthread.php?t=1779308 grazie per la collaborazione

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di Malwarebytes Anti-Malware aggiornato ad oggi
log di A-squared scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool scaricato
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI

ecco uno

secondo log

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di Malwarebytes Anti-Malware aggiornato ad oggi
log di A-squared scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool scaricato
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI


ok... ma prevxcsi non mi da nessun log,mi dice di comprare la licenza per disinfettare ecc...

sysinspector si blocca durane la scansione

le leggi le guide??
rispetta l'ordine e non fare più scansioni contemporaneamente

ok sto facendo tutte le scansioni come da guida..poi postero' i logs..

ora sta andando kaspersky removal tool e nella chache e profili di firefox mi ha trovato 109 infezioni!!!!

trojan.downloader.js.agent.cnn

trojan.downloader.win32.small.acza

tantissimi!!

ok sto facendo tutte le scansioni come da guida..poi postero' i logs..

ora sta andando kaspersky removal tool e nella chache e profili di firefox mi ha trovato 109 infezioni!!!!

trojan.downloader.js.agent.cnn

trojan.downloader.win32.small.acza

tantissimi!!

Hai fatto pulizia con ATF Cleaner? Io dico di no

si l'avevo fatta per ie,ma si era piantato il programma e successivamente non mi andava + ie ho dovuto mettere la beta8...

cmq ora stoppo kaspersky e riprovo con atf?


p.s.
il file csrss.exe e' presente in:

c:windows\system32
c:windows\servispackfiles\i386

e col nome CSRSS.EXE-12B63473.pf in c:windows\prefetch

cmq csrss.exe non e' un processo vitale di windows?

ho letto che c'e' un virus che si camuffa con lo stesso nome,ma come fare per distinguerli?

e' normale che durante la scansione con malwarebytes nod32 mi rilevi diversi virus(dll) in system32? li ho cmq cancellati...ha trovato 4 file infetti ora continuo con gli altri programmi...


p.s.e' normale che abbia 3 profili di firefox??

tu finisci le scansioni poi con i log vediamo che hai

ecco tutti i log:

Malwarebytes

asquared

kaspersky

dr. web

www.hwupgrade.helloweb.eu/ParserLog/log/output1836767032.txt

sys inspector

5-SysInspector.txt (http://wikisend.com/download/475668/5-SysInspector.txt)

Malwarebytes non è scansione completa...
con a-squared non si sa che hai fatto con la roba trovata...

hijackthis

gmer

Malwarebytes non è scansione completa...
con a-squared non si sa che hai fatto con la roba trovata...

ah allora erroneamente ho fato la rapida..

asquared mi ha rilevato solo cookies che ho eliminato..come c'e' scritto alla fine del log!

cmq dopo aver pulito con aft-cleaner i problemi sono spariti.....

posso rimettere i miei vecchi dns e riattivare il ripristino ora?

sysinspector non andava rinominato in txt...
inizia a rifare mbam

sembra che ora si tutto pulito no? ;)

quando abbiamo in mano tutti i log possiamo pronunciarci... ;)

quando abbiamo in mano tutti i log possiamo pronunciarci... ;)

manca solo il completo di mbam vero? ;)

cmq ripeto...dopo aver fattopartire aft-cleaner e cancellato i vari virus e trojan con i vari programmi,ora va tutto alla perfezione,come da nuovo!

speriamo in un log pulito di mbam ;)

devi rifare hjt e gmer dopo mbam

devi rifare hjt e gmer dopo mbam

ok,ma perche' non andavano bene,o perche' vanno necessariamente fatti dopo mbam? giusto per capire :D

si fanno dopo le scansioni in modo che un pò di robaccia sparisce da sola

mbam completa

hijackthis

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O4 - HKLM\..\Run: [razer] C:\Programmi\Razer\razerhid.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QTLite\qttask.exe"-atboottime
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Nicola\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c

gmer

http://www.mediafire.com/?sharekey=0a55d4f901205d9cab1eab3e9fa335cac51e61fa9e17abb0

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O4 - HKLM\..\Run: [razer] C:\Programmi\Razer\razerhid.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QTLite\qttask.exe"-atboottime
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Nicola\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c



hijackthis



p.s. disattivando all'avvio razerhid.exe ora i comandi predefiniti che avevo impostato per la navigazione sono spariti..posso ripristinare quel processo?

non sarebbero anche questi da disattivare all'avvio?
anche se sul task manager non ci sono... :confused:
C:\Programmi\Raxco\PerfectDisk2008\PD91Agent.exe
C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe

sono voci O23... boh :D

ho riattivato il ripristino...fatto bene spero! :mc:


p.s. ora in impostazioni locali-datiapplicazioni-mozilla-profiles

ho 3 profili......come faccio a sapere quali dei 3 sto utulizzando?magari monitorando quale dei 3 cresce di grandezza?

quello che era infetto da una miriade di cose e' quello che sembra stia utilizzando ora che e' di 39mb..gli altri 2 sono di pochi mb...

non sarebbero anche questi da disattivare all'avvio?
anche se sul task manager non ci sono... :confused:
C:\Programmi\Raxco\PerfectDisk2008\PD91Agent.exe
C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe

sono voci O23... boh :D

ops..forse ho combinato un pastrocchio...

allora ho fixato questi processi...solo questi

e al riavvio il centro sicurezza non mi rileva ne il fw sygate ne' l'antivirus nod32 con conseguente avviso con scudo rosso nella barra in basso a destra....ma xke'????? cosa centra con i processi di altri programmi che ho fixato????

per non vedere quell'avviso ho impostato "non rilevare" per entrambi... :(

help:muro: :muro: :muro:

nuovo log di hjt
il solo fix delle O23 non dovrebbe fare danni...

nuovo log di hjt
il solo fix delle O23 non dovrebbe fare danni...

dopo il fix di quelle voci come detto prima,il centro sicurezza non mi riconosce antivirus e firewall.....boh sembra strano!!!

cmq faccio un altro log di hj?

dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

java è da aggiornare

nod e sygate io li rimpiazzerei con quelli segnati nel trattamento