Non so come ne perchè ma su Windows è comparso sto virus!
Kaspersky mi segnala il virus, lo sposta nella quarantena, ma al riavvio ricompare!!!

Probabilmente infetto: virus Heur.Worm.Generic (modifica) c:\windows\system32\spool.exe 17,5 KB 10/09/2008 13.25.07

Probabilmente infetto: virus Heur.Worm.Generic (modifica) c:\windows\system32\lsassmgr.exe 17,5 KB 10/09/2008 14.12.02

Probabilmente infetto: virus Heur.Worm.Generic (modifica) c:\programmi\internet explorer\iexplor.exe 17,5 KB 10/09/2008 14.17.09

Probabilmente infetto: riskware Worm.P2P.generic C:\WINDOWS\system32\spool.exe 17,5 KB 10/09/2008 14.16.11

Probabilmente infetto: virus Heur.Worm.Generic (modifica) c:\programmi\mozilla firefox\firefoxe.exe 17,5 KB 10/09/2008 13.24.29

Probabilmente infetto: virus Heur.Worm.Generic (modifica) c:\windows\system32\srtsrv32.exe 17,5 KB 10/09/2008 12.16.17

Ho notato che c'è anche un virus chiamato Worm.P2P.generic... su windows non uso programmi P2P! Avviando in modalità provvisoria compare un finto antispyware accanto all'orologio che rimanda alla pagina di un sito chiamato gomyron che viene bloccato dqa google...
Il sito web ***.gomyron.*** è stato segnalato come sito web malevolo ed è stato bloccato sulla base delle impostazioni di sicurezza correnti.
ho provato ad usare:

mcafee stinger
spybot
spyware terminator

ma è stato tutto inutile

Segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube (http://fileqube.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

a causa di un guasto alla linea non ho potuto eseguire la scansione con i programmi aggiornati. spero di rimediare al più presto anche perchè aumentano gli exe modificati (me li segnala kaspersky)

Ricapitolando, dopo aver disabilitato il ripristino di sistema http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di Malwarebytes Anti-Malware aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)
log di A-squared scansione deep aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8)
log di Kaspersky Virus Removal Tool scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) oppure di F-Secure OnLine http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5)
log di ESET SysInspector http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)


Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Qui (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) e qui (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3) esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com (http://fileqube.com/)

Ho eseguito le scansioni, ma non riesco a "snellire" il log con parser

Ho eseguito le scansioni, ma non riesco a "snellire" il log con parser
il parser potrebbe impiegare anche un minuto a partire....
se non va leggi come fare... ;)

il parser potrebbe impiegare anche un minuto a partire....
se non va leggi come fare... ;)

si avvia (è molto veloce), seleziono i file, mi dice che ha completato ma non li trovo da nessuna parte!

se fai anche upload ci dai solo il link

nulla da fare ho cercato di snellire a mano i log di kaspersky e Dr.Web spero che li prendete in considerazione lo stesso:cry: non vorrei formattare anche perchè ho installato anche Ubuntu (e non vorrei reinstallare tutto da capo)


log di Malwarebytes Anti-Malware: Download (from fileqube) (http://www.fileqube.com/shared/kdQiQeyI107699)
log di A-squared scansione deep: Download (from fileqube) (http://www.fileqube.com/shared/RbSUV107692)
log di Kaspersky Virus Removal Tool: Download (from fileqube) (http://www.fileqube.com/shared/hVLpLmb107697)
log di Dr.Web CureIT: Download (from fileqube) (http://www.fileqube.com/shared/ubqwROf107694)
log di ESET SysInspector: Download (from fileqube) (http://www.fileqube.com/shared/IbbFHa107701)
log di HiJackThis: Download (from fileqube) (http://www.fileqube.com/shared/bpGZv107696)
log di Gmer: Download (from fileqube) (http://www.fileqube.com/shared/wImMHX107695)
log di PrevxCSI: Download (from fileqube) (http://www.fileqube.com/shared/hEoWWjUK107700)

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
C:\WINDOWS\system32\CSRLT.EXE
C:\WINDOWS\system32\LSSMON.EXE
C:\WINDOWS\MSBLT.EXE
C:\WINDOWS\divx32.dll
C:\WINDOWS\KeyGen.exe
C:\WINDOWS\system32\upd01.exe


con cureit non hai fatto scansione completa o sbaglio...

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [CSRLT.EXE] C:\WINDOWS\system32\CSRLT.EXE
O4 - HKLM\..\Run: [Layersecurity Servicemonitor] C:\WINDOWS\system32\LSSMON.EXE
O4 - HKLM\..\RunOnce: [MSBLT.EXE] C:\WINDOWS\MSBLT.EXE
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\d3j4 w\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - Global Startup: Orbit.lnk = C:\Programmi\Orbitdownloader\orbitdm.exe

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
C:\WINDOWS\system32\CSRLT.EXE
C:\WINDOWS\system32\LSSMON.EXE
C:\WINDOWS\MSBLT.EXE
C:\WINDOWS\divx32.dll
C:\WINDOWS\KeyGen.exe
C:\WINDOWS\system32\upd01.exe


con cureit non hai fatto scansione completa o sbaglio...

l'ho fatta completa ma come ho detto ho "snellito" a mano il log eliminando le voci negative

ho se guito le istruzioni;)
adesso all'avvio kaspersky non mi rileva più i virus! Purtroppo però l'antivirus mi segnala che molti exe sono stati modificati (explorer.exe, firefox.exe, thunderbird.exe) cìè una soluzione a questo?? e se non c'è posso recuperare i dati senza temere di trasportarmi il virus appresso???

i log please...
firefox e thunder li disinstalli e li reinstalli
poi per i restanti di win vediamo

i log please...
firefox e thunder li disinstalli e li reinstalli
poi per i restanti di win vediamo

ho dimenticato quello di avenger e adesso non lo trovo più:cry:

Ha girato il Kav Removal Tool sul Kaspersky installato :mbe:

Allega il log completo del Kaspersky bisogna individuare il provesso che inietta codice maligno

Ha girato il Kav Removal Tool sul Kaspersky installato :mbe:

Allega il log completo del Kaspersky bisogna individuare il provesso che inietta codice maligno
Si infatti è strano all'avvio inizialmente windows mi dice che kaspersky è disattivato.:mad:
il log completo del Kav Removal Tool è grande 38,6 MB (40443418 byte) serve proprio tutto??? dove lo uppo

Si infatti è strano all'avvio inizialmente me windows mi dice che kaspersky è disattivato.:mad:
il log completo del Kav Removal Tool è grande 38,6 MB (40443418 byte) serve proprio tutto??? dove lo uppo

No mi serve il log del Kaspersky Antivirus ovvero il tuo AV residente

No mi serve il log del Kaspersky Antivirus ovvero il tuo AV residente

a portata di mano ( adesso sto da ubuntu) ho questo:
rilevato: riskware Hidden data sending Processo in esecuzione: C:\Programmi\Windows Live\Messenger\msnmsgr.exe

rilevato: riskware Invader Processo in esecuzione: C:\Programmi\Orbitdownloader\Grab.exe

eliminato: Trojan program Trojan.Win32.Agent.ynz File: C:\DOCUME~1\D3J4W~1\IMPOST~1\Temp\IXP000.TMP\76056~1.EXE//PE_Patch.UPX//UPX

rilevato: riskware Invader Processo in esecuzione: C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{B2C7F511-A253-4190-ABCF-6111CDB1E1B3}\setup.exe

rilevato: riskware Invader Processo in esecuzione: C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{94CFBB29-0570-4BE5-B9F9-CE5967964FEF}\setup.exe

rilevato: riskware Invader Processo in esecuzione: C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{EA70BB8B-BDD0-4E6C-959D-35F78CAC8A0D}\setup.exe

rilevato: riskware Invader Processo in esecuzione: C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{4ED01DCA-F955-4C04-9296-D92A72554AA4}\setup.exe

rilevato: riskware Invader Processo in esecuzione: C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{E32757FC-6858-4A42-8F84-21CB22D96D67}\setup.exe

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd1\00. Bonus - Justin Timberlake - Recrimination 2008.exe//data0000.cab/IEPJXW~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd1\00. Justin Timberlake - Recrimination 2008.m3u.exe//data0000.cab/IWDSKI~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd1\00. Justin Timberlake - Recrimination 2008.nfo.exe//data0000.cab/IITIFP~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd1\00. Justin Timberlake - Recrimination 2008.sfv.exe//data0000.cab/IJTTBE~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd2\00. Justin Timberlake - Recrimination 2008.m3u.exe//data0000.cab/IWDSKI~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd2\00. Justin Timberlake - Recrimination 2008.nfo.exe//data0000.cab/IITIFP~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd2\00. Justin Timberlake - Recrimination 2008.sfv.exe//data0000.cab/IJTTBE~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd2\00. Bonus - Justin Timberlake - Recrimination 2008.exe//data0000.cab/IEPJXW~1.EXE

rilevato: virus Heur.Worm.Generic (modifica) URL: http://www.universal101.com/upd02.app

rilevato: riskware Worm.P2P.generic Processo in esecuzione: C:\WINDOWS\system32\srtsrv32.exe

eliminato: Trojan program Trojan.Win32.Small.xxd File: C:\WINDOWS\system32\srtsrv32.exe

rilevato: riskware Trojan.generic Processo in esecuzione: C:\WINDOWS\system32\srtsrv32.exe

non trovato: Trojan program Trojan.Win32.Small.xxd File: C:\Programmi\Internet Explorer\iexplor.exe

eliminato: Trojan program Trojan.Win32.Small.xxd File: C:\Programmi\Mozilla Firefox\firefoxe.exe

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd1\00. Bonus - Justin Timberlake - Recrimination 2008.exe//data0000.cab/IEPJXW~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd1\00. Justin Timberlake - Recrimination 2008.m3u.exe//data0000.cab/IWDSKI~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd1\00. Justin Timberlake - Recrimination 2008.nfo.exe//data0000.cab/IITIFP~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd1\00. Justin Timberlake - Recrimination 2008.sfv.exe//data0000.cab/IJTTBE~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd2\00. Bonus - Justin Timberlake - Recrimination 2008.exe

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd2\00. Justin Timberlake - Recrimination 2008.m3u.exe

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd2\00. Justin Timberlake - Recrimination 2008.nfo.exe

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd2\00. Justin Timberlake - Recrimination 2008.sfv.exe

sarà inviato in quarantena al riavvio del computer: virus Heur.Worm.Generic (modifica) File: C:\WINDOWS\system32\LSASSMGR.EXE

non trovato: Trojan program Trojan.Win32.Small.xxd File: C:\WINDOWS\system32\spool.exe

rilevato: riskware Worm.P2P.generic Processo in esecuzione: C:\WINDOWS\system32\LSASSMGR.EXE

rilevato: riskware Trojan.generic Processo in esecuzione: C:\WINDOWS\system32\LSASSMGR.EXE

rilevato: riskware Worm.P2P.generic Processo in esecuzione: C:\WINDOWS\system32\spool.exe

rilevato: riskware Worm.P2P.generic Processo in esecuzione: C:\Programmi\Mozilla Firefox\firefoxe.exe

eliminato: Trojan program Trojan.Win32.Small.xxd Modulo in esecuzione: LSASSMGR.EXE\LSASSMGR.EXE


i file di JustinTimberlake li aveva mia cugina sulla pendrive...

Che macello allegami il log di Avenger lo trovi in C:\Avenger.txt

Che macello allegami il log di Avenger lo trovi in C:\Avenger.txt
lo so che è un macello ma non sono io l'artefice... tornando al log l'ho trovato sta in C:\Avenger\backup.zip si trova all'interno dell'archivio ma non lo posso estrarre perchè è protetto da password:muro:

ti avevo scritto di collegare eventuali chiavette infette ma non le ho viste nelle scansioni...
quando finiamo col pc poi provvediamo a pulire anche quelle, per ora non inserirle

lo so che è un macello ma non sono io l'artefice... tornando al log l'ho trovato sta in C:\Avenger\backup.zip si trova all'interno dell'archivio ma non lo posso estrarre perchè è protetto da password:muro:

Lascia stare quelli sono i files infetti eliminati

ti avevo scritto di collegare eventuali chiavette infette ma non le ho viste nelle scansioni...
quando finiamo col pc poi provvediamo a pulire anche quelle, per ora non inserirle

vero ma non essendo mia la penna... dove la prendevo al momento della scansione???:(

Lascia stare quelli sono i files infetti eliminati
quindi che si fa adesso??

vero ma non essendo mia dove la penna...prendevo al momento della scansione???:(
lo so... ma sappi che c'è da pulire anche quella... ;)

Fai girare questi tools:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

I log servono come il pane mi raccomando

allegato di combofix

allegato SDfix

Inserisci in Avenger questo Script, mi raccomando il log



Files to delete:
C:\WINDOWS\system32\srtsrv32.exe
C:\WINDOWS\system32\CSRLT.EXE
C:\WINDOWS\system32\LSSMON.EXE
C:\WINDOWS\MSBLT.EXE
C:\WINDOWS\divx32.dll
C:\WINDOWS\KeyGen.exe
C:\WINDOWS\system32\upd01.exe
C:\WINDOWS\system32\lsassmgr.exe
C:\WINDOWS\system32\spool.exe
c:\programmi\mozilla firefox\firefoxe.exe
c:\programmi\internet explorer\iexplor.exe
C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{B2C7F511-A253-4190-ABCF-6111CDB1E1B3}\setup.exe
C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{94CFBB29-0570-4BE5-B9F9-CE5967964FEF}\setup.exe
C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{EA70BB8B-BDD0-4E6C-959D-35F78CAC8A0D}\setup.exe
C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{4ED01DCA-F955-4C04-9296-D92A72554AA4}\setup.exe
C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{E32757FC-6858-4A42-8F84-21CB22D96D67}\setup.exe

Inserisci in Avenger questo Script, mi raccomando il log

Fatto! Non trova nessuno dei file da cancellare è buon segno???

alcuni li aveva già cancellati prima, ed erano nel log scomparso ;)
gli altri sono stati eliminati durante le scansioni

il pc come sta ora?

alcuni li aveva già cancellati prima, ed erano nel log scomparso ;)
gli altri sono stati eliminati durante le scansioni

il pc come sta ora?

Dal Lato Ubuntu il pc sta sempre una favola!:D Dal lato windows GRAZIE a voi si avvia molto velocemente, ha un attimo di freeze prima poi compare l'icona degli aggiornamenti windows. Non ci sono più avvisi di virus ( che mi ritrovavo puntualmente all'avvio). Resta il problema degli exe modificati che sono tanti e ce ne sono molti di sistema come explorer.exe :mbe: e tanti altri

Dal Lato Ubuntu il pc sta sempre una favola!:D Dal lato windows GRAZIE a voi si avvia molto velocemente, ha un attimo di freeze prima poi compare l'icona degli aggiornamenti windows. Non ci sono più avvisi di virus ( che mi ritrovavo puntualmente all'avvio). Resta il problema degli exe modificati che sono tanti e ce ne sono molti di sistema come explorer.exe :mbe: e tanti altri

Allora scansione completa col Kaspersky ed allega il log per intero, c'è qualcosa che non torna

l'unica idea che ho è il comando sfc che va a ripristinare tutti i file di sistema corrotti o modificati, l'unico problema è che hai bisogno il cd di win con integrato sp3....

vediamo se altri hanno altre soluzioni

Allora scansione completa col Kaspersky ed allega il log per intero, c'è qualcosa che non torna
Visto il maltempo la faccio domani la scansione ( l'ultimo temporale mi ha lasciato senza ADSL per una settimana)

l'unica idea che ho è il comando sfc che va a ripristinare tutti i file di sistema corrotti o modificati, l'unico problema è che hai bisogno il cd di win con integrato sp3....

vediamo se altri hanno altre soluzioni
Ho il CD di xp al quale ho integrato io l'SP3 e alcuni driver per il mio pc va bene???

Vi ringrazio TANTISSIMO per l'aiuto... stacco prima che manca la corrente. Domani vedo di postare il log della scansione.

Inserisci questo script in Avenger

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe

registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\LSSMON.EXE

Ho il CD di xp al quale ho integrato io l'SP3 e alcuni driver per il mio pc va bene???
avevo giusto visto tracce di nlite... ;)

chill proviamo con sfc /scannow ?

avevo giusto visto tracce di nlite... ;)

chill proviamo con sfc /scannow ?

No per il momento no il problema per mè è un'altro ;)

Riporto i log di KAV e Avenger

LOG KAV
Scansione : completato

----------------------

Analizzati: 334414

Rilevato: 4

Non isolati: 0

Ora di inizio: 20/09/2008 9.05.36

Durata: 01.15.24

Ora di fine: 20/09/2008 10.21.00





Rilevato

--------

Stato Oggetto

----- -------

non trovato: virus Heur.Invader (modifica) File: C:\Documents and Settings\d3j4 w\Desktop\WARIII\SDFix.exe/SDFix\catchme.exe

non trovato: virus Heur.Invader (modifica) File: C:\Documents and Settings\d3j4 w\Desktop\WARIII\SDFix.exe/SDFix\apps\Cghtme.exe

non trovato: virus Heur.Invader (modifica) File: C:\SDFix\catchme.exe

non trovato: virus Heur.Invader (modifica) File: C:\SDFix\apps\Cghtme.exe





Eventi

------

Ora Nome Stato Motivo

--- ---- ----- ------


Statistiche

-----------

Oggetto Elementi esaminati Rilevati Non isolati Eliminati Spostato in Quarantena Archivi File compressi Password di protezione Oggetti danneggiati

------- ------------------ -------- ----------- --------- ---------------------- ------- -------------- ---------------------- -------------------

Tutti gli oggetti 334414 4 0 0 0 4808 636 115 6

Disco locale (C:) 334414 4 0 0 0 4808 636 115 6





Impostazioni

------------

Parametro Valore

--------- ------

Livello di sicurezza Personalizzata

Action Richiedi intervento utente al termine della scansione

Modalità esecuzione Manualmente

Tipi di file Esamina tutti i file

Esamina solo file nuovi e modificati No

Scansione archivi tutto

Esamina oggetti OLE incorporati tutto

Non scansionare archivi maggiori di No

Ignora se la scansione richiede oltre No

Esamina formati e-mail Sì

Esamina archivi protetti da password No

Usa Tecnologia iChecker Sì

Usa tecnologia iSwift Sì

Mostra minacce rilevate sulla scheda "Rilevate" Sì

Scansione Rootkit Sì

Scansione rootkit estesa Sì

Usa analizzatore euristico Sì

Livello analizzatore euristico 5

//////////////////////////////////////////

Avenger Pre-Processor log

//////////////////////////////////////////



Platform: Windows XP (build 2600, Service Pack 3)

Sat Sep 20 08:56:38 2008



08:56:32: Error: Invalid syntax in command:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\LSSMON.EXE"

Skipping line. (Registry value deletion mode)

08:56:38: Error: Execution aborted by user!





//////////////////////////////////////////





//////////////////////////////////////////

Avenger Pre-Processor log

//////////////////////////////////////////



Platform: Windows XP (build 2600, Service Pack 3)

Sat Sep 20 08:57:29 2008



08:57:17: Error: Invalid syntax in command:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\LSSMON.EXE"

Skipping line. (Registry value deletion mode)





//////////////////////////////////////////





Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com



Platform: Windows XP



*******************



Script file opened successfully.

Script file read successfully.



Backups directory opened successfully at C:\Avenger



*******************



Beginning to process script file:



Rootkit scan active.

No rootkits found!





Error: registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe" not found!

Deletion of registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist





Completed script processing.



*******************



Finished! Terminate.

Bene adesso spiegami il discorso degli exe modificati in quanto non vedo più processi iniettati dal log del Kaspersky

Bene adesso spiegami il discorso degli exe modificati in quanto non vedo più processi iniettati dal log del Kaspersky
ok allora KAV mi segnala che ci sono degli exe modificati ecco alcuni esempi:

all'avvio di windows mi segnala alcune dll che stanno nella cartella sistem32
se clicco su un collegamento mi dice che explorer.exe è stato modificato
apertura thuderbird
apertura firefox
apertura internet explorer
apertura media player


questi per il momento sono quelli che ho trovato

ok allora KAV mi segnala che ci sono degli exe modificati ecco alcuni esempi:

all'avvio di windows mi segnala alcune dll che stanno nella cartella sistem32
se clicco su un collegamento mi dice che explorer.exe è stato modificato
apertura thuderbird
apertura firefox
apertura internet explorer
apertura media player


questi per il momento sono quelli che ho trovato

Ho bisogno di vedere il log (tutto) allegalo per cortesia in formato .txt.

Ho bisogno di vedere il log (tutto) allegalo per cortesia in formato .txt.
ecco il log!!

mentre provavo a vedere i vari programmi modificati ho visto che in gestione periferiche sono comparse due periferiche sconosciute...
http://img228.imageshack.us/my.php?image=periferichesconosciuterw5.png

ecco il log!!

mentre provavo a vedere i vari programmi modificati ho visto che in gestione periferiche sono comparse due periferiche sconosciute...
http://img228.imageshack.us/my.php?image=periferichesconosciuterw5.png


Per quanto concerne il Kaspersky sono normali segnalazioni della Difesa Proattiva ti suggerisco di leggere ed eventualmente chiedere nel 3D specifico http://www.hwupgrade.it/forum/showthread.php?t=1545212

"difesa proattiva" modulo e sotto-moduli che si occupano di rilevare attività sospette delle applicazioni ad opera di malware sconosciuto e più precisamente: analisi attività applicazione", "controllo integrità applicazione" e "monitoraggio registro di sistema". essi restituiscono finestre di avviso e chiedono il da farsi in caso di attività tipiche di malware generico come la modifica di alcune chiavi vitali al corretto funzionamento del SO, l'integrità dei programmi ecc... si consiglia di abilitare questo modulo solo a utenti esperti, a default kav imposta come controllo solo il sotto-modulo analisi attività applivazione".
ATTENZIONE: si sconsiglia agli utenti poco esperti, o che comunque non sappiano usare la difesa proattiva in maniera corretta, di non attivarla perchè potrebbe bloccare il caricamento di alcuni moduli di programma o dll fondamentali per il corretto funzionamento degli stessi a seguito di errate risposte alle finestre della funzione dell'antivirus

comunque tasto destro su ogni voce-> aggiungi a zona attendibili.

Per quanto riguarda le periferiche non saprei non è che sia sempre stato cosi'?

avevo installato tutte le periferiche e non c'era nessuna sconosciuta.
Ma le applicazioni che KAV mi riconosce come modificate lo sono veramente???

avevo installato tutte le periferiche e non c'era nessuna sconosciuta.

non saprei chiedi qui http://www.hwupgrade.it/forum/forumdisplay.php?f=12

Ma le applicazioni che KAV mi riconosce come modificate lo sono veramente???

è solo una segnalazione proattiva

Grazie di TUTTO ;)

Grazie di TUTTO ;)

Di nulla ;)

Avevo inviato il file per l'analisi oggi grazie a voi ho potuto ricontrollare la posta ecco cosa mi hanno scritto:D

Hello,

iexplor.exe_ - Trojan.Win32.Small.xvk

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.

--
Best regards, Vyacheslav Zakorzhevsky
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.



> > Attachment: avp.zip

> > Il file verrЮ inviato a Kaspersky Lab per l'analisi.
> >
> > bS[

Avevo inviato il file per l'analisi oggi grazie a voi ho potuto ricontrollare la posta ecco cosa mi hanno scritto:D

Bene :)