Ciao a tutti. Da questa mattina ho difficoltà nell'accesso ad internet. Qualsiasi browser utilizzo (IE, Firefox, Google Chrome) è lento nell'aprire più schede.
Ho fatto una scansione con antivir che però non mi ha rilevato niente, mentre adaware mi ha rilevato un malware che ho provveduto a cancellare. Nonostante questo il problema non si è risolto. Inoltre non riesco ad accedere a siti che consentono la scansione online o permettono di scaricare software antimalware, antispy, etc. Ho provato a seguire la guida alla disinfezione, ma non riesco ad aprire nessuno dei link indicati, come se la rete non andasse.
Ho fatto uno scan con hijack e un amico mi ha consigliato di fixare alcune voci. In particolare una che si riferiva al file svchost presente nella cartella drivers di windows/system32. Non riesco però a trovare il file e, inoltre, una nuova scansione con hijack non lo ha rilevato.
Posto entrambe le scansioni sperando che qualcuno possa aiutarmi! Grazie :(
http://www.mediafire.com/?sharekey=8d02542e95fa2f2cd2db6fb9a8902bda

segui la procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti rispettando le Regole di Sezione :)

ciao e grazie per la risposta...
come ho già scritto, ho provato a seguire la "guida alla disinfezione", però appena non riesco a scaricare i software; appena apro uno dei collegamenti indicati il browser mi dà un problema di connessione, come se la rete non andasse!
L'unico softaware che sono riuscita a scaricare e far partire è a-square di cui aggiungo il log.

http://www.mediafire.com/?sharekey=c0bc86b9d2005fc4d2db6fb9a8902bda

P.S. ho notato che in alcuni casi provando ad accedere al sito del produttore dei software indicati nella guida vengo reindirizzata ad altri siti poco raccomandabili... :(

hai una bella infezione da rootkit.. bella in senso negativo ossia infezione che ti rende la vita dura..
ma non ti preoccupare che ora risolviamo!

la tua infezione è già documentata e il messaggio guida è raggiungibile a questo link:
http://www.hwupgrade.it/forum/showpost.php?p=22757132&postcount=13

in sostanza i passi da eseguire sono questi:

da un pc non infetto, magari usando il pc di un amico o amica, devi scaricare Antivir Rescue System masterizzarlo su cd e poi inserendo il cd nel pc, fai avviare il computer da cd e con l'opzione 2 disinfetti tutto il tuo pc.
la guida per scaricare e come usare e masterizzarlo è a questo link: http://www.hwupgrade.it/forum/showthread.php?t=1689812


a questo punto dovresti poter navigare nei siti che prima non riuscivi a contattare venendo redirezionata altrove, poi facciamo una scansione di sicurezza con malwarebytes, f-secure, hijackthis, gmer e prevx per assicurarci che tu non abbia altro :)


poi al 98% dei casi abbiamo finito


:)

Ancora grazie!
Purtroppo per oggi non ho trovato nessuno che possa farmi usare il proprio pc, dovrò rimandare a domani...per il momento ho salvato i passi da seguire e incrocio le dita!
:)

abbi fede e speriamo bene :)
:sperem:

rieccomi dopo aver eseguito la scansione con Antivir Rescue System. Non ho potuto salvare il log, non disponendo di un floppy, ma mi sono segnata quello che ha trovato:

WINDOWS/system32/drivers/TDSSjcxe.sys
ALERT: [TR/Peed.A.830]/mnt/sdb1/WINDOWS/system32/drivers/TDSSjcx

Non essendo riuscito ad eliminare il file lo ha rinominato.
Adesso sono riuscita a scaricare i software indicati, volevo sapere qual'è l'ordine di scansione?
Grazie :)

rieccomi dopo aver eseguito la scansione con Antivir Rescue System. Non ho potuto salvare il log, non disponendo di un floppy, ma mi sono segnata quello che ha trovato:

WINDOWS/system32/drivers/TDSSjcxe.sys
ALERT: [TR/Peed.A.830]/mnt/sdb1/WINDOWS/system32/drivers/TDSSjcx

Non essendo riuscito ad eliminare il file lo ha rinominato.
Adesso sono riuscita a scaricare i software indicati, volevo sapere qual'è l'ordine di scansione?
Grazie :)

L'ordine esatto indicato in Guida

rieccomi! Ho effettuato le prime scansioni (malwarebytes e f-secure) di cui posto i log.
Intanto continuo con le altre...
ancora grazie! :)

http://www.mediafire.com/?sharekey=c0bc86b9d2005fc4ab1eab3e9fa335caf75bd3974572b41e

hai saltato a-squared, è vero che lo avevi fatto all'inizio ma c'era attivo un rootkit che poteva raggirare la scansione :)

è vero, l'ho proprio dimenticato! :rolleyes: Ma adesso devo ricominciare daccapo? Spero davvero di no....malwarebytes ci mette circa 5 ore per la scansione......

è vero, l'ho proprio dimenticato! :rolleyes: Ma adesso devo ricominciare daccapo? Spero davvero di no....malwarebytes ci mette circa 5 ore per la scansione......

no no non ricominciare da capo, semplicemente rifai a-squared e poi riprendi da dove ti eri fermato :)

eseguite le scansioni con a-squared e dr-web! sembra ci sai ancora qualcosa che non va...posto i log e stasera vado avanti!

http://www.mediafire.com/?sharekey=c0bc86b9d2005fc4ab1eab3e9fa335cae83cfbfaa1cdb06d

www.hwupgrade.helloweb.eu/ParserLog/log/output2668032572.txt

Ed ecco gli ultimi log:

http://www.mediafire.com/?sharekey=c0bc86b9d2005fc4ab1eab3e9fa335cae83cfbfaa1cdb06d

Per quanto riguarda la scansione di gmer copio, come da guida :) , le voci in rosso:

SSDT spll.sys ZwCreateKey [0xF74D90E0]
SSDT spll.sys ZwEnumerateKey [0xF74E6CA2]
SSDT spll.sys ZwEnumerateValueKey [0xF74F7030]
SSDT spll.sys ZwOpenKey [0xF74D90C0]
SSDT spll.sys ZwQueryKey[0xF74F7108]
SSDT spll.sys ZwQueryValueKey [0xF74F6F88]
SSDT spll.sys ZwSetVAlueKey [0xF74F719A]
Service system32/drivers/TDSSsserv.sys (***hidden***) [SISTEM]TDSSser

...e adesso attendo fiduciosa risposta...grazie!

rilancia gmer, scansiona, al termine click destro sulle righe rosse e scegli delete

fatto tutto! e mi sembra di non avere problemi evidenti...come faccio a vedere se è tutto a posto?
Ancora grazie, siete stati preziosissimi, evitandomi di formattare! :)

fatto tutto! e mi sembra di non avere problemi evidenti...come faccio a vedere se è tutto a posto?
Ancora grazie, siete stati preziosissimi, evitandomi di formattare! :)

Nuovo log di gmer, grazie.

per curiosità, tutte le righe rosse erano selezionabili e permettevano il delete?

per curiosità, tutte le righe rosse erano selezionabili e permettevano il delete?

erano tutte selezionabili, ma per le prime (SSDT ecc. ecc.) non era permesso il delete...e le ho lasciate così! Scusate la fretta e la poca precisione, ma scrivo dal lavoro e sono sempre di corsa...
rifaccio la scansione con gmer e riposto il log!

immaginavo... l'unico che deletabile era questo penso
Service system32/drivers/TDSSsserv.sys (***hidden***)

immaginavo... l'unico che deletabile era questo penso
Service system32/drivers/TDSSsserv.sys (***hidden***)

si, infatti! :)
Ho rieseguito la scansione con gmer che non sembra aver trovato nient'altro, comunque allego il log.

si, infatti! :)
Ho rieseguito la scansione con gmer che non sembra aver trovato nient'altro, comunque allego il log.

hai fatto solo la scansione veloce iniziale...

ok, ci risiamo!
Ho provato a rieseguire la scansione con gmer, ma dopo la scansione iniziale non mi fa cliccare il tasto scan. Improvvisamente il desktop mi è diventato bianco e ho dovuto riavviare, prevx mi ha rilevato un pò di infezioni (non ho salvato il log, presa da un momento di rabbia e sconforto!). Per fortuna questa volta ho già i software installati, riparto da a-squared, sperando di non dover formattare, non è proprio il momento! :( :( :(

il ripristino conf era disattivato?

se hai problemi con gmer
Scarica da qui (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip) Panda Anti-Rootkit
Estrailo e fallo partire -> Spunta "In-depth scan" -> Fagli cercare gli aggiornamenti -> Fai riavviare il pc e lascia scansionare -> Rimuovi eventuali rootkit trovati -> Carica il log

ps
aggiorna tutti programmi, usa kasp invece che f-secure e rimani sconnessa per tuta la procedura, salvo prevx
e poi per caricare tutti i log insieme

E' possibile vedere prima il log di Prevx CSI

allora, il ripristino è disattivato dai primi problemi, non posso scaricare altri software perchè mi rimanda a siti poco raccomandabili (dovrei utilizzare di nuovo antiVir rescue, penso...)!
Allego il link con il log e la stampa della scansione di prevx

http://www.mediafire.com/?sharekey=c0bc86b9d2005fc4ab1eab3e9fa335cae00f06a1338fcb74

:(
grazie

solito avenger e solito log
Files to delete:
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\webperform.dll
C:\WINDOWS\dfmlxbpkbdo.dll
C:\WINDOWS\efts.exe
C:\WINDOWS\fbxrqtwn.exe
C:\WINDOWS\onfwbsak.dll
C:\WINDOWS\peltodgx.dll
C:\WINDOWS\rwlfsdmk.dll
C:\WINDOWS\system32\lphc78kj0ele7.exe

non avendo avenger e non riuscendo a scaricarlo devo utilizzare ancora antivir rescue?

non avendo avenger e non riuscendo a scaricarlo devo utilizzare ancora antivir rescue?

1 Scarica Avenger direttamente da qui http://swandog46.geekstogo.com/avenger2/download.php

2 Successivamente fai girare questo tool SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) sul Desktop
Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premere un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovreste visualizzare il messaggio "Finished"
Premere un tasto per terminare lo script e ricaricare le icone del desktop
Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt

Allega entrambi i log + nuovo log di HjiackThis e Prevx CSI, grazie.

non avendo avenger e non riuscendo a scaricarlo devo utilizzare ancora antivir rescue?
se non hai un altro pc da cui scaricare la roba si...
ma non l'hai già usato? già cestinato?

rieccomi!
Allora ho lanciato antiVir rescue che ha trovato un bel pò di cose, quindi sono riuscita a scaricare avenger di cui allego il log.
Ho un problema con SDFix: mi si apre la finestra "HLVDD - Hardlock Virtual Device" che dice "Cannot find ///FAST Hardlock Driver!". Cliccando su ok mi si apre un'altra finestra "Sottosistema MS-DOS a 16 bit", con scritto "SDFix HLVDD.DLL. Un driver di periferica virtuale non è riuscito a inizializzare la Dll. Scegliere "Chiudi" per terminare l'applicazione".
ancora grazie!

ora rimani sconnessa e rifai la procedura

rieccomi!
Allora ho lanciato antiVir rescue che ha trovato un bel pò di cose, quindi sono riuscita a scaricare avenger di cui allego il log.
Ho un problema con SDFix: mi si apre la finestra "HLVDD - Hardlock Virtual Device" che dice "Cannot find ///FAST Hardlock Driver!". Cliccando su ok mi si apre un'altra finestra "Sottosistema MS-DOS a 16 bit", con scritto "SDFix HLVDD.DLL. Un driver di periferica virtuale non è riuscito a inizializzare la Dll. Scegliere "Chiudi" per terminare l'applicazione".
ancora grazie!

L'hai eseguito da modalità provvisoria F8

rieccomi, ancora una volta...
allego tutti i log. Non sono riuscita ad utilizzare gmer, per cui ho utilizzato panda. Non essendo riuscita a capire come salvare il log, ho fatto una stampa a monitor della finestra. PrevX sembra rilevare ancora un pò di cose :(

http://www.mediafire.com/?sharekey=c0bc86b9d2005fc4ab1eab3e9fa335caa2dc95d4950eef80

www.hwupgrade.helloweb.eu/ParserLog/log/output2440524812.txt

ancora grazie...dite che devo rassegnarmi e formattare?

da a-squared:

C:\Documents and Settings\ithil\Desktop\SDFix.exe/Process.exe rilevati: Riskware.RiskTool.Win32.Processor.20

C:\Documents and Settings\ithil\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\5o88kh05.default\Cache\DD0DBD66d01/Process.exe rilevati: Riskware.RiskTool.Win32.Processor.20

C:\SDFix\apps\Process.exe rilevati: Riskware.RiskTool.Win32.Processor.20

C:\WINDOWS\system32\drivers\tdssserv.sys.XXX rilevati: Backdoor.Win32.Agent.roc

C:\WINDOWS\system32\tdsslog.dll.XXX rilevati: Backdoor.Win32.Agent.rfv

C:\WINDOWS\system32\tdssmain.dll.XXX rilevati: Backdoor.Win32.Agent.rfw

C:\WINDOWS\system32\tdssserf.dll.XXX rilevati: Trojan-Downloader.Win32.FraudLoad.vbxt


da malwarebytes:

Chiavi di registro infette:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv (Rootkit.Agent) -> Quarantined and deleted successfully.

Valori di registro infetti:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.


da Dr.Web CureIT:
SysInspector-080924-2038.xml;
C:\Documents and Settings\ithil\Documenti\log_scansioni\24092008;Probably BATCH.Virus;Incurable.Deleted.;


da hiJacthis:
rifai la scansione con HiJackThis optando per "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le voci sugerite e premi tale tasto.
Fixa:

O2 - BHO: WebPerform - {AB692F9B-27FE-4511-8885-ED62BB45197B} - C:\WINDOWS\system32\webperform.dll (file missing)



da PrevxCSI:
qualcosa ha rinominato i file infetti aggiungendo l'estensione .XXX il che li rende essenzialmente innoqui..

fatto tutto!
Penso che i files rilevati da prevX possano essere quelli che antivir rescue ha rinominato.
adesso come procedo?
Grazie e scusatemi...sono abbastanza ignorante in materia...

fatto tutto!
Penso che i files rilevati da prevX possano essere quelli che antivir rescue ha rinominato.
adesso come procedo?
Grazie e scusatemi...sono abbastanza ignorante in materia...

la prima cosa che devi fare è installare un antivirus, è consigliato Avira Antivir che lo trovi in due versioni:
_ Classic: free solo a uso domestico è leggerissimo, potente, molto veloce nelle scansioni ed efficace

_ PremiumEdition: la licenza costa 20$ = 14€ (se si imposta valuta euro il costo è 20€) è leggerissimo, potente, molto veloce nelle scansioni ed efficace; rispetto all free possiede il modulo per le scansioni su pop3 (completamente inutile come modulo), enciclopedie di spyware/malware generico e il modulo webguard; mantiene inalterate tutte le altre caratteristiche

Avira Antivir ce l'ho da sempre e sempre aggiornato nella versione free...è il caso di passare alla premium edition?
Inoltre utilizzo anche ad-aware, anche se ho il monitor disattivato perchè lo trovo un pò pesante. Quello che mi manca è un firewall, ma non so quale potrei usare e soprattutto come usarlo

fatto tutto!
Penso che i files rilevati da prevX possano essere quelli che antivir rescue ha rinominato.
adesso come procedo?
Grazie e scusatemi...sono abbastanza ignorante in materia...

http://www.hwupgrade.it/forum/showpost.php?p=24307799&postcount=33

se gentilmente mi rispondi, grazie.

http://www.hwupgrade.it/forum/showpost.php?p=24307799&postcount=33

se gentilmente mi rispondi, grazie.

scusami, hai ragione! Si, ero in modalità provvisoria

quale però, quella con la rete o quella senza? xkè per evitare certi problemi con i virus devi usare quella senza rete e staccare il modem/router.

modalità provvisoria senza rete con modem staccato