Buonasera,
da ieri sera mi compare questo problema:

Non posso riabilitare gli aggiornamenti automatici di windows, mi si apre in continuazione una finestra per scaricare toolsicuro (da FIREFOX) e senza errori.com (da internet) + altre pagine strane. Inoltre ieri nella cartella di download emule mi erano comparsi circa 450 file di crack e cavolate varie di roba che non ho scaricato tutte della dimensione di 349 KB, le ho cancellate e stamattina mi son ritornate, le ho ricancellate e per ora non ci sono....
Inoltre mozzilla (ultimo aggiornamento fatto) mi crascia in continuazione
(Ho una linea in fibra ottica fastweb)

- Ho fatto già tutti i vari spybot S&D, ad-aware che mi hanno trovato un virtumonde che è stato cancellato.

- Ho pulito con cccleaner

-Scansione completa con nod32 (nessun virus)

Cosa devo fare? Ormai son disperato.
Help me!!!!

Grazie...

Vi posto anche il log di hijack this..... dategli un'occhiata

http://wikisend.com/download/511392/hijackthis(dolange).log

Grazie mille

Ciao :)

Dovresti gentilmente MODIFICARE il tuo PRECEDENTE messaggio e togliere il log di hjt, allegandolo in una delle modalità espresse dalle regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598), altrimenti non potremo darti assistenza:)

Dopodichè passiamo a ripulire il tuo pc, che è molto infetto... Non credo che sia stato debellato tutto il Virtumonde... vedremo!

segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e alla fine allega tutti i log richiesti (nelle modalità espresse nelle regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)) cosi potremo darti una mano!;)

Ti aspettiamo

Fatto!!!
Ho messo il file del log sul server!!!

Grazias!!!!!!

Aggiungo il log di malwarebytes

http://wikisend.com/download/939972/mbam-log-2008-09-23 (21-15-58).txt

Aggiungo il log di malwarebytes

http://wikisend.com/download/939972/mbam-log-2008-09-23 (21-15-58).txt

Devi RIfare la scansione e questa volta mettendo SCANSIONE COMPLETA (tu l'hai fatta rapida)

Inoltre abbiamo bisogno di tutti gli altri log :)

concordo nell'attendere i restanti log, solo per assicurarci che non abbia altre infezioni oltre a vundo :)

Ecco la completa di malawarebytes!!!

Non ci sono altre infezioni...

http://wikisend.com/download/598206/mbam-log-2008-09-24 (00-22-32).txt

Adesso faccio le altre e poi ve le posto..

Grazie!

A-Squared Free v3.x:
http://wikisend.com/download/583540/a2scan_080924-003036.txt

F-Secure OnLine:
http://wikisend.com/download/495798/F.secure Online log.txt

Sys Inspect log file:
http://wikisend.com/download/954150/SysInspector-LIVIO-91684F4B9-080924-0046.xml

dovresti mantenere l'ordine d'esecuzione delle scansioni indicato nella guida :)

per quanto riguarda drWeb non riesce a finire, dopo un po' che la scansione sta andando mi da errore!
Salto dr Web e vi riporto il nuovo log di hijackthis:
http://wikisend.com/download/689762/hijackthis(nuovo).log

Gmer log:
http://wikisend.com/download/100532/Gmer log.log

Prevx CSI log (quin non me l'ha pulito perchè voleva la license key):
http://wikisend.com/download/478792/Prevx CSI.log

Stampa della finestra di prevx csi:
http://wikisend.com/download/571682/Immagine finestra Prevx csi.jpg

Ecco fatto questo era l'ultimo!!! Che fatica! :)

Cavoo ragazzi me ne sono accorto adesso...sono stati cancellati tutti gli eseguibili di mirc e di proxy server( Che utilizzo perchè ho una linea fastweb per scaricare meglio da mirc).
COme mai????

se li hai scaricati da fonti sicure puoi ripescarli dalla quarantena di a-squared

Ok ma quindi adesso sono a posto oppure ho altre infezioni??

Anche se dal rapporto di Prevx csi c'è scritto questo:
Summary:
C:\WINDOWS\system32\jcuuoyia.dll - [B] >> Fraudulent Security Program (PX5: 005F5209009A6326A0FA0017C2637900D54071D0)
C:\WINDOWS\system32\rvtnvlbd.dll - [B] >> Fraudulent Security Program (PX5: 1937846D0001638660CE01B1935DF800D28985A1)
C:\WINDOWS\system32\slrbdack.dll - [B] >> Cloaked Malware (PX5: 2321795D0076CDBB745D015D001D9E000BAFD9AD) :(

Fai controllare quei files su www.virustotal.com e su http://virscan.org/

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

Per il primo:
http://www.virustotal.com/it/analisis/29f8cf4be23b79688357ba483930c2b8

Per il secondo:
http://www.virustotal.com/it/analisis/24e0a88162fe15cd469fd7e841faaeba

Per il terzo:
http://www.virustotal.com/it/analisis/9846ef641845ade018cd5ab86fb51a26

Ps Nella quarantena di a squared free non ci sono i due file di mirc e del proxy server!!!!!! Dove li trovo mo?

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
C:\WINDOWS\system32\jcuuoyia.dll
C:\WINDOWS\system32\rvtnvlbd.dll
C:\WINDOWS\system32\slrbdack.dll

Fatto eccolo...

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\jcuuoyia.dll" deleted successfully.
File "C:\WINDOWS\system32\rvtnvlbd.dll" deleted successfully.
File "C:\WINDOWS\system32\slrbdack.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Inoltre ora all'avvio di windows (me lo faceva anche ieri solo che mi son dimenticato di dirlo) mi da un errore del tipo doskey.dll con un'iconcina di una chiave. Mi ha dato anche errore di windows live messanger e si è chiuso (quest ultimo solo adesso dopo aver cancellato quei file).
Inoltre mi si è aperta di nuovo la finestra di prevx CSI (quella che avevo postato ieri) con i file che non posso cancellare perchè ci vuole la licenza pagamento dello stesso programma.


Un'altra cosa:dove posso recuperare i file di mirc e di proxy che nella quarantena di a square non ci sono????



Ancora grazie! :D :D :D

Niente da fare mo non mi apre più windows live messanger!!!!!!!!!! uffffffffffff :muro: :muro: :muro: :muro: :muro:

disinstalla prevx, reinstalla, riscansiona e nuovo log

i programmi che non funzionano li riscarichi e li reinstalli

Fatto il nuovo log di prevx:

http://wikisend.com/download/552982/prevx csi (new).log

Ed ecco la stampa dello schermo della finestra di prevx:

Prevx CSI.jpg (http://wikisend.com/download/566192/Prevx CSI.jpg)

Ci sono:
system32\krqpnxod.dll (fraudolent security)
system32\nhgxmlpj.dll (fraudolent security)
system32\wxyiykpe.dll (Cloacked malware)

fai una nuova scansione completa con mbam e nuovo log di hijackthis
con emule chiuso e rimanendo sconnesso dal web

Ecco qui:

mbam --> mbam-log-2008-09-24 (20-28-39).txt (http://wikisend.com/download/564204/mbam-log-2008-09-24 (20-28-39).txt)

hijackthis --> hijackthis.log (http://wikisend.com/download/478192/hijackthis.log)

Ti dico... in questo momento sia il computer sia la navigazioni si sono rallentate rispetto al normale!!!

Grazias come sempre

L'unico problema adesso è che quando avvio all'inizio mi dice ERRORE doskey.exe!!!

Che bisogna fare??

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

R3 - URLSearchHook: (no name) - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)
O4 - HKLM\..\Run: [DAEMON Tools] "d:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "E:\Nero 8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Creative Detector] d:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] doskeys.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O20 - AppInit_DLLs: hhbrcv.dll
O16 - tutte le voci senza riferimenti a microsoft

in avenger
Files to delete:
C:\WINDOWS\system32\krqpnxod.dll
C:\WINDOWS\system32\wxyiykpe.dll
C:\WINDOWS\system32\nhgxmlpj.dll
e nuovo log

non capisco perchè tra log e screen di prevx ci sia un file che manca...

dopo avenger solito giochetto con prevx, disin-risca-reinst-scans-log

Questo è il nuovo log di hijackthis:

hijackthis.log (http://wikisend.com/download/199996/hijackthis.log)

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\krqpnxod.dll" deleted successfully.
File "C:\WINDOWS\system32\wxyiykpe.dll" deleted successfully.
File "C:\WINDOWS\system32\nhgxmlpj.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Nessun log per prevx csi perchè nn ha trovato nulla.. :)

All'avvio non mi da più l'errore doskey.exe :) :) :)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.enterpage.info/ --> da dove arriva?
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k --> schermata blu?

il pc come ti sembra?

La prima voce non so.. la tolgo??? io non ricordo di averla mai visitata quella pagina o di averla mai messa come start page!

La seconda voce.. si mi ha dato una schermata blu ieri pome!

In definitiva oira sembra andar bene tranne msn che non sta rifunzionando quando lo avvio mi da errore e la navigazione in ternet più lenta del solito

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall.
Scarica da qui (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) Combofix
Scollegati da internet e chiudi ogni altra finestra o programma
Lancialo e aspetta che appaia una finestra in cui ti chieda di digitare 1 per continuare
Digita 1 e attendi la scansione evitando di fare qualsiasi altra operazione
Dai conferma nel caso ti chieda di rimuovere alcuni driver
Attendi pazientemente senza toccare nulla
Al termine verrà mostrato il log da caricare che si trova in C:\ComboFix.txt

Eccolo qui:

ComboFix.txt (http://wikisend.com/download/862280/ComboFix.txt)

Grazie!!!!

qualcosa ha eliminato, ma aspettiamo chill che è l'esperto, per eventuali interventi

comincia leggerti bene il trattamento che ho in firma per proteggere meglio il pc e rimuovere parte delle cose che ti abbiamo fatto usare

nod mi pare sia rimasto in mutande no? passa senza pensarci ad antivir
le info sono tutte nel trattamento e nei suoi link

Ok intanto grazie mille ancora per l'aiuto e aspetto notizie.... :D :D :D

qualcosa ha eliminato, ma aspettiamo chill che è l'esperto, per eventuali interventi

comincia leggerti bene il trattamento che ho in firma per proteggere meglio il pc e rimuovere parte delle cose che ti abbiamo fatto usare

nod mi pare sia rimasto in mutande no? passa senza pensarci ad antivir
le info sono tutte nel trattamento e nei suoi link

Per il momento dal log di Combo non emerge altro :)

Mi sa che ho preso anche io questo virtumonde, i sintomi sono proprio gli stessi, compresi innumerevoli rar di crack nella cartella incoming, ho fatto scan con spybot, avg e ora con spyhunter 3, vi devo postare qualche log particolare?
Come processo strano ho anche un "nt printing services6" che penso sia collegato.

Mi sa che ho preso anche io questo virtumonde, i sintomi sono proprio gli stessi, compresi innumerevoli rar di crack nella cartella incoming, ho fatto scan con spybot, avg e ora con spyhunter 3, vi devo postare qualche log particolare?
Come processo strano ho anche un "nt printing services6" che penso sia collegato.

Ciao benvenuto nel pronto soccorso di HU.

visto il casino che hai, posta secondo le modalità i log che hai già poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di Malwarebytes Anti-Malware aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)
log di A-squared scansione deep aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8)
log di Kaspersky Virus Removal Tool scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) oppure di F-Secure OnLine http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5)
log di ESET SysInspector http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)


Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Qui (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) e qui (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3) esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com (http://fileqube.com/)

Mi sa che ho preso anche io questo virtumonde, i sintomi sono proprio gli stessi, compresi innumerevoli rar di crack nella cartella incoming, ho fatto scan con spybot, avg e ora con spyhunter 3, vi devo postare qualche log particolare?
Come processo strano ho anche un "nt printing services6" che penso sia collegato.

segui il consiglio di wj, dopo aver seguito la guida di cui sopra apri una nuova discussione ed allega i log.