Oggi mentre cancellavo delle stringhe di avvio dal pc, utilizzando CCleaner, mi sono accorto di una stringa "sospetta":
c:\windows\PCHealth\helpctr\binaries\MSConfig.exe /auto

Perciò come sono abituato in questi casi ho effettuato una scansione on-line con a-squared Web Malware Scanner e BitDefender Online Scanner.

Il primo ha rilevato questi due amichetti:
worm.win32.otwycal.ag!A2 e Backdoor.Win32.Hupigon.cmmc!A2
il secondo sta ancora lavorando.

Ora il tutto è collegato oppure ogni cosa ha bisogno di una cura?
Allego inoltre log effettuato con HijackThis per aiutarvi nella diagnosi!
Grazie mille

Ciao benvenuto nel pronto soccorso di HU.

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di Malwarebytes Anti-Malware aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)
log di A-squared scansione deep aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8)
log di Kaspersky Virus Removal Tool scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) oppure di F-Secure OnLine http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5)
log di ESET SysInspector http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)


Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Qui (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) e qui (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3) esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com (http://fileqube.com/)

Solo una cosa...alla fine di ogni scansione delle guida devo salvare il log..ok...però alla fine di ogniuna di queste mi chiederà di effettuare una operazione tipo spostamento file in quarantena oppure cancellazione, ecc...io che devo fare?

Chiedo perdono m sono accorto solo ora che è tutto spiegato nel collegamento INFO. Faccio tutte le scansioni del caso e vi dico...per ora grazie:)

mi pare di averti allegato delle info :D

novità?

Sto effettuando proprio ora tt le istruzioni fornitemi dal gentilissimo wjmat...purtroppo però per la fretta ho già commesso un errore infatti al punto 2. credendo che A-squared generasse automaticamente il log nn ho fatto salva report:(...mi sento un idiota...3 files proprio con questo programma li ho messi in quarantena...ora sto continuando la procedura...se devo far qualcosa per ovviare al salvataggio del log al punto 2. fatemi sapere...grazie mille

P.S. Giusto per informazione la stringa c:\windows\PCHealth\helpctr\binaries\MSConfig.exe /auto stamattina magicamente nn c'era più...lo dico per fornirvi un elemento in più nella diagnosi finale:)

se li hai messi sicuramente in quarantena ed era la deep scan ok
altrimenti ripeti

Ragazzi ora "forse" ha finito la scansione con Dr.Web ma invece di poter selezionare tutto e spostare nel cestino ha trovato un qualcosa infetto e mi chiede di curare...dato che dalla guida allegata nn menziona questa possibilità cosa devo fare?..

Ragazzi ora "forse" ha finito la scansione con Dr.Web ma invece di poter selezionare tutto e spostare nel cestino ha trovato un qualcosa infetto e mi chiede di curare...dato che dalla guida allegata nn menziona questa possibilità cosa devo fare?..

devi "curare" :)
ho colto l'occasione per corregerla :)

Come da guida dopo aver effettuato la pulizia generica con ATFCleaner ho eseguito le seguenti scansioni delle quali allego i log generati:

Malwarebytes log> http://www.fileqube.com/shared/vFYdQzuez114983
A-Squared log> http://www.fileqube.com/shared/eVncaSgnH114984
F-Secure log> http://www.fileqube.com/shared/BxvaC114985
Dr.Web log> www.hwupgrade.helloweb.eu/ParserLog/log/output-4920869927.txt
ESET Sys log> http://www.fileqube.com/shared/ryKKKIZd115004
HiJackThis log> http://www.fileqube.com/shared/ViQIpD115005
Gmer log> http://www.fileqube.com/shared/AnJLrh115006
PrevxCSI log> http://www.fileqube.com/shared/IJmEgak115007

Solo per fornirvi maggiori dettagli..un particolare mi lascia perplesso..durante alcune di queste scansioni il mio antivirus, Avira Antivir Personal Free che utilizzo ormai da un anno proprio su consiglio di questo forum, rilevava dei file infetti nel momento in cui l'altro programma che stava scansionando li analizzava..io nell'indecisione ho sempre selezionato ignora..nel caso nn sia stato chiaro fatemi sapere..cmq per ora vi lascio tutte le analisi effettuate...grazie

il log di a.squared è parziale..
visto che possiedi avira, fai una scansione completa con Avira Antivir e pubblica il report :)

Allora come da richiesta allego il log post-scansione di Avira Antivir log> http://www.fileqube.com/shared/vmuJmNoY115310

Per rispondere a xcdegasp il log di A-Squared è parziale perchè come ho scritto qualche post prima mi sono dimenticato di salvare il log...così ho creato io una specie di log con scritto i file infetti e le infezioni.

Infine ho notato che Avira m segna come infetti anche file che io utilizzo tranquillamente come dei keygen di programmi che ho; credo sia dovuto al fatto che contenendo dei codici Avira si mette sulle difensive! Io li ho cmq messi in quarantena.

Credo ora di avervi fornito tutte le possibili informazioni sul caso:)

Aspetto vostre analisi:)

Allora come da richiesta allego il log post-scansione di Avira Antivir log> http://www.fileqube.com/shared/vmuJmNoY115310

Per rispondere a xcdegasp il log di A-Squared è parziale perchè come ho scritto qualche post prima mi sono dimenticato di salvare il log...così ho creato io una specie di log con scritto i file infetti e le infezioni.

Infine ho notato che Avira m segna come infetti anche file che io utilizzo tranquillamente come dei keygen di programmi che ho; credo sia dovuto al fatto che contenendo dei codici Avira si mette sulle difensive! Io li ho cmq messi in quarantena.

Credo ora di avervi fornito tutte le possibili informazioni sul caso:)

Aspetto vostre analisi:)

impostato così Avira è inefficace, le tue impostazioni attuali:

Primary action...................: interactive

Secondary action.................: ignore
Search for rootkits..............: off

Scan all files...................: Intelligent file selection

la prima azione ti consiglio di impostarla su "repair" la seconda su "quarantena" assicurati che non ci sia la casellina fleggata su "sposta prima gli oggetti in quarantena" in caso disabilitala;
i rootkits devono assere ricercati altrimenti non potrai identificarli con semplicità e rimuoverli;
devi analizzare sempre tutte le estensioni e non le più comuni..

per lo scan queste sono le impostazioni da seguire:
http://img91.imageshack.us/my.php?image=scannerscanuh3.jpg

le azioni da impostare te le avevo già dette quindi passo a "Archives":
http://img182.imageshack.us/my.php?image=scanarchivesmp8.jpg

heuristic su medium anzicchè come da immagine:
http://img411.imageshack.us/my.php?image=scanheuristicwv4.jpg

per la sezione "Guard":
http://img411.imageshack.us/my.php?image=guardscanaw2.jpg

sezione "heuristic":
http://img81.imageshack.us/my.php?image=guardheuristicam4.jpg

nella sezione "Gneral" ci sono le Extended Thread Categories:
http://img169.imageshack.us/my.php?image=generalextendedthreadcadi6.jpg

nella sezione "security":
http://img81.imageshack.us/my.php?image=generalsecuritytt5.jpg
io proteggerei con password sia la configurazione che i job ;)


tutte queste impostazioni sono state prese dal thread guida di avira :)
quindi poi rifai la scansione e pubblica il report :D

OOOK:)...grazie per la pazienza...ho impostato come da guida...ora rifaccio la scansione e riposto il log!!!

Cmq volevo farvi i complimenti...chissà quanta gente ve lo dice...cmq io ritengo voi siate davvero i migliori...e oltretutto siete anche molto gentili...thanks:D

fa sempre piacere ricevere i complimenti, ce la mettiamo tutta per aiutare e perfortuna la maggior parte apprezza e sono collaborativi :)
grazie mille :vicini:

Eccomi qui...allego la seconda scansione effettuata con Avira con le opzioni consigliatemi un post fa:)
Avira Antivir log> http://www.fileqube.com/shared/CqdQz115428

ottimo, ora un nuovo log con prevx e gmer :)

Eccoli qui:):
Gmer log> http://www.fileqube.com/shared/nTCAM115466
Prevx log> http://www.fileqube.com/shared/szRWISoH115471

anche di hijackthis ;)

Eccolo:)
HijackThis log> http://www.fileqube.com/shared/cdGWuHeN115529

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco di tutte le voci O16
Clicca su Fix Checked


leggi bene il trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

da cui aggiornare win a sp3

Dottore questo vuol dire che ora sono guarito?:D...e poi un'ultima cosa...se entro le prossime ore ho qualke dubbio riguardo queste operazioni posso continuare sempre su questo post a kiedere?...thanks

se non riscontri altri problemi si ;)

Allora ragazzi...ora ho anche seguito la guida per il trattamento post infetti...e vorrei farvi alcune domande prima di abbandonare il post:
1. facendo la scansione con secunia mi riporta il solito problema di obsolescenza di elementi Macromedia ma anche seguendo la guida nn riesco a disinstallare i vecchi per lasciare solo i nuovi quindi me li segnala come da aggiornare insieme oltretutto ad un "fantomatico" aggiornamento di internet explorer 6 (ma io ho tutto aggiornato alla 7) che non mi segnala neanche in windows update
2. i file in quarantena delle scansioni effettuate li elimino?...alcuni di essi come vi ho detto sono semplicemente dei keygen che uso da anche 1 anno...voi ke dite anche se Avira li segnala come virus sono utilizzabili? (c'è da dire che Avira segnala come virus anche l'aria:))
3. come ultima cosa il Service Pack 3...vorrei installarlo ma ho paura che alcuni programmi diciamo non propriamente acquistati ne risentano...e possibilie che questo si verifichi?...grazie di tutto