ciao a tutti,
ho appena formattato il pc, sto rifacendo il giro di installazione sw,
ad un certo punto mi ritrovo con questo errore sui dischi:
quando cerco di aprirne uno mi dice :
error:
c:\resyced\boot.com non è un'applicazine win32 valida,
come antivirus ho installato avira free, aggiornato e giusto stamattina ho fatto una scansione del sistema, tutto ok :(
cercando su internet credo di aver capio come questo sintomo sia legato alla presenza di un malware, ma non ho capito poi come procedere...
ciao

aggiungo il log di hjthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.18.47, on 27/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\OpenVPN\bin\openvpn-gui.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft ActiveSync\Wcescomm.exe
C:\Programmi\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\TrueCrypt\TrueCrypt.exe
C:\programmi\mozilla firefox\firefox.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [openvpn-gui] C:\Programmi\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222419134250
O17 - HKLM\System\CCS\Services\Tcpip\..\{267F945D-C36C-4820-AE35-FB5241861C86}: NameServer = 85.255.116.26,85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\..\{9615D314-1FFD-4634-BF44-1F911D418F7F}: NameServer = 85.255.116.26,85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\..\{D70A24B5-A795-451E-B2BE-300DF950841B}: NameServer = 85.255.116.26,85.255.112.89
O17 - HKLM\System\CS1\Services\Tcpip\..\{267F945D-C36C-4820-AE35-FB5241861C86}: NameServer = 85.255.116.26,85.255.112.89
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programmi\OpenVPN\bin\openvpnserv.exe

--
End of file - 6207 bytes

Ciao leggi le Regole di sezione poi riesegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci:

O17 - HKLM\System\CCS\Services\Tcpip\..\{267F945D-C36C-4820-AE35-FB5241861C86}: NameServer = 85.255.116.26,85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\..\{9615D314-1FFD-4634-BF44-1F911D418F7F}: NameServer = 85.255.116.26,85.255.112.89
O17 - HKLM\System\CCS\Services\Tcpip\..\{D70A24B5-A795-451E-B2BE-300DF950841B}: NameServer = 85.255.116.26,85.255.112.89
O17 - HKLM\System\CS1\Services\Tcpip\..\{267F945D-C36C-4820-AE35-FB5241861C86}: NameServer = 85.255.116.26,85.255.112.89

clicca su Fix checked

Imposta i DNS di http://www.opendns.com/

Segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube (http://fileqube.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Hai preso lo stesso malware che ho preso io ieri..
Innanzitutto vai in risorse del computer apri C:
per non far comparire quell' errore premi tasto destro e fai esplora
In c vai nel menù strumenti opzioni cartella nella scheda visualizzazione metti visualizza file e cartelle nascosti e togli la spunta da nascondi file protetti di sistema e dai ok
A questo punto in C: ti trovi un file autorun e una cartella che si chiama resycled attenzione a non confonderla con recycled a questo punto vai al cestino tasto destro proprietà ed il globale metti la spunta a Non spostare i file nel cestino. Rimuovi i file direttamente fai ok.
Torna in C: ed elimina il file autorun e la cartella resycled.
Fai attenzione io ho trovato il virus anche il penna usb hd esterno e partizione secondaria dell' hd.
Quindi controlla anche tu.
Dopo ti consiglio una scansione con antivirus io uso kaspersky... eseguendo in modalità provvisoria.
Successivamente ripristina tutto quello che hai postato cioè al cestino ed alla visualizzazione dei file.
Ciao

ciao ragazzi, ho un problema che sembra identico ma non lo è. stessi sintomi: cerco di aprire qualsiasi drive del pc ma mi dice "impossibile trovare il file resycled\boot.com, verificare che il percorso..."
ho cercato infatti di eseguire la procedura sopraindicata ma non trovo proprio il file.
qualcuno sa come procedere? grazie.

ciao ragazzi, ho un problema che sembra identico ma non lo è. stessi sintomi: cerco di aprire qualsiasi drive del pc ma mi dice "impossibile trovare il file resycled\boot.com, verificare che il percorso..."
ho cercato infatti di eseguire la procedura sopraindicata ma non trovo proprio il file.
qualcuno sa come procedere? grazie.

Ciao segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube (http://fileqube.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Hai preso lo stesso malware che ho preso io ieri..
Innanzitutto vai in risorse del computer apri C:
per non far comparire quell' errore premi tasto destro e fai esplora
In c vai nel menù strumenti opzioni cartella nella scheda visualizzazione metti visualizza file e cartelle nascosti e togli la spunta da nascondi file protetti di sistema e dai ok
A questo punto in C: ti trovi un file autorun e una cartella che si chiama resycled attenzione a non confonderla con recycled a questo punto vai al cestino tasto destro proprietà ed il globale metti la spunta a Non spostare i file nel cestino. Rimuovi i file direttamente fai ok.
Torna in C: ed elimina il file autorun e la cartella resycled.
Fai attenzione io ho trovato il virus anche il penna usb hd esterno e partizione secondaria dell' hd.
Quindi controlla anche tu.
Dopo ti consiglio una scansione con antivirus io uso kaspersky... eseguendo in modalità provvisoria.
Successivamente ripristina tutto quello che hai postato cioè al cestino ed alla visualizzazione dei file.
Ciao


mmm ho avuto lo stesso virus, però ho notato che spybot ha visto il file autorun.inf considerandolo come un zlob.dnschanger.bit. (recentissimo da quello che vedo...) cmq è stato rimosso senza problemi.

antivir invece ha visto il file boot.com e l'ha rimosso senza problemi.

ciao sono nuovo,ma vi seguo da tempo.
ho deciso di scrivervi per ringraziarvi pubblicamente. grazie ai vostri consigli sono riuscito ad eliminare sto virus beccato facendo un giro "allegro" su certi siti.
sara' mio compito pubblicizzare il sito(faccio il tassista) a piu' gente possibile.
ancora grazie

ciao sono nuovo,ma vi seguo da tempo.
ho deciso di scrivervi per ringraziarvi pubblicamente. grazie ai vostri consigli sono riuscito ad eliminare sto virus beccato facendo un giro "allegro" su certi siti.
sara' mio compito pubblicizzare il sito(faccio il tassista) a piu' gente possibile.
ancora grazie
se ci carichi i log vediamo anche di ottimizzare il sistema, poi vedi tu

pubblicizzare cosa??? qui ne abbiamo abbastanza di lavoro e non ci paga nessuno!!:D :D :D :D

cosa ne pensate?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.10.02, on 15/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Log rimosso leggere le Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) troverai le indicazioni su come allegare i log, grazie.

Ciao a tutti anche io mi trovo a combattere con questo maledetto virus che non mi fa piu' aprire neppure l'hard disk esterno dandomi questo errore resycled\boot.com se c'e' qualcuno che mi puo' aiutare dandomi delle dritte mi farebbe un piacerone...grazie ancora

Ciao a tutti anche io mi trovo a combattere con questo maledetto virus che non mi fa piu' aprire neppure l'hard disk esterno dandomi questo errore resycled\boot.com se c'e' qualcuno che mi puo' aiutare dandomi delle dritte mi farebbe un piacerone...grazie ancora

Segui la Guida alla disinfezione
http://www.hwupgrade.it/forum/showpost.php?p=24394130&postcount=6

Hai preso lo stesso malware che ho preso io ieri..
Innanzitutto vai in risorse del computer apri C:
per non far comparire quell' errore premi tasto destro e fai esplora
In c vai nel menù strumenti opzioni cartella nella scheda visualizzazione metti visualizza file e cartelle nascosti e togli la spunta da nascondi file protetti di sistema e dai ok
A questo punto in C: ti trovi un file autorun e una cartella che si chiama resycled attenzione a non confonderla con recycled a questo punto vai al cestino tasto destro proprietà ed il globale metti la spunta a Non spostare i file nel cestino. Rimuovi i file direttamente fai ok.
Torna in C: ed elimina il file autorun e la cartella resycled.
Fai attenzione io ho trovato il virus anche il penna usb hd esterno e partizione secondaria dell' hd.
Quindi controlla anche tu.
Dopo ti consiglio una scansione con antivirus io uso kaspersky... eseguendo in modalità provvisoria.
Successivamente ripristina tutto quello che hai postato cioè al cestino ed alla visualizzazione dei file.
Ciao

Anch'io sono stato infettatto da questo maledetto virus, seguo la tua guida ;)

Anch'io sono stato infettatto da questo maledetto virus, seguo la tua guida ;)

risolto! Ti ringrazio per l'aiuto! ;)

risolto! Ti ringrazio per l'aiuto! ;)

ciao

se ci carichi i log verifichiamo alcune cose ;)

io ho fatto come avete detto ma continuo ad avere un'errore:
impossibile trovare il file resycled/boot.com

io ho fatto come avete detto ma continuo ad avere un'errore:
impossibile trovare il file resycled/boot.com
segui qui
http://www.hwupgrade.it/forum/showpost.php?p=24394130&postcount=6

segui qui
http://www.hwupgrade.it/forum/showpost.php?p=24394130&postcount=6

nn capisco bene che fare

nn capisco bene che fare

Ricapitolando, dopo aver disabilitato il ripristino di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine e anche se non è stato rilevato nulla:

log di Malwarebytes Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9) aggiornato ad oggi
log di A-squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8) scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) scaricato oggi oppure di F-Secure OnLine (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5) scaricato oggi
log di ESET SysInspector (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)


Se il pc dovessse essere molto compromesso (es. riavvii frequenti, schermate blu) oppure hai problemi con internet per aggiornare i programmi leggi qui (http://www.hwupgrade.it/forum/showpost.php?p=24315070&postcount=27)

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...



Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log, qui (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) e qui (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3) esempi precisi ed ordinati di come vorremmo tu li caricassi.

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com, imageshack (http://fileqube.com/)

guarda, ho fatto scansioni con adaware, nod32, antimalware, spybot, ho rimosso le infezioni che avevo
dopodichè ho eliminato i file autorun.inf e resycled dai miei hdd ma nonostante tutto ho quell'errore all'apertura dei dischi fissi
cmq che log ti devo dare?

Log rimosso leggere le Regole di sezione, grazie.

mi sembra di averti scritto sopra i log che vogliamo....
me ne hai caricato uno, senza rispettare le modalità e con hjt non aggiornato....
se ci dai una mano non possiamo darla a te ;)

Log rimosso leggere le Regole di sezione, grazie.

Log rimosso leggere le Regole di sezione, grazie.

devi caricarli secondo le modalità che ho in firma , non incollare tutti i log
riedita i tuoi post, please ;)

Log rimosso leggere le Regole di sezione, grazie.

devi caricarli secondo le modalità che ho in firma , non incollare tutti i log
riedita i tuoi post, please ;)

facciamo una cosa, dagli un'occhiata che poi li cancello editando i post

facciamo una cosa, dagli un'occhiata che poi li cancello editando i post

Mi dispiace ma le regole sono regole, e a quelle bisogna attenersi nessuno escluso, grazie per la collaborazione ;)

Cari ragazzi mi ritrovo con lo stesso virus...posto il log di hj, premetto di aver fatto scansione con avira sia da modalità normale che da modalità provvisoria, ho anche eliminato la cartella resycled, ho fatto anche scansione con spybot ma il maledetto c'è ancora...aiutatemi

Log rimosso leggere le Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598),thx.

ciao

segui quanto già consigliato sopra
http://www.hwupgrade.it/forum/showpost.php?p=25054555&postcount=19

i prossimi log secondo le modalità, please ;)

Ho fatto tutte le scansione previste, dr web cure it non l'ho postato perchè erano 50 mega di lofg comunque tutto era contrassegnato con ok.

malwarebytes http://www.fileqube.com/file/xdssuI154137
a2squred free http://www.fileqube.com/file/ZdBsOLk154233
Kapersky http://www.fileqube.com/file/MsGeOUX154274
eset http://www.fileqube.com/file/AjiTIl154275
hijackthis http://www.fileqube.com/file/aJENeD154276
gmer http://www.fileqube.com/file/UrUtLaLh154277
prevx http://www.fileqube.com/file/zRIMpNM154278

fatemi sapere come agire contro sto malware, altra cosa i programmi che ho intsllato per fare le scansioni li devo cancellare o li posso tenere? non è che fanno conflitto?

thanks in advance

Ho fatto tutte le scansione previste, dr web cure it non l'ho postato perchè erano 50 mega di lofg comunque tutto era contrassegnato con ok.

malwarebytes http://www.fileqube.com/file/xdssuI154137
a2squred free http://www.fileqube.com/file/ZdBsOLk154233
Kapersky http://www.fileqube.com/file/MsGeOUX154274
eset http://www.fileqube.com/file/AjiTIl154275
hijackthis http://www.fileqube.com/file/aJENeD154276
gmer http://www.fileqube.com/file/UrUtLaLh154277
prevx http://www.fileqube.com/file/zRIMpNM154278

fatemi sapere come agire contro sto malware, altra cosa i programmi che ho intsllato per fare le scansioni li devo cancellare o li posso tenere? non è che fanno conflitto?

thanks in advance

Ciao, ripeti la scansione con MBAM ed elimina i files infetti rilevati

Chiavi di registro infette:
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx.1 (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{04a38f6b-006f-4247-ba4c-02a139d5531c} (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{a8b0f390-e6bf-4027-a4d4-1e4363f5e27b} (Trojan.Lop) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{a9e33220-0b05-11d7-88d2-444553540000} (Trojan.Lop) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c} (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{3c2d2a1e-031f-4397-9614-87c932a848e0} (Adware.Minibug) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper (Adware.NetPumper) -> No action taken.
HKEY_CLASSES_ROOT\sexvid (Trojan.DNSChanger) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.


No action taken -->> significa che non hai eliminato nulla

Hai usato una versione obsoleta di HJT elimina la versione in tuo possesso, riscaricarica la versione aggiornata e riallega il log http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip

Attendiamo i log, per i software scaricati non preoccuparti ci pensiamo dopo :)

cureit punto 4 delle modalità in firma ;)

ecco i log di hjt e mbam

mbam http://www.fileqube.com/file/obKWTjqz154360

hjt http://www.fileqube.com/file/dizcPx154362


il problema non si è piu' presentato (meno male), fatemi sapere quali dei programmi che ho usato devo tenere e se fanno conflitto, thanks in advance

ecco i log di hjt e mbam

mbam http://www.fileqube.com/file/obKWTjqz154360

hjt http://www.fileqube.com/file/dizcPx154362


il problema non si è piu' presentato (meno male), fatemi sapere quali dei programmi che ho usato devo tenere e se fanno conflitto, thanks in advance
controlla il link di mbam, non riesco a scaricarlo, mi da altra roba...



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programmi\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [E06IXLRD_47589171] "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [Iomega Automatic Backup] C:\Programmi\Iomega\Iomega Automatic Backup\ibackup.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programmi\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_ site.cab?1097826190891
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-fa8910256d67f5ea.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebAAS.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O24 - Desktop Component 0: (no name) - C:\Documents and Settings\User\Desktop\Other1.jpg


se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante
aggiornare Windows va al service pack 3
aggiornare Internet Explorer alla 7

Ora il pc va ok, eccoti il log di HJT
http://www.fileqube.com/file/ftwSZKFB154374

per quanto riguarda l' altro non riesco a rifare la scansione ora in ufficio, comunque mi dava tutto ok.

i programmi li tengo o mi fanno conflitto?
thanks

Ora il pc va ok, eccoti il log di HJT
http://www.fileqube.com/file/ftwSZKFB154374

per quanto riguarda l' altro non riesco a rifare la scansione ora in ufficio, comunque mi dava tutto ok.

i programmi li tengo o mi fanno conflitto?
thanks

Riallega il log di HJT il link indicato rimanda ad altro file

hjt http://edit

Su i Server indicati qui http://www.hwupgrade.it/forum/showthread.php?t=1751598 grazie.

http://wikisend.com/download/610934/hjt.txt

http://wikisend.com/download/610934/hjt.txt

lo conosci?

W:\UltraFXP\UltraFxp.exe

sisi ultrafxp lo conosco ed è un programma che uso!!

ok, allora una volta aggiornato il sistema dovresti essere apposto ;)

ciao a tutti..premetto che ho letto le risposte precedenti ma per mia poca esperienza nn ho capito come risolvere il problema..
anche a me nn apre l'hard disk e mi da l'errore "resycled/boot.com"..ho capito che è un malware..ma non so come risolvere..

mi date una mano?? grazie mille..

ciao a tutti..premetto che ho letto le risposte precedenti ma per mia poca esperienza nn ho capito come risolvere il problema..
anche a me nn apre l'hard disk e mi da l'errore "resycled/boot.com"..ho capito che è un malware..ma non so come risolvere..

mi date una mano?? grazie mille..

Ciao segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube (http://fileqube.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

L'ho beccato pure io da stupido.. :muro:
In pratica me lo sono installato :doh:
Già non mi convinceva il sito da cui ho scaricato un piccolo file, poi non avevo trovato nulla a riguardo in rete e nonostante avessi il presentimento che nascondesse la sorpresa non ho resistito, probabilmente mentre installavo ho evitato il peggio grazie a spyware terminator, avira e comodo che chiedevano strane conferme.. Ho già fatto diverse scansioni ma l'errore su C me lo da sempre, ora sto seguendo la guida, vedo che ci vorrà del tempo..

Ho letto che il virus infetta gli HD esterni. Lo fa anche con le memorie SD?

Cmq questi sono i primi 3 log di Malwarebytes ne ho fatti 3 anche se ne dovevo fare 1.. l'ultimo è quello dopo aver disattivato il ripristino e aver fatto pulizia con ATF cosa che prima non avevo fatto..

mbam-log-2008-12-07 (01-52-44).txt (http://wikisend.com/download/519752/mbam-log-2008-12-07 (01-52-44).txt)

mbam-log-2008-12-07 (02-08-06).txt (http://wikisend.com/download/937824/mbam-log-2008-12-07 (02-08-06).txt)

mbam-log-2008-12-07 (02-40-58).txt (http://wikisend.com/download/888032/mbam-log-2008-12-07 (02-40-58).txt)


Log a-squared Free http://wikisend.com/download/519564/a2scan_081207-154018.txt

Log Kaspersky Virus Removal Tool www.hwupgrade.helloweb.eu/ParserLog/log/output-916029033.txt

Log preliminare DR.Web www.hwupgrade.helloweb.eu/ParserLog/log/output35250708269.txt

Log completo DR.Web www.hwupgrade.helloweb.eu/ParserLog/log/output-3944454742.txt

Log ESET SysInspector http://www.fileqube.com/file/PoaZzNk157505

Log Hijack http://www.fileqube.com/file/SkiqYr157510

Log Gmer http://wikisend.com/download/501718/log gmer.txt

LOg Prevx http://wikisend.com/download/947924/scan.log

L'ho beccato pure io da stupido.. :muro:
In pratica me lo sono installato :doh:
Già non mi convinceva il sito da cui ho scaricato un piccolo file, poi non avevo trovato nulla a riguardo in rete e nonostante avessi il presentimento che nascondesse la sorpresa non ho resistito, probabilmente mentre installavo ho evitato il peggio grazie a spyware terminator, avira e comodo che chiedevano strane conferme.. Ho già fatto diverse scansioni ma l'errore su C me lo da sempre, ora sto seguendo la guida, vedo che ci vorrà del tempo..

Ho letto che il virus infetta gli HD esterni. Lo fa anche con le memorie SD?

Cmq questi sono i primi 3 log di Malwarebytes ne ho fatti 3 anche se ne dovevo fare 1.. l'ultimo è quello dopo aver disattivato il ripristino e aver fatto pulizia con ATF cosa che prima non avevo fatto..

mbam-log-2008-12-07 (01-52-44).txt (http://wikisend.com/download/519752/mbam-log-2008-12-07 (01-52-44).txt)

mbam-log-2008-12-07 (02-08-06).txt (http://wikisend.com/download/937824/mbam-log-2008-12-07 (02-08-06).txt)

mbam-log-2008-12-07 (02-40-58).txt (http://wikisend.com/download/888032/mbam-log-2008-12-07 (02-40-58).txt)

Ciao segui tutta la guida come indicato qui http://www.hwupgrade.it/forum/showpost.php?p=25328847&postcount=45

edit.

senti, visto che di analisi ce ne ancora da fare.. sapresti dirmi qualcosa già adesso in base ai log postati?
Ho aggiunto quello di a-squared Free e Kaspersky Virus Removal Tool, grazie.

Vedo che sei infetto e che i tool al momento utilizzati hanno eliminato parte dell'infezione, abbiamo bisogno dei rimanenti log per determinare come procedere :)

edit.

sono al punto 5, appena apro il programma se clicco su aggiorna si chiude e non succede nulla :confused: se invece clicco avvio parte la scansione, che faccio?

Leggi qui

Doppio click su CureIt - cliccate su Avvia - alla domanda Avvia ora il controllo? cliccate su OK
In questa modalità Express Scan vengono controllati solo i seguenti oggetti:
* Random access memory
* Settori di Boot di tutti i dischi
* Ogetti di Startup
* Disco di Boot e cartella principale
* Cartella principale del disco di installaizone di Windows
* Cartella di Sistema di Windows
* Cartella documenti Utente ("Documenti")
* Cartella temporanea di Sistema
* Usa la cartella temporanea
Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta

edit.

Stesso problema... ma a me nn si risolve :cry: ho fatto la scansione con malware e ne ha trovati 36.. vabbe' lo sapevo che il pc nn stava bene, tra cui anche autorun.inf e resycled.
prima i file sono stati messi in quarantena, e poi io li ho eliminati del tutto.ù
e nonostante tutto IL PROBLEMA PERSISTE!!:muro:
e se cancello manualmente, si ricrea da solo... uff sto uscendo pazzo xfavore rispondete...

ho anche salvato il .log devo postarlo?

Stesso problema... ma a me nn si risolve :cry: ho fatto la scansione con malware e ne ha trovati 36.. vabbe' lo sapevo che il pc nn stava bene, tra cui anche autorun.inf e resycled.
prima i file sono stati messi in quarantena, e poi io li ho eliminati del tutto.ù
e nonostante tutto IL PROBLEMA PERSISTE!!:muro:
e se cancello manualmente, si ricrea da solo... uff sto uscendo pazzo xfavore rispondete...

ho anche salvato il .log devo postarlo?

Segui la guida :read:
Io sono quasi alla fine..

http://www.hwupgrade.it/forum/showthread.php?t=1599737

Aggiunti log

Dr.Web completo
Eset SysInspector
Hijack

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sottoindicata voce:

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programmi\IrfanView\Ebay\Ebay.htm (file missing)

clicca su Fix cheked

NB: il browser deve essere chiuso

Per il resto dovremmo essere ok, fammi sapere.

edit.

Problema...

Dopo la scansione con gmer è uscito fuori questo:

http://img381.imageshack.us/img381/2608/rootzf6.th.jpg (http://img381.imageshack.us/my.php?image=rootzf6.jpg)

Dopo aver eliminato la voce è apparsa una schermata blu e il pc si è riavviato, ora rifacendo la scansione quella voce è di nuovo presente che faccio?

P.S l'errore quando tento di accedere a C: non è più presente.

Mi alleghi entrambi i log mancanti che mi erano sfuggiti, ovvero Gmer e Prevx

edit.

edit.

Non so se è normale.. dopo aver fatto una scansione completa appare questo:

http://img389.imageshack.us/img389/528/root1fw6.th.jpg (http://img389.imageshack.us/my.php?image=root1fw6.jpg)

aggiunto log Gmer

Ti indica la presenza di Rootkit allega i log richiesti, nel prossimo post se no divento matto, thx.

edit.

scusa :D

ecco:

Log Gmer http://wikisend.com/download/501718/log gmer.txt
LOg Prevx http://wikisend.com/download/947924/scan.log

Vorrei sapere da dove è uscito dcleaner.exe adesso rilevato da Prevx secondo me ti sei in qualche modo reinfettato, comunque procedi così:

Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su Combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

edit.

edit.

Avira adesso mi ha segnalato nircmd.exe e hidec.exe come nocivi, li ho messi in quarantena :confused:

Riprova, quei file segnalati da Antivir sono di Combo no problem

edit.

cioè? rifaccio la scansione con ComboFix? Quante ore dovrebbe durare?

Max 15 minuti circa

Leggi qui un mini tutorial sull'utilizzo http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19

Max 15 minuti circa

Leggi qui un mini tutorial sull'utilizzo http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19

ecco il log: http://wikisend.com/download/910866/log fix.txt

Apri il blocco e copia ed incolla questo Script

File::
C:\Programmi\Driver Cleaner Pro\DCleaner.exe
c:\programmi\WinFast\WFDTV\WFIOCTL.SYS
c:\docume~1\Admin\IMPOST~1\Temp\ALSysIO.sys

Driver::
msqpdxserv
msqpdxpqltoiwt

Registry::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\msqpdxserv.sys]
"imagepath"="-
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\msqpdxserv.sys]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt + nuovo log di Gmer

Ho seguito il procedimento ma subito dopo è partita una scansione con questo log: http://wikisend.com/download/593172/log fix2.txt senza riavviare

Ho seguito il procedimento ma subito dopo è partita una scansione con questo log: http://wikisend.com/download/593172/log fix2.txt senza riavviare

Sicuro di aver copiato ed incollato questo:

File::
C:\Programmi\Driver Cleaner Pro\DCleaner.exe
c:\programmi\WinFast\WFDTV\WFIOCTL.SYS
c:\docume~1\Admin\IMPOST~1\Temp\ALSysIO.sys

Driver::
msqpdxserv
msqpdxpqltoiwt

Registry::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\msqpdxserv.sys]
"imagepath"="-
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\msqpdxserv.sys]

secondo me no in ogni caso ripeti e riavvia dopo allega il log + nuovo log di Gmer

con Gmer riappare di nuovo questo: http://img381.imageshack.us/img381/2608/rootzf6.jpg

ho riavviato dopo la scansione.. http://wikisend.com/download/538390/log 3.txt

gmer solita finestra..

Rilancia la scansione con Gmer terminata la stessa seleziona il Servizio identificato come hidden lo selezioni col tasto dx del mouse e clicca su Delete Service

dopodichè

da Start - Esegui - digita Regedit

si aprirà l'editor del Registro di sistema - naviga fino alla seguente chiave di registro:

HKEY_LOCAL_MACHINE\system\ControlSet001\Services\msqpdxserv.sys

tasto dx del mouse e la elimini

ok per gmer ma la chiave non c'è

ok per gmer ma la chiave non c'è

Dove è sparita? :) Dal log di Combo è ancora li bella bella, controlla bene, mi raccomando allega sempre i log così abbiamo sempre la situazione chiara, visto che stò seguendo più di un 3D :coffee:

Edit:

HKEY_LOCAL_MACHINE\system\ControlSet001\Services\msqpdxserv.sys <<-- cartellina gialla nel pannello di sinistra dell'editor

guarda tu stesso: http://img381.imageshack.us/img381/8208/regqi7.th.jpg (http://img381.imageshack.us/my.php?image=regqi7.jpg) :boh:

guarda tu stesso: http://img381.imageshack.us/img381/8208/regqi7.th.jpg (http://img381.imageshack.us/my.php?image=regqi7.jpg) :boh:

:confused: :D

Allega nuovo log di Gmer e speriamo bene

:confused: :D

Allega nuovo log di Gmer e speriamo bene

scansione completa?

scansione completa?

Si ;)

:winner: http://wikisend.com/download/520174/log.txt

:winner: http://wikisend.com/download/520174/log.txt

Bene adesso ti suggerisco di leggere con attenzione questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383 anche domani visto che tra ieri e oggi ci siamo smazzati :D ;)

innanzitutto ti ringrazio per la pazienza e per il supporto che mi hai dato ;)
qualche anno fa nella stessa situazione avrei già formattato.. :p
Spero di non icappare più in un simile problema perchè è stato abb pesante. :D Grazie ancora. :)

innanzitutto ti ringrazio per la pazienza e per il supporto che mi hai dato ;)
qualche anno fa nella stessa situazione avrei già formattato.. :p
Spero di non icappare più in un simile problema perchè è stato abb pesante. :D Grazie ancora. :)

Prego di nulla felice di essere stato di aiuto, buon proseguimento su HWU ;)

Ancora una cosa.. questo log è pulito?

http://wikisend.com/download/520248/AVSCAN-20081209-101650-441AC148.LOG

Ancora una cosa.. questo log è pulito?

http://wikisend.com/download/520248/AVSCAN-20081209-101650-441AC148.LOG

Non capisco il perchè non avevi disabilitato il ripristino configurazione sistema, cosa da fare subito, comunque il log è ok.

Non capisco il perchè non avevi disabilitato il ripristino configurazione sistema, cosa da fare subito, comunque il log è ok.

si, l'avevo fatto :confused:
non è che il virus l'aveva riabilitato?

si, l'avevo fatto :confused:
non è che il virus l'aveva riabilitato?

Può essere, queste sono le magie del ripristino conf. :)

Hai preso lo stesso malware che ho preso io ieri..
Innanzitutto vai in risorse del computer apri C:
per non far comparire quell' errore premi tasto destro e fai esplora
In c vai nel menù strumenti opzioni cartella nella scheda visualizzazione metti visualizza file e cartelle nascosti e togli la spunta da nascondi file protetti di sistema e dai ok
A questo punto in C: ti trovi un file autorun e una cartella che si chiama resycled attenzione a non confonderla con recycled a questo punto vai al cestino tasto destro proprietà ed il globale metti la spunta a Non spostare i file nel cestino. Rimuovi i file direttamente fai ok.
Torna in C: ed elimina il file autorun e la cartella resycled.
Fai attenzione io ho trovato il virus anche il penna usb hd esterno e partizione secondaria dell' hd.
Quindi controlla anche tu.
Dopo ti consiglio una scansione con antivirus io uso kaspersky... eseguendo in modalità provvisoria.
Successivamente ripristina tutto quello che hai postato cioè al cestino ed alla visualizzazione dei file.
Ciao

Grazie davvero

ho lo stesso problema ;resycled/boot.com vi allego il log di hijack this Logfile of Trend Micro


aiutatemi a risolvere il problema grazie

Log rimosso leggere le Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598), grazie.

ho lo stesso problema ;resycled/boot.com vi allego il log di hijack this Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.02.29, on 29/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal


ciao

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info) secondo le modalità in firma e non incollato direttamente nel post, grazie ;)

Risolto con Formattazione :(:(

Risolto con Formattazione :(:(

E' una domanda o un'affermazione :)

purtroppo una affermazione :cry:
spero che voi riuscirete a risolvere senza estremi rimedi :( io ho perso tutto

purtroppo una affermazione :cry:
spero che voi riuscirete a risolvere senza estremi rimedi :( io ho perso tutto

Se leggi il 3D vedrai che abbiamo risolto, certo c'è parecchio da lavorare ;)

Se leggi il 3D vedrai che abbiamo risolto, certo c'è parecchio da lavorare ;)

lo so, ma a me uil problema persisteva, poi credo di aver toccato il file Boot.ini, cosi' all' avvio:

file boot.ini non trovato. impossibile avviare windows :(

ho DOVUTO formattare

lo so, ma a me uil problema persisteva, poi credo di aver toccato il file Boot.ini, cosi' all' avvio:

file boot.ini non trovato. impossibile avviare windows :(

ho DOVUTO formattare

Succede ;)

raga mi sono accorto che ne sono infetto anche io. E per mia sfortuna anche l'hard disk dove ho tutti i dati...

Mi aiutate ad eliminarlo?? :cry:

Come devo fare?

Io ho la cartella "resycled" sia nel disco C: che D: come devo fare? le elimino entrambe? help!

lo so, ma a me uil problema persisteva, poi credo di aver toccato il file Boot.ini, cosi' all' avvio:

file boot.ini non trovato. impossibile avviare windows :(

ho DOVUTO formattare

bastava usare un floppy/cd con dentro 4 file (prendendoli da un xp funzionante)

boot.ini
Bootfont.bin
NTDETECT.COM
ntldr

fare il boot con il floppy inserito e poi copiare il file boot.ini mancante

se il problema è solo il file boot.ini si dovrebbe riuscire ad accedere al sistema in questa maniera

Hai preso lo stesso malware che ho preso io ieri..
Innanzitutto vai in risorse del computer apri C:
per non far comparire quell' errore premi tasto destro e fai esplora
In c vai nel menù strumenti opzioni cartella nella scheda visualizzazione metti visualizza file e cartelle nascosti e togli la spunta da nascondi file protetti di sistema e dai ok
A questo punto in C: ti trovi un file autorun e una cartella che si chiama resycled attenzione a non confonderla con recycled a questo punto vai al cestino tasto destro proprietà ed il globale metti la spunta a Non spostare i file nel cestino. Rimuovi i file direttamente fai ok.
Torna in C: ed elimina il file autorun e la cartella resycled.
Fai attenzione io ho trovato il virus anche il penna usb hd esterno e partizione secondaria dell' hd.
Quindi controlla anche tu.
Dopo ti consiglio una scansione con antivirus io uso kaspersky... eseguendo in modalità provvisoria.
Successivamente ripristina tutto quello che hai postato cioè al cestino ed alla visualizzazione dei file.
Ciao

Ho eseguito questa procedura, li ho eliminato e dopo 1 minuto erano di nuovo lì... aiuto!!

bastava usare un floppy/cd con dentro 4 file (prendendoli da un xp funzionante)

boot.ini
Bootfont.bin
NTDETECT.COM
ntldr

fare il boot con il floppy inserito e poi copiare il file boot.ini mancante

se il problema è solo il file boot.ini si dovrebbe riuscire ad accedere al sistema in questa maniera

Eventualmente anche da Console di ripristino ;)

Eventualmente anche da Console di ripristino ;)

Acere eRecovery :( non ho fatto il CD di ripristino, a meno che non sai dove posso rimediarlo:
Acer eRecovery per windows XP Pack 2

Acere eRecovery :( non ho fatto il CD di ripristino, a meno che non sai dove posso rimediarlo:
Acer eRecovery per windows XP Pack 2

Per la Console serve il CD di installazione di Win

Per la Console serve il CD di installazione di Win

L' originale non ce l ho, ne ho un altro che è sempre XP pack 2, non cè eRecovery, va bene lo stesso?

L' originale non ce l ho, ne ho un altro che è sempre XP pack 2, non cè eRecovery, va bene lo stesso?

No tu hai usato il Recovery che ripristina il Pc alle condizioni iniziali

il suo problema è di recuperare i dati più che di accedere al sistema

crazyboy racconta tutto per favore se no i consigli che ti diamo servono a niente, ci parliamo solo adosso

il suo problema è di recuperare i dati più che di accedere al sistema

crazyboy racconta tutto per favore se no i consigli che ti diamo servono a niente, ci parliamo solo adosso

http://www.hwupgrade.it/forum/showpost.php?p=25685551&postcount=92

Ecco tutte le scansioni fatte secondo la guida. (c'ho messo tutt'oggi per farle spero che qualcuno mi possa aiutare... :cry: )

Malwarebytes:

mbam-log-2009-01-04 (13-48-11).txt (http://wikisend.com/download/510706/mbam-log-2009-01-04 (13-48-11).txt)

A-Squared Free
a2scan_090104-135557.txt (http://wikisend.com/download/519752/a2scan_090104-135557.txt)

Dr.Web CureIT
CureIt.log (http://wikisend.com/download/712724/CureIt.log)

ESET SysInspector
SysInspector-FRANCESC-4A0DDA-090104-1715.xml (http://wikisend.com/download/940206/SysInspector-FRANCESC-4A0DDA-090104-1715.xml)

HiJackThis
hijackthis.log (http://wikisend.com/download/571290/hijackthis.log)

Gmer
gmerlog.log (http://wikisend.com/download/554878/gmerlog.log)

scritte in rosso: gmer.JPG (http://wikisend.com/download/484666/gmer.JPG)

Prevx
prevx.JPG (http://wikisend.com/download/359462/prevx.JPG)


Ditemi per piacere cosa devo fare.
Grazie in anticipo.

http://www.hwupgrade.it/forum/showpost.php?p=25685551&postcount=92

Ok, allora, io non ho formattato,ora ho un altro Hard Disk (nuovo) con un altro XP. il mio vecchio Hard Disk sta dentro il mio cassetto, non è stato ancora formattato (prima ho detto cosy perche x me è solo da formattare e aspetto il momento giusto) ma quando provo ad accendere il pc con quello di disco mi dice "file boot.ini mancante impossibile avviare windows".

scusate x quando ho detto di averlo formattato, ma non credevo che si potesse recuperare in qualche modo.
ancora scusa

Ecco tutte le scansioni fatte secondo la guida. (c'ho messo tutt'oggi per farle spero che qualcuno mi possa aiutare... :cry: )

Malwarebytes:

mbam-log-2009-01-04 (13-48-11).txt (http://wikisend.com/download/510706/mbam-log-2009-01-04 (13-48-11).txt)

A-Squared Free
a2scan_090104-135557.txt (http://wikisend.com/download/519752/a2scan_090104-135557.txt)

Dr.Web CureIT
CureIt.log (http://wikisend.com/download/712724/CureIt.log)

ESET SysInspector
SysInspector-FRANCESC-4A0DDA-090104-1715.xml (http://wikisend.com/download/940206/SysInspector-FRANCESC-4A0DDA-090104-1715.xml)

HiJackThis
hijackthis.log (http://wikisend.com/download/571290/hijackthis.log)

Gmer
gmerlog.log (http://wikisend.com/download/554878/gmerlog.log)

scritte in rosso: gmer.JPG (http://wikisend.com/download/484666/gmer.JPG)

Prevx
prevx.JPG (http://wikisend.com/download/359462/prevx.JPG)


Ditemi per piacere cosa devo fare.
Grazie in anticipo.

Ciao purtroppo non ha eseguito correttamente la Guida per cui:

1 Ripeti la scansione con MBAM ed elimina gli elementi infetti

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2bf41072-b2b1-21c1-b5c1-0305f4155515} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\resycled (Trojan.DNSChanger) -> No action taken.

File infetti:
C:\Programmi\Mozilla Firefox\components\iamfamous.dll (Spyware.Passwords) -> No action taken.
C:\WINDOWS\system32\msqpdxscmqlydv.dll (Trojan.TDSS) -> No action taken.
C:\resycled\boot.com (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxrdltavho.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\msqpdxserv.sys (Trojan.Agent) -> No action taken.


No action taken - significa che non ha eliminato nulla

2 Ripeti la scansione con A-Squared e metti in quarantena gli elementi infetti

3 Ripeti la scansione con CureIt hai fatto la scansione veloce denominata Express scan devi fare scansione completa

4 Manca la scansione indicata al Punto 4 della Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

5 Terminata la scansione con Prevx CSI per ottenere il log clicca su Impostazioni - Salva file di log

Forza e coraggio ;)

Ciao a tutti,
nn riesco ad aprire la partizione D fatta su C, perchè mi esce la scritta di resycled\boot.
Ho già provato ad eliminarli con la procedura veloce di inizio post e ci sono riuscito ma il problema persiste.
Allego i file di log delle scansioni.
Spero di aver seguito la procedura giusta.
Grazie a chi mi voglia aiutare.

http://www.fileqube.com/file/UYPAwzr174102

http://www.fileqube.com/file/umcCvLfU174103

http://www.fileqube.com/file/GmaAYxPk174104

http://www.fileqube.com/file/AzCImD174105

http://www.fileqube.com/file/rUzlNC174106

http://www.fileqube.com/file/msyFfjWOf174108

Spero di aver fatto tutto bene nn essendo un'aquila in materia di computer

Grazie ancora

Ciao a tutti,
nn riesco ad aprire la partizione D fatta su C, perchè mi esce la scritta di resycled\boot.
Ho già provato ad eliminarli con la procedura veloce di inizio post e ci sono riuscito ma il problema persiste.
Allego i file di log delle scansioni.
Spero di aver seguito la procedura giusta.
Grazie a chi mi voglia aiutare.

http://www.fileqube.com/file/UYPAwzr174102

http://www.fileqube.com/file/umcCvLfU174103

http://www.fileqube.com/file/GmaAYxPk174104

http://www.fileqube.com/file/AzCImD174105

http://www.fileqube.com/file/rUzlNC174106

http://www.fileqube.com/file/msyFfjWOf174108

Spero di aver fatto tutto bene nn essendo un'aquila in materia di computer

Grazie ancora

ciao

con asquared non mi pare tu abbia eliminato tutto
manca il log di prevx
a fianco dei link se ci metti la descrizione della scansione ci fai un favore ;)


Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)


R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programmi\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O15 - Trusted Zone: http://www.sismanagmentfilm.com
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-j c.cab?e=1232679963866&h=ac13eed2816c90af5e5a93e212e0cc7b/&filename=jinstall-6u11 -windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL




fai girare e carica il log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

http://www.fileqube.com/file/RuuGOwE174169 hijackthis.log

http://www.fileqube.com/file/rXTFtEDUY174170 a2scan

http://www.fileqube.com/file/tXKGIKwhO174171 log combofix

Ok problema risolto :D :D :D

Grazie mille wjmat!!

Se hai bisogno di qualche info, per quel che posso chiedi pure.
Grazie ancora
Win

http://www.fileqube.com/file/RuuGOwE174169 hijackthis.log

http://www.fileqube.com/file/rXTFtEDUY174170 a2scan

http://www.fileqube.com/file/tXKGIKwhO174171 log combofix

http://www.fileqube.com/file/CiWvtsy174175 Logprevx

http://www.fileqube.com/file/pOLywG174176 Schermata prevx
Ok problema risolto :D :D :D

Grazie mille wjmat!!

Se hai bisogno di qualche info, per quel che posso chiedi pure.
Grazie ancora
Win

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide


ciao

Mio figlio mi ha impestato il pc :doh:
Ho trovato anche io la sorpresa del resycle e boot.com stasera, ovviamente la prima domanda è stata "cosa hai fatto col pc??????".

Indovinate un po'?
Un link da MSN :muro:

Ora con calma e pazienza mi metto a ripulire secondo la guida, con ordine...

MBAM running, ci vorrà una vita... :rolleyes:

Intanto ho seguito il consiglio di Vince86, solo che ora purtroppo nel tentare di aprire la partizione dei programmi mi dice "il file non è associato a nessun programma per l'esecuzione dell'operazione" :cry:

Finora sono riuscita a fare solo due test :cry:

Ma ho una domanda: avevo da poco fatto un'immagine della partizione primaria (C).
Se io cancello la cartella resycle e il file boot.com.inf dalle altre unità e faccio un ripristino dall'immagine che ho creato (non un ripristino di windows!) mi libererei del virus? :stordita:

Finora sono riuscita a fare solo due test :cry:

Ma ho una domanda: avevo da poco fatto un'immagine della partizione primaria (C).
Se io cancello la cartella resycle e il file boot.com.inf dalle altre unità e faccio un ripristino dall'immagine che ho creato (non un ripristino di windows!) mi libererei del virus? :stordita:

Se hai fatto l'immagine prima di contrarre l'infezione risolvi il problema, altrimenti è opportuno seguire la Guida alla disinfezione.

Se hai fatto l'immagine prima di contrarre l'infezione risolvi il problema, altrimenti è opportuno seguire la Guida alla disinfezione.

Si, decisamente prima ;)

Il punto di domanda è se poi questo mi risolva il problema sull'apertura dell'unità B: ora mi dice "impossibile trovare applicazione....etc. etc."

Si, decisamente prima ;)

Il punto di domanda è se poi questo mi risolva il problema sull'apertura dell'unità B: ora mi dice "impossibile trovare applicazione....etc. etc."

In teoria si, in pratica dopo aver fatto il ripristino ;)

Ha funzionato!

:yeah:


Acronis... :ave:

Ha funzionato!

:yeah:


Acronis... :ave:

Perfetto, Acronis ed affini sono assolutamente indespensabili, questa ne è la dimostrazione pratica ;)