Salve a tutti,
da un paio di giorni mi accade una cosa alquanto strana.
In pratica ho scaricato un archivio, e quando ho estratto il contenuto, e avviato l'applicazione che pensavo fosse quella, in realtà era un virus.

NOD32, che è il mio antivirus, subito mi ha lanciato 3 o 4 messaggi, che mi informava della presenza di esso, e l'unica cosa che ricordo, è che era un cavallo di troia, comunque sia, dai messaggi che dava pensavo l'avesse eliminato tranquillamente.. ma dal funzionamento della rete che sto avendo ultimamente.. non è poi tanto normale la cosa!! :rolleyes:

In pratica.. anche se non ho niente attivo che sfrutti la rete, l'icona in basso a destra accanto all'orologio, è sempre accesa, e se clicco 2 volte sull'icona, vedo diversi byte che entrano e escono continuamente, cosa che prima non mi era mai successa!! o.o

Possibile che sia ancora infetto? :mc:

Ah.. devo anche dire che questo non è l'unico effetto che ho avuto sul sistema. Firefox (come IE o Safari) non carica la pagina quasi mai subito. Ad esempio.. se lo apro e digito il sito di google.. le prime 2 o 3 volte, mi dice "FIREFOX non riesce a caricare la pagina, bla bla bla" e poi successivamente, me la carica, ma a volte molto lentamente e spesso neanche completamente, insomma.. un bel guaio.


Io ho NOD32 v2.7 come antivirus (ripeto), e fino ad adesso, ho fatto la scansione approfondita con esso, la scansione approfondita con l'anti malware di microsoft aggiornato a settembre v2.2.. e fatto ricerce antispyware con vari programmi (TUNEUP 2008 e ADVANCED WINDOWS CARE) e eseguito CCLEANER.. ma naturalmente.. ci ho guadagnato poco e niente.
Ho installato XP PROF. SP3, ho fastweb, con router. ( se serve altro ditemi pure.. )

Purtroppo non so la procedura delle varie cose che dovrei postare per voi per farmi dare una mano, è la prima volta che scrivo! :rolleyes:

Grazie del vostro aiuto ragazzi!! ;)

segui la procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti rispettando le Regole di Sezione :)

nel frattempo installa anche un firewall software optando tra OnlineArmor-free (solo per winXP) oppure per Comodo-Firewall entrambi gratuiti e ritenuti da moltissimi utenti come i migliori firewall in circolazione.
almeno potrai farti un idea seria di cio che avviene nel tuo pc, ripulito il tuo pc sarà da studiare una vera linea difensiva ;)

segui la procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti rispettando le Regole di Sezione :)

nel frattempo installa anche un firewall software optando tra OnlineArmor-free (solo per winXP) oppure per Comodo-Firewall entrambi gratuiti e ritenuti da moltissimi utenti come i migliori firewall in circolazione.
almeno potrai farti un idea seria di cio che avviene nel tuo pc, ripulito il tuo pc sarà da studiare una vera linea difensiva ;)

Ok farò quanto detto nella prima riga. :) Grazie!

Per il firewall, se installo ad esempio il primo software, devo disabilitarlo quello di windows?

Per il firewall, se installo ad esempio il primo software, devo disabilitarlo quello di windows?

viene disabilitato in automatico quello di windows :)

ok perfetto.

Ho eseguito tutte le operazioni descritte nel topic, e ho ottenuto questo:

ATF CLEANER, mi ha rimosso tanta roba, ma non mi ha risolto nessun problema rilevante.

Online Armor Free 2.0, mi fà vedere, come unico processo sospetto, SERVICES.EXE, che va a circa 15-20kb/s di download costante. Non so se ciò è normale, visto che da quello che so, esso è un processo di sistema, ma può darsi che sia la causa della connessione sempre attiva anche quando non la si usa... ^^
Sempre tramite questo firewall, ho bloccato mDNSresponder, (fà parte del gruppo bonjour) che non ho assolutamente idea di cosa possa essere, e non capisco perché è attivo. L'ho notato a parecchie installazioni di windows, anche quando prima avevo il SP2. Se qualcuno sa cos'è.. mi farebbe davvero un grosso piacere.

Infine, la cosa più importante, Prevx CSI dopo una scansione del sistema, all'inizio non mi ha trovato un bel nulla, dicendomi che era tutto apposto. Poi dopo aver riavviato per tutte le operazioni che avevo fatto, ( e dopo 3 ore di caricamento di Windows.. :rolleyes: ) lasciandolo acceso mentre io ero a vedere il GP di FORMULA 1.. torno e trovo un "MALICIOUS SOFTWARE"..:eek: :eek: Così ho pensato di uploaddare il log di prevx.. e di postarvelo.

Eccolo qui: http://wikisend.com/download/497192/prevx.log

da prevxCSI:

D:\WINDOWS\system32\DNSAPI.dll InMem: 1 Det [U] PX5: AAB816C7003C4D3542E702845D4F1A00ADA0B52F


D:\WINDOWS\system32\DRIVERS\atksgt.sys InMem: 0 Det [U] PX5: 4959F7C4A04282F5442204545FFC2200705B5829

REGSERVICE - \REGISTRY\Machine\SYSTEM\ControlSet001\Services\atksgt - ImagePath [D:\WINDOWS\system32\DRIVERS\atksgt.sys]


D:\WINDOWS\system32\DRIVERS\lirsgt.sys InMem: 0 Det [U] PX5: EFA1A29020CBD0C7654E00DBCADC01004796C9D4

REGSERVICE - \REGISTRY\Machine\SYSTEM\ControlSet001\Services\lirsgt - ImagePath [D:\WINDOWS\system32\DRIVERS\lirsgt.sys]


D:\WINDOWS\ForceCore.exe InMem: 0 Det [U] PX5: 59DE6A6600333FE350D8009D861E78006482064C


D:\WINDOWS\system32\iwpsetup.exe InMem: 0 Det [U] PX5: 8420B1A7009125DBC616029FFA438400D512B292


D:\WINDOWS\TEMP\8F866171.exe InMem: 0 Det [B] PX5: A4D69AD600BACF03CE49000A06142100188C6A6A Malware Group: Malicious Software

REGSESSMGR - \REGISTRY\Machine\System\CurrentControlSet\Control\Session Manager - PendingFileRenameOperations [\??\D:\WINDOWS\TEMP\8F866171.exe


D:\WINDOWS\System32\drivers\7bdbc467.sys - [4] >> Hidden Service: 7bdbc467 (PX5: 0000000000000000000000000000000000000000)


Summary:

D:\WINDOWS\System32\drivers\7bdbc467.sys - [4] >> Hidden Service: 7bdbc467 (PX5: 0000000000000000000000000000000000000000)

D:\WINDOWS\TEMP\8F866171.exe - [B] >> Malicious Software (PX5: A4D69AD600BACF03CE49000A06142100188C6A6A)


ATF-Cleaner doveva essere la prima scansione da fare..

Si.. infatti io sono andato in ordine così come c'era scritto nel topic.. solo dopo aver pulito con ATF Cleaner, ho proseguito con la scansione di prevxCSI ^^.

Ora con quel codice cosa debbo fare? :rolleyes:

Fai controllare su www.virustotal.com e su http://virscan.org/
D:\WINDOWS\System32\drivers\7bdbc467.sys

Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

Ricapitolando, dopo aver disabilitato il ripristino di sistema http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di Malwarebytes Anti-Malware aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)
log di A-squared scansione deep aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8)
log di Kaspersky Virus Removal Tool scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) oppure di F-Secure OnLine http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5)
log di ESET SysInspector http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)


Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Qui (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) e qui (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3) esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com (http://fileqube.com/)

Ehm.. c'è 1 problema.

Mi è impossibile fare tutte quelle operazioni, perché mi blocco al primo passaggio, ovvero il file non vuole essere hostato su nessuno dei 2 siti da te citati. Devo proseguire ugualmente?

PS= Tanto per cambiare, non posso più inserire faccine o mettere tutti gli stili di formattazione in questa finestra.. andiamo bene.. più tempo passa, più danni fà questo file..... :S

cosa non vuole essere hostato??

cosa non vuole essere hostato??

D:\WINDOWS\System32\drivers\7bdbc467.sys

-----

EDIT: Rendo noto cmq che PrevxCSI segnala anche un altro file sospetto, ovvero "D:/Windows/Temp/8F866171.exe", solo che se vado a controllare la cartella, mi esce si un file exe da circa 50kb.... ma con un nome diverso! Ovvero: 99FE390A.exe.
Uff.. mi sa che diventa sempre più un casino! :(

D:\WINDOWS\System32\drivers\7bdbc467.sys

-----

EDIT: Rendo noto cmq che PrevxCSI segnala anche un altro file sospetto, ovvero "D:/Windows/Temp/8F866171.exe", solo che se vado a controllare la cartella, mi esce si un file exe da circa 50kb.... ma con un nome diverso! Ovvero: 99FE390A.exe.
Uff.. mi sa che diventa sempre più un casino! :(
procedi con la guida, pensiamo dopo a quello

quello della cartella temp sicuramente è infetto e penso/spero venga spazzato dalla pulizia file inutili, o comunque nelle restanti scansioni