Ragazzi ho uno di quei fastidiosi malware o spyware, nn so come kiamarli...che mentre navigo con firefox mi apre automaticamente pagine di siti porno o di scommesse. Usando Hijackthis ho notato nel log questo strano processo, riconducibile ad un .exe di circa 300kb e ad alcune voci nel registro di sistema tutte con lo stesso nome (palufp)


Logfile of HijackThis v1.99.1
Scan saved at 23.47.25, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:

C:\documents and settings\user\impostazioni locali\dati applicazioni\palufp.exe



O4 - HKCU\..\Run: [palufp] "c:\documents and settings\user\impostazioni locali\dati applicazioni\palufp.exe" palufp

Cosa vi sembra?

Ciao benvenuto nel pronto soccorso di HU.

Per ripulire completamente il pc segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308).

Leggi bene tutto questo post, e salvo problemi gravi, arriverai in fondo alla guida in perfetta autonomia



Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Ricapitolando, dopo aver disabilitato il ripristino di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine e anche se non è stato rilevato nulla:

log di Malwarebytes Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9) aggiornato ad oggi
log di A-squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8) scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) scaricato oggi oppure di F-Secure OnLine (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5) scaricato oggi
log di ESET SysInspector (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13) <-- devi aggiornare la tua versione di hjt con quella del link
log di Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)



Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria, se non bastasse nemmeno così prova con il rescue cd di avira (http://www.hwupgrade.it/forum/showthread.php?t=1689812), a fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM (http://www.hwupgrade.it/forum/showpost.php?p=24113158&postcount=22), anche una memoria RAM con qualche giorno di vita può essere la causa di tutti i mali...

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log, qui (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) e qui (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3) esempi precisi ed ordinati di come vorremmo tu li caricassi.

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com, imageshack (http://fileqube.com/)

L' exe sospetto di cui sopra l'ho eliminato, così anche tutte le voci presenti nel registro. Il problema non si è più ripresentato cmnq per sicurezza sto facendo tutte le scansioni secondo le modalità da te indicate. Appena finisco vi posto i log

1. log di Malwarebytes : http://www.fileqube.com/file/BYZRjT145500
2. log di A-squared : http://www.fileqube.com/file/qjCUeFve145501
3. log di Kaspersky Virus Removal Tool : http://www.fileqube.com/file/hMDngLd145503
4. log di Dr.Web CureIT : www.hwupgrade.helloweb.eu/ParserLog/log/output4681900652.txt
5. log di ESET SysInspector : http://www.fileqube.com/file/UNxAhPTXu145504
6. log di HiJackThis : http://www.fileqube.com/file/VHFktDD145505
7. log di Gmer : http://www.fileqube.com/file/LhmxOlywV145506
8. log di PrevxCSI : http://www.fileqube.com/file/WEOcMm145508



OPPURE unico file .rar contenente tutti e 8 i log : http://www.fileqube.com/file/VUgwRn145513 dimensioni:300kb

log caricati alla perfezione ;)

con hjt fixa queste voci

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Pinnacle WebUpdater] "C:\Programmi\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe" -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles
O4 - HKLM\..\Run: [BDRegion] C:\Programmi\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.3.5.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muwe b_site.cab?1202743282109
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab


poi segui il trattamento che ho in firma

java va aggiornata

Successivamente a quanto detto sopra:

1 Provvedi a svuotare il contenuto della cartella Prefetch da Start - Tutti i programmi - Accessori - Esplora risorse il percorso è il seguente C:\WINDOWS\Prefetch mi raccomando devi eliminare SOLO il contenuto NON LA CARTELLA


2 http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare:
Combofix
Nuovo log prevx CSI
Nuovo log HJT

ah ecco...stavo rispondendo al pv:p da dove posso aggiornare java?

ah ecco...stavo rispondendo al pv:p da dove posso aggiornare java?

trovi tutto nel trattamento ;)
fai prima il fix con hjt e le operazioni che ti ha elencato chill

Fatto tutto secondo istruzioni. Ecco:


log di Combofix : http://www.fileqube.com/file/xgFLbq145584
nuovo log di Hijackthis : http://www.fileqube.com/file/ZtYEhy145585
nuovo log di PrevxCSI : http://www.fileqube.com/file/bMmrPRvU145586

Ragazzi da quando ho eseguito combofix mi è scomparso il drive D: che non è una partizione ma è un altro hard disk vero e proprio. Ho riavviato ma niente. Devo preoccuparmi??? Mi aiutate a risolvere???

Ragazzi da quando ho eseguito combofix mi è scomparso il drive D: che non è una partizione ma è un altro hard disk vero e proprio. Ho riavviato ma niente. Devo preoccuparmi??? Mi aiutate a risolvere???

Combo l'hai fatto girare 2 volte, allega il primo log, non mi risulta che Combo faccia sparire gli HD semmai il contrario.

L'hard disk è scomparso. Non so più che fare
In più ci sono problemi con dei driver del firewall

Il primo log dove dovrebbe essere?

L'hard disk è scomparso. Non so più che fare
In più ci sono problemi con dei driver del firewall

Il primo log dove dovrebbe essere?

C:\combofix.txt

Ma è lo stesso log che ho postato. Allora ti spiego: quando ho eseguito combofix la prima volta ho fatto tutto quello ke mi hai scritto compreso disconnettermi fisicamente da internet. Però ad un certo punto combo mi ha chiesto la connesione ad internet per installare un componente di windows mancante, non ricordo bene quale. Ma nel frattempo si è collagato in wireless mio fratello col portatile e il router gli ha assegnato l'ip che avevo io prima di scollegarmi (lui nn ha l'ip fisso in default a differenza del mio pc desktop), quindi quando ho collegato avevo problemi con l'ip e nn si collegava ad internet. Risultato ho dovuto cambiare ip e riavviare, quindi combo si è interrotto. L'ho rieseguito al riavvio, ha scaricato quello ke mancava, ed infine ha creato il log ke vi ho postato. Quindi io ho un solo log. La faccenda è un pò intricata ma tutto sommato lineare...:p

P.S. Comunque l'hard disk è ricomparso dopo aver fatto un test con seatools:) :D :)

Ma è lo stesso log che ho postato. Allora ti spiego: quando ho eseguito combofix la prima volta ho fatto tutto quello ke mi hai scritto compreso disconnettermi fisicamente da internet. Però ad un certo punto combo mi ha chiesto la connesione ad internet per installare un componente di windows mancante, non ricordo bene quale. Ma nel frattempo si è collagato in wireless mio fratello col portatile e il router gli ha assegnato l'ip che avevo io prima di scollegarmi (lui nn ha l'ip fisso in default a differenza del mio pc desktop), quindi quando ho collegato avevo problemi con l'ip e nn si collegava ad internet. Risultato ho dovuto cambiare ip e riavviare, quindi combo si è interrotto. L'ho rieseguito al riavvio, ha scaricato quello ke mancava, ed infine ha creato il log ke vi ho postato. Quindi io ho un solo log. La faccenda è un pò intricata ma tutto sommato lineare...:p

P.S. Comunque l'hard disk è ricomparso dopo aver fatto un test con seatools:) :D :)

Cosa ti avevo detto Combo non fà sparire gli HD, a questo punto direi che siamo ok :)

quindi dagli ultimi log che ho postato è tutto ok?

quindi dagli ultimi log che ho postato è tutto ok?

Si! anche se avrei voluto vedere il primo log di Combo ;)

Vi ringrazio tanto per l'aiuto che mi avete dato sia tu Chill-Out che wjmat ;)
e scusatemi se c'è stato qualke inghippo...:D

Vi ringrazio tanto per l'aiuto che mi avete dato sia tu Chill-Out che wjmat ;)
e scusatemi se c'è stato qualke inghippo...:D

Prego di nulla, buon proseguimento su HWU ;)

Vi ringrazio tanto per l'aiuto che mi avete dato sia tu Chill-Out che wjmat ;)
e scusatemi se c'è stato qualke inghippo...:D

di nulla ciao