Ciao a tutti!
Mi serve il vostro aiuto al più presto!
Ora vi spiego in che situazione si trova il mio pc!
Il mio è un windows xp, service pack 2, 768 Mega di memoria RAM!

Fino a ieri avevo come antivirus il Panda (2008) ma ultimamente succedevano cose strane nel mio pc: suoni di click di cartelle e finestre che si aprono quando in realtà non succedeva...sportello del lettore cd/dvd che si apre da solo!Insomma cose che mi hanno fatto pensare che il mio pc non era molto al sicuro!Così ho pensato di installare Kaspersky Internet Security 2009 (con cui mi trovo bene perchè lo uso anche nel portatile che è un Vista con 4 giga di RAM)...Per fortuna niente rallentamenti!
Ma quando vado a fare la scansione completa mi trova un trojano (trojan-proxy.Win32.Saturn) nella memoria di sistema!!!!
Continua la sua scansione e poi dopo aver disinfettato, riavvia il sistema!
Ma se dopo il riavvio faccio di nuovo la scansione eccolo che compare nuovamente!!!
Come devo fare?
Posso risolvere in qualche modo o devo formattare?
Per favore...aiutatemi!!!

Ciao benvenuto nel pronto soccorso di HU.

Per ripulire completamente il pc segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308).

Leggi bene tutto questo post, e salvo problemi gravi, arriverai in fondo alla guida in perfetta autonomia



Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Ricapitolando, dopo aver disabilitato il ripristino di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine e anche se non è stato rilevato nulla:

log di Malwarebytes Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9) aggiornato ad oggi
log di A-squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8) scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) scaricato oggi oppure di F-Secure OnLine (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5) scaricato oggi
log di ESET SysInspector (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)


Se il pc dovessse essere molto compromesso (es. riavvii frequenti, schermate blu) oppure hai problemi con internet per aggiornare i programmi leggi qui (http://www.hwupgrade.it/forum/showpost.php?p=24315070&postcount=27)

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...




link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com, imageshack (http://fileqube.com/)

Non c'è un modo meno complicato e più rapido per risolvere?

le scansioni lunghe sono solo la prime 4 le restanti sono velocissime
se segui la guida vieni fuori pulito al 100% se non ti va bene vedi tu... ;)

Non è che non mi và bene, però per eseguire tutte queste cose dovrei studiarci un pò e perdo tanto tempo...ok...il problema è mio!
Quindi mi metto a lavoro!Vediamo che succede!
Appena riesco posto i log!Spero di farcela!:D

Le prime due scansioni le ha fatte....trovando file infetti naturalmente.
Però la terza, cioè lo scanner online (F-SECURE) mi manda in crash il sistema riavviandolo!
Come faccio?
Ho dimenticato qualcosa?
Devo per caso disattivare kaspersky mentre fa la scansione?
Spero in una risposta al più presto!

Le prime due scansioni le ha fatte....trovando file infetti naturalmente.
Però la terza, cioè lo scanner online (F-SECURE) mi manda in crash il sistema riavviandolo!
Come faccio?
Ho dimenticato qualcosa?
Devo per caso disattivare kaspersky mentre fa la scansione?
Spero in una risposta al più presto!

Per il momento lo tralasciamo, passa al Punto successivo :)

ok...anche perchè lo ha rifatto adesso che avevo provato a disattivare kaspersky...
Passo al successivo.

Rieccomi!
Ecco quello che sono riuscita a fare nel mio piccolo:
Ho disattivato la protezione di sistema e pulito con AFT-Cleaner poi ho scansionato. Spero di non sbagliare nel postare i log!

Malwarebytes log > http://wikisend.com/download/802096/mbam-log-2008-11-12 (12-50-27).txt
A-Squared log > http://wikisend.com/download/970744/a2scan_081112-130222.txt
Dr.Web log > http://wikisend.com/download/511734/CureIt.log
ESET Sys log > http://wikisend.com/download/524332/SysInspector-ENRICA-67091F19-081112-1935.xml
Hijackthis log > http://wikisend.com/download/601900/hijackthis.log
Gmer log > http://wikisend.com/download/938540/gmer.txt
PrevxCSI log> http://wikisend.com/download/948780/prevx csi.log


Ricordo che non sono riuscita ad eseguire la scansione con F-secure online poichè mi mandava in crash il sistema riavviandolo.

Per ciò che riguarda il log di Dr.Web ...ParserLog l'ho scaricato ma al momento di decomprimerlo mi dava "Archivio danneggiato" è così non l'ho potuto usare per snellire il log!Mi spiace!:(

Spero di risolvere presto!
E grazie per il vostro aiuto!
Attendo vostri suggerimenti prima di far qualcosa :D

Bene adesso prova a rifare la scansione con F-Secure, aggiornaci sulle condizioni del PC

Quindi dai file log che ho postato risulta tutto ok?
La scansione con F-Secure penso di farla ormai domani mattina perchè adesso non posso(attualmente scrivo da un portatile).
Ah...volevo aggiungere anche un'altra cosa: oggi non è stata la prima volta che il pc durante un'attività si autoriavvia senza preavviso, spesso mi succede anche durante la masterizzazione e a volte lo fa anche senza che vi siano applicazioni in funzionamento!
Secondo voi potrebbe essere dovuto alla presenza di virus o alla scarsa memoria di Ram?
Una risposta a questo problema potrebbe essermi molto d'aiuto perchè mi evita scritture fallite o perdite di dati.

ps: vi terrò aggiornati prima che posso.

Quindi dai file log che ho postato risulta tutto ok?
La scansione con F-Secure penso di farla ormai domani mattina perchè adesso non posso(attualmente scrivo da un portatile).
Ah...volevo aggiungere anche un'altra cosa: oggi non è stata la prima volta che il pc durante un'attività si autoriavvia senza preavviso, spesso mi succede anche durante la masterizzazione e a volte lo fa anche senza che vi siano applicazioni in funzionamento!
Secondo voi potrebbe essere dovuto alla presenza di virus o alla scarsa memoria di Ram?
Una risposta a questo problema potrebbe essermi molto d'aiuto perchè mi evita scritture fallite o perdite di dati.

ps: vi terrò aggiornati prima che posso.

Bene, ripeti anche la scansione col Kaspersky ed allega il log, ciao.

Bene, ripeti anche la scansione col Kaspersky ed allega il log, ciao.

La scansione con F-Secure non sono riuscita a farla, come al solito mi si riavvia una volta che inizia a scansionare.
L'ho fatta invece con il mio Kaspersky Internet Security e posto qui il log:
http://wikisend.com/download/512072/kaspersky.txt

(nel log sono presenti rapporti precedenti a quello di oggi..dove non riusciva ad eliminare il trojan oggetto della mia discussione.)
A quanto pare per Kaspersky il trojan non esiste più!
Mi ha trovato però delle vulnerabilità.
Comunque aspetto il vostro parere e ulteriori consigli!
Grazie come sempre! :D

La scansione con F-Secure non sono riuscita a farla, come al solito mi si riavvia una volta che inizia a scansionare.
L'ho fatta invece con il mio Kaspersky Internet Security e posto qui il log:
http://wikisend.com/download/512072/kaspersky.txt

(nel log sono presenti rapporti precedenti a quello di oggi..dove non riusciva ad eliminare il trojan oggetto della mia discussione.)
A quanto pare per Kaspersky il trojan non esiste più!
Mi ha trovato però delle vulnerabilità.
Comunque aspetto il vostro parere e ulteriori consigli!
Grazie come sempre! :D

Dal log del Kaspersky si evince che il problema è stato risolto, però controllando i log allegati fino ad ora ho notato l'utilizzo di software acchiappa virus :D senza aggiungere null'altro ti suggerisco di leggere qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

Dal log del Kaspersky si evince che il problema è stato risolto, però controllando i log allegati fino ad ora ho notato l'utilizzo di software acchiappa virus :D senza aggiungere null'altro ti suggerisco di leggere qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

E' vero...so a cosa ti riferisci e ho già provveduto a rimuovere il tutto!
Grazie per l'aiuto!

Per il momento lo tralasciamo, passa al Punto successivo :)

Fin ad ora io ed arriga stessi disagi. Maledetto Troian. Ho fatto le prime due scansioni, ho salvato in una cartella i log (se ho capito bene servono x capire il virus e come intervenire). con F-Secure anche a me va in crash il sistema.
Per cui come consigliato da Chill-Out vado al punto successivo.
(Non abbandonatemi.)

Fin ad ora io ed arriga stessi disagi. Maledetto Troian. Ho fatto le prime due scansioni, ho salvato in una cartella i log (se ho capito bene servono x capire il virus e come intervenire). con F-Secure anche a me va in crash il sistema.
Per cui come consigliato da Chill-Out vado al punto successivo.
(Non abbandonatemi.)

Segui passo la Guida alla disinfezione http://www.hwupgrade.it/forum/showthread.php?t=1599737 ed allega i log per il controllo nel rispetto delle Regole di sezione

Ciao

Ciao benvenuto nel pronto soccorso di HU.


Grandissimo wjmat:D

Questo è il frutto delle scansioni come da vs indicazioni. Non sono un esperto, quindi qualche errore avro' fatto. Questo forum è eccezionale, comunque vada mi ha fatto un gran piacere individuarlo. I forum sono tra le realtà più belle della rete.
Ringrazio anticipatamente e attendo istruzioni.
a presto

http://wikisend.com/download/521690/a2scan_090425-220123.txt

http://wikisend.com/download/461320/CureIt.log

http://wikisend.com/download/964808/GMER.log

http://wikisend.com/download/536520/hijackthis.log

http://wikisend.com/download/939972/mbam-log-2009-04-25 (21-12-21) tris.txt

http://wikisend.com/download/607938/Prevx.log

http://wikisend.com/download/511168/SysInspector-SPERA-P4-090426-1014.zip

Ho provato poi a far fare una scanzione con F.Secure ma niente da fare sistema si spegne e poi si riavvia.
l'ho fatto con il mio Kespersky da pochi giorni installato e di ciu allego il Log:

http://wikisend.com/download/960834/Kaspersky def.txt

sembra che si sia risolto, ma non ne ho la certezza,..attendo indicazioni dagli esperti.

Domanda. Posso fleggare adesso "Ripristino del Sistema" ??

Ho provato poi a far fare una scanzione con F.Secure ma niente da fare sistema si spegne e poi si riavvia.
l'ho fatto con il mio Kespersky da pochi giorni installato e di ciu allego il Log:

http://wikisend.com/download/960834/Kaspersky def.txt

sembra che si sia risolto, ma non ne ho la certezza,..attendo indicazioni dagli esperti.

Domanda. Posso fleggare adesso "Ripristino del Sistema" ??

Ciao questo è l'estratto del log di MBAM

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> No action taken.

No action taken siginifica che non hai eliminato nulla, ripeti scansione completa, elimina tutti gli elemtenti infetti irlevati e riallega nuovo log

Riepilogo log da allegare
MBAM
Nuovo log di Gmer
Nuovo log di SysInspector in formato .xml esattamente come indicato in Guida

Grazie Chill-Out, sapevo che qualcosa andava rifatta,..domani completero' tutto e alleghero i log come richiesto.:doh:
Grazie per la disponibilità.

Eccomi,..scusate ma ieri non è stato possibile completare le scnsioni.

Malwarebytes - http://wikisend.com/download/446786/mbam-log-2009-04-27 (22-03-11) bis.txt

Gmer - http://wikisend.com/download/945344/gmer.log

Eset Sysinspector - il sistema va in crash, pagina blu e poi si riavvia, questo più volte.

Spero che sia sufficiente. cmq Grazie.

Eset Sysinspector - http://wikisend.com/download/520154/SysInspector-SPERA-P4-090426-1014.xml

questa è la scansione che ho fatto l'altro ieri. Ora come ho scritto sopra, facendo partire Eset Sysinspector il sistema va in crash.

Rilancia la scansione con Gmer terminata la stessa seleziona il Servizio identificato come hidden Service (*** hidden *** ) [AUTO] asc3550p lo selezioni col tasto dx del mouse e clicca su Delete Service, al termine alleghi nuovo log di Gmer :)

Ecco fatto. Spero che abbia fatto tutto beme.

http://wikisend.com/download/551526/gmer bis.log

Ecco fatto. Spero che abbia fatto tutto beme.

http://wikisend.com/download/551526/gmer bis.log

Dovremmo essere OK, ti suggerisco di leggere questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao :)

Grazie Chill-Out, grazie della tua disponibilità.
per qualche giorno non ci saro', appena rientro seguiro' ancora le tue indicazioni.
Sono contento di avervi conosciuto.:)

A presto.

Grazie Chill-Out, grazie della tua disponibilità.
per qualche giorno non ci saro', appena rientro seguiro' ancora le tue indicazioni.
Sono contento di avervi conosciuto.:)

A presto.

Prego, ciao ;)

Prego, ciao ;)

Forse ho cantato vittoria troppo presto Chill.

Forse ho cantato vittoria troppo presto Chill.

Scansione completa: in esecuzione (eventi: , oggetti: 0, time: 00.01.13)
05/05/2009 22.55.44 Rilevato: http://www.viruslist.com/it/advisories/34451 C:\WINDOWS\system32\java.exe
05/05/2009 22.55.12 Non isolati: Trojan-Proxy.Win32.Saturn.a System Memory Rimandato
05/05/2009 22.54.56 Rilevato: Trojan-Proxy.Win32.Saturn.a System Memory

Scansione completa: in esecuzione (eventi: , oggetti: 0, time: 00.01.13)
05/05/2009 22.55.44 Rilevato: http://www.viruslist.com/it/advisories/34451 C:\WINDOWS\system32\java.exe
05/05/2009 22.55.12 Non isolati: Trojan-Proxy.Win32.Saturn.a System Memory Rimandato
05/05/2009 22.54.56 Rilevato: Trojan-Proxy.Win32.Saturn.a System Memory

Cosa ti avevo suggerito? http://www.hwupgrade.it/forum/showthread.php?t=1726383 :read:

Aggiornare i software complementari è di fondamentale importanza onde evitare spiacevoli infezioni

Aggiorna MBAM e produci scansione completa

Ecco Chill.

mbam : http://wikisend.com/download/441800/mbam-log-2009-05-07 (06-52-42).txt

poi ho fatto partire di nuovo la scansione di Kaspersky,.. questo è il log.

http://wikisend.com/download/441796/log 7 maggio.txt


non so più cosa fare. Ecco perchè il titolo del 3d.

poi ho fatto partire di nuovo la scansione di Kaspersky,.. questo è il log.

http://wikisend.com/download/441796/log 7 maggio.txt


non so più cosa fare. Ecco perchè il titolo del 3d.

Avevamo risolto il problema, dopodichè non ti sei premurato come da Guida di aggiornare i software complementari obsoleti quindi vulnerabili e purtroppo questo è il risultato

Allega un log di Gmer :)

Ecco il Log Chill

http://wikisend.com/download/478324/gmer 9 maggio.log

ho gia' eliminato le righe in rosso (Tasto destro e poi Delete)

Ecco il Log Chill

http://wikisend.com/download/478324/gmer 9 maggio.log

ho gia' eliminato le righe in rosso (Tasto destro e poi Delete)

Aggiorna MBAM e produci il log di una scansione completa + scansione di controllo con il tuo AV residente ovvero Kaspersky :)

Questa è la prima scansione con Kaspersky

http://wikisend.com/download/220786/Kaspersky 9 maggio.txt

ma appena due minuti dopo:

http://wikisend.com/download/747890/Kaspersky 9 maggio bis.txt

E' sempre li',..inamovibile.,
Non riesco neppure ad avviare XP in modalita' provvisoria (con F8, ma c'è un'altro modo) x fare una scansione.
Chill scusami, ma non riesco ad eliminare sto st..... di Troian

Questa è la prima scansione con Kaspersky

http://wikisend.com/download/220786/Kaspersky 9 maggio.txt

ma appena due minuti dopo:

http://wikisend.com/download/747890/Kaspersky 9 maggio bis.txt

E' sempre li',..inamovibile.,
Non riesco neppure ad avviare XP in modalita' provvisoria (con F8, ma c'è un'altro modo) x fare una scansione.
Chill scusami, ma non riesco ad eliminare sto st..... di Troian

Ti avevo chiesto di ripetere una scansione completa con MBAM aggiornato, successivamente a questa scansione completa col Kaspersky

Riepilogo log da allegare:
MBAM
Kaspersky
Gmer ->> senza cancellare nulla

Sono riuscito ad attivare Windows in modalità provvisoria ed a fare una scansione con Kaspersky,..ora sembra tutto ok, allego il log.

http://wikisend.com/download/947924/kaspersky ultimo.txt

ma se ho capito bene il Troian è stato disabilitato ma non annullato.

Chill devo fare ugualmente le scansioni che mi chiedi ?? o altro. :confused:

Sono riuscito ad attivare Windows in modalità provvisoria ed a fare una scansione con Kaspersky,..ora sembra tutto ok, allego il log.

http://wikisend.com/download/947924/kaspersky ultimo.txt

ma se ho capito bene il Troian è stato disabilitato ma non annullato.

Chill devo fare ugualmente le scansioni che mi chiedi ?? o altro. :confused:

Sarebbe meglio, mi sembra ci sia in giro ancora la chiave di registro infetta :)

Inoltre riallacciandomi al discorso relativo ai software complementari da aggiornare, il tuo AV ti segnala addirittura cosa e come aggionrare, estratto dal log del Kaspersky

Rilevato: http://www.viruslist.com/it/advisories/33632 c:\windows\system32\QuickTime.qts

provvedi quanto prima.

Ecco i risultati:

http://wikisend.com/download/448700/mbam-log-2009-05-10 (10-02-32).txt

http://wikisend.com/download/461152/kasp 10 mag.txt

http://wikisend.com/download/461412/gmer 10 mag.log

nell'ordine che mi hai indicato Chill.
Ora resto in attesa di Tue indicazioni.

a presto.

p.s. grazie ancora Chill.

Ecco i risultati:

http://wikisend.com/download/448700/mbam-log-2009-05-10 (10-02-32).txt

http://wikisend.com/download/461152/kasp 10 mag.txt

http://wikisend.com/download/461412/gmer 10 mag.log

nell'ordine che mi hai indicato Chill.
Ora resto in attesa di Tue indicazioni.

a presto.

p.s. grazie ancora Chill.

Ok eliminata come presumevo la chiave infetta il log di Gmer è Ok, adesso ti aiuti con questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 e con le vulnerabilità evidenziate dal Kaseprsky stesso e procedi con gli aggiornamenti.

Seguiro' le indicazioni come segnalatomi, tra qualche giorno verifichero' poi se risulta ancora il Troian.
Ti ringrazio Chill sei stato molto utilie.:)

Trojan Proxy.AISL

Ciao ragazzi, ho un problema simile e spero che qualcuno di voi possa aiutarmi direttamente o magari anche solo suggerendomi una guida, questi il miei problemi (ho Windows XP con SP3):
1) Ho scansionato l’intero PC con AVG Free 8.5 aggiornato e mi ha trovato la seguente infezione: "Trojan Proxy.AISL"; questo il file: C:\Documents and Settings\Utente\Impostazioni locali\Temp\~temp\mlp92\mdm.exe
Ho provato a correggerlo o a eliminarlo ma non ci sono riuscito, ricompare puntualmente.
2) CCleaner ha trovato il seguente file: “c.exe” (peso: 164 KB), presente in C:\Documents and Settings\Utente\Impostazioni locali\Temp .
Vorrei eliminarlo ma non ci riesco. Sono solo riuscito ad immobilizzarlo all’avvio con CCleaner
Inoltre ho scansionato il PC con Spybot aggiornato e immunizzato i file segnalati.
Qualcuno può aiutarmi? Grazie in anticipo

Trojan Proxy.AISL

Ciao ragazzi, ho un problema simile e spero che qualcuno di voi possa aiutarmi direttamente o magari anche solo suggerendomi una guida, questi il miei problemi (ho Windows XP con SP3):
1) Ho scansionato l’intero PC con AVG Free 8.5 aggiornato e mi ha trovato la seguente infezione: "Trojan Proxy.AISL"; questo il file: C:\Documents and Settings\Utente\Impostazioni locali\Temp\~temp\mlp92\mdm.exe
Ho provato a correggerlo o a eliminarlo ma non ci sono riuscito, ricompare puntualmente.
2) CCleaner ha trovato il seguente file: “c.exe” (peso: 164 KB), presente in C:\Documents and Settings\Utente\Impostazioni locali\Temp .
Vorrei eliminarlo ma non ci riesco. Sono solo riuscito ad immobilizzarlo all’avvio con CCleaner
Inoltre ho scansionato il PC con Spybot aggiornato e immunizzato i file segnalati.
Qualcuno può aiutarmi? Grazie in anticipo
ciao

segui qui
http://www.hwupgrade.it/forum/showpost.php?p=24978427&postcount=2

mille grazie, seguo la guida, poi ti aggiorno

Spero sia comprensibile e sopratutto che non manchi nulla...

Malwarebytes log http://wikisend.com/download/613200/mbam-log-2009-12-26 (18-08-11).txt
A-Squared log http://wikisend.com/download/929218/a2scan_091226-184943.txt
Dopo aver detto a A-Squared di spostare in quarantena i file trovati mi sono apparsi diversi messaggi relativi ad altrettanti file in cui si leggeva che i file non potevano essere eliminati e si consigliava di rimuovere la protezione di sola lettura. Vedi screenshot: http://img683.imageshack.us/img683/3937/screenshotasquared.jpg
Kaspersky Dopo avergli detto di eliminare i file trovati ha effettuato scansione, dopodiché mi ha detto che era necessario un “trattamento speciale”. Ho acconsentito, ma fatto ciò si è bloccata l’applicazione e non mi è stato possibile avviare nessun altro software e neppure spegnere secondo la normale procedura il PC. L’ho dovuto spegnere premendo sull’interruttore di accensione (trattasi di portatile). All’avvio successivo mi sono apparsi alcuni errori, vedi screenshots: http://img691.imageshack.us/g/screenshoterroreavvio1.jpg/
Non sono stato in grado di salvare il log, ma ho degli screenshots del report: http://img707.imageshack.us/g/screenshotkaspesky2.jpg/
Dr Web log http://wikisend.com/download/482964/cureit filtrato.txt
Effettua di default scansione rapida. Dopo scansione ha trovato un file che mi è stato chiesto di curare, ho detto si è mi è comparso messaggio che chiedeva di spostarlo (vedi screenshot): http://img96.imageshack.us/img96/5943/screenshotdoctorweb.jpg
Ho detto SI.
Poi messaggio: Modifiche al file HOSTS sono indicative di possibili operazioni di software malevolo. Vuoi ripristinare il file HOSTS di default? NO
Infine avviata scansione completa.
A fine scansione messaggio: Modifiche al file HOSTS sono indicative di possibili operazioni di software malevolo. Vuoi ripristinare il file HOSTS di default? NO
Screenshot di messaggio finale: http://img37.imageshack.us/img37/5392/screenshotfinaledoctorw.jpg
ESET Sys log http://wikisend.com/download/449172/SysInspector-HP-PAVILION-ZV-091227-1015.xml
Hijackthis log http://wikisend.com/download/533486/hijackthis.log
Gmer log http://wikisend.com/download/445164/GMER.log
La versione 1.0.15 mi si impallava, ho fatto la scansione con la 1.0.14
PrevxCSI log http://wikisend.com/download/652712/Prevx.log
Screenshot: http://img9.imageshack.us/img9/2079/screenshotprevx.jpg

Fatemi sapere!! Grazie

Spero sia comprensibile e sopratutto che non manchi nulla...

Malwarebytes log http://wikisend.com/download/613200/mbam-log-2009-12-26 (18-08-11).txt
A-Squared log http://wikisend.com/download/929218/a2scan_091226-184943.txt
Dopo aver detto a A-Squared di spostare in quarantena i file trovati mi sono apparsi diversi messaggi relativi ad altrettanti file in cui si leggeva che i file non potevano essere eliminati e si consigliava di rimuovere la protezione di sola lettura. Vedi screenshot: http://img683.imageshack.us/img683/3937/screenshotasquared.jpg
Kaspersky Dopo avergli detto di eliminare i file trovati ha effettuato scansione, dopodiché mi ha detto che era necessario un “trattamento speciale”. Ho acconsentito, ma fatto ciò si è bloccata l’applicazione e non mi è stato possibile avviare nessun altro software e neppure spegnere secondo la normale procedura il PC. L’ho dovuto spegnere premendo sull’interruttore di accensione (trattasi di portatile). All’avvio successivo mi sono apparsi alcuni errori, vedi screenshots: http://img691.imageshack.us/g/screenshoterroreavvio1.jpg/
Non sono stato in grado di salvare il log, ma ho degli screenshots del report: http://img707.imageshack.us/g/screenshotkaspesky2.jpg/
Dr Web log http://wikisend.com/download/482964/cureit filtrato.txt
Effettua di default scansione rapida. Dopo scansione ha trovato un file che mi è stato chiesto di curare, ho detto si è mi è comparso messaggio che chiedeva di spostarlo (vedi screenshot): http://img96.imageshack.us/img96/5943/screenshotdoctorweb.jpg
Ho detto SI.
Poi messaggio: Modifiche al file HOSTS sono indicative di possibili operazioni di software malevolo. Vuoi ripristinare il file HOSTS di default? NO
Infine avviata scansione completa.
A fine scansione messaggio: Modifiche al file HOSTS sono indicative di possibili operazioni di software malevolo. Vuoi ripristinare il file HOSTS di default? NO
Screenshot di messaggio finale: http://img37.imageshack.us/img37/5392/screenshotfinaledoctorw.jpg
ESET Sys log http://wikisend.com/download/449172/SysInspector-HP-PAVILION-ZV-091227-1015.xml
Hijackthis log http://wikisend.com/download/533486/hijackthis.log
Gmer log http://wikisend.com/download/445164/GMER.log
La versione 1.0.15 mi si impallava, ho fatto la scansione con la 1.0.14
PrevxCSI log http://wikisend.com/download/652712/Prevx.log
Screenshot: http://img9.imageshack.us/img9/2079/screenshotprevx.jpg

Fatemi sapere!! Grazie

disinfezione documentata perfettamente, è giusto dirlo visto che lo si vede molto raramente :)

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)


F3 - REG:win.ini: load=C:\WINDOWS\System32\drivers\clipsrv.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,G:\msw0vks.exe,
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Policies\Explorer\Run: [HP Online Support] C:\WINDOWS\system32\ConSvc.exe
O4 - HKLM\..\Policies\Explorer\Run: [MqtgSVC] C:\WINDOWS\mqtgsvc.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\esentutl.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\esentutl.exe /waitservice (User 'Default user')
O4 - Startup: setup_9.0.0.722_25.12.2009_11-11.lnk = C:\Documents and Settings\Utente\Desktop\Virus Removal Tool\setup_9.0.0.722_25.12.2009_11-11\startup.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: P2 Card Manager.lnk = C:\Programmi\Panasonic P2\Drivers\App\P2TaskTray.exe
O15 - Trusted Zone: http://www.flvdirect.com
O15 - Trusted Zone: http://micro.moe.hm
O15 - Trusted Zone: http://axxe.trompizgerbo.com
O15 - ESC Trusted Zone: http://www.flvdirect.com
O15 - ESC Trusted Zone: http://micro.moe.hm
O15 - ESC Trusted Zone: http://axxe.trompizgerbo.com


devi aggiornare
Internet Explorer alla versione 8
non si vede o è disattivato il firewall
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)


fai controllare su www.virustotal.com e su http://virscan.org/
c:\windows\system32\flur.exe


Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)

Mille grazie wjmat
Ho seguito le indicazioni e questi sono gli esiti:

Scansionato con HijackThis e rimossi i file segnalati. Scomparsi inoltre gli errori all’avvio: http://img691.imageshack.us/g/screenshoterroreavvio1.jpg Però compare ancora la messaggistica di Prevx: http://img51.imageshack.us/img51/1439/screeshotprevxavvio.jpg
Internet Explorer aggiornato alla versione 8.
Controllato Firewall: è attivo
Scan di: C:\windows\ system32\flur.exe
VirusTotal: http://www.virustotal.com/it/analisis/e04c1bea84e6162a8c32630b59e8c925616ff56cd39deb1159d4122afa05efd4-1260605938
VirScan:
http://virscan.org/report/b32456a27031f0c070d6600d298d1a4a.html

Ancora da fare: “aggiornare i programmi installati tra cui quelli più vulnerabili”

Grazie ancora!

sembrerebbe un falso positivi quindi nulla di preocupante, ma se vuoi spostalo nel cestino

Grazie ancora wjmat, gentilissimo
Ti aggiorno: ho eliminato C:\windows\ system32\flur.exe
Poi ho fatto delle prove per vedere se era tutto a posto e ho riscontrato questa anomalia: se clicco sull’icona della chiavetta usb per accedervi mi appare il seguente errore: http://img63.imageshack.us/img63/1981/screenshotusb.jpg Ma se clicco col tasto dx del mouse + esplora mi fa accedere.
Nota: la stessa chiavetta è stata sottoposta a tutta la procedura di disinfezione.
Di che si tratta?

Ancora grazie

verifica come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1599603) che non ci sia nulla di infetto all'interno

seguito procedimento e testato usb, il problema sembra risolto. poi ho effettuato una scansione con kaspersky con chiavette inserite e non è stato rilevato nulla.
ora manca solo la procedura di post disinfezione.
pensavo di sostituire avg con antivir (che ho già installato e aggiornato), ha senso?
grazie infinite per il tuo aiuto, dire che è stato impagabile sarebbe davvero troppo poco.

qui consigliamo antivir poi vedi tu :)

impagabile un corno... a chi la intesto la fattura?? :D

urca, ti faccio subito un assegno! :D

urca, ti faccio subito un assegno! :D

meglio bonifico, ti mando l'iban in pvt

ciao

:mano: :)

Salve a tutti, sono nuovo e spero di non aver sbagliato a postare; ho cercato Win32.saturn.jt ed eccomi quà!

mi servirebbe un aiuto urgente: premesso che ho Windows XP Professional SP2, Intel® Core™ i5 e 3GB di RAM, ho dei problemi con 2 simpatici amici (uno dei due in realtà è di vecchia data, per così dire)...vi copio il responso di Kaspersky:

07/01/2010 22.25.24 C:\WINDOWS\system32\Drivers\beep.sys Applicazione Accesso a Windows NT Rilevato: Trojan-Proxy.Win32.Saturn.jt

07/01/2010 22.34.54 Non isolati: Trojan-Proxy.Win32.Saturn.jt
C:\System Volume Information\_restore{E544B736-D720-45B8-8681-6F59D6673A43}\RP128\A0020713.sys Rimandato

26/12/2009 12.38.23 Non isolati: Net-Worm.Win32.Kido.ih H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx Rimandato

H:\ si riferisce al mio hard disk esterno.
Ad ogni scansione li rileva, li elimina e mi chiede di riavviare. Solo che poi si ripresentano all'avvio successivo. Che fare?

il kido non mi da apparentemente problemi, infatti ce l'ho da quasi un mese...
l'altro invece mi ha un po' allarmato perchè quando è stato rilevato credo m'abbia incasinato i driver di windows e Kaspersky m'ha fatto riavviare d'urgenza. comunque, dato che non ci capisco quasi nulla, mi affido a voi.
pleeeeeeeease :help: :help: :help:

Segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

allora...
scansiono con ATF-Cleaner = senza problemi
Malwarebytes Anti-Malware = scansiono senza problemi, salvo il log
A-Squared Free = scansiono senza problemi, salvo il log
Kaspersky Virus Removal Tool & F-Secure OnLine = effettuo la scansione con entrambi, nessuno mi trova nulla, ma non riesco a salvare alcun file log (probabilmente per inettitudine mia...)
DrWeb CureIT = e quà viene il bello: mi fa prima una scansione veloce (ce l'ha impostata di default) e non mi trova niente. gli faccio fare quindi una scansione completa, durante la quale (che ormai durava da circa 6 ore!!!) mi si riavvia il pc, senza preavviso...

al riavvio, Kaspersky mi segnala 12 volte nel giro di 2 minuti la seguente stringa:

09/01/2010 17.49.48 Rilevato: Net-Worm.Win32.Kido.ih Installazione del Service Pack per Windows H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

devo continuare con i successivi programmini o già questo è indice di qualcosa?

allora...
scansiono con ATF-Cleaner = senza problemi
Malwarebytes Anti-Malware = scansiono senza problemi, salvo il log
A-Squared Free = scansiono senza problemi, salvo il log

Non vedo i log di Malwarebytes e A-Squared ...


Kaspersky Virus Removal Tool & F-Secure OnLine = effettuo la scansione con entrambi, nessuno mi trova nulla, ma non riesco a salvare alcun file log (probabilmente per inettitudine mia...)

Nella guida che hai seguito, accanto ad ogni programma c'è il link della guida e cliccando su questa puoi vedere anche come e dove si trovano i log dei vari programmi in questione e questo vale anche per Kaspersky Virus Removal Tool e F-Secure On-Line... Leggi bene :)


DrWeb CureIT = e quà viene il bello: mi fa prima una scansione veloce (ce l'ha impostata di default) e non mi trova niente. gli faccio fare quindi una scansione completa, durante la quale (che ormai durava da circa 6 ore!!!) mi si riavvia il pc, senza preavviso...


per ora lascia stare DrWeb e continua con le scansioni che rimangono e alla fine carica in unico post tutti i log dei programmi richiesti nelle modalità previste :)

http://wikisend.com/download/491572/mbam-log-2010-01-08%20%2814-53-44%29.txt

http://wikisend.com/download/484728/a2scan_100108-200157.txt

http://wikisend.com/download/592348/F-Secure%20On-line.txt

http://wikisend.com/download/907908/SysInspector-UTENTE-EF452980-100110-2333.xml

http://wikisend.com/download/831346/hijackthis.log

http://wikisend.com/download/594286/gmer.log

http://wikisend.com/download/524120/prevx%203.0.txt

http://wikisend.com/download/441418/prevx.JPG

spero di non aver sbagliato niente...
come detto nell'ultimo post, manca solo il log di DrWeb perchè mi ha dato problemi

http://wikisend.com/download/491572/mbam-log-2010-01-08%20%2814-53-44%29.txt

http://wikisend.com/download/484728/a2scan_100108-200157.txt

http://wikisend.com/download/592348/F-Secure%20On-line.txt

http://wikisend.com/download/907908/SysInspector-UTENTE-EF452980-100110-2333.xml

http://wikisend.com/download/831346/hijackthis.log

http://wikisend.com/download/594286/gmer.log

http://wikisend.com/download/524120/prevx%203.0.txt

http://wikisend.com/download/441418/prevx.JPG

spero di non aver sbagliato niente...
come detto nell'ultimo post, manca solo il log di DrWeb perchè mi ha dato problemi

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033


devi aggiornare
Windows all'ultimo service pack
Internet Explorer alla versione 8
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

ti ringrazio innanzitutto dell'aiuto!

prima di fare tutto ho aggiornato al SP3 e Internet Explorer alla versione 8.

dopo ho fatto la scansione con Hijackthis e ho eliminato tutte le voci che m'hai detto, ho riavviato e NON mi ricompaiono in una successiva scansione.
Nonostante le voci siano sparite, allego il log dell'ultima scansione in txt.

ti ringrazio innanzitutto dell'aiuto!

prima di fare tutto ho aggiornato al SP3 e Internet Explorer alla versione 8.

dopo ho fatto la scansione con Hijackthis e ho eliminato tutte le voci che m'hai detto, ho riavviato e NON mi ricompaiono in una successiva scansione.
Nonostante le voci siano sparite, allego il log dell'ultima scansione in txt.

vedo ie7, non so se andava riavviato il pc dopo l'aggiornamento
se non riscontri problemi procedi con il trattamento post disinfezione