Ragazzi innanzitutto vi ringrazio in anticipo xkè mi avete già aiutato una volta (chillout & wjmat) con il mio pc desktop. Ora i problemi sono sul notebook ke è sicuramente infetto da + virus....
La procedura la conosco già quindi ho uploadato un file .rar con tutti i log necessari per farvi capire qual è il problema.

Ecco il file:

link eliminato poichè non funzionante

un attimo ho dei problemi con l'upload su fileqube

Questo dovrebbe andare

http://wikisend.com/download/952394/log.rar

ciao

i log caricali anche singolarmente riportando ogni link e relativa scansione
ps: a me vanno bene anche così ;)

con mbam e asquared sembra tu non abbia eliminato nulla...

1. log di Malwarebytes : http://wikisend.com/download/559244/1. mbam-log-2008-12-02 (14-22-41).txt
2. log di A-squared : http://wikisend.com/download/490718/2. a2scan_081202-142958.txt
3. log di Kaspersky Virus Removal Tool : http://wikisend.com/download/596122/3. kaspersky log.txt
4. log di Dr.Web CureIT : www.hwupgrade.helloweb.eu/ParserLog/log/output-4432887052.txt
5. log di ESET SysInspector : http://wikisend.com/download/500158/5. SysInspector-NOME-2D81AAF6C1-081202-1722.xml
6. log di HiJackThis : http://wikisend.com/download/118140/6. hijackthis.txt
7. log di Gmer : http://wikisend.com/download/511084/7. gmer.log
8. log di PrevxCSI : http://wikisend.com/download/175494/8. prevxcsi.log

up

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wofib (Trojan.FakeAlert.H) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\pecoquicon.exe (Trojan.FakeAlert.H) -> No action taken.

Ripeti la scansione completa con MBAM -> No action taken significa che non hai eliminato nulla

ma come? li ho messi in quarantena..infatti sono là. cmnq ora li ho eliminati dalla quarantena e sto rifacendo la scansione. devo fare altro?

Nuovo log di MB: http://wikisend.com/download/215878/mbam-log-2008-12-02 (23-50-42).txt

Verifica su http://www.virustotal.com/it/ e http://virscan.org il seguente file temiquou.exe in questo percorso C:\WINDOWS\system32\ per i risultati basta riportare nel prossimo post l'URL rilasciata a fine scansione.

http://www.virustotal.com/it/analisis/1cd1224f5e7cbc16e4119faa1898dea1

sembra proprio un trojan

http://www.virustotal.com/it/analisis/1cd1224f5e7cbc16e4119faa1898dea1

sembra proprio un trojan

Manca Virscan per completezza :)

si hai ragione purtroppo l'ho già eliminato...comunque ogni volta ke elimino questo benedetto trojan, si rigenera ad ogni avvio prendendo le sembianze di un processo attivo... infatti se c'è il processo attivo "esempio.exe" prende il nome "esempio .exe" aggiungendo uno spazio e un sacco di file .exe(+numeri) da 15 kb l'uno nella cartella dell'exe originale

domani rifaccio tutte le scansioni secondo le modalità e vi riposto i nuovi log

domani rifaccio tutte le scansioni secondo le modalità e vi riposto i nuovi log

No è sufficiente che incolli l'URL rilasciato da Virscan poi lo eliminiamo

non ce l'ho più il file "temiquou.exe" quindi non posso scansionarlo con virscan. scusami se ho intrapreso l'azione di eliminarlo deliberatamente:doh:

non ce l'ho più il file "temiquou.exe" quindi non posso scansionarlo con virscan. scusami se ho intrapreso l'azione di eliminarlo deliberatamente:doh:

Il problema l'avevo visto qui: C:\Programmi\Winamp\winampa .exe di conseguenza fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

ok lo sto eseguendo. appena finisce posto il log

ecco il log di combofix


http://wikisend.com/download/909728/ComboFix.txt

Sinceramente mi aspettavo un log diverso, comunque procedi così:

1 Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci:

O4 - HKLM\..\Run: [ccPrxy.exe] ccPrxy.exe
O4 - HKLM\..\Run: [podi] C:\WINDOWS\system32\cozabyjij .exe
O4 - HKLM\..\Run: [loki] C:\WINDOWS\system32\temiquou.exe
O23 - Service: BsHelpCS (forabyeostrao) - Unknown owner - C:\WINDOWS\system32\counyssou.exe (file missing)
O23 - Service: Microsoft Local Alerter (jmgn9dynlaoseiu) - Unknown owner - C:\WINDOWS\system32\soucouz.exe

clicca su Fix cheked

2 Da Start - Esegui - digita cmd

nella finestra DOS digita:

sc stop forabyeostrao -->> e batti invio
sc delete forabyeostrao -->> e batti invio

sc stop jmgn9dynlaoseiu -> batti invio
sc delete jmgn9dynlaoseiu -> batti invio

Exit per uscire

3 Apri il Blocco Note copia e incolla questa righe:

File::
C:\WINDOWS\system32\temiquou.exe
c:\documents and settings\User\ccprxy.exe
c:\documents and settings\User\ccprxy .exe
c:\windows\system32\ccprxy.exe
C:\WINDOWS\system32\soucouz.exe
C:\WINDOWS\system32\cozabyjij .exe

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Riepilogo log da allegare:
Nuovo log HJT
Log di Combofix

Log di hijackthis: http://wikisend.com/download/595478/hijackthis.

Log di combofix: http://wikisend.com/download/227086/ComboFix.txt

arrivano a breve...

Vabbè che non mi devo alzare presto comunque c'è anche domani :D ;)

ops...è già domani :sbonk:

Vabbè che non mi devo alzare presto comunque c'è anche domani :D ;)

ops...è già domani :sbonk:

hai ragione...meglio continuare domani...anzi..più tardi:D

Apri il Blocco Note copia e incolla questa righe:

RenV::
C:\WINDOWS\ATK0100\HControl .exe
C:\Programmi\ASUS\Wireless Console\wcourier .exe
C:\Programmi\Synaptics\SynTP\SynTPLpr .exe
C:\Programmi\Synaptics\SynTP\SynTPEnh .exe
C:\Programmi\Browser MOUSE\mouse32a .exe
C:\Programmi\Intel\Wireless\Bin\EOUWiz .exe


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Riepilogo log da allegare:
Nuovo log HJT
Log di Combofix
Nuovo log Prevx CSI

HJT: http://wikisend.com/download/908686/hijackthis.log

combofix: http://wikisend.com/download/616354/ComboFix.txt

prvxcsi: http://wikisend.com/download/935460/prevxcsi.log

Adesso è venuto il momento di installare un'antivirus segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 punto 4, configura Antivir come indicato fai scansione completa ed allega il log

Disinstalla Prevx CSI, riscaricalo, reinstallalo e fai nuova scansione

Allega entrambi i log, buona notte :ronf:

Dopo aver riavviato dal task manager ho visto il processo sospetto "ALU .exe" a fronte dell'originale alu.exe quindi ho fatto uno script combofix come i precedenti per il processo. ho riavviato e i nuovi log sono questi:

HJT: http://wikisend.com/download/471834/hijackthis.log

combofix: http://wikisend.com/download/476050/ComboFix.txt

prevxcsi: http://wikisend.com/download/515888/prevxcsi.log

Adesso è venuto il momento di installare un'antivirus segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 punto 4, configura Antivir come indicato fai scansione completa ed allega il log

Disinstalla Prevx CSI, riscaricalo, reinstallalo e fai nuova scansione

Allega entrambi i log, buona notte :ronf:


Avira log: http://wikisend.com/download/499976/AVSCAN-20081203-024449-2F580DE0.LOG

prevxcsi log: http://wikisend.com/download/962568/prevx.log

HJT log: http://wikisend.com/download/506712/hijackthis.log


Ora vado a dormire ank'io....a domani

puoi fixare anche queste

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\ASUS\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe


assicurati che il ripristino conf. sist. sia ancora disattivo
fai una nuova scansione con antivir per verificare che sia stato tutto eliminato

Antivir log: http://www.mediafire.com/?sharekey=a5c49429faee5239d2db6fb9a8902bda

HJT log: http://www.mediafire.com/?sharekey=a5c49429faee5239d2db6fb9a8902bda

Antivir log: http://www.mediafire.com/?sharekey=a5c49429faee5239d2db6fb9a8902bda

HJT log: http://www.mediafire.com/?sharekey=a5c49429faee5239d2db6fb9a8902bda

Disinstalla Prevx CSI, riscaricalo, reinstallalo e fai nuova scansione
come indicato qui http://www.hwupgrade.it/forum/showpost.php?p=25273569&postcount=26

log di prevxcsi: http://www.mediafire.com/?sharekey=5927d800e8882496d2db6fb9a8902bda

log di prevxcsi: http://www.mediafire.com/?sharekey=5927d800e8882496d2db6fb9a8902bda

Bene il log di stamattina mi aveva lasciato un po perplesso :D

Dovremmo essere ok :)

Dovremmo essere ok :)

:yeah: :cincin: :mano: :yeah: :cincin: :mano: :yeah: :cincin: :mano:

E' stata dura ma ce l'abbiamo fatta...Grazie 1000!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

:yeah: :cincin: :mano: :yeah: :cincin: :mano: :yeah: :cincin: :mano:

E' stata dura ma ce l'abbiamo fatta...Grazie 1000!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Prego, ma adesso segui passo passo virgole comprese questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 :)

Dimenticavo effettivamente è stata dura, stanotte quanco mi sono coricato non riuscivo a prendere sonno per via del tuo Avatar :sbonk: :sofico: ;)

Dimentica effettivamente è stata dura, stanotte quanco mi sono coricato non riuscivo a prendere sonno per via del tuo Avatar :sbonk: :sofico: ;)

:asd: :asd: :asd: :asd: :asd: :asd: :asd: :asd: :asd: :asd: ieri notte abbiamo fatto le ore piccole :ubriachi: :ubriachi: :ubriachi: :ubriachi: :ubriachi: :ubriachi: :ubriachi: