salve , oggi ho fatto una scansione con cureit aggiornato alla 4,44 e per qualche strano motivo ha trovato il file ( posto un mini log è un emergenza)
dmserver.dll;c:\windows\system32;Trojan.Starter.872;Cancellato.;
dmserver.dl_\dmserver.dll;C:\Documents and Settings\riccardo6\Desktop\Collegamenti desktop inutilizzati\Nuovo vista\WindowsXP-KB936929-SP3-x86-ITA.exe\i3;Trojan.Starter.872;;
i386\dmserver.dl_;C:\Documents and Settings\riccardo6\Desktop\Collegamenti desktop inutilizzati\Nuovo vista\WindowsXP-KB936929-SP3-x86-ITA.exe\i3;l'Archivio contiene oggetti infetti;;
WindowsXP-KB936929-SP3-x86-ITA.exe;C:\Documents and Settings\riccardo6\Desktop\Collegamenti desktop inutilizzati\Nuovo vista;l'Archivio contiene oggetti infetti;Spostato.;
A0003772.dll;C:\System Volume Information\_restore{167B733C-491B-4C49-AACB-C415EA06556B}\RP20;Trojan.Starter.872;Cancellato.;
A0003773.dll;C:\System Volume Information\_restore{167B733C-491B-4C49-AACB-C415EA06556B}\RP20;Trojan.Starter.872;Cancellato.;
A0003774.dll;C:\System Volume Information\_restore{167B733C-491B-4C49-AACB-C415EA06556B}\RP20;Trojan.Starter.872;Cancellato.;
dmserver.dl_\dmserver.dll;C:\System Volume Information\_restore{167B733C-491B-4C49-AACB-C415EA06556B}\RP20\A0003776.exe\i386\dmserver.dl_;Trojan.Starter.872;;
i386\dmserver.dl_;C:\System Volume Information\_restore{167B733C-491B-4C49-AACB-C415EA06556B}\RP20\A0003776.exe\i386;l'Archivio contiene oggetti infetti;;
A0003776.exe;C:\System Volume Information\_restore{167B733C-491B-4C49-AACB-C415EA06556B}\RP20;l'Archivio contiene oggetti infetti;Spostato.;
dmserver.dll;C:\WINDOWS\ServicePackFiles\i386;Trojan.Starter.872;Cancellato.;
dmserver.dll;C:\WINDOWS\system32;Trojan.Starter.872;Cancellato.;
dmserver.dll;C:\WINDOWS\system32\dllcache;Trojan.Starter.872;Cancellato.;
Da quel momento il pc non si connette più a internet e prima andava benissimo , il ripristimo di xp era disattivato , adesso vorrei fare in modo che torni tutto normale , grazie , (comunque credo che sia stato cureit , perchè dopo ciò non si connetteva più) adesso stò unsando un pc del 1997 perciò abbiate pazienza :D

CAricato anche combofix

coreggo ora l'ho disattivato , prima era in monitoraggio , non è che sono TOrnati adesso?

Ciao

prima puliamo per bene il pc poi pensiamo alla connessione
ad ogni modo i file cancellati da cureit dovrebbero essere in quarantena

Per ripulire completamente il pc segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308).

Leggi bene tutto questo post, e salvo problemi gravi, arriverai in fondo alla guida in perfetta autonomia



Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Ricapitolando, dopo aver disabilitato il ripristino di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine e anche se non è stato rilevato nulla mettendo il nome della scansione a fianco del link (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3):

log di Malwarebytes Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9) aggiornato ad oggi
log di A-squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8) scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) scaricato oggi oppure di F-Secure OnLine (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5) scaricato oggi
log di ESET SysInspector (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)


Se il pc dovessse essere molto compromesso (es. riavvii frequenti, schermate blu) oppure hai problemi con internet per aggiornare i programmi leggi qui (http://www.hwupgrade.it/forum/showpost.php?p=24315070&postcount=27)

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com, imageshack (http://fileqube.com/)

si grazie adesso inizio , ma è conosciuto questo virus? Quindi cureit non ha trovato falsi positivi?

si grazie adesso inizio , ma è conosciuto questo virus? Quindi cureit non ha trovato falsi positivi?


curioso ... anche a me Cure.it che ho aggiornato e fatto girare ieri cone scansione compelta ha trovato esattamente le stesse cose che ha trovato a te ... solitamente do' una passata con i vari programmini una volta al mese e non avevo mai trovato nulla
Cmq un po' alla volta sto seguendo la guida alla disinfezione che trovo semplicemente fantastica.

aspettiamo i log di entrambi per verifica
vi raccomando di caricarli tutti in un unico post per non incrociarvi ;)

aspettiamo i log di entrambi per verifica
vi raccomando di caricarli tutti in un unico post per non incrociarvi ;)

mi servirà il WE per fare tutte le scansioni del caso ...

cmq Cure.it poi mi dava tutto pulito
Oggi inizierò il processo di scansione per ulteriori verifiche

ALlora ho fatto tuee le scansione , tranne kasperskipe e al suo posto ho fatto quella di avira :

Atf pulizia file fatto con disabilitato rispirstino
1. log di Malwarebytes Anti-Malware aggiornato ad oggi mbam-log-2008-12-03 (21-29-57).txt (http://wikisend.com/download/882708/mbam-log-2008-12-03 (21-29-57).txt)
2. log di A-squared scansione deep aggiornato ad oggi a2scan_081203-213157.txt (http://wikisend.com/download/587902/a2scan_081203-213157.txt)
3. log di Avira Antivir AVSCAN-20081204-144811-FD4BE87E.LOG (http://wikisend.com/download/552834/AVSCAN-20081204-144811-FD4BE87E.LOG)
4. log di Dr.Web CureIT scaricato oggi http://www.hwupgrade.helloweb.eu/ParserLog/log/output-4334621377.txt
5. log di ESET SysInspector SysInspector-RICCARDO-081204-1510.xml (http://wikisend.com/download/489022/SysInspector-RICCARDO-081204-1510.xml)
6. log di HiJackThis
7. log di Gmer Gmerlo.log (http://wikisend.com/download/498308/Gmerlo.log)
8. log di PrevxCSI prevcsx.log (http://wikisend.com/download/592346/prevcsx.log)

GRazie

ALlora ho fatto tuee le scansione , tranne kasperskipe e al suo posto ho fatto quella di avira :

Atf pulizia file fatto con disabilitato rispirstino
1. log di Malwarebytes Anti-Malware aggiornato ad oggi mbam-log-2008-12-03 (21-29-57).txt (http://wikisend.com/download/882708/mbam-log-2008-12-03 (21-29-57).txt)
2. log di A-squared scansione deep aggiornato ad oggi a2scan_081203-213157.txt (http://wikisend.com/download/587902/a2scan_081203-213157.txt)
3. log di Avira Antivir AVSCAN-20081204-144811-FD4BE87E.LOG (http://wikisend.com/download/552834/AVSCAN-20081204-144811-FD4BE87E.LOG)
4. log di Dr.Web CureIT scaricato oggi http://www.hwupgrade.helloweb.eu/ParserLog/log/output-4334621377.txt
5. log di ESET SysInspector SysInspector-RICCARDO-081204-1510.xml (http://wikisend.com/download/489022/SysInspector-RICCARDO-081204-1510.xml)
6. log di HiJackThis
7. log di Gmer Gmerlo.log (http://wikisend.com/download/498308/Gmerlo.log)
8. log di PrevxCSI prevcsx.log (http://wikisend.com/download/592346/prevcsx.log)

GRazie
con asquared mi sembra tu non abbia fatto la deep scan

edit
scarica l'allegato, estrai dmserver.dll e copialo in
C:\WINDOWS\system32\

con asquared mi sembra tu non abbia fatto la deep scan
hai a portata il cd di xp aggiornato al tuo sp? proviamo a ripristinare questo file
C:\WINDOWS\system32\dmserver.dll

un mio amico mi ha passato questo file ed ora sembra che internet abbia ripreso a funzionare , l'ho messo nel tuo percorso va bene?

allora il file che mi ha passato il mio amico , uguale al tuo , l'ho fatto scansionare su virus total ed un certo SecureWeb-Gateway l'ha trovato positivo 1/37 , poi ora ho scaricato il tuo zip e fatto analizzare da virus total viene riconosciuto da DrWeb 4.44.0.09170 2008.12.04 Trojan.Starter.872 1/37 . CHe faccio ?

il mio l'ho estratto 10 minuti fa direttamente dal sp3
quello del tuo amico è relativo a sp3?

il mio l'ho estratto 10 minuti fa direttamente dal sp3
quello del tuo amico è relativo a sp3?
no me la passato da un sito mi sembra ddl dump

probabile che sia di sp2, tieni il mio ;)

probabile che sia di sp2, tieni il mio ;)

quindi è un problema di drweb , e se lo ritrova devo mettere no giusto? ma che cosa fà di preciso questo file?

si brutto falso positivo...
che te ne fai di drweb quando hai già antivir? ;)

si brutto falso positivo...
che te ne fai di drweb quando hai già antivir? ;)

ah ok , hai ragione il file che mi ha passato il mio amico è più vecchio nelle proprietà la versione è 2600.2180.503.0 mentre nel tuo è 2600.5512.503.0 perciò ora metto il tuo , ok grazie tante per l'aiuto :cincin: :ave:

ah ok , hai ragione il file che mi ha passato il mio amico è più vecchio nelle proprietà la versione è 2600.2180.503.0 mentre nel tuo è 2600.5512.503.0 perciò ora metto il tuo , ok grazie tante per l'aiuto :cincin: :ave:
dai un occhio al trattamento in firma per rimuovere alcuni tool che ti abbiamo fatto usare e per informazioni utili
ciao

Se hai una copia del file in quarantena saresti cortese da hostarlo su wikisend.com e comunicarmi in PVT il link :)

Se hai una copia del file in quarantena saresti cortese da hostarlo su wikisend.com e comunicarmi in PVT il link :)

mi dispiace pultroppo quando ho fatto cura me l'ha cancellato , comunque è identico al file postato da wjmat perchè l'ho fatto anche scansionare da virus total e solo dr web lo trova positivo come trojan :rolleyes: in quarantena c'è il sp3 di xp formato exe perchè dice che è infetto dal file prima citato

mi dispiace pultroppo quando ho fatto cura me l'ha cancellato , comunque è identico al file postato da wjmat perchè l'ho fatto anche scansionare da virus total e solo dr web lo trova positivo come trojan :rolleyes: in quarantena c'è il sp3 di xp formato exe perchè dice che è infetto dal file prima citato

Mi potresti linkare l'analisi di VirusTotal, basta indicare nel prossimo post l'url rilasciato a fine scansione, in questo momento non ho XP a disposizione, grazie :)

Mi potresti linkare l'analisi di VirusTotal, basta indicare nel prossimo post l'url rilasciato a fine scansione, in questo momento non ho XP a disposizione, grazie :)

ecco qui il file è dmserver.dll
http://www.virustotal.com/it/analisis/d8a98e468c38109716d925aa091e07d5

ecco qui il file è dmserver.dll
http://www.virustotal.com/it/analisis/d8a98e468c38109716d925aa091e07d5

Grazie ;)