Salve ragazzi...ieri avevo appena finito di montare il mio nuovo fiammante HD sul mio notebook e finito di installare programmini e cose varie che per un piccolo momento di follia ho beccato una colonia di virus:( vi giuro volevo spaccare tutto...con la santa pazienza ho seguito la vostra fantastica guida che ormai ho in un bel file word e che seguo alla lettera (a meno di quei stupidi momenti:) )...le infezioni erano varie e tante:

Backdoor.Rbot!IK C:\WINDOWS\system32\msupdate.exe
Win32.SuspectCrc!IK C:\Documents and Settings\000577\Impostazioni locali\Temp\removalfile.bat
Trojan.Vundo C:\WINDOWS\system32\geBRjggh.dll (questo in particolare ogni qualvolta che aprivo una cartella o un programma provocava l'avvio di Avira che mi avvisa della sua presenza!!!)
Trojan.Agent HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE\DRam prosessor
Backdoor.Bot HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\DRam prosessor

Queste le infezioni e i file infetti anche se non escludo ve ne fossero anche altre...ora posto di seguito i vari log generati seguendo la guida:

Malwarebytes log> http://www.fileqube.com/file/crRknuFk167536
A-Squared log> http://www.fileqube.com/file/wevEcHB167537
F-Secure log> http://www.fileqube.com/file/FZlzWJjAP167540
Dr.Web log> http://www.fileqube.com/file/XUxiVMQ167541
ESET Sys log> http://www.fileqube.com/file/yMRERCaQ167543
HiJackThis log> http://www.fileqube.com/file/HFjqJFC167544
Gmer log> http://www.fileqube.com/file/FTOonfFht167546
PrevxCSI log> http://www.fileqube.com/file/OZKrxi167545
posto inoltre una ulteriore scansione fatta con
Malwarebytes log> http://www.fileqube.com/file/qQdNehGXa167547 in quanto stamattina facendola ha trovato altri file sospetti!

Grazie in anticipo!

ciao

log caricati perfettamente ;)

quello filtrato però alla fine mi sembra tagliato in quanto manca il riuassunto, prova a verificare

atfcleaner l'avevi fatto girare?


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log rinominato in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)


O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\RunServices: [DRam prosessor] msupdate.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1232461319218
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab



se mbam ha rilevato altro significa che l'infeziuone è ancora presente o ti stai reinfettando con crack & C.

Per il log di Dr.Web avevi ragione non l'avevo salvato bene eccolo:
Dr.Web log> http://www.fileqube.com/file/MyiJYur167555
questa è la nuova scansione con HiJackThis
HiJackThis log> http://www.fileqube.com/file/aFiKnjJzu167556

...spero sul serio di risolvere...non immagini che scazzo ho addosso:cry: :sperem:

Ti chiedo scusa per la fretta li ho allegati con fileqbbe invece che come mi avevi detto:(

Ti chiedo scusa per la fretta li ho allegati con fileqbbe invece che come mi avevi detto:(

fileqube va comunque bene

riscontri ancora problemi?

Non lo so se è solo suggestione ma mi sembra rallentato..uff che tristezza tu cosa ne pensi?...guardando i log sono pulito?...posso fare altro per tranquillizzarmi?

Altra cosa che volevo chiederti...dopo aver cancellato quelle stringhe ora mi dice che Il centro sicurezza non è disponibile quando accedo...è normale?...come posso ripristinarlo in caso lo voglia fare?thanks

configura antivir come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684), fai una scansione completa e carichi il log/report

poi comincia a leggere il trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

Ecco qui ho effettuato nuovamente la scansione con:
Malwarebytes log> http://www.fileqube.com/file/otVfdK167617
e poi ho effettuato la scansione con:
Avira log> http://www.fileqube.com/file/GdTELP167618
ovviamente dopo averlo settato adeguatamente!

Poi ho anche deframmentato con JkDefrag e le cose sembrano andare meglio...ti chiedo quindi di controllare questi due ultimi log e poi vorrei chiederti una cosa ma non voglio andare OT...te la chiedo con un MP?:D grassie

mi sembra tutto ok

per i servizi puoi togliere
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe

di guide particolari per i servizi non ne conosco

Allora grazie ugualmente...anche a me sembra che vada tutto ok ora...grassieee ancoraaa:D

di nulla ;)
ciao

Ciao a tutti.

Mi riallaccio a questa discussione perchè anche io ho avuto problemi con alcuni "Backdoor.bot"....quando avviavo il pc mi appariva un errore di explorer (000000146). l'ho riavviato in modalità provvisoria, ho fatto una scansione con malwarebytes e mi ha trovato un bel pò di files infetti. Li ho rimossi e ho eseguito le altre scansioni come richiesto (con gmer mi si impalla il pc non so perchè :()

Allego i vari files:
malwarebytes.txt (http://wikisend.com/download/567398/malwarebytes.txt)
a-squared.txt (http://wikisend.com/download/887454/a-squared.txt)
DrWeb.txt (http://wikisend.com/download/506712/cureit filtrato.txt)
hijackthis.log (http://wikisend.com/download/914528/hijackthis.log)
prevx.JPG (http://wikisend.com/download/893784/prevx.JPG)

Grazie :D

Ciao a tutti.

Mi riallaccio a questa discussione perchè anche io ho avuto problemi con alcuni "Backdoor.bot"....quando avviavo il pc mi appariva un errore di explorer (000000146). l'ho riavviato in modalità provvisoria, ho fatto una scansione con malwarebytes e mi ha trovato un bel pò di files infetti. Li ho rimossi e ho eseguito le altre scansioni come richiesto (con gmer mi si impalla il pc non so perchè :()

Allego i vari files:
malwarebytes.txt (http://wikisend.com/download/567398/malwarebytes.txt)
a-squared.txt (http://wikisend.com/download/887454/a-squared.txt)
DrWeb.txt (http://wikisend.com/download/506712/cureit filtrato.txt)
hijackthis.log (http://wikisend.com/download/914528/hijackthis.log)
prevx.JPG (http://wikisend.com/download/893784/prevx.JPG)

Grazie :D

ciao

per completezza carica tutti i log della guida alla disinfezione

ciao

per completezza carica tutti i log della guida alla disinfezione

Ciao wjmat. Innanzitutto grazie :)

Questi i log precedenti:
malwarebytes.txt (http://wikisend.com/download/567398/malwarebytes.txt)
a-squared.txt (http://wikisend.com/download/887454/a-squared.txt)
DrWeb.txt (http://wikisend.com/download/506712/cureit filtrato.txt)
hijackthis.log (http://wikisend.com/download/914528/hijackthis.log)
prevx.JPG (http://wikisend.com/download/893784/prevx.JPG)

Questi quelli che ho fatto adesso:
F-secure.txt (http://wikisend.com/download/461380/F-secure.txt)
SysInspector.xml (http://wikisend.com/download/478854/SysInspector.xml)
hijackthis.txt (http://wikisend.com/download/959674/hijackthis.txt) (ho rifatto la scansione)
gmer.log (http://wikisend.com/download/872616/gmer.log) (nessuna scritta in rosso)

con fsecure sembra tu non abbia eliminato tutto
nuovo log testuale di prevx


Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21148)


O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [SpeedBitVideoAccelerator] C:\Programmi\SpeedBit Video Accelerator\VideoAccelerator.exe


devi aggiornare
Windows all'ultimo service pack
Internet Explorer alla versione 8
non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

Grazie ancora per l'aiuto wjmat :)

Con f-secure ho rifatto di nuovo la scansione, ma 4 elementi dice che non li riesce a curare-cancellare.
Il nuovo log di prevx è QUI (http://wikisend.com/download/886670/prevx.JPG)
Con HiJackThis ho eliminato e stringhe che mi hai indicato, ho riavviato e ora non ci sono più.
Ho windows xp e il service pack installato è il 3...credo sia già l'ultimo, o sbaglio?
Internet explorer l'ho appena aggiornato alla versione 8 ed ho installato anche gli aggiornamenti (anche se cmq uso quasi sempre mozilla firefox)
Come antivirus-firewall ho kaspersky...che apparentemente funziona :D

si win era già ok
il log di prevx testuale, grazie

si win era già ok
il log di prevx testuale, grazie

Scusami wjmat :(

Eccolo QUI (http://wikisend.com/download/899838/prevx.txt)

grazie come sempre...:)

questi io li cancellerei senza pensarci
c:\documents and settings\antonio\desktop\e21122012lafinedelmondo.exe
d:\spirito 04-07-07\setup giochi\delicious - emily's taste of fame final.exe

dovrebbe essere un file ok ma per sicurezza fai controllare su www.virustotal.com e su http://virscan.org/
c:\windows\system32\sfc_os.dll


Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)

questi io li cancellerei senza pensarci
c:\documents and settings\antonio\desktop\e21122012lafinedelmondo.exe
d:\spirito 04-07-07\setup giochi\delicious - emily's taste of fame final.exe

Fatto :D

dovrebbe essere un file ok ma per sicurezza fai controllare su www.virustotal.com e su http://virscan.org/
c:\windows\system32\sfc_os.dll


Ecco i risultati:
http://www.virustotal.com/it/analisis/bb19057635f4b00596e4c2a73680e23c9d9048769f6450e0358281c7b1534dd6-1267530828
http://virscan.org/report/caa8ef73034683c5d8f50cbe6309aef0.html

Grazie :)

Fatto :D



Ecco i risultati:
http://www.virustotal.com/it/analisis/bb19057635f4b00596e4c2a73680e23c9d9048769f6450e0358281c7b1534dd6-1267530828
http://virscan.org/report/caa8ef73034683c5d8f50cbe6309aef0.html

Grazie :)

direi falso positivo
se non hai altri problemi siamo a posto

direi falso positivo
se non hai altri problemi siamo a posto

No, nessun altro problema. Ora seguo la procedura post-disinfezione.
Ma avendo preso dei backdoor.bot, dovrei cambiare le pass di accesso alle mail o ai forum che utilizzo? o posso stare tranquillo e lasciare tutto com'è?

Cmq grazie mille!! Sei stato gentilissimo!!! :D

non posso saperlo con precisione :)
le password importanti sarebbe buona norma cambiarle ogni tanto

non posso saperlo con precisione :)
le password importanti sarebbe buona norma cambiarle ogni tanto

farò come hai detto ;)
ho anche appena installato "spyware terminator" come indicato nella guida post disinfezione. avendo la funzione real-time penso possa essermi cmq molto utile. A proposito, che livello di protezione dello scudo in tempo reale devo impostare? base o avanzata? e l'HIPS?

Grazie ancora per l'aiuto che mi hai dato...sei stato davvero di una disponibilità incredibile!!! :)

chiedi nel suo 3d ufficiale
http://www.hwupgrade.it/forum/showthread.php?t=1246338

chiedi nel suo 3d ufficiale
http://www.hwupgrade.it/forum/showthread.php?t=1246338

Alla fine ho messo tutto su impostazioni base :D
vediamo un pò come mi trovo con questo programma...

ancora grazie mille wjmat!!!!! :)

Alla fine ho messo tutto su impostazioni base :D
vediamo un pò come mi trovo con questo programma...

ancora grazie mille wjmat!!!!! :)

di nulla :)
ciao