Salve ragazzi,
sono incappato in diversi virus oggi e il NOD mi ha fatto spostare tuto in quarantena.
Mi sono accorto che non si era risolto nulla andando ad aprire Firefox, che mi mostrava la finestra d'errore con conseguente scelta di riavviare Firefox.
Pur riavviando Firefox, in realtà non si avviava mai e compariva sempre la finestra dell'errore e del riavvio.
Allora ho provato a lanciare IE, ma anche questo non parte, senza mostrare errore.
Per curiosità, ho provato a collegarmi in rete tramite una cartella qualsiasi digitando l'indirizzo sulla barra indirizzi, e riesco a collegarmi, dunque sono riuscito ad aggirare il problema che però esiste.
Allora prima di chiedere aiuto ho provato a fare come di consueto.
Sono andato su Hijackthis e mi sono fatto il log, l'ho verificato ed ho trovato dannosi i processi Rundll32 e Isass.
Li ho fixati ma non si è risolto il problema, o meglio, in parte.
Ho riavviato e rifatto il log, e nessuna voce risultava infetta.
Però i browser non partono ancora.
Anzi ho notato che spesso l'applicazione explorer.exe non risponde, ma il Task Manager e la Sidebar attiva sul desktop sì.
Chiundendo l'applicazione Explorer e riavviandola, ritorna disponibile.
Dunque i problemi sono due, ma ho capito come aggirarli, ora però voglio togliere completamente questi problemi.
Ho scansionato prima con Malwarebytes e poi con A-squared ma non ho trovato niente.
Ho eseguito una scansione sul disco C e NOD32 si bloccava nell'analizzare il file rundll32 contenuto in C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Crypto\RSA\MachineKeys
Inoltre un altro file bloccato è questo: C:\pagefile.sys che però non trovo neanche in file nascosto.
Ho provato a disinfettarlo ma risulta bloccato.
Per provare a togliere il problema del rundll32 ho chiuso l'applicazione tramite Task Manager (me l'ha permesso) e tramite il comando msconfig ho rimosso all'avvio l'esecuzione dello stesso, che rispondeva a nome di Rsuxesonoces ed ho anche chiuso all'avvio due strane esecuzioni chiamate RTHDCPL senza percorso e dumprep 0 -k.
Riavviato tutto ho rifatto il log che risulta pulito, ho fatto la scansione con Nod32 che non trova più il processo rundll32 ma non riesce a penetrare ancora nel file in C:\pagefile.sys.
Cos'altro posso fare? Come risolvere?
Mi sono informato in rete anche prima di chiedere aiuto, ed ho visto che Isass provoca crash di sistema ma allo stesso tempo fa comrparire un messaggio di errore all'avvio e lascia dei file .dat, ed a me entrambe le cose non ci sono.
Analizzando con i miei programmi fidati non trovo nulla, boh, non so dove andare a parare.
Vi ricordo i problemi:

>explorer.exe si blocca ma le altre funzioni attive continuano a funzionare
>i browser non partono se non manualmente da una qualsiasi cartella (in questo caso parlo di IE).

Grazie.

ciao

C:\pagefile.sys è un file nascoe sto e di sistema relativo al file di paging quindi normale che non possa essere scansionato

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.


per dubbi o problemi su qualche programma od operazione cerca informazioni aggiuntive qui (http://www.hwupgrade.it/forum/showthread.php?t=1816182)
se il pc è molto compromesso (es. riavvii frequenti, schermate blu) oppure hai problemi con internet per aggiornare i programmi leggi qui (http://www.hwupgrade.it/forum/showpost.php?p=24315070&postcount=27)
se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...


link caricamento log generici ► fileqube.com ■ (http://fileqube.com/) wikisend.com (http://wikisend.com/) ■ mediafire.com (http://www.mediafire.com/index.php)
link caricamento immagini ► fileqube.com ■ imageshack.us (http://fileqube.com/)

Scusami ma non mi riesce.
Io quella guida la usai al tempo, ecco perchè ho già una pre-scansione.
Comunque non mi riesce di seguirla, il programma ATF che devo scaricare non me lo riesce a prendere, se clicco su un collegamento (anche un semplice "clicca qui") mi si blocca la finestra, e anche se copio a mano il collegamento dritto al download si blocca ugualmente!

Ok ho fatto tutto.

Ecco i risultati:

1) Malwarebytes --> http://wikisend.com/download/511168/malwarebytes.txt

2) a-squared --> http://wikisend.com/download/470178/a-squared.txt

3) F-Secure Oline --> non l'ho potuto fare, perchè l'avvio della scansione non forniva un indirizzo tale da copiarlo ed incollarlo, bisognava per forza cliccarci e explorer si bloccava, ho provato più volte

4) Dr.Web --> http://wikisend.com/download/486704/doctor web.log

5) ESET SysInspector --> http://wikisend.com/download/889394/SysInspector-SHADYAB-5MT236N-090124-1605.xml

6) HijackThis --> http://wikisend.com/download/471016/hijackthis.log

L'ho controllato da solo e faccio un appunto: alla voce "O20 - AppInit_DLLs: mss.dll" appare un punto interrogativo senza descrizione, è l'unico file che potrebbe essere sconosciuto al sistema e forse dannoso. Nonostante lo fixo, rimane sempre anche al log che faccio dopo.

7) Gmer --> http://wikisend.com/download/910866/gmer.log

E questi invece i due file ritenuti dannosi:

http://img523.imageshack.us/img523/2029/filerossigmerix5.png

8) PrevxCSI --> http://wikisend.com/download/953676/prevx.log

E questa invece la schermata relativa ai file dannosi:

http://img523.imageshack.us/img523/3661/prevxrw2.png


Attendo delucidazioni, grazie.

****

Per i problemi che avevo segnalato, aggiungo anche questo del "clicca qui" che non funge, mi fa bloccare explorer.exe e devo riavviare l'applicazione.

Inoltre aggiungo che ho dovuto riavviare 3 volte e 2 volte su 3, appunto, mi è apparsa una schermata d'errore che però è andata via troppo velocemente per comunicarvi quanto c'era scritto.

Grazie.

Ragazzi ho fornito tutti i log nel minor tempo possibile, seguendo le istruzioni.

Posso avere qualcuno che mi indichi come procedere adesso?

Grazie.

Io intanto sto continuando a fare da solo, ma visto che le altre discussioni hanno almeno 50 risposte, non mi pare corretto adesso farsi da parte.

Comunque ho provato a fare una ricerca in rete per i file trovati su Prevx, ed ho scaricato la versione free di AVG-AntiRootkit.

Me ne ha trovati 6, così li ho fixati ma ne rimane sempre uno.

Per quanto sono riuscito a capire, questi file non vengono propriamente cancellati, bensì rinominati.

Però questo mi rimane ed il problema ancora è irrisolto.

Ragazzi ho fornito tutti i log nel minor tempo possibile, seguendo le istruzioni.

Posso avere qualcuno che mi indichi come procedere adesso?

Grazie.

Io intanto sto continuando a fare da solo, ma visto che le altre discussioni hanno almeno 50 risposte, non mi pare corretto adesso farsi da parte.

Comunque ho provato a fare una ricerca in rete per i file trovati su Prevx, ed ho scaricato la versione free di AVG-AntiRootkit.

Me ne ha trovati 6, così li ho fixati ma ne rimane sempre uno.

Per quanto sono riuscito a capire, questi file non vengono propriamente cancellati, bensì rinominati.

Però questo mi rimane ed il problema ancora è irrisolto.

Ciao! Purtroppo non hai eseguito correttamente la Guida alla disinfezione è questo non favorisce la risoluzione del problema, vedo inoltre che hai utilizzato di tua iniziativa AVG AntiRootkit che dovrebbe aver eliminato alcuni files ma quali?

In funzione quanto sopra esposto procedi così:

1 Rilancia la scansione con Gmer terminata la stessa seleziona il Servizio identificato come hidden C:\WINDOWS\system32\drivers\senekaepcfyxno.sys (*** hidden *** ) lo selezioni col tasto dx del mouse e clicca su Delete Service

2 Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
C:\WINDOWS\system32\senekaxnnbaeoa.dll
C:\WINDOWS\system32\senekaxyyurqxb.dll
C:\WINDOWS\system32\drivers\senekaepcfyxno.sys
C:\WINDOWS\system32\mss.dll

Drivers to unload:
senekaepcfyxno



clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

3 Ripeti la scansione con MBAM hai fatto la scansione rapida, devi fare scansione completa

4 Ripeti la scansione con A-Squared hai fatto la scansione veloce, devi fare scansioone completa

5 Ripeti la scansione con DrWeb Cureit hai fatto la scansione rapida, devi fare scansione completa

Riepilogo log dal allegare:
MBAM
A-Squared
CureIt
Gmer
Prevx CSI
Avenger

Hai fatto centro!

E' rimasto solo il file contenuto nel percorso:

C:\WINDOWS\system32\drivers\

solo che adesso non si chiama più senekaepcfyxno.sys ma ha un'altro nome.

Quei file che hai messo nel codice non ci sono più, quindi su Avenger che cosa devo incollarci?

Semplicemente il percorso del file rimasto e poi la stringa: Drivers to unload: ?

Comunque nel frattempo che aspettavo una risposta, ho fatto la scansione completa con Malwarebytes e a-squared e non è stato trovato nulla, quindi credo che l'ultimo passo da fare sia questo con Avenger.

Hai fatto centro!

E' rimasto solo il file contenuto nel percorso:

C:\WINDOWS\system32\drivers\

solo che adesso non si chiama più senekaepcfyxno.sys ma ha un'altro nome.

Quei file che hai messo nel codice non ci sono più, quindi su Avenger che cosa devo incollarci?

Semplicemente il percorso del file rimasto e poi la stringa: Drivers to unload: ?

Comunque nel frattempo che aspettavo una risposta, ho fatto la scansione completa con Malwarebytes e a-squared e non è stato trovato nulla, quindi credo che l'ultimo passo da fare sia questo con Avenger.

Fai esattamente come ti ho indicato, quindi prima Punto 1 successivamente Punto 2 se il files non esistono più non ha importanza

Scusami se posto prima di aver completato, ma non c'è più servizio attivo da sistemare.

Ecco il log: --> http://wikisend.com/download/178828/gmer.log

ma non c'è nulla da settare.

Che faccio, reinizio tutto il procedimento da capo?

EDIT: adesso per curiosità ho rifatto la scansione con Prevx e mi risultano ancora gli stessi file dello screen, quando almeno dovevano essere cambiati di nome :mbe: ... Mah.

Non riesco davvero ad arrivare a capo di questa situazione, davvero.

EDIT 2: ho appena letto la tua risposta...Quindi se i file non esistono più non posso cancellare il servizio attivo da gmer, passo direttamente a Avenger mi pare di capire.

Devi fare esattamente come indicato qui http://www.hwupgrade.it/forum/showpost.php?p=25997803&postcount=7

evidentemente AVG ha rimosso qualcosa ma no sò cosa, quindi passa al Punto 2, ti chiedo cortesemente di seguire le istruzioni altrimenti non se ne esce più

Ok anzitutto grazie per seguirmi.

L'ultima domanda prima di partire con il tuo procedimento: con Avenger devo anche spuntare l'opzione di fargli disabilitare ciascun rootkit che trova?

Dopo la tua risposta è tutto chiaro. :) Grazie :)

Ok anzitutto grazie per seguirmi.

L'ultima domanda prima di partire con il tuo procedimento: con Avenger devo anche spuntare l'opzione di fargli disabilitare ciascun rootkit che trova?

Dopo la tua risposta è tutto chiaro. :) Grazie :)

No lascia tutto come stà, altrimenti te l'avrei scritto :)

Ciao.

Ho risolto il problema, grazie mille.

E' stato grazie al passaggio 2, anche se poi mi sono rifatto tutte le scansioni per sicurezza.

Ascolta, ma se volessi utilizzarlo in piena autonomia Avenger, come funziona?

Devo scrivere i file trovati di Prevx? E poi come capisco cosa devo scrivere nel comando Drivers to unload:?

Grazie ancora.

Per quanto concerne Avenger è sempre bene usarlo sotto la supervisione di un helper.

Prego, ciao ;)