ciao a tutti, ho da poco fatto l'aggiornamento di windows da sp2 a sp3 e nel frattempo devo essermi beccato qualche virus in quanto ora non mi apre più il sito di windowsupdatre, quello della microsoft e diversi altri siti (in particolar modo la maggior parte dei siti di antivirus, antispyware e software vari di questo genere)
il log di hijackthis sembra pulito... qualcuno sa di che virus si può trattare e come procedo per rintracciarlo ed eliminarlo? :help:

1 Disabilita il ripristino configurazione sistema -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

2 Fai pulizia con ATF Cleaner -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

3 Scarica questo Tool f-downadup (ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip) sul DeskTop scompattalo direttamente nella Directory C:\
Da Start - Esegui - digita f-downadup.exe --disinfect e clicca su OK
Attendi pazientemente ed al termine riavvia il PC, il log per il controllo lo trovi in C:\Windows\temp

4 Fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

5 Scansione completa con A-Squared come indicato qui -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 3


NB: è assolutamente consigliato scaricare i tool sopra indicati e seguire la procedura offline

Allega i log secondo le modalità indicate nelle Regole di sezione che ho in firma

1 Disabilita il ripristino configurazione sistema -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737
controllato: OK!
2 Fai pulizia con ATF Cleaner -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737
Semplice e veloce: FATTO!
3 Scarica questo Tool f-downadup (ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip) sul DeskTop scompattalo direttamente nella Directory C:\
Da Start - Esegui - digita f-downadup.exe --disinfect e clicca su OK
Attendi pazientemente ed al termine riavvia il PC, il log per il controllo lo trovi in C:\Windows\temp
...purtroppo il log in questa cartella è stato eliminato
ma se necessario lo eseguo di nuovo
4 Fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza ComboFix.txt (http://wikisend.com/download/442816/ComboFix.txt)


5 Scansione completa con A-Squared come indicato qui -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 3

Oltre che il sito microsoft mi risulta impossibile scaricare gli aggiornamenti di A-Squared o scaricare altri tool di sicurezza!

Ho messo in quarantena soltanto gli elementi ad alto rischioquarantine.txt (http://wikisend.com/download/479046/quarantine.txt),
riproverò rimuovendo tutto,

perché non è bastato a ripristinare il corretto funzionamento del PC.

NB: è assolutamente consigliato scaricare i tool sopra indicati e seguire la procedura offline

Allega i log secondo le modalità indicate nelle Regole di sezione che ho in firma
Fatto ( in parte ).

Allega un log di Gmer come indicato al Punto 8 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Grazie Chill-Out,
questo è il log che mi avevi chiesto,
penso che ci sia tanta carne a cuocere
...come procedere?

Ho bisogno di avenger
o posso riprovare con A-square ?

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-13 09:28:58
Windows 5.1.2600 Service Pack 3


---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\svchost.exe[876] ntdll.dll!NtQueryInformationProcess 7C91D7E0 3 Bytes JMP 00929DC2
.text C:\WINDOWS\System32\svchost.exe[876] ntdll.dll!NtQueryInformationProcess + 4 7C91D7E4 1 Byte [84]
.text C:\WINDOWS\System32\svchost.exe[944] ntdll.dll!NtQueryInformationProcess 7C91D7E0 5 Bytes JMP 01C19DC2
.text C:\WINDOWS\System32\svchost.exe[944] NETAPI32.dll!NetpwPathCanonicalize 5BC7A3A9 5 Bytes JMP 01C19D62

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\SAMLIB.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA] [01957376] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programmi\Mozilla Thunderbird\thunderbird.exe[3844] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019573CC] C:\Programmi\Mozilla Thunderbird\extensions\[email protected]\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)

---- Services - GMER 1.0.15 ----

Service C:\Programmi\File comuni\Services\Obo.exe (*** hidden *** ) [AUTO] SecLwd <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] zdebv <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\SecLwd@Type 16
Reg HKLM\SYSTEM\CurrentControlSet\Services\SecLwd@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\SecLwd@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\SecLwd@ImagePath "C:\Programmi\File comuni\Services\Obo.exe"
Reg HKLM\SYSTEM\CurrentControlSet\Services\SecLwd@DisplayName SecLwd
Reg HKLM\SYSTEM\CurrentControlSet\Services\SecLwd@ObjectName .\BCMwuscaUfcganXx
Reg HKLM\SYSTEM\CurrentControlSet\Services\SecLwd@Description Assicura la sincronizzazione data e ora su tutti i client e i server della rete. Se il servizio viene interrotto, la sincronizzazione data e ora non sar? disponibile. Se questo servizio ? disattivato, non potr? essere avviato alcun servizio che dipende direttamente da esso.
Reg HKLM\SYSTEM\CurrentControlSet\Services\SecLwd\Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\SecLwd\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\zdebv@DisplayName Config Server
Reg HKLM\SYSTEM\CurrentControlSet\Services\zdebv@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\zdebv@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\zdebv@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\zdebv@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\zdebv@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\zdebv@Description Archivia le informazioni di protezione per gli account utenti locali.
Reg HKLM\SYSTEM\CurrentControlSet\Services\zdebv\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\zdebv\Parameters@ServiceDll C:\WINDOWS\system32\axwskll.dll
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@Type 16
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@ImagePath "C:\Programmi\File comuni\Services\prF.exe"
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@DisplayName SecLwd
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@ObjectName .\BCMwuscaUfcganXx
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@Description Assicura la sincronizzazione data e ora su tutti i client e i server della rete. Se il servizio viene interrotto, la sincronizzazione data e ora non sar? disponibile. Se questo servizio ? disattivato, non potr? essere avviato alcun servizio che dipende direttamente da esso.
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd\Security
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Current State 0
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log Type 0
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Collection Name Anteprima di sistema
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Collection Name Indirect @C:\WINDOWS\System32\smlogcfg.dll,-731
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Counter List \Processor(_Total)\% Processor Time?\Memory\Pages/sec?\PhysicalDisk(_Total)\Avg. Disk Queue Length?
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Comment Il registro campione presenta un'anteprima delle prestazioni del sistema.
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Commento indiretto @C:\WINDOWS\System32\smlogcfg.dll,-735
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@RealTime DataSource 1
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log File Max Size -1
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Attributi archivio dati 33
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log File Base Name System_Overview
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Nome di base del file di registro indiretto @C:\WINDOWS\System32\smlogcfg.dll,-744
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Sql Log Base Name SQL:!Anteprima di sistema
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log File Serial Number 1
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log File Folder C:\PerfLogs
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log File Auto Format -1
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log File Type 2
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@ExecuteOnly 1
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@Type 16
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@ImagePath "C:\Programmi\File comuni\Services\Obo.exe"
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@DisplayName SecLwd
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@ObjectName .\BCMwuscaUfcganXx
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@Description Assicura la sincronizzazione data e ora su tutti i client e i server della rete. Se il servizio viene interrotto, la sincronizzazione data e ora non sar? disponibile. Se questo servizio ? disattivato, non potr? essere avviato alcun servizio che dipende direttamente da esso.
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd\Security
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet004\Services\SecLwd@Type 16
Reg HKLM\SYSTEM\ControlSet004\Services\SecLwd@Start 2
Reg HKLM\SYSTEM\ControlSet004\Services\SecLwd@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet004\Services\SecLwd@ImagePath "C:\Programmi\File comuni\Services\Obo.exe"
Reg HKLM\SYSTEM\ControlSet004\Services\SecLwd@DisplayName SecLwd
Reg HKLM\SYSTEM\ControlSet004\Services\SecLwd@ObjectName .\BCMwuscaUfcganXx
Reg HKLM\SYSTEM\ControlSet004\Services\SecLwd@Description Assicura la sincronizzazione data e ora su tutti i client e i server della rete. Se il servizio viene interrotto, la sincronizzazione data e ora non sar? disponibile. Se questo servizio ? disattivato, non potr? essere avviato alcun servizio che dipende direttamente da esso.
Reg HKLM\SYSTEM\ControlSet004\Services\SecLwd\Security
Reg HKLM\SYSTEM\ControlSet004\Services\SecLwd\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet004\Services\zdebv@DisplayName Config Server
Reg HKLM\SYSTEM\ControlSet004\Services\zdebv@Type 32
Reg HKLM\SYSTEM\ControlSet004\Services\zdebv@Start 2
Reg HKLM\SYSTEM\ControlSet004\Services\zdebv@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet004\Services\zdebv@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet004\Services\zdebv@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet004\Services\zdebv@Description Archivia le informazioni di protezione per gli account utenti locali.
Reg HKLM\SYSTEM\ControlSet004\Services\zdebv\Parameters
Reg HKLM\SYSTEM\ControlSet004\Services\zdebv\Parameters@ServiceDll C:\WINDOWS\system32\axwskll.dll
Reg HKLM\SOFTWARE\Classes\Applications\AcroRd32.exe\shell\open
Reg HKLM\SOFTWARE\Classes\Applications\AcroRd32.exe\shell\open\command
Reg HKLM\SOFTWARE\Classes\Applications\AcroRd32.exe\shell\open\command@ "C:\Programmi\Adobe\Acrobat 5.0\Reader\AcroRd32.exe" "%1"
Reg HKLM\SOFTWARE\Classes\Applications\AcroRd32.exe\shell\print
Reg HKLM\SOFTWARE\Classes\Applications\AcroRd32.exe\shell\printto
Reg HKLM\SOFTWARE\Classes\Applications\openfile.bat\shell\open
Reg HKLM\SOFTWARE\Classes\Applications\openfile.bat\shell\open\command
Reg HKLM\SOFTWARE\Classes\Applications\openfile.bat\shell\open\command@ e:\Program Files\s1studio\me\bin\openfile.bat "%1"
Reg HKLM\SOFTWARE\Classes\Applications\PBE.exe\shell\open
Reg HKLM\SOFTWARE\Classes\Applications\PBE.exe\shell\open\command
Reg HKLM\SOFTWARE\Classes\Applications\PBE.exe\shell\open\command@ "C:\Programmi\PhotoDeluxe VA 1.0\PBE.exe" "%1"
Reg HKLM\SOFTWARE\Classes\Applications\Poseidon for UML.exe\shell\open
Reg HKLM\SOFTWARE\Classes\Applications\Poseidon for UML.exe\shell\open\command
Reg HKLM\SOFTWARE\Classes\Applications\Poseidon for UML.exe\shell\open\command@ "C:\Programmi\PoseidonCE2\Poseidon for UML.exe" "%1"
Reg HKLM\SOFTWARE\Classes\CLSID\{119F01C5-E62B-11d2-AB3E-00C04FA3014E}\PersistentHandler@ {098f2470-bae0-11cd-b579-08002b30bfeb}
Reg HKLM\SOFTWARE\Classes\MSWC.PageCounter\CLSID@ {EF88CA72-B840-11D0-8B40-00C0F00AE35A}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop@Upgrade 1
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@Mode 1
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos1024x768(1).x 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos1024x768(1).y 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@Sort 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@SortDir 1
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@Col 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ColInfo 0x00 0x00 0x00 0x00 ...
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@FFlags 548
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos800x600(1).x 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos800x600(1).y 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ItemPos1024x768(1) 0x00 0x00 0x00 0x00 ...
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ItemPos800x600(1) 0x00 0x00 0x00 0x00 ...
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos1152x864(1).x 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos1152x864(1).y 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ItemPos1152x864(1) 0x00 0x00 0x00 0x00 ...
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos640x480(1).x 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos640x480(1).y 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ItemPos640x480(1) 0x00 0x00 0x00 0x00 ...

---- EOF - GMER 1.0.15 ----

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Driver::
SecLwd
zdebv

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##server_tc2120#C$]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##10.0.0.28#f]

File::
c:\programmi\File comuni\Services\Obo.exe
c:\windows\Tasks\missionEsprinet.job
c:\windows\system32\missionEsprinet.exe
c:\windows\system32\axwskll.dll

netsvc::
zdebv



Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

Nello Script alla voce Registry mancano queste chiavi (per il momento)

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SecLwd]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zdebv]

[LIST]
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##server_tc2120#C$]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##10.0.0.28#f]


Questi 2 mountpoints per me sono sicuri, posso lasciarli?

queste forse potresti conoscerla vedendo i 2 eseguibili che vengono richiamati
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##10.0.0.28#f]
\Shell\AutoRun\command - X:\showme1.exe
\Shell\install\command - X:\Setup.exe


questa secondo me è sicuramente infetta
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##server_tc2120#C$]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

Questi 2 mountpoints per me sono sicuri, posso lasciarli?

Sono entrambe da eliminare, inoltre lo Script da inserire è questo

Driver::
SecLwd
zdebv

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##server_tc2120#C$]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##10.0.0.28#f]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SecLwd]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zdebv]

File::
c:\programmi\File comuni\Services\Obo.exe
c:\windows\Tasks\missionEsprinet.job
c:\windows\system32\missionEsprinet.exe
c:\windows\system32\axwskll.dll

netsvc::
zdebv

al termine altre al log di Combo allega anche un nuvo log di Gmer

queste forse potresti conoscerla vedendo i 2 eseguibili che vengono richiamati
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##10.0.0.28#f]
\Shell\AutoRun\command - X:\showme1.exe
\Shell\install\command - X:\Setup.exe

L'unità di rete X: è disconnessa
e non trovo questi file nè su 10.0.0.28 ne nel vecchio percorso di X:
questa secondo me è sicuramente infetta
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##server_tc2120#C$]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

Infatti,
anche questa macchina è infetta!

Ok Chill-Out, eseguo!

Sono entrambe da eliminare, inoltre lo Script da inserire è questo



al termine altre al log di Combo allega anche un nuvo log di Gmer

Questo è il secondo ComboFix.txt (http://wikisend.com/download/544426/ComboFix.txt)

ed il nuovo log di Gmer, che non presenta linee rosse,
infatti il sito Microsoft è nuovamente raggiungibile

GRAZIE!!!
:
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-13 16:29:31
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

Code \??\C:\DOCUME~1\romano\IMPOST~1\Temp\catchme.sys pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

? Combo-Fix.sys Impossibile trovare il file specificato. !
? C:\DOCUME~1\romano\IMPOST~1\Temp\catchme.sys Impossibile trovare il file specificato. !
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Impossibile trovare il file specificato. !

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 hotcore3.sys (Hotbackup helper driver/Paragon Software Group)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@Type 16
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@ImagePath "C:\Programmi\File comuni\Services\prF.exe"
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@DisplayName SecLwd
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@ObjectName .\BCMwuscaUfcganXx
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd@Description Assicura la sincronizzazione data e ora su tutti i client e i server della rete. Se il servizio viene interrotto, la sincronizzazione data e ora non sar? disponibile. Se questo servizio ? disattivato, non potr? essere avviato alcun servizio che dipende direttamente da esso.
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd\Security
Reg HKLM\SYSTEM\ControlSet002\Services\SecLwd\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Current State 0
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log Type 0
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Collection Name Anteprima di sistema
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Collection Name Indirect @C:\WINDOWS\System32\smlogcfg.dll,-731
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Counter List \Processor(_Total)\% Processor Time?\Memory\Pages/sec?\PhysicalDisk(_Total)\Avg. Disk Queue Length?
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Comment Il registro campione presenta un'anteprima delle prestazioni del sistema.
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Commento indiretto @C:\WINDOWS\System32\smlogcfg.dll,-735
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@RealTime DataSource 1
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log File Max Size -1
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Attributi archivio dati 33
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log File Base Name System_Overview
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Nome di base del file di registro indiretto @C:\WINDOWS\System32\smlogcfg.dll,-744
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Sql Log Base Name SQL:!Anteprima di sistema
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log File Serial Number 1
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log File Folder C:\PerfLogs
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log File Auto Format -1
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@Log File Type 2
Reg HKLM\SYSTEM\ControlSet002\Services\SysmonLog\Log Queries\{220582b5-a05e-423b-a0bd-3af2f27aa2cf}@ExecuteOnly 1
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@Type 16
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@ImagePath "C:\Programmi\File comuni\Services\Obo.exe"
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@DisplayName SecLwd
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@ObjectName .\BCMwuscaUfcganXx
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd@Description Assicura la sincronizzazione data e ora su tutti i client e i server della rete. Se il servizio viene interrotto, la sincronizzazione data e ora non sar? disponibile. Se questo servizio ? disattivato, non potr? essere avviato alcun servizio che dipende direttamente da esso.
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd\Security
Reg HKLM\SYSTEM\ControlSet003\Services\SecLwd\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SOFTWARE\Classes\Applications\AcroRd32.exe\shell\open
Reg HKLM\SOFTWARE\Classes\Applications\AcroRd32.exe\shell\open\command
Reg HKLM\SOFTWARE\Classes\Applications\AcroRd32.exe\shell\open\command@ "C:\Programmi\Adobe\Acrobat 5.0\Reader\AcroRd32.exe" "%1"
Reg HKLM\SOFTWARE\Classes\Applications\AcroRd32.exe\shell\print
Reg HKLM\SOFTWARE\Classes\Applications\AcroRd32.exe\shell\printto
Reg HKLM\SOFTWARE\Classes\Applications\openfile.bat\shell\open
Reg HKLM\SOFTWARE\Classes\Applications\openfile.bat\shell\open\command
Reg HKLM\SOFTWARE\Classes\Applications\openfile.bat\shell\open\command@ e:\Program Files\s1studio\me\bin\openfile.bat "%1"
Reg HKLM\SOFTWARE\Classes\Applications\PBE.exe\shell\open
Reg HKLM\SOFTWARE\Classes\Applications\PBE.exe\shell\open\command
Reg HKLM\SOFTWARE\Classes\Applications\PBE.exe\shell\open\command@ "C:\Programmi\PhotoDeluxe VA 1.0\PBE.exe" "%1"
Reg HKLM\SOFTWARE\Classes\Applications\Poseidon for UML.exe\shell\open
Reg HKLM\SOFTWARE\Classes\Applications\Poseidon for UML.exe\shell\open\command
Reg HKLM\SOFTWARE\Classes\Applications\Poseidon for UML.exe\shell\open\command@ "C:\Programmi\PoseidonCE2\Poseidon for UML.exe" "%1"
Reg HKLM\SOFTWARE\Classes\CLSID\{119F01C5-E62B-11d2-AB3E-00C04FA3014E}\PersistentHandler@ {098f2470-bae0-11cd-b579-08002b30bfeb}
Reg HKLM\SOFTWARE\Classes\MSWC.PageCounter\CLSID@ {EF88CA72-B840-11D0-8B40-00C0F00AE35A}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop@Upgrade 1
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@Mode 1
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos1024x768(1).x 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos1024x768(1).y 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@Sort 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@SortDir 1
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@Col 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ColInfo 0x00 0x00 0x00 0x00 ...
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@FFlags 548
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos800x600(1).x 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos800x600(1).y 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ItemPos1024x768(1) 0x00 0x00 0x00 0x00 ...
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ItemPos800x600(1) 0x00 0x00 0x00 0x00 ...
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos1152x864(1).x 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos1152x864(1).y 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ItemPos1152x864(1) 0x00 0x00 0x00 0x00 ...
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos640x480(1).x 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ScrollPos640x480(1).y 0
Reg HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop@ItemPos640x480(1) 0x00 0x00 0x00 0x00 ...

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\KB960803.log 2931 bytes
File C:\WINDOWS\LastGood 0 bytes
File C:\WINDOWS\LastGood\INF 0 bytes
File C:\WINDOWS\LastGood\INF\oem47.inf 0 bytes
File C:\WINDOWS\LastGood\INF\oem47.PNF 0 bytes

---- EOF - GMER 1.0.15 ----

Ciao, riallega il log di Combo perchè è un geroglifico ed anche quello di Gmer altrimenti divento matto a controllarlo, thx :)

ComboFix.txt (http://wikisend.com/download/554482/ComboFix.txt)

Rootkit scan 2009-05-13.txt (http://wikisend.com/download/591348/Rootkit scan 2009-05-13.txt)

Questi dovrebbero andar bene.

Una domanda, anzi due:
posso far girare ComboFix e Gmer su Windows 2003 Server?
e quale dei tool indicati sopra posso evitare per ridurre al minimo i tempi di inattività/disconnessione del server? ( va be', a questa mi sa che mi rispondo da solo: "ditemi pure cos'altro mi consigliate di far girare :( )

Adesso è necessario installare la Patch correttiva http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx, successivamente fai girare Prevx 3.0 come indicato al Punto 9 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737 in quanto non credo che Kido sia l'unico opsite illustre di questo PC

Su Win Server 2003 puoi seguire la stessa Guida

Buongiorno Chill-Out, buongiorno wjmat,

pur essendo tremendamente impressionato ed affascinato dalle vostre capacità di risoluzione e padroneggiare situazioni critiche non ho ancora le competenze per pensare di fare da solo.

Ora vado ad eseguire PREVEX come da te consigliato,
nel frattempo, però sono alle prese con un altro PC che non vuole eseguire
f-donwadup e Gmer.
Sperando che non si generi confusione
lascio qui il log di ComboFix del secondo PC
ComboFix.txt (http://wikisend.com/download/885666/ComboFix.txt)

non vedo i link :)

per la seconda volta ho perso il log di a-squared :)

Adesso è necessario installare la Patch correttiva http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx

Dovrebbe essere quella che si trova a questo indirizzo: http://www.microsoft.com/downloads/details.aspx?familyid=6F8AE0AA-FD68-4156-9016-BBA00149793C&displaylang=it

Dovrebbe essere quella che si trova a questo indirizzo: http://www.microsoft.com/downloads/details.aspx?familyid=6F8AE0AA-FD68-4156-9016-BBA00149793C&displaylang=it

Per XP SP3, si.

Sarebbe stato carino se l'installer della patch mi avesse avvisato dell'eventuale presenza della patch stessa, visto che il sistema ora è aggiornato e che lo Strumento Rimozione Malware di Windows ha individuato anche una in infezione.

Vi aggiorno subito con PREVEX

dall'ultimo log di combo


Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Driver::
winsvc

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##10.0.0.80#C$]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\winsvc]

File::
c:\windows\system32\ojjnllw.dll

netsvc::
winsvc




Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

Anche Combo-Fix va eseguito da disconnesso?

in alcuni casi non fa differenza nel tuo caso è meglio da sconnesso

in alcuni casi non fa differenza nel tuo caso è meglio da sconnesso

Devi essere offline sempre ed in gni caso

Edit: dimenticavo quello non mi sembra il primo log di Combo

Non per PREVEX, immagino? ( meglio chiedere )

Ecco ricopiato il log del programma( che non so come catturare )

LTREAT nircmd.exe in c:\windows\ High Risk Cloacked Malware
LTREAT vfind.exe in c:\windows\ High Risk Cloacked Malware
LTREAT qgif.dll in e:\programmi\wengophone\imageformats\ Medium Risk Malware

Non per PREVEX, immagino? ( meglio chiedere )

Ecco ricopiato il log del programma( che non so come catturare )

LTREAT nircmd.exe in c:\windows\ High Risk Cloacked Malware
LTREAT vfind.exe in c:\windows\ High Risk Cloacked Malware
LTREAT qgif.dll in e:\programmi\wengophone\imageformats\ Medium Risk Malware


Tools - Salva file di log

Devi essere offline sempre ed in gni caso
se rimani online ti permette di verificare se stai usando l'ultima versione rilasciata, nel caso tu stessi usando una versione scaricata in precedenza e permette anche di scaricare direttamente la recovery console, e non mi pare indichi esplicitamente di disconnetersi dopo le prime operazioni

se per le eliminazioni richiede il riavvio il problema non si pone, quindi dove starebbe il problema?

se rimani online ti permette di verificare se stai usando l'ultima versione rilasciata, nel caso tu stessi usando una versione scaricata in precedenza e permette anche di scaricare direttamente la recovery console, e non mi pare indichi esplicitamente di disconnetersi dopo le prime operazioni

se per le eliminazioni richiede il riavvio il problema non si pone, quindi dove starebbe il problema?

Combo lo si utilizza solo ed esclusivamente su rchiesta, quindi scarichi l'utima versione, inoltre non vedo il motivo per cui installare la Console.
Inoltre l'utilizzo dello stesso può sortire effetti sulla connessione disabilitandola, quindi nessun motivo per operare online.

ComboFix.txt (http://wikisend.com/download/723766/ComboFix.txt)

Adesso posso avviare GMER tranquillamente

Penso che anche sul mio( primo pc ) l'ordine di esecuzione sia stato, senza che ci facessi caso,
rimozione delle chiavi con il CFScript.txt e quindi l'esecuzione di Gmer.

A questo punto riformulo la scaletta:

ATF Cleaner
ComboFix e rimozione dei servizi ...che imparerò a riconoscere, un giorno...
f-downadup
Gmer
A-squared


Può andare?

Vi aggiorno su GMER...

Combo lo si utilizza solo ed esclusivamente su rchiesta, quindi scarichi l'utima versione

Che non è quella linkata nella Guida alle Disinfezioni, purtroppo!

Lo so perché mi è capitato di farlo partire con il cavo di rete collegato e mi ha chiesto di aggiornare.
Tranquillo, prima di avviare la scansione l'ho disconnesso :)

Che non è quella linkata nella Guida alle Disinfezioni, purtroppo!


Sbagli :)

ComboFix.txt (http://wikisend.com/download/723766/ComboFix.txt)

Adesso posso avviare GMER tranquillamente

Penso che anche sul mio( primo pc ) l'ordine di esecuzione sia stato, senza che ci facessi caso,
rimozione delle chiavi con il CFScript.txt e quindi l'esecuzione di Gmer.

A questo punto riformulo la scaletta:

ATF Cleaner
ComboFix e rimozione dei servizi ...che imparerò a riconoscere, un giorno...
f-downadup
Gmer
A-squared


Può andare?

Vi aggiorno su GMER...

Sembrerebbe di no http://www.hwupgrade.it/forum/showpost.php?p=27431192&postcount=3

come non detto

Caspita quanto è potente ComboFix!

come non detto

Caspita quanto è potente ComboFix!

Come indicato qui http://www.hwupgrade.it/forum/showpost.php?p=27458211&postcount=27 avrei bisogno di vedere il log completo di Prevx 3.0 relativo al primo PC, sul quale/i gira qualche applicativo uso lavoro?

Tools - Salva file di log

Prevx-14-05-09.log (http://wikisend.com/download/498342/Prevex-14-05-09.log)

sul quale/i gira qualche applicativo uso lavoro?
tipo?
Eclipse?
non so...

Vi aggiorno su GMER...

f-secure-scan.log (http://wikisend.com/download/564322/f-secure-scan.log)

gmer.log (http://wikisend.com/download/873894/gmer.log)

come non detto

Caspita quanto è potente ComboFix!

Sembra essere ok anche la connessione al sito Microsoft e a-squared

GRAZIE ANCORA !!!

Ed ecco anche il log di A-Squared:
a2scan_090514-131012.txt (http://wikisend.com/download/732486/a2scan_090514-131012.txt)

sul pc1 rimuovi combofix come da bigino in firma

fai controllare su www.virustotal.com e su http://virscan.org/
c:\windows\felix.scr
e:\programmi\wengophone\imageformats\qgif1.dll


Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)

ok wjmat

Questo è il ComboFix di un pc con lo stesso problema ma ogni volta con un log differente.
Anche qui f.downadup non esegue il --disinfect e Gmer non parte.

ComboFix.txt (http://wikisend.com/download/443472/ComboFix.txt)

Io avrei preparato un CFScript per rimuovere
R?2 Eventlogon;Framework Boot;c:\winnt\system32\svchost.exe -k netsvcs
e
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

ma già ho visto che il primo è un componente di Windows...
non so gli altri 2 file...

ok wjmat

Questo è il ComboFix di un pc con lo stesso problema ma ogni volta con un log differente.
Anche qui f.downadup non esegue il --disinfect e Gmer non parte.

ComboFix.txt (http://wikisend.com/download/443472/ComboFix.txt)

Io avrei preparato un CFScript per rimuovere
R?2 Eventlogon;Framework Boot;c:\winnt\system32\svchost.exe -k netsvcs
e
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

ma già ho visto che il primo è un componente di Windows...
non so gli altri 2 file...

di gmer stai usando l'archivio o l'eseguibile con nome casuale?

qui il solito script

Driver::
Eventlogon

Netsvc::
Eventlogon


questo lo conosci? c:\init.bat

Ah!

A parte lo stupore nell'averci azzeccato
...io avrei scommesso più sulla rimozione degli ultimi 2 che non hai incluso nello script :)

Gmer è l'eseguibile gmer.exe che ho scaricato zippato.

init.bat l'ho scritto io.

sul pc1 rimuovi combofix come da bigino in firma

fai controllare su www.virustotal.com e su http://virscan.org/
c:\windows\felix.scr
e:\programmi\wengophone\imageformats\qgif1.dll



Il secondo non presenta infezioni:
http://virscan.org/report/59020a3bbd426d0842e8cc9a2acbc024.html
http://www.virustotal.com/it/analisis/acbfb38eeffa0e4ad4098b93ba18cf0e

molte più info riguardano felix.scr :
http://www.virustotal.com/it/analisis/fbb945b72ecf7704998fa1fd61d1c140
http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

Edit: dimenticavo quello non mi sembra il primo log di Combo
scusa, non ho fatto caso che avevi editato.

A cosa ti riferisci?
Quello è l'unico file che sono riuscito a generare sul 2° pc
...ora che ci penso è possibile che l'abbia eseguito 2 volte perché mi aspettavo, erroneamente, che si riavviasse il pc ma così non è stato.

Il secondo non presenta infezioni:
http://virscan.org/report/59020a3bbd426d0842e8cc9a2acbc024.html
http://www.virustotal.com/it/analisis/acbfb38eeffa0e4ad4098b93ba18cf0e

molte più info riguardano felix.scr :
http://www.virustotal.com/it/analisis/fbb945b72ecf7704998fa1fd61d1c140
http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

Entrambi Falsi Positivi

scusa, non ho fatto caso che avevi editato.

A cosa ti riferisci?
Quello è l'unico file che sono riuscito a generare sul 2° pc
...ora che ci penso è possibile che l'abbia eseguito 2 volte perché mi aspettavo, erroneamente, che si riavviasse il pc ma così non è stato.

Non ha più importanza :)

Entrambi Falsi Positivi

Infezioni rilevate da Prevx crescono:

[B] c:\programmi\realvnc\vnc4\logmessages.dll [PX5: 27BEA9E2005E751D30C200816E208500D1FC145B] Malware Group: Medium Risk Malware
[B] c:\programmi\realvnc\vnc4\wm_hooks.dll [PX5: 4FDE685C00E10C3FD09400DF256F9E004AE67445] Malware Group: Medium Risk Malware
[B] c:\programmi\paint.net\effects\feather.dll [PX5: 2D6511D400914E1E1AE3003B3C2E0700BCC09A07] Malware Group: Medium Risk Malware

tutti falsi positivi?
anche questi 2 eseguibili di Windows?

[BP] c:\windows\nircmd.exe [PX5: 7A13E04900C503117A1800DBA8E1990091A6F065] Malware Group: High Risk Cloaked Malware
[BP] c:\windows\vfind.exe [PX5: 330B96CF00F76550CEFB012DE4887A00A893B89B] Malware Group: High Risk Cloaked Malware

Scusate, ma vi siete mai imbattuti nel dover arrestare i servizi di AVG?
Devo ricorrere a questo: http://www.grisoft.it/index.php?option=com_content&task=view&id=183&Itemid=110 ?

Si tutti FP, direi che è il caso di seguire questa Guida dove troverai le INFO che ti necessitano http://www.hwupgrade.it/forum/showthread.php?t=1726383

Per quanto concerne AVG ti suggerisco di disinstallarlo, nella Guida sopra linkata troverai una validissima alternativa Free

[B] c:\programmi\realvnc\vnc4\logmessages.dll [PX5: 27BEA9E2005E751D30C200816E208500D1FC145B] Malware Group: Medium Risk Malware
[B] c:\programmi\realvnc\vnc4\wm_hooks.dll [PX5: 4FDE685C00E10C3FD09400DF256F9E004AE67445] Malware Group: Medium Risk Malware

facile che i programmi di controllo remoto vengano segnalati

[B] c:\programmi\paint.net\effects\feather.dll [PX5: 2D6511D400914E1E1AE3003B3C2E0700BCC09A07] Malware Group: Medium Risk Malware

penso sia un falso, in caso sai come verificarlo


[BP] c:\windows\nircmd.exe [PX5: 7A13E04900C503117A1800DBA8E1990091A6F065] Malware Group: High Risk Cloaked Malware
[BP] c:\windows\vfind.exe [PX5: 330B96CF00F76550CEFB012DE4887A00A893B89B] Malware Group: High Risk Cloaked Malware

fanno parte di combofix che forse non hai rimosso

Scusate, ma vi siete mai imbattuti nel dover arrestare i servizi di AVG?
Devo ricorrere a questo: http://www.grisoft.it/index.php?option=com_content&task=view&id=183&Itemid=110

devi rimuoverlo?

edit:
arrivato tardi :)
vedi sopra

Sarebbe stato carino se l'installer della patch mi avesse avvisato dell'eventuale presenza della patch stessa, visto che il sistema ora è aggiornato e che lo Strumento Rimozione Malware di Windows ha individuato anche una in infezione.

Ecco,
ora che può aggiornarsi il pc con Win-2000 leggo che
Installazione di Aggiornamento della protezione per Windows 2000 (KB957097) (aggiornamento 4 di 9) in corso... Operazione completata.
però il file scaricato per patchare questo pc si chiama: Windows2000-KB914389-x86-ITA.EXE

Quando avrà finito di aggiornarsi vi aggiorno con il report completo su questo computer ...Gmer ha mostrato una riga rossa...

Sei ben indietro con gli aggiornamenti

fanno parte di combofix che forse non hai rimosso

fatto!

Si tutti FP, direi che è il caso di seguire questa Guida dove troverai le INFO che ti necessitano http://www.hwupgrade.it/forum/showthread.php?t=1726383

Era già aperta nel mio browser

Ecco i log dopo l'esecuzione del primo CFScript.txt

f-secure-scan.log (http://wikisend.com/download/463482/f-secure-scan.log)

2-ComboFix.txt (http://wikisend.com/download/592502/2-ComboFix.txt)

a2scan_090515-105731.txt (http://wikisend.com/download/929652/a2scan_090515-105731.txt)

questo però non è il log di Gmer che vi avevo anticipato:

gmer.log (http://wikisend.com/download/495472/gmer.log)

Dopo l'esecuzione di a2scan ho provato ad eseguire un CFScript per rimuovere il rootkit legato alFile::
C:\WINNT\system32\MSTask.exe

ma dopo l'esecuzione mi ritrovo anche questo

---- Services - GMER 1.0.15 ----

Service C:\WINNT\system32\svchost.exe (*** hidden *** ) [MANUAL] BITS <-- ROOTKIT !!!
Service C:\WINNT\system32\MSTask.exe? (*** hidden *** ) [DISABLED] Schedule <-- ROOTKIT !!!



Perché dopo MSTask.exe c'è un punto interrogativo nel log di Gmer?
e da dove viene avviato questo svchost.exe ?

Notavo anche che è cambiata la sezione di ComboFix.txt su cui ho toppato prima--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(188)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'explorer.exe'(284)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\SHDOCVW.DLL
.

Ecco i log dopo l'esecuzione del primo CFScript.txt.
.
.
.
.[/CODE]
carica anche il primo log di combo

lo script che hai creato era solo questo?
File::
C:\WINNT\system32\MSTask.exe

carica anche il primo log di combo
http://www.hwupgrade.it/forum/showpost.php?p=27463633&postcount=39
lo script che hai creato era solo questo?
File::
C:\WINNT\system32\MSTask.exe

si

devo provare a rieseguirlo perché mi assale il dubbio che vi abbia lasciato il punto interrogativo?

devo provare a rieseguirlo perché mi assale il dubbio che vi abbia lasciato il punto interrogativo?

il pc presenta gli stessi sintomi dell'altro?
il log di combo non mi sembra mostri nulla di simile

Il sintomo che ho rilevato su tutti questi pc, e che mi ha indotto ad applicare la procedura di disinfezione, riguarda l'impossibilità di collegarsi ai siti per aggiornamenti sulla sicurezza.

Ogni volta che ho eseguito lo script di combofix il sintomo è stato soppresso. Nel caso del 2° pc non c'era RootKit rilevabile con Gmer.
Nel caso del primo abbiamo aggiunto delle linee allo script di ComboFix per rimuovere il RootKit.
Qui ora è il log di Gmer che mostra la presenza di rootkit,
nella mia ignoranza anch'io non sapevo dove mettere mano, leggendo il log di combo.

Cmq ancora non ho rieseguito lo script, sorry

devo provare a rieseguirlo perché mi assale il dubbio che vi abbia lasciato il punto interrogativo?

questa volta l'ho messo in più nello scrivere qui sul forum :stordita:

Cmq, il log di Gmer non presenta righe rosse

questa volta l'ho messo in più nello scrivere qui sul forum :stordita:

Cmq, il log di Gmer non presenta righe rosse

è sistemato anche questo quindi?

Direi di si, ( posterò il log )
comunque l'esecuzione di ComboFix mi mostra una finestra d'errore con il messaggio:
"Impossibile importare fin.dat. Errore durante l'accesso al Registro di sistema."
Qualche voce appesa da rimuovere?

Direi di si, ( posterò il log )
comunque l'esecuzione di ComboFix mi mostra una finestra d'errore con il messaggio:
"Impossibile importare fin.dat. Errore durante l'accesso al Registro di sistema."
Qualche voce appesa da rimuovere?

prova a rimuoverlo e rilanciarlo se non hai già provato

avrei scommesso che avrebbe funzionato ma così non è stato

3°-ComboFix.txt (http://wikisend.com/download/346088/3-ComboFix.txt)

se fai i 2 test di questa guida come risulta il pc?
http://www.hwupgrade.it/forum/showthread.php?t=1984665

stavo leggendo questa nuova guida, ti dico subito...

Intanto,
ho questa riga in un ComboFix.txt((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

...

----- BITS: Possibili siti infetti -----

hxxp://downlj+|Cv+@J:NGD_DQ{zcxLJS@!sHLzB(MWU Client DownloadS-1-5-18`HT4?? 6VwoQZCDHM6VwoQZCDHMXu00000<\cxLJS@GD_DQ{zGD_DQ{zGD_DQ{z+@J:Nj+|Cvpdate.com
.
E' già stato eliminato questo link x BITS( potrei rilanciare ComboFix per un nuovo log ) o devo rimuoverlo con un CFScript.txt ? ...eventualmente come?

potrei rilanciare ComboFix per un nuovo log

non c'è più,
ma so che dopo il primo avvio il log cambia. Confido comunque in simili lavori tra esecuzioni successive.

se fai i 2 test di questa guida come risulta il pc?
http://www.hwupgrade.it/forum/showthread.php?t=1984665
negativi

stavo leggendo questa nuova guida, ti dico subito...

Intanto,
ho questa riga in un ComboFix.txt((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

...

----- BITS: Possibili siti infetti -----

hxxp://downlj+|Cv+@J:NGD_DQ{zcxLJS@!sHLzB(MWU Client DownloadS-1-5-18`HT4?? 6VwoQZCDHM6VwoQZCDHMXu00000<\cxLJS@GD_DQ{zGD_DQ{zGD_DQ{z+@J:Nj+|Cvpdate.com
.
E' già stato eliminato questo link x BITS( potrei rilanciare ComboFix per un nuovo log ) o devo rimuoverlo con un CFScript.txt ? ...eventualmente come?

sinceramente non so interpretare quelle righe, penso Chill ne sappia di più

Aiuto,
ho installato Online Armor su Win-2000 e non riesce più a fare il login ::nera:

stavo leggendo questa nuova guida, ti dico subito...

Intanto,
ho questa riga in un ComboFix.txt((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

...

----- BITS: Possibili siti infetti -----

hxxp://downlj+|Cv+@J:NGD_DQ{zcxLJS@!sHLzB(MWU Client DownloadS-1-5-18`HT4?? 6VwoQZCDHM6VwoQZCDHMXu00000<\cxLJS@GD_DQ{zGD_DQ{zGD_DQ{z+@J:Nj+|Cvpdate.com
.
E' già stato eliminato questo link x BITS( potrei rilanciare ComboFix per un nuovo log ) o devo rimuoverlo con un CFScript.txt ? ...eventualmente come?

è già stato eliminato, però occhio a dove navighi perchè quello lo hai preso da un sito lecito ma che è stato violato inserendo codice estraneo al sito con lo scopo di infettare i vuisitatori.

Aiuto,
ho installato Online Armor su Win-2000 e non riesce più a fare il login ::nera:

dalla pagina di download del sito ufficiale:
http://www.tallemu.com/downloads.html

in cima alla pagina:
Online Armor v3.5 (Release Version. Windows XP, Vista, 32 bit only)

a fondo pagina:
Minimum requirements: The release version of Online Armor version 3.5 runs on Windows XP/Vista (32bit)

Eh, già
ma siccome noi scarichiamo direttamente dai link del forum ...

provo in modalità provvisoria?
Che devo rimuovere?

forse ho trovato: http://support.tallemu.com/vbforum/showthread.php?t=8053&highlight=2000

ciao a tutti,
ho trovato questo forum in quanto ho praticamente lo stesso problema dell'utente che ha aperto questa discussione.
Non riesco più a fare l'aggiornamento con Windows Update e fondamentalmente qualsiasi cosa abbia che fare con microsoft è irraggiungibile. :(
Stessa cosa per siti di antivirus o software di pulizia da malware ecc. Quasi tutti irraggiungibili o impossibile il download dei software stessi.

Ho provato a fare alcune delle procedure consigliate all'autore del topic scaricando i programmi su un altro pc. Vado a postare i log che ho ottenuto.

Grazie mille a chiunque riesca a darmi una mano a risolvere questo frustrante problema.. :( :muro:

P.S.
non funziona la gestione allegati per cui devo incollare i log nella risposta.

f-secure-scan


Log rimosso, leggere le Regole di sezione.

f-secure-scan


Log rimosso, leggere le Regole di sezione.

Segui passo passo questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665 naturalmente i log per il controllo andranno allegati dove appena indicato.

Segui passo passo questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665 naturalmente i log per il controllo andranno allegati dove appena indicato.

ciao, grazie e scusa per il log postato! Non mi funziona la funzione "gestisci allegati" e allora ho fatto così. Ne avevo altri che non sono riuscito a postare.
Farò tutti i passi indicati nel link che mi hai dato e poi i log li posto su un host esterno e li linko solamente? Ho capito bene?
Grazie, ciao! :)

Farò tutti i passi indicati nel link che mi hai dato e poi i log li posto su un host esterno e li linko solamente? Ho capito bene?
Grazie, ciao! :)

Si :)

Si :)

perfetto, grazie mille!
ci sentiamo presto! :)

Dunque, ho finalmente capito che ho il conficker maledetto!!! :mad:

Ho usato ATF Cleaner poi effettuato le altre operazioni.

Vado a postare i logs come indicato nella guida:

http://www.mediafire.com/file/jinmmt22t0e/ComboFix.txt

http://www.mediafire.com/file/rgm12yjgnqy/log gmer.txt

http://www.mediafire.com/file/twmym5ytyod/Win32.Worm.Downladup.Gen.log


Spero di riuscire a risolvere finalmente, non mi sembra vero che forse sono quasi alla soluzione del problema! :)
Grazie in anticipo per l'aiuto! :)

Dunque, ho finalmente capito che ho il conficker maledetto!!! :mad:


Ed io che cosa ti avevo detto? Di seguire questa Guida ed allegare i log nel 3D dedicato

http://www.hwupgrade.it/forum/showpost.php?p=29985882&postcount=73

Chiudo onde evitare doppione