è già la terza volta che ricorro al vostro utilissimo aiuto, e a quanto pare sempre per lo stesso motivo: credo di essere infetta. uso tutte le precauzioni eppure mi è capitato di nuovo. ho anche effettuato la formattazione del disco fisso ma ho ancora problemi. ho letto e seguito la procedura per gli infetti, ma vorrei chiedere se per cortesia esiste un metodo più veloce per capire cos'ho preso. io comunque attendo le vostre preziose indicazioni e sono pronta ad eseguire il tutto.
grazie

forse dovresti dire qual'è il tuo problema, nel senso, perché pensi di essere infetta??? cosa ti succede di anomalo??

è tutto moooooooooooolto lento; dall'accensione all'apparizione della scrivania con le icone ci vorrà circa un quarto d'ora, venti minuti, per avviare qualsiasi applicazione ci vogliono sempre una decina di minuti, a volte il browser firefox mi dice che chiuderà tutte le finestre perchè ha rilevato qualcosa di anomalo, succede anche che si spenga facendomi apparire la schermata blu con le diciture di programma incompatibile.
anche effettuare una stampa è bibbioso. in poche parole è tutto infinitamente lento.

è già la terza volta che ricorro al vostro utilissimo aiuto, e a quanto pare sempre per lo stesso motivo: credo di essere infetta. uso tutte le precauzioni eppure mi è capitato di nuovo. ho anche effettuato la formattazione del disco fisso ma ho ancora problemi. ho letto e seguito la procedura per gli infetti, ma vorrei chiedere se per cortesia esiste un metodo più veloce per capire cos'ho preso. io comunque attendo le vostre preziose indicazioni e sono pronta ad eseguire il tutto.
grazie

Ciao, ma questo problema si è verificato subito dopo aver formattato e reinstallato i programmi?

Cerca nel task manager se c'è un processo che ti sfrutta molta cpu, dovresti almeno postare un log hijack per vedere se c'è qualcosa di anomalo, comunque penso che una scansione con antivurus e antispyware aggiornati almeno l'hai fatta??

ho rifatto hijack, malwarebytes e a-squared:

A-SQUARED
http://wikisend.com/download/933112/a2scan_090211-200252CHIARA.txt

HIJACK
http://wikisend.com/download/563384/hijackthisCHIARA.txt

MALWAREBYTES
http://wikisend.com/download/922382/mbam-log-2009-02-11 (22-17-54)CHIARA

grazie
chiara

1 Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sotto indicate voci e clicca su Fix cheked

O4 - HKLM\..\RunOnce: [NSSInstallation] C:\WINDOWS\system32\Adobe\Shockwave 11\nssstub.exe /RunOnce
O17 - HKLM\System\CCS\Services\Tcpip\..\{84177DFE-5997-43C6-B127-EC5771A460E6}: NameServer = 85.255.116.126,85.255.112.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{913707E4-59CE-4811-97A3-E1E49983388B}: NameServer = 85.255.116.126,85.255.112.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{D836D4AA-D611-47C2-83FB-C743924D08FE}: NameServer = 83.224.65.134 83.224.66.134
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.61,85.255.112.218
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.61,85.255.112.218
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.61,85.255.112.218

2 Disinstalla ClamWin

3 Fai girare questo tool http://www.avg.com/filedir/util/avg_arm_sup_____.dir/avgremover.exe

4 Riallega in formato .txt il lof di MBAM

ecco:
Malwarebytes' Anti-Malware 1.34
Versione del database: 1749
Windows 5.1.2600 Service Pack 2

12/02/2009 10.42.51
mbam-log-2009-02-12 (10-42-42)CHIARA

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|G:\|)
Elementi scansionati: 92252
Tempo trascorso: 12 minute(s), 58 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 5
Cartelle infette: 1
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\totalvid (Trojan.DNSChanger) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{84177dfe-5997-43c6-b127-ec5771a460e6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.61,85.255.112.218 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{84177dfe-5997-43c6-b127-ec5771a460e6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.61,85.255.112.218 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{84177dfe-5997-43c6-b127-ec5771a460e6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.61,85.255.112.218 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{84177dfe-5997-43c6-b127-ec5771a460e6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.126,85.255.112.119 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{913707e4-59ce-4811-97a3-e1e49983388b}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.126,85.255.112.119 -> No action taken.

Cartelle infette:
C:\resycled (Trojan.DNSChanger) -> No action taken.

File infetti:
C:\resycled\boot.com (Trojan.DNSChanger) -> No action taken.

Estratto dal log di MBAM

Chiavi di registro infette:
HKEY_CLASSES_ROOT\totalvid (Trojan.DNSChanger) -> No action taken.

No action taken -> significa che non hai eliminato nulla, ripeti scansione completa ed elimina gli elementi infetti

Segui quanto indicato qui http://www.hwupgrade.it/forum/showpost.php?p=26261563&postcount=7

NB: i log vanno allegati nel rispetto delle Regole di sezione

prima non sono riuscita ad allegare il file con la procedura indicata perchè mi segnalava errore. ora ci riprovo con quello nuovo:

grazie

prima non sono riuscita ad allegare il file con la procedura indicata perchè mi segnalava errore. ora ci riprovo con quello nuovo:

grazie

Fai quanto indicato qui http://www.hwupgrade.it/forum/showpost.php?p=26261563&postcount=7

e poi porta a termine la Guida, attendo tutti i log in un unico post, grazie.

per cortesia mi specifichi quali log desideri che ti alleghi?
grazie

ritiro la domanda, scusa, seguo tutta la guida e poi allego
grazie

http://www.hwupgrade.it/forum/showthread.php?t=1599737

tranne Punto 1 e 2 che hai già fatto

questo è quello che ho ottenuto:

dr.web: http://wikisend.com/download/893670/DrWebchiara.csv

gmer: http://wikisend.com/download/495604/gmerCHIARA.log

hijack: http://wikisend.com/download/916494/hijackthisCHIARA.txt

sysinspector: http://wikisend.com/download/593172/SysInspector-CHIARA-A4D4C49C-090212-1248chiara.zip

questo è quello che ho ottenuto:

dr.web: http://wikisend.com/download/893670/DrWebchiara.csv

gmer: http://wikisend.com/download/495604/gmerCHIARA.log

hijack: http://wikisend.com/download/916494/hijackthisCHIARA.txt

sysinspector: http://wikisend.com/download/593172/SysInspector-CHIARA-A4D4C49C-090212-1248chiara.zip

1 Riallega in formato .txt i log di DrWeb CureIt

2 Riallega in formato .xml il log di SysInspector

Devi semplicemente seguire le istruzioni in Guida, grazie.

hai ragione, scusami,
drweb ekiga-setup-3.0.2beta-7316.exe;G:\software_libero\internet\chat\voip;Trojan.DownLoader.origin;Incurabile.Spostato.;


sysinspector :http://wikisend.com/download/816662/SysInspector-CHIARA-A4D4C49C-090212-2140a.xml

1 Rilancia la scansione con Gmer terminata la stessa seleziona il Servizio identificato come hidden Service system32\drivers\gaopdxspxgview.sys (*** hidden *** ) lo selezioni col tasto dx del mouse e clicca su Delete Service

2 Produci il log inerente il Punto 4 della Guida ti suggerisco il Kaspersky Removal Tool

3 Fai girare questo tool:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare:
Kaspersky Removal Tool
Combofix
Nuovo log Gmer
Nuovo log SysInspestor
Nuovo log HJT

Grazie.

alla fine della nuova scansione con gmer, lo stesso non mi da la possibilità di cancellare il servizio selezionato come da te indicato;

kaspersky ha prodotto questo: http://wikisend.com/download/947514/kasperskyCHIARA.txt

gmer: http://wikisend.com/download/556748/gmerCHIARA.log

sysinspector: http://wikisend.com/download/527188/SysInspector-CHIARA-A4D4C49C-090214-0739.xml

hijack: http://wikisend.com/download/476484/hijackthisCHIARA.txt


grazie

alla fine della nuova scansione con gmer, lo stesso non mi da la possibilità di cancellare il servizio selezionato come da te indicato;

kaspersky ha prodotto questo: http://wikisend.com/download/947514/kasperskyCHIARA.txt

gmer: http://wikisend.com/download/556748/gmerCHIARA.log

sysinspector: http://wikisend.com/download/527188/SysInspector-CHIARA-A4D4C49C-090214-0739.xml

hijack: http://wikisend.com/download/476484/hijackthisCHIARA.txt


grazie

manca il log di combo
C:\combofix.txt

eccolo

eccolo

non è quello ;)
lo trovi in C: e si chiama combofix.txt

...quanta pazienza che hai!
grazie


http://wikisend.com/download/216820/ComboFix.txt

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Dati applicazioni\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [QUAD Windows service] C:\Programmi\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.exe -h
O4 - HKCU\..\Run: [QUAD Scheduler] C:\Programmi\QUAD Utilities\QUAD Registry Cleaner\QUAD Scheduler.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: OpenOffice.org 3.0.lnk
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)


SUPERAntiSpyware lo fixi se hai la versione free
poi facci il punto della situazione

Apri il Blocco Note copia e incolla questa righe:

File::
c:\windows\system32\drivers\gaopdxspxgview.sys

Driver::
gaopdxspxgview

Registry::
[-HKLM\SYSTEM\ControlSet002\Services\gaopdxserv]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt + nuovo log di Gmer

Ciao

COMBOFIX: http://wikisend.com/download/470944/ComboFix.txt


GMER: http://wikisend.com/download/501382/gmerCHIARA.log

COMBOFIX: http://wikisend.com/download/470944/ComboFix.txt


GMER: http://wikisend.com/download/501382/gmerCHIARA.log

Devi fare esattamente ciò che è indicato qui http://www.hwupgrade.it/forum/showpost.php?p=26290300&postcount=26 ovvero creare il file CFScript.txt come da istruzioni e trascinarlo sull'icona di Combofix

combofix: http://wikisend.com/download/887004/logCOMBOFIXchiara.txt

gmer: http://wikisend.com/download/497574/gmerCHIARA.log

Trascina il file in allegato sull'icona di Combofix

ultimo di combofix:
http://wikisend.com/download/479686/logCOMBOFIXchiara.txt

Per scrupolo ripeti scansione completa con A-Squared per il resto direi che siamo ok :)

questo è l'ultimo log di a-squared:

http://wikisend.com/download/488978/a2scan_090214-130751.txt

questo è l'ultimo log di a-squared:

http://wikisend.com/download/488978/a2scan_090214-130751.txt

Direi che siamo a posto :)

graaaaaaaaaaaaaaaaaaaazieeeeeeeeeeeeeeeeeeeeeee. ancora una volta siete stati splendidamente utili!!!!

avreste voglia di raccontarmi in poche parole cosa mi ero presa?

Il problema di fondo era un RootKit ti suggerisco di leggere questa discussione http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao ;)