Salve ragazzi! Ho formattato da poco, ma io qui ho un problema ogni giorno, una cosa incredibile!:(
Quando tento di aprire il contenuto del mio hard disck esterno esce questo:

http://i43.tinypic.com/29vysnc.jpg

Nel frattempo posto un log di hijackthis:
http://www.fileqube.com/file/pljJtfn173478
Spero di risolvere!:(

Salve ragazzi! Ho formattato da poco, ma io qui ho un problema ogni giorno, una cosa incredibile!:(
Quando tento di aprire il contenuto del mio hard disck esterno esce questo:

http://i43.tinypic.com/29vysnc.jpg

Nel frattempo posto un log di hijackthis:
http://www.fileqube.com/file/pljJtfn173478
Spero di risolvere!:(

Metti la visualizzazione file nascosti (o usa total commander) e vedi se c'e autorun.inf (e lo pialli nel caso) ;)

Segui passo passo la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Metti la visualizzazione file nascosti (o usa total commander) e vedi se c'e autorun.inf (e lo pialli nel caso) ;)
mmm il file dovrebbe essere nell'hard disck o su risorse del computer?

segui la guida che ti ha indicato chill tenendo collegato il disco esterno durante le scansioni

segui la guida che ti ha indicato chill tenendo collegato il disco esterno durante le scansioni
ok proverò anche se non ho tutto questo tempo per fare scansioni!:)

Forse dovreste dare un occhio a questo log di mcafree rootkit detect!:stordita:
http://www.fileqube.com/file/expXuhf173797

Forse dovreste dare un occhio a questo log di mcafree rootkit detect!:stordita:
http://www.fileqube.com/file/expXuhf173797

Sei infetto segui la Guida

Sei infetto segui la Guida
Ok procedo!;)

cribbio sta accadendo pure a me!!!!!! ho da poco formattato, ma non ho hd esterni mi succeede in tutte e 4 le partizioni dei miei 2 hd interni!

internet è mezzo impazzito e si sente il rumore di boot del floppy ogni 2 minuti :eek:

:help:

cribbio sta accadendo pure a me!!!!!! ho da poco formattato, ma non ho hd esterni mi succeede in tutte e 4 le partizioni dei miei 2 hd interni!

internet è mezzo impazzito e si sente il rumore di boot del floppy ogni 2 minuti :eek:

:help:
Anche io ho appena formattato.. che rabbia!!:mad:
E comunque non siamo soli: http://www.hwupgrade.it/forum/showthread.php?t=1925461

Credo di aver capito che recycler ha a che fare con il cestino di windows!:stordita:

seguite la guida indicata da chill al post 3 o non ne veniamo fuori più ;)

seguite la guida indicata da chill al post 3 o non ne veniamo fuori più ;)
Io sto seguendo la guida... sto scansionando con DR.web!:)
;)

Può centrare qualcosa?:)
Il worm si diffonde anche attraverso dispositivi removibili, quali pen drive usb. Una volta connesso il dispositivo, il malware crea il file autorun.inf e copia la dll all’interno della cartella RECYCLER. Sia la cartella che il file vengono configurati con attributo di sola lettura.

E' scritto in fondo qui: http://www.pcalsicuro.com/main/2009/01/conficker-si-diffonde-nelle-aziende/

Ecco i log!:)

Malwarebytes Anti-Malware: http://wikisend.com/download/800360/mbam-log-2009-02-14
A-Squared Free v4.x: http://wikisend.com/download/506980/a2scan_090214-155748.txt
F-Secure OnLine: http://wikisend.com/download/615046/f-secure
Dr.Web CureIT: http://wikisend.com/download/612712/CureIt.log
ESET SysInspector: http://wikisend.com/download/929386/SysInspector-FA7D293862514DA-090215-1237.xml
HiJackThis: http://wikisend.com/download/561528/hijackthis.log
Gmer: http://wikisend.com/download/513212/gmer.log
PrevxCSI: http://wikisend.com/download/949352/prevx.log
-Screen: http://i40.tinypic.com/2hnb0jl.jpg

N.B.
1) Nel log di gmer, i processi gaopad sono rootkit (però gmer non li segnala), ne sono certo, io comunque non ho killato niente!
2) Il log di Dr.Web CureIT non sono riuscito a snellirlo dato che il download e la guida di parserlog si trova su helloweb, che ha chiuso...
3) Ora l'hard disck riesco ad aprirlo, erano due autorun.inf, (individuato da Dr.Web) la causa ma comunque sono infetto lo stesso dal rootkit!:cry:

Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ho provveduto a rinominarlo per scrupolo col un nome casuale
Doppio click su valeska87.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - non toccare il mouse - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ho provveduto a rinominarlo per scrupolo col un nome casuale
Doppio click su valeska87.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - non toccare il mouse - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza
Ecco il log.. comunque il firewall di windows non ha segnalato nulla!:)
Combofix: http://wikisend.com/download/560820/ComboFix.txt

Apri il Blocco Note copia e incolla questa righe:

File::
c:\windows\system32\drivers\39c32.SYS
c:\windows\system32\drivers\e3e33.SYS
c:\windows\system32\2c2.sys
c:\windows\system32\drivers\2631.SYS

Driver::
39c32
e3e33
2631

Registry::
[-HKLM\SYSTEM\ControlSet001\Services\gaopdxserv]
[-HKLM\SYSTEM\ControlSet002\Services\gaopdxserv]
[-HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt + nuovo log di Gmer

Ciao

Ecco!:)

ComboFix: http://wikisend.com/download/530866/ComboFix.txt
Gmer: http://wikisend.com/download/526862/gmer.log

P.S. Vedo ancora il nome gaopad in gmer!:fagiano:
Grazie!;)

File::
c:\windows\system32\drivers\39c32.SYS
c:\windows\system32\drivers\e3e33.SYS
c:\windows\system32\2c2.sys
c:\windows\system32\drivers\2631.SYS
c:\system32\drivers\gaopdxjlkdmitt.sys
c:\system32\gaopdxarmpfqqa.dll

Driver::
39c32
e3e33
2631
gaopdxjlkdmitt

Registry::
[-HKLM\SYSTEM\ControlSet001\Services\gaopdxserv]
[-HKLM\SYSTEM\ControlSet002\Services\gaopdxserv]
[-HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv]

come sopra attendo log di Combo + Gmer :)

come sopra attendo log di Combo + Gmer :)
Io gli ho rifatti!:mbe:

Io gli ho rifatti!:mbe:

http://www.hwupgrade.it/forum/showpost.php?p=26321558&postcount=21

ho modificato lo Script devi ripetere la procedura :)

Ecco i log:

Combofix: http://wikisend.com/download/475028/ComboFix.txt
Gmer: http://wikisend.com/download/509626/gmer.log

Grazie!;)

HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys

C'è qualcosa che non quadra, facciamo la controprova, vediamo se riesci a cancellarle manualmente

Da Start - Esegui - digita Regedit

naviga fina alla suddetta chiave ed eliminala

rieccomi qui dopo qualche giorno di silenzio direi di aver debellato questo virus bastardo...

non metto in dubbio i vostri sistemi di analisi ma io ho usato metodi forse un po' caserecci...

@Stefy
il tuo prob è solo l'accesso all'hd o anche con internet? perchè come ho già detto anche le ricerche in rete mi erano impossibili: ero deviato su siti di spam e alcuni siti erano inacessibili (gmer e spybot ad esempio).

ecco come ho operato: su tutte e 4 le mie partizioni avevo un file nascosto in radice "autorun.inf" e ho provveduto ad eliminare, dopo un riavvio le partizioni erano di nuovo accessibili ma internet risultava ancora compromesso.
Lo sconosciuto almeno per me SUPERAntispyware risultava accessibile, l'ho quindi scaricato e fatto girare e qualcosa mi ha trovato... dopodichè molti siti erano di nuovo "sbloccati" e ho lanciato F-Secure online che mi ha beccato il famoso gaopd... :eek:

consiglio a Stefy di leggere anche qui (http://www.ilsoftware.it/articoli.asp?id=4950) ;)

rieccomi qui dopo qualche giorno di silenzio direi di aver debellato questo virus bastardo...

non metto in dubbio i vostri sistemi di analisi ma io ho usato metodi forse un po' caserecci...

@Stefy
il tuo prob è solo l'accesso all'hd o anche con internet? perchè come ho già detto anche le ricerche in rete mi erano impossibili: ero deviato su siti di spam e alcuni siti erano inacessibili (gmer e spybot ad esempio).

ecco come ho operato: su tutte e 4 le mie partizioni avevo un file nascosto in radice "autorun.inf" e ho provveduto ad eliminare, dopo un riavvio le partizioni erano di nuovo accessibili ma internet risultava ancora compromesso.
Lo sconosciuto almeno per me SUPERAntispyware risultava accessibile, l'ho quindi scaricato e fatto girare e qualcosa mi ha trovato... dopodichè molti siti erano di nuovo "sbloccati" e ho lanciato F-Secure online che mi ha beccato il famoso gaopd... :eek:

consiglio a Stefy di leggere anche qui (http://www.ilsoftware.it/articoli.asp?id=4950) ;)

Il problema è stato risolto, ed è stata fatta anche la scansione con F-Secure come suggerito in Guida ;)

C'è qualcosa che non quadra, facciamo la controprova, vediamo se riesci a cancellarle manualmente

Da Start - Esegui - digita Regedit

naviga fina alla suddetta chiave ed eliminala
No non riesco a cancellarla, esce "impossibile cancellare..."
Certo che è maledetto sto gaopad!:cry:

rieccomi qui dopo qualche giorno di silenzio direi di aver debellato questo virus bastardo...

non metto in dubbio i vostri sistemi di analisi ma io ho usato metodi forse un po' caserecci...

@Stefy
il tuo prob è solo l'accesso all'hd o anche con internet? perchè come ho già detto anche le ricerche in rete mi erano impossibili: ero deviato su siti di spam e alcuni siti erano inacessibili (gmer e spybot ad esempio).

ecco come ho operato: su tutte e 4 le mie partizioni avevo un file nascosto in radice "autorun.inf" e ho provveduto ad eliminare, dopo un riavvio le partizioni erano di nuovo accessibili ma internet risultava ancora compromesso.
Lo sconosciuto almeno per me SUPERAntispyware risultava accessibile, l'ho quindi scaricato e fatto girare e qualcosa mi ha trovato... dopodichè molti siti erano di nuovo "sbloccati" e ho lanciato F-Secure online che mi ha beccato il famoso gaopd... :eek:

consiglio a Stefy di leggere anche qui (http://www.ilsoftware.it/articoli.asp?id=4950) ;)
No, io a differenza di te riesco tranquillamente a navigare in internet e di spam non c'è nemmeno l'ombra!:)

No, io a differenza di te riesco tranquillamente a navigare in internet e di spam non c'è nemmeno l'ombra!:)

:mbe:

e i file autorun ce li hai?

:mbe:

e i file autorun ce li hai?
Li avevo... gli ha tolti dr.web!;)

Li avevo... gli ha tolti dr.web!;)

provato questo (http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356)?

provato questo (http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356)?
No, ma è della micorosoft e non credo prometta molto!:D :D

No non riesco a cancellarla, esce "impossibile cancellare..."
Certo che è maledetto sto gaopad!:cry:

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Estrailo e lancialo -> Clicca Ok -> Copia e Incolla TUTTO il codice segnalato qui sotto, nel riquadro bianco del programma
Togli la spunta a Scan for Rootkits -> Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato il log in c:\avenger.txt. caricalo per verificare che l'operazione abbia funzionato.

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\gaopdxserv.sys


In caso non funzionasse assicurati di aver copiato tutto il testo del riquadro codice.
In caso avenger non partisse per colpa dell'infezione, rinominalo in un noma casuale prima di lanciarlo.

No non riesco a cancellarla, esce "impossibile cancellare..."
Certo che è maledetto sto gaopad!:cry:

Avrei preferito il contrario ma immaginavo, prova con Avenger eventulamente adottiamo un'atra soluzione ;)

Sembra abbia funzionato avenger!!:)

Log Avenger: http://wikisend.com/download/470382/avenger.txt

Sembra abbia funzionato avenger!!:)

Log Avenger: http://wikisend.com/download/470382/avenger.txt

Nuovo log di Gmer per stare tranquilli ;)

Ecco il log:

Gmer: http://wikisend.com/download/122620/gmer.log

Ecco il log:

Gmer: http://wikisend.com/download/122620/gmer.log

Ok :)

Per il resto http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ok :)

Per il resto http://www.hwupgrade.it/forum/showthread.php?t=1726383
Perfetto!!:)
Gli altri log come hijackthis erano puliti?:)

Perfetto!!:)
Gli altri log come hijackthis erano puliti?:)

Si, considera però che HJT non è il rimedio contro tutti i mali :)

Stessissimo problema anch'io, non riesco ad accedere al hd esterno, posso accedere solo con esplora, stò iniziando a fare tutte le scansioni e postarvi i log, seguendo la guida di Chill...ecco per ora quello con gmer


Scusate ragà ma sò un pò nubbio, quindi se perfavore potete essere chiari :)

Stessissimo problema anch'io, non riesco ad accedere al hd esterno, posso accedere solo con esplora, stò iniziando a fare tutte le scansioni e postarvi i log, seguendo la guida di Chill...ecco per ora quello con gmer


Scusate ragà ma sò un pò nubbio, quindi se perfavore potete essere chiari :)

ciao

i log non zippati ma caricati secondo regole di sezione che trovi anche in firma, grazie

ciao

i log non zippati ma caricati secondo regole di sezione che trovi anche in firma, grazie


ok scusa, c'è bisogno di ripostarlo?

hijackthis eccolo

Edit

ho eseguito tutte le scansioni, non sono riuscito a risolvere il problema...intanto vi posto gli altri log, fatemi sapèè non ce la faccio a stà col pc così :(
e grazie per la disponibilita, ciau!

ho eseguito tutte le scansioni, non sono riuscito a risolvere il problema...intanto vi posto gli altri log, fatemi sapèè non ce la faccio a stà col pc così :(
e grazie per la disponibilita, ciau!

devi caricarli come è stato fatto qui, ossia su uno dei server indicati nelle regole
http://www.hwupgrade.it/forum/showpost.php?p=26304687&postcount=16

sicuri sia un virus? a me è comparso dopo aver collegato il tomtom..e forse ho incasinato qualcosa...:confused: