PDA

View Full Version : Virus tramite chiavetta usb...


chiodo92
18-02-2009, 21:37
Ciao a tutti, dopo aver inserito la pennetta avast mi ha segnalato una serie di virus e li ho eliminati subito(almeno avast me lo ha fatto credere)...bene.
Ho spento il pc e l'ho acceso il giorno dopo.
Innanzitutto la schermata iniziale di scelta degli account è sparita: viene fuori una schermata nera con un finestra in cui immettere nome utente ed eventuale pass; poi, appena entrato in windows mi dice che la protezione esecuzione programmi ha bloccato l'esecuzione di Userinit e Winlogon. Questo mi fa pensare che quel virus della chiavetta ha corrotto gli eseguibili di sistema o il registro. Poi, abbastanza spesso, explorer si blocca e devo terminarlo e riprenderlo tramite il task manager.
Anche la connesione Internet non funziona, durante la connessione mi da errore #5(che non mi era mai venuto). Finora sono riuscito a salvare i log di Dr.Web, Hijack, Gmer e Sysinspector(le scansioni online non posso farle per il problema scritto sopra). Allego i log, grazie a chi mi aiuterà

P.S.Ho usato anche Malwarebytes AntiMalware(scansione completa) ma non ha trovato niente

Ecco qui (http://www.webfilehost.com/?mode=viewupload&id=1658138) i log(non ho potuto fare in altro modo)

wjmat
18-02-2009, 22:03
ciao

i log caricali secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598), grazie ;)

chiodo92
19-02-2009, 17:01
I log sono caricati secondo le modalità

Per log corposi è caldamente consigliato inviarli su uno dei tanti server free che permettano l'hosting temporaneo di file come ad esempio wikisend.com, fileqube.com (utile anche per immagini), e mediafire.com infine copiare il link per il download e pubblicarlo nel forum nel proprio messaggio. si consiglia di riunire i link in un unico messaggio per evitare dispersione.

Se volete ve li uppo su wikisend (http://www.wikisend.com/download/595294/log%20scansioni.rar), basta che mi aiutate:cry: :(

wjmat
19-02-2009, 17:06
nelle modalità in firma trovi le info dettagliate

chiodo92
19-02-2009, 17:28
è quello che ho fatto, la dimensione dei log è maggiore di 24kb per cui non posso caricarli come allegato; i log non sono immagini; i log non appartengono a kapersky. Quindi l'unica modalità disponibile è la numero 2: caricarli su un server remoto ed è quello che ho fatto: log scansioni.rar (http://wikisend.com/download/595294/log scansioni.rar)

Adesso mi volete aiutare per favore???

wjmat
19-02-2009, 18:01
non zippati please ;)

chiodo92
19-02-2009, 18:17
-Hijackthis: hijackthis.log (http://wikisend.com/download/574990/hijackthis.log)
-gmer: gmer.log (http://wikisend.com/download/886030/gmer.log)
-sysinspector: SysInspector-PC-CHIODO-090218-1746.xml (http://wikisend.com/download/885258/SysInspector-PC-CHIODO-090218-1746.xml)
-Dr.Web: DrWeb.csv (http://wikisend.com/download/517640/DrWeb.csv)

Va bene così???:muro:
Adesso mi volete aiutare????? Grazie:mbe:

chiodo92
19-02-2009, 19:25
Aggiungo anche il log di Malwarebytes Antimalware il quale non ha trovato file infetti

wjmat
19-02-2009, 21:24
Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)


O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programmi\RivaTuner v2.21\RivaTuner.exe" /S
O4 - HKLM\..\Run: [RivaTuner] "C:\Programmi\RivaTuner v2.21\RivaTuner.exe" /T
O4 - HKLM\..\Run: [RivaTunerStatisticsServer] "C:\Programmi\RivaTuner v2.21\Tools\RivaTunerStatisticsServer\RivaTunerStatisticsServer.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PrevxCSI] "C:\Programmi\PrevxCSI\PrevxCSI.exe" /bootupreg
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\davide\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-21-1547161642-1425521274-725345543-1005\..\Run: [ccyug] "c:\documents and settings\eliana\impostazioni locali\dati applicazioni\ccyug.exe" ccyug (User 'eliana')
O4 - HKUS\S-1-5-21-1547161642-1425521274-725345543-1006\..\Run: [Google Update] "C:\Documents and Settings\luciano\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c (User 'luciano')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: SpeedFan.lnk = C:\Programmi\SpeedFan\speedfan.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab



fai girare e carica il log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

chiodo92
19-02-2009, 21:30
Ho fatto girare a-squared e ha trovato un bel pò di robaccia

A-squared: a2scan_090219-210122.txt (http://wikisend.com/download/944296/a2scan_090219-210122.txt)

Adesso faccio girare Combofix, grazie