ho provato a seguire passo passo la procedura di disinfezione del pc, ma ho alcuni problemi a cui non mi so dare spiegazione e che probabilmente non mi fa avere i risultati aspettati:
1) non mi parte il programma "cureit" appena clicco per far partire la scansione, mi da messaggio d'errore e si chiude.
2) prevxcsifree sembra non riuscire a collegarsi al server e quindi da scansione fallita.

vi riporto qui tutti i log che son riuscito a fare.
Se così non c'è soluzione, visto che anche con una formattazione normale non se ne va, che faccio? butto i due hard disk infetti?

1) log1_malwarebytes_log.txt (http://wikisend.com/download/872582/log1_malwarebytes_log.txt)

2) log2_a2scan_090306-035636.txt (http://wikisend.com/download/509846/log2_a2scan_090306-035636.txt)

3) cureit non va

4) log4_kasp filtrato.txt (http://wikisend.com/download/488290/log4_kasp filtrato.txt)

5) log5_SysInspector-CARFA.xml (http://wikisend.com/download/534630/log5_SysInspector-CARFA.xml)

6) log6_hijackthis.txt (http://wikisend.com/download/474978/log6_hijackthis.txt)

7) log7_gmer.txt (http://wikisend.com/download/609184/log7_gmer.txt)

alla fine ne ho fatto uno con nod32 tanto per:
log8_nod32.txt (http://wikisend.com/download/962782/log8_nod32.txt)

a voi la sentenza!

1 - Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sotto indicata voce e clicca su Fix cheked

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

2 - Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare
Combofix
Nuovo log HJT
Nuovo log SysInspector
Prevx CSI

non vorrei cantar vittoria troppo presto.... però!

combofix:
http://www.fileqube.com/file/cVeqNC177976

HJT:
http://www.fileqube.com/file/qDkpjztH177978

SysInspector:
http://www.fileqube.com/file/AjShTbu177981

Prevx csi:
http://www.fileqube.com/file/YSCnUplsx177983

Ho dovuto usare fileqube perchè wikisend non funzionava.

infatti....:muro:
nod32 appena parte in scan mi trova ancora sto mebroot.K ma come cavolo devo fare?

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)


O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programmi\File comuni\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programmi\File comuni\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1219423656889
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muwe b_site.cab?1219424118108
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab



Da modalità normale
Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]


Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt



carica un log anche di nod

gmer effettivamente segnala mbr rootkit ma anche se lo avevi ripulito in passato il suo log sarà sempre sporco
prevx invece non lo segnala

http://www.hwupgrade.it/forum/showpost.php?p=26061783&postcount=1087

leggevo questo post riguardante il mio stesso problema:
-sono l'unico account del pc
-in effetti un hard disk esterno non è collegato al pc
-non saprei di una partizione nascosta.

cmq ora faccio come mi hai detto.

So che non sarete tutti d'accordo ma per quanto mi riguarda sono ormai 8 anni che compro il Norton Internet Security e, pur lavorandoci tutto il giorno, non ho mai avuto problemi.

Ho ormai imparato a settarlo per "alleggerirlo" un pò ma, ripeto, senza evidentemente pregiudicare la sicurezza del pc.

Per levare files che si ostinano ad essere incollati sull'hard disk ho acquistato East Tec eraser, che funziona a meraviglia.

@ Wizard70:
siamo contenti per te ma qui sei un po' off-topic :D

Lo dicevo per utilizzare il NIS come spazzino del/dei virus...Potrebbe farcela?

ecco i log:

hijackthis:
http://www.fileqube.com/file/osiSksw178130

combofix:
http://www.fileqube.com/file/YkzglQb178132

nod32:
http://www.fileqube.com/file/qXNzFh178133

ecco i log:

hijackthis:
http://www.fileqube.com/file/osiSksw178130

combofix:
http://www.fileqube.com/file/YkzglQb178132

nod32:
http://www.fileqube.com/file/qXNzFh178133

Ciao dovremmo essere OK, rimane da capire il perchè il Nod sfarlocca, mi dici cosa sono C: - D: - E:

Ciao dovremmo essere OK, rimane da capire il perchè il Nod sfarlocca, mi dici cosa sono C: - D: - E:

C: è l'hard disk con il S.O.
D: ed E: due hard disk con solo dati

C: è l'hard disk con il S.O.
D: ed E: due hard disk con solo dati

Sono 2 partizioni non due HDD, dimmi quale versione del Nod usi, la cosa bizzarra è la seguente, SysInspector non rileva nulla mentre Nod si ed entrambi i software sono Eset :)

Sono 2 partizioni non due HDD, dimmi quale versione del Nod usi, la cosa bizzarra è la seguente, SysInspector non rileva nulla mentre Nod si ed entrambi i software sono Eset :)

nono, D: ed E: sono proprio 2 dischi fisici.

il nod è versione 4.0.314.0
Virus signature database: 3832 (20090206)
Update module: 1026 (20081114)
Antivirus and antispyware scanner module: 1179 (20090204)
Advanced heuristics module: 1088 (20090205)
Archive support module: 1090 (20090205)
Cleaner module: 1037 (20081209)
Anti-Stealth support module: 1007 (20081107)
System status module: 1206 (20090206)
Self-defense support module : 1005 (20081105)

nono, D: ed E: sono proprio 2 dischi fisici.

il nod è versione 4.0.314.0
Virus signature database: 3832 (20090206)
Update module: 1026 (20081114)
Antivirus and antispyware scanner module: 1179 (20090204)
Advanced heuristics module: 1088 (20090205)
Archive support module: 1090 (20090205)
Cleaner module: 1037 (20081209)
Anti-Stealth support module: 1007 (20081107)
System status module: 1206 (20090206)
Self-defense support module : 1005 (20081105)

Ok due dischi....in definitiva secondo mè il Nod sfarlocca e non è la prima volta, per massimo scrupolo allega un nuovo log di Gmer premurandoti di scaricare la versione aggiornata da qui http://www.gmer.net/files.php

Ok due dischi....in definitiva secondo mè il Nod sfarlocca e non è la prima volta

disinstallo e ne metto un'altro? e vediamo che dice?

disinstallo e ne metto un'altro? e vediamo che dice?

No non ha senso, leggi sopra ho editato il Post

ma se è vero ciò:



gmer effettivamente segnala mbr rootkit ma anche se lo avevi ripulito in passato il suo log sarà sempre sporco
prevx invece non lo segnala

:confused: :confused:

ma se è vero ciò:



:confused: :confused:

Ciò non è vero in quanto Gmer non segnala la presenza del Rootkit bensì codice appeso in quei settori, produci nuovo log come sopra indicato :)

ora sto facendo una scansione online con il sito della Mcafee, e mi segnala solo i programmini di scansione tipo combofix


questo è lo striminzito log che sono riuscito ad ottenere:

C:\Documents and Settings\...\Junk-----------------------------Generic Malware.a!zip
C:\Documents and Settings\...\Junk-----------------------------Spy-Agent.cf
C:\Documents and Settings\...\ComboFix.exe--------------------RemAdm-ProcLaunch!171
C:\Qoobox\Quarantine\C\2.bat.vir-------------------------------PWS-Gamania.gen.k
C:\Qoobox\...\system32\nmdfgds0.dll.vir-------------------------PWS-Gamania.gen.k
C:\Qoobox\...\system32\nmdfgds1.dll.vir-------------------------PWS-Gamania.gen.k
C:\Qoobox\...\system32\olhrwef.exe.vir--------------------------PWS-Gamania.gen.k

ora sto facendo una scansione online con il sito della Mcafee, e mi segnala solo i programmini di scansione tipo combofix

Mi allegheresti un nuovo log di Gmer

http://www.hwupgrade.it/forum/showpost.php?p=26598743&postcount=15

gmer is running.....
please hold on!

nono, D: ed E: sono proprio 2 dischi fisici.

il nod è versione 4.0.314.0
Virus signature database: 3832 (20090206)

Direi che l'ultimo aggiornamento non è molto recente

Direi che l'ultimo aggiornamento non è molto recente

Effettivamente mi era sfuggito mi ero focalizzato sulla versione

http://www.fileqube.com/file/OubHFC178236

ecco il log di gmer

Direi che l'ultimo aggiornamento non è molto recente

Effettivamente mi era sfuggito mi ero focalizzato sulla versione

http://www.fileqube.com/file/OubHFC178236

ecco il log di gmer

Il log è OK, come faceva notare epa le definizioni del Nod sono obsolete

Il log è OK, come faceva notare epa le definizioni del Nod sono obsolete

le ho aggiornate, mo gli faccio fare l'3nn3sima scansione e vediamo.



ecco il risultato di 16 secondi di scansione:
http://img16.imageshack.us/img16/7546/immaginexdu.th.jpg (http://img16.imageshack.us/my.php?image=immaginexdu.jpg)

Ripeto, sei OK evidentemente il Nod segnala cio che Gmer non rileva come Rootkit

Ripeto, sei OK evidentemente il Nod segnala cio che Gmer non rileva come Rootkit

ok grazie mille, passo alla profilassi post disinfezione.;)

ok grazie mille, passo alla profilassi post disinfezione.;)

Prego di nulla :)