ho preso questo virus con pendrive inserita. Ho girato un pò di cose Spybots, ad aware e hijiackthis. Adesso il note sembra a posto ma non so se al riavvio si ripresenta.
C'è qualche programmino che lo toglie senza bisogno di operare nel registro? Grazie.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.03.21, on 16/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

per impedire di reinfettare il pc con la chiavetta usb potresti abituarti a usare il pc attraverso un utenza con bassi privilegi (utente limitato), basta che vai in "pannallo di controllo - gestione utenti" e crei un nuvo utente come "utente limitato".

dai una passata con malwarebytes e a-squared che trovi nella guida:
Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

grazie e scusate per aver postato un log troppo lungo

se puoi prediligi il metodo degli upload su wikisend :)

per impedire di reinfettare il pc con la chiavetta usb potresti abituarti a usare il pc attraverso un utenza con bassi privilegi (utente limitato), basta che vai in "pannallo di controllo - gestione utenti" e crei un nuvo utente come "utente limitato".

dai una passata con malwarebytes e a-squared che trovi nella guida:
Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737)


ho passato con i programmi che mi hai indicato, a-squared già l'avevo ma ho notato che dopo aver ripulito tutto in msconfig mi compariva di nuovo l'exe del titolo e il note andava lentissimo fino ad impallarsi. In questo preciso momento avast mi segnala un file sospetto trovato con il metodo euristico. C:\luk1ylq.com. Di solito comincia così e poi sia che ignoro o che elimino il note si "infetta" nuovamente.

ecco i log fatti stamattina:

mbam-log-2009-03-17 (07-07-39).txt (http://freefilehosting.net/download/46432)

a2scan_090317-070850.txt (http://freefilehosting.net/download/46433)

report_1237274116148_587.txt (http://freefilehosting.net/download/46434)

hijackthis_1237274176114_588.log (http://freefilehosting.net/download/46435)

malwarebytes hai fatto la scansione rapida:
17/03/2009 7.07.39
Tipo di scansione: Scansione rapida
la completa serve per fare pulizia efficacemente perchè controllatutte le directory e tutti i file.

a-squared anche in questo caso hai fatto la scansione veloce anzicchè la deep!
l'oggetto identificato dovresti metetrlo in quarantena inquanto non conosco nessun emule5.0 :)

Scientifico: Off
Scansione avviata: 17/03/2009 7.08.50

Value: HKEY_USERS\S-1-5-21-1229272821-1645522239-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Emule --> Order rilevati: Trace.Registry.Emule 5.0!A2

pertanto le devi rifare secondo le direttive date altrimenti è inutile farle.. mancano in ordine f-secure, dr.web, sysinspector, hijackthis, gmer e prevxcsi :)

da notare che una volta fatta una prima rimozione, il note sembra ok, ma dopo un tot di tempo avast mi segnala C:\luk1ylq.com e al successivo riavvio si apre la finestra l'utilità di configurazione sistema dove in avvio ritrovo l'exe dell'oggetto e il note si impalla. Dopo alcuni riavvii riesco a toglierlo dai programmi in esecuzione e il note torna normale e adesso vi sto scrivendo mentre faccio lo scan completo con pendrive inserita.
Volevo capire, la rimozione dunque è solo temporanea, credo che l'unico che mi segnale file sospetti anche dopo la pulizia con gli altri tool è prevcsi.

altra domanda: l'avast segnala qualcosa in coincidenza con lo scan dei vari programmi, è una mia impressione o c'è una relazione? Devo disattivarlo mentre faccio la scansione?

http://translate.google.it/translate?hl=it&sl=en&u=http://www.prevx.com/filenames/X4091486100128366197-X1/OLHRWEF2EEXE.html&ei=26i_SZ_nAdGJsAab1qWlBA&sa=X&oi=translate&resnum=2&ct=result&prev=/search%3Fq%3Dluk1ylq.com%26hl%3Dit%26sa%3DG

altra domanda: l'avast segnala qualcosa in coincidenza con lo scan dei vari programmi, è una mia impressione o c'è una relazione? Devo disattivarlo mentre faccio la scansione?

avast rileva gli oggetti malevoli che stanno per essere puliti dai vari tool.. si scollega ilk pc dalla rete, disattiva avast e fai la pulizia con i tool :)

mbam-log-2009-03-17 (13-58-18).txt (http://freefilehosting.net/download/464bf)

a2scan_090317-143615.txt (http://freefilehosting.net/download/464bg)

F-Secure Online Scanner 3_3_1 - Scanning Report - Tuesday, March 17, 2009 191035.htm (http://freefilehosting.net/download/464bh)

Dr.Web CureIT non eseguito, all'avvio mi da un errore e si chiude

SysInspector-ALI-5178F0511BB-090317-1925_1237321678583_645.xml (http://freefilehosting.net/download/464bl)

hijackthis_1237321702705_647.log (http://freefilehosting.net/download/464c0)

gmer_1237321724511_648.log (http://freefilehosting.net/download/464c1)


prevxcsi.bmp (http://freefilehosting.net/show/464c2)



Aiutatemi, non voglio formattare!

http://translate.google.it/translate?hl=it&sl=en&u=http://www.prevx.com/filenames/X4091486100128366197-X1/OLHRWEF2EEXE.html&ei=26i_SZ_nAdGJsAab1qWlBA&sa=X&oi=translate&resnum=2&ct=result&prev=/search%3Fq%3Dluk1ylq.com%26hl%3Dit%26sa%3DG


grazie, sarebbero le istruzioni per una rimozione manuale?

c'è un tool che lo rimuove in maniera permanente? Oppure sbaglio qualcosa nel procedimento perchè la rimozione avviene ma è solo temporanea.

Mi sono accorto di non aver seguito la fase preliminare, disattivazione del ripristino. Quanto a Prevxcsi, non posso disinfettare, non ho la licenza

qualcuno ha letto i miei log?

mbam-log-2009-03-17 (13-58-18).txt (http://freefilehosting.net/download/464bf)

a2scan_090317-143615.txt (http://freefilehosting.net/download/464bg)

F-Secure Online Scanner 3_3_1 - Scanning Report - Tuesday, March 17, 2009 191035.htm (http://freefilehosting.net/download/464bh)

Dr.Web CureIT non eseguito, all'avvio mi da un errore e si chiude

SysInspector-ALI-5178F0511BB-090317-1925_1237321678583_645.xml (http://freefilehosting.net/download/464bl)

hijackthis_1237321702705_647.log (http://freefilehosting.net/download/464c0)

gmer_1237321724511_648.log (http://freefilehosting.net/download/464c1)


prevxcsi.bmp (http://freefilehosting.net/show/464c2)



Aiutatemi, non voglio formattare!

_ con malwarebytes non si vede se hai svolto l'azione di cancellazione degli oggetti individuati..

_ con a-squared hai fatto la semplice scansione veloce e non la DEEP, infatti ha rimosso 3 oggetti di cui due cookies..

_ f-secure evidenzia ben 6 malware 8uno è un cooky).

_ manca la scansione con Dr.WEB cureIT

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\system32\tsnp2std.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe


non hai impostato i dns consigliati in guida

_ il log di gmer non è corretto, verifica che siano attivate tutte le funzioni prima di premere scan

_ di prevx manca il log



riassumendo:
_ aggiorna malwarebytes e rifai la scansione facendo l'azione sugli oggetti individuati

_ aggiorna a-squared e rifai la scansione DEEP mettendo tutto in quarantena

_ fai la scansione con ComboFix -> Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Rinomina il file appena scaricato con un nuome a tua scelta (esempio Prova.exe) poi fai doppio click su combofix.exe e segui le istruzioni.
Allega il report C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

_ fai la scansione con hijackthis

_ fai la scansione con gmer facendo attenzione che tutte le caselline siano attivate

_ fai las scansione con prevxcsi salvando il log

starò più attento ma mi avevi già detto che avevo fatto le scansioni non approfondite ed ero convinto di averle fatte. CureIt non mi funziona appena do avvio mi va in errore con la finestra di windows che chiede di inviare l'errore. Rifaccio tutto compreso la fase preliminare

fai solo quelle che ti ho indicato cioè salta cureit per ora e fai:
imposta dns
malwarebytes
asquared
combofix
hijackthis
gmer
prevxcsi

tranne le prime due sono abbastanza veloci, mi raccomando attenzione a combofix, piuttosto leggi 5 volte come devi eseguirlo!

fai solo quelle che ti ho indicato cioè salta cureit per ora e fai:
imposta dns
malwarebytes
asquared
combofix
hijackthis
gmer
prevxcsi

tranne le prime due sono abbastanza veloci, mi raccomando attenzione a combofix, piuttosto leggi 5 volte come devi eseguirlo!

ciao ho fatto tutto quello che hai detto. L'unico dubbio è stato riguardo combofix, prima di avviare la scansione mi ha avvertito che non avevo installato la consolle di ripristino del sistema e mi ha chiesto se volevo installarla, ho risposto ok e l'ha scaricata dal sito microsoft, poi mi sono scollegato e l'ho fatto partire.

mbam-log-2009-03-19 (06-48-23).txt (http://freefilehosting.net/download/4654k)

a2scan_090319-064937.txt (http://freefilehosting.net/download/4654l)

combo log.txt (http://freefilehosting.net/download/4654m)

hijackthis_1237448453051_758.log (http://freefilehosting.net/download/46550)

gmer_1237448477113_759.log (http://freefilehosting.net/download/46551)


prevxCSI.log (http://freefilehosting.net/download/46552)

disinstalla ComboFix
segui alla lettera le istruzioni che trovi qui:
http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19
mi raccomando prima disinstalla la console di ripristino


per a-squared hai fatto la scansione veloce anzicchè la DEEP pertanto dovrai rifarla e infatti avrebbe trovato lgli oggetti
C:\autorun.inf
E:\Autorun.inf
E:\uxkl0apt.bat
E:\yh.cmd
se tu avessi fatto quello che ti veniva chiesto..


il log gmer contiene solo la sezione device quindi non hai abilitato tutte le caselline come da immagine:
http://www.pcalsicuro.com/images/gmer1.jpg


il log di prevxcsi mostra:

[BP] (ACTIVE) c:\luk1ylq.com [PX5: B03FE47803151872B3C10115AF7C9C0039BE7D3F] Malware Group: Malware Component
[B] (ACTIVE) c:\documents and settings\ali\desktop\cleaner (2)\sys48570.exe [PX5: 292735B62282DF4F44DA0B1FBFB0CE0094065B38] Malware Group: Medium Risk Malware

gentilmente potresti farmi analizzare questi due oggetti:
c:\luk1ylq.com
c:\documents and settings\ali\desktop\cleaner (2)\sys48570.exe
sul sito www.virustotal.com e www.virscan.org, a fine scansione basta che copi l'url mostrato nel browser e lo incolli qui nel forum :)

ciao mi guardo bene dal contraddirti ma ti assicuro che ho operato come segue:

a-squared, scansione completa, ho spuntato sulla penultima opzione DEEP SCAN.

GMER tutte le caselle erano abilitate, l'unica non abilitata era quella di E:\ sotto C:\ che si riferisce alla mia partizione DATI. Ho provato a spuntarla ma appena lo faccio si disattiva il tasto scan.

Riguardo il file sys48570.exe, nella cartella cleaner ho messo tutti i programmi indicati nella guida.

Quello che posso fare è uno screenshot prima di fare lo scan per farti vedere le impostazioni usate.
Non ho nessuna convenienza a fare diversamente, credimi. Adesso sono in ufficio, nel pomeriggio rifaccio tutto e posto.
Grazie per la pazienza comunque.

che versione hai usato di a-squared?

credimi nella guida agli infetti non ho idea di quale programma tu abbia scaricato che crea la cartella "cleaner (2)" e che all'interno contenga "sys48570.exe" :boh:
non vorrei azzardare ma secondo me arriva da altra sorgente :)

http://www.virustotal.com/it/analisis/4c6c280086799a564f6e5d338ec64ac6

http://www.virscan.org/report/d1a6fcf23d3639f47d9949c1eb7fc2b1


il file c:\luk1ylq.com l'ho cercato e non c'è


quanto alla cartella cleaner 2, volevo dire che l'ho creata io per comodità e gli ho messo tutti gli applicativi della guida

la versione di a squared è quella scaricata dal link della guida e aggiornata (3.5)

ehm, scusa come si disinstalla il combofix, non c'è tra i programmi e non c'è tra le applicazioni, non lo trova da star/esegui...ok fatto

http://www.virustotal.com/it/reanalisis.html?11130c1721e0fe75fe228b0458cdba85

http://www.virscan.org/report/bd28458bc0284fcf3f799c46fdfc3d0a.html

ehm, scusa come si disinstalla il combofix, non c'è tra i programmi e non c'è tra le applicazioni, non lo trova da star/esegui...ok fatto

te l'ho scritto qui come fare:
http://www.hwupgrade.it/forum/showpost.php?p=26752114&postcount=21
:)

strano che a clickare su "scan deep" poi non la faccia... sei l'unico caso :)

non riesco a cancellare la cartella C:\CMDCONS
faccio tutto come è scritto ma poi non si elimina, rimane tutto fermo però se cerco di riavviare mi dice che windows ha una operazione in corso di eliminazione, ma dopo diversi minuti non succede nulla

Immagine_1237485527952_841.JPG (http://freefilehosting.net/show/465eb)

ho letto come eliminare il combo, infatti avevo modificato il post

ho sempre fatto così, giusto?

a squared.JPG (http://freefilehosting.net/show/465ef)

ho sempre fatto così, giusto?

a squared.JPG (http://freefilehosting.net/show/465ef)

s'ì sarebbe corretto... prova a fare la scansione veloce :D

per quanto riguarda la cartella che non si elimina?

Al momento sono fermo qui non sto facendo scansioni oppure dimmi se posso procedere con le scansioni......

s'ì sarebbe corretto... prova a fare la scansione veloce :D

scusa dal log si vede che tipo di scansione è stata fatta?

ok ho seguito la guida per combofix, adesso rifaccio tutto il procedimento rispondendo no alla richiesta che fa combofix in apertura.....

i risultati finali:

mbam-log-2009-03-19 (21-03-39).txt (http://freefilehosting.net/download/465gc)

a-squared (tutti i tipi di scansione)

a2scan_090319-210523.txt (http://freefilehosting.net/download/465gd)

a2scan_090319-212928.txt (http://freefilehosting.net/download/465ge)

a2scan_090319-214729.txt (http://freefilehosting.net/download/465gf)

a2scan_090319-215001.txt (http://freefilehosting.net/download/465gg)


ComboFix_1237501661251_855.txt (http://freefilehosting.net/download/465gi)

hijackthis_1237501633402_854.log (http://freefilehosting.net/download/465gh)

gmer_1237501687425_856.log (http://freefilehosting.net/download/465gj)

gmer.JPG (http://freefilehosting.net/show/465gk)

prevcsi3.log (http://freefilehosting.net/download/465gl)

sì dal log compare il tipo di scansione, prendo come esempio il primo log che hai pubblicato:

a-squared Free - Versione 4.0
Ultimo aggiornamento: 19/03/2009 21.04.27

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\, E:\
Archivio scansioni: On
Scientifico: Off
ADS Scan: On

Scansione avviata: 19/03/2009 21.05.23
la voce che ho evidenziato in rosso ti indica che il metodo scentifico è disabilitato e tale voce si abilita nella scansione completa :)
infatti ieri ce l'hai fatta a farla:

a-squared Free - Versione 4.0
Ultimo aggiornamento: 19/03/2009 21.04.27

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\, E:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata: 19/03/2009 21.29.28

:)


prova a fare una scansione completa con avast, deve riconoscere il file "c:\luk1ylq.com" come infetto, se non lo facesse lo disinstalli e installiamo avira antivir classic
[BP] c:\luk1ylq.com [PX5: B03FE47803151872B3C10115AF7C9C0039BE7D3F] Malware Group: Malware Component

sì dal log compare il tipo di scansione, prendo come esempio il primo log che hai pubblicato:

la voce che ho evidenziato in rosso ti indica che il metodo scentifico è disabilitato e tale voce si abilita nella scansione completa :)
infatti ieri ce l'hai fatta a farla:


:)




prova a fare una scansione completa con avast, deve riconoscere il file "c:\luk1ylq.com" come infetto, se non lo facesse lo disinstalli e installiamo avira antivir classic

ok ma quel file non c'è più in C:

avast ha funzionato bennissimo, in effetti ha trovato i files infetti nella partizione E:

ultimo scan.JPG (http://freefilehosting.net/show/466fh)