Ciao a tutti.... 2 giorni fà purtroppo mi sono beccato un virus accettando un file x sbaglio da un amico su msn (premetto che non era uno di quei virus che si auto inviano, era una conversazione in tempo reale)...

All'inizio nn mi sono accorto che era un virus... dopo tipo due minuti però, vedendo che il programma inviatomi non stava facendo qll che era supposto fare, ho subito aperto taskmanager, e ho notato dei processi insoliti (quelli che mi ricordo sono BN5.exe, BN3.exe, ma ce ne erano almeno altri 3), li ho terminati subito, intuendo immediatamente che fossero correlati a un virus. Dopodichè il pc si è riavviato da solo, ovviamente a causa del virus.

Finito il riavvio, ho notato che era stato bloccato l'accesso a ogni servizio relativo a Windows Live, ai domini di microsoft (microsoft.it ; download.microsoft), a eMule (ha cancellato l'eseguibile del programma) e ai siti di antivirus. Ho così cercato i file incriminati relativi ai processi, terminato i processi, eliminati da disco rigido, dal registro di sistema (nel registro comparivano solo rimandi ad un file "lepjfa.exe", gli altri non figuravano), dalla cartella Prefetch e dalla sezione avvio di Msconfig. Ho cercato pure nella console dei servizi qualunque processo che potesse risultare relativo a un virus.

Purtroppo questo non ha comportato nessun cambiamento, e mi viene ancora negato l'accesso ai programmi di prima... Taskmanager è pulito, non vi sono processi al di fuori di quelli di sistema, pure Msconfig (la sezione avvio) è pulita, e pure la console dei servizi... La mia ipotesi è che vi siano delle chiavi di registro modificate o aggiunte dal virus che blocchino l'accesso ai servizi sopra citati... Non ho rilevato comunque rallentamenti alle prestazioni o pop-up pubblicitari. Ho eseguito una scansione con HijackThis, la posto con l'intervento.

Infine, volevo concludere dicendo che il virus sembra replicarsi sulle chiavette USB (Uso Ninja Pendisk, che ha riportato dei mesaggi d'errore ogni volta che inserivo una chiavetta; sembra comunque che l'ipod nn sia stato infettato) e la modalità provvisoria del pc è raggiungibile e abilitata, da li ho eseguito scansioni con i miei antivirus (spybot - search & destroy; l'online scanner di kaspersky; avg 8.0; Malwarebytes).

L'unico virus che mi viene riportato è tale "Trojan.Win32.Patcher.aa" (ho eseguito una scansione online sul file che ha originato il problema, questo è infettato dal virus "Trojan.Win32.Agent.Buot" ; ho cercato su internet qualche possibile consiglio sulla sua rimozione, ma sembro essere l'unico infettato...)

Vi prego aiutatemi! Il pc mi serve al massimo delle sue capacità per preparare un esame all'unversità...

vorremmo anke il log di malwarebytes-antimalware, POSTATO su WIKISEND.COM

di seguito posto il log di Malwarebutes anti-malware... uno degli errori da lui segnalati è "Hijack.System.Hidden"... probabilmente è uno dei postumi di una precendete infezione... avevo preso il Bagle... ma ero riuscito a eliminarlo, tranne il problema dei file nascosti, risolto in seguito con un registry fix scaricato da un forum... ma Malwarebytes continuava a rilevarmi questo virus anche in seguito al registry fix, che comunque aveva risolto il problema, e prima che prendessi il nuovo virus...

mbam-log-2009-03-17 (17-30-18).txt (http://wikisend.com/download/752080/mbam-log-2009-03-17 (17-30-18).txt)

hijack, nn è u problema rilevato da MBAM, ma bensì n malware, il cui nome completo è hijacker (mi sembra)...questo apre pagine di pubblicità...
prova a scansionare con prevx o gmer....dovrebberlo togliere...

cmq x procedere aspetta il parere di persone un po' + colte di me...

ma sul log non vedo la presenza del trojan:mbe:

allega un log dell'antivirus che segnala la sua presenza...


cmq prova a dare un'occhiata qua...
http://www.google.it/search?hl=it&q=hijack.system.hidden&meta=&aq=1&oq=hijack.s

Questo è il report di Avg 8.0:

avgrep.txt (http://wikisend.com/download/562896/avgrep.txt)

E questo è il report di Kaspersky Online Scanner:

virus report.txt (http://wikisend.com/download/530762/virus report.txt)

Purtroppo non ho fatto il report del file che ha originato il problema...
Inoltre ho utilizzato anke Avira Antivir, ma mi ha rilevato addirittura altri Worm/Trojan/Cookie Tracer e non ha risolto un bel niente
E comunque non posso aggiornare nessun Antivirus... il virus ha bloccato tutti gli aggiornamenti... l'ultimo aggiornamento dei database degli antivirus che ho usato risale a metà gennaio (dopo non ne ho più fatti poichè ho disattivato l'opzione degli aggiornamenti automatici)

hijack, nn è u problema rilevato da MBAM, ma bensì n malware, il cui nome completo è hijacker (mi sembra)...questo apre pagine di pubblicità...
prova a scansionare con prevx o gmer....dovrebberlo togliere...

cmq x procedere aspetta il parere di persone un po' + colte di me...

ma sul log non vedo la presenza del trojan:mbe:

allega un log dell'antivirus che segnala la sua presenza...


cmq prova a dare un'occhiata qua...
http://www.google.it/search?hl=it&q=hijack.system.hidden&meta=&aq=1&oq=hijack.s

quella voce che mostrava il log è una chiave di registro che impedisce di visualizzare i file ed è un segno di infezione :)
la voce va cancellata, ma sopratutto andava eseguita la scansione completa e non rapida.

Questo è il report di Avg 8.0:

avgrep.txt (http://wikisend.com/download/562896/avgrep.txt)

E questo è il report di Kaspersky Online Scanner:

virus report.txt (http://wikisend.com/download/530762/virus report.txt)

Purtroppo non ho fatto il report del file che ha originato il problema...
Inoltre ho utilizzato anke Avira Antivir, ma mi ha rilevato addirittura altri Worm/Trojan/Cookie Tracer e non ha risolto un bel niente
E comunque non posso aggiornare nessun Antivirus... il virus ha bloccato tutti gli aggiornamenti... l'ultimo aggiornamento dei database degli antivirus che ho usato risale a metà gennaio (dopo non ne ho più fatti poichè ho disattivato l'opzione degli aggiornamenti automatici)

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

ovviamente le scansioni le devi fare complete perchè in modalità rapida non possono risolvere i problemi derivanti da un infezione :)

oooook... la procedura l'ho seguita, o sarebbe meglio dire ho cercato di seguirla... tranne A-Squared, non sono riuscito a scaricare/aggiornare nessun altro antivirus... ovviamente ho anche provato a cambiare i DNS e a usare ATF Cleaner, ma non vi è stato nessun risultato.

Anzi la situazione è pure peggiorata: finita la scansione, A-Squared ha rilevato come infetti (e pure gli altri antivirus lo avevano fatto) alcuni file principali di windows, quali lsass.exe (ho controllato, non è Isass.exe, un virus, ma proprio Lsass.exe, e molto probabilmente è stato infettato), winlogon.exe, svchost.exe (ce ne ho tipo 7 cloni di questo), services.exe, spoolsv.exe e explorer.exe. tutti sono infetti da virus, e con A-Squared li ho mossi in quarantena. Subito mi è apparso l'avviso di riavvio di sistema da parte di NT AUTORITY System, il quale afferma che l'interruzione del servizio "Avvio Server DCOM" comporta un riavvio del computer. Purtroppo il pc non riusciva ad avviarsi, o meglio, mi mandava al desktop, solo che il desktop non c'era (explorer.exe non veniva caricato), per il resto non dava segni d'errore, tranne che all'avvio mi veniva fatto scegliere di eseguire la Console Di Ripristino o di avviare il sistema. Sono riuscito a risolvere il problema spostando dalla quarantena i file prima citati, dopo che ogni altro tentativo di ripristino delle versioni "sane" dei file era fallito (Comandi CHKDSK, FIXBOOT, BOOTCFG dalla console di ripristino e il comando SFC dal prompt di MS-DOS nel "desktop" con il cd d'installazione di windows). Per sicurezza ho ripristinato pure le chiavi di registro che A-Squared aveva segnato come infette.

Questo è il Log di Malwarebytes Anti-Malware:

.txt]mbam-log-2009-03-18 (17-11-16) [Scansione Completa].txt (http://wikisend.com/download/123214/mbam-log-2009-03-18 (17-11-16) [Scansione Completa)

E Questo è il log di A-Squared:

a2scan_090318-171329.txt (http://wikisend.com/download/466340/a2scan_090318-171329.txt)

Questo è il massimo che posso fare... come ho già detto, la procedura di disinfezione l'ho seguita, ma nn c'è verso di scaricare o aggiornare gli antivirus...

tutto quello che rileva a-squared va messo in quarantena inquanto al 100% non sono i veri file di sistema ma cloni ben preddisposti dall'infezione, gli originari probabilmnete saranno in cartelle bak ed a-squared provvedrà alla sostituzione.

i dns consigliati impediranno che l'infezione si rigeneri mentre svolgi le scansioni e aggiornamenti.

ll database di malwarebyte è troppo vecchio:
Versione del database: 1749
il mio che è aggiornato al 4 marzo 2009 possiede versione 1817, oggi possiede la versione 1866 :)

...saranno pure in cartelle di backup, ma di sicuro a-squared non ha capito che deve sostituirli con quelli originali... altrimenti il pc dopo la scansione si sarebbe acceso normalmente, no? e il database lo so che è vecchio, ma devo tenermelo così dato che nn posso aggiornarli sennò era la prima cosa che facevo!

...saranno pure in cartelle di backup, ma di sicuro a-squared non ha capito che deve sostituirli con quelli originali... altrimenti il pc dopo la scansione si sarebbe acceso normalmente, no? e il database lo so che è vecchio, ma devo tenermelo così dato che nn posso aggiornarli sennò era la prima cosa che facevo!

io non vedo nessuna azione eseguita sui file :)

per malwarebytes segui lamodalità di aggiornamento offline :)

guarda, ci ho riprovato a fargli eliminare i virus, ma si è ripresentato lo stesso problema, cioè non ha risistemato i file originali, e di conseguenza non riusciva a caricare il desktop, oltre che a darmi il problema della console di ripristino (nel senso che ad ogni avvio, nonostante il pc si avvii normalmente, continua a chiedermi di scegliere se caricare la console o il sistema operativo).. ho fatto una ricerca di ogni file chiamato explorer.exe, magari riesci ad aiutarmi a caprie quale può essere quello "sano"... Inoltre ho aggiornato malwarebytes il quale ha trovato si dei virus, ma non ha risolto il problema... ma cm può il virus bloccarmi l'accesso a Messenger e ai siti degli antivirus e della microsoft? cerco ogni volta nel registro qualche possibile voce d'esclusione ma non trovo niente... che sia un servizio di sistema a fare sto casino?

mbam-log-2009-03-19 (21-07-32).txt (http://wikisend.com/download/156468/mbam-log-2009-03-19 (21-07-32).txt)

Questa è un'immagine dei risultati della ricerca di "explorer.exe" (è una bitmap da 3,75 mega... forse è un pò pesantuccia:D

Immagine.bmp (http://wikisend.com/download/463522/Immagine.bmp)

se con malwarebytes non esegui l'azione di delete non avrai di certo lati positivi :)

...l'unica azione che posso eseguire dopo la scansione è "rimuovi gli elementi selezionati" sulla pagina dei risultati: spunto i virus trovati e clicco il pulsante prima citato... non mi viene permesso di fare altro... (abbi pazienza... 'sto virus mi sta facendo uscire d testa...:cry: )

ho eseguito una scansione pure con combofix... ecco i risultati...
ComboFix.txt (http://wikisend.com/download/529528/ComboFix.txt)