da qualche giorno l'antivirus (nod32) mi segnala questo worm con variante a /aa / ai a volte oltre la segnalazione dell'antivirus compare anche un messaggio di windows dove è segnalato un problema su svchost dopodichè il pc non si connette più e si blocca, ho provato a fare parecchie scansioni con tools aggiornati ma non viene rilevato nulla apparte cockie.
grazie per l'aiuto.

Ciao segui questa procedura:


1 Disabilita il ripristino configurazione sistema -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

2 Fai pulizia con ATF Cleaner -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

3 Scarica questo Tool f-downadup (ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip) sul DeskTop scompattalo direttamente nella Directory C:\
Da Start - Esegui - digita f-downadup.exe --disinfect e clicca su OK
Attendi pazientemente ed al termine riavvia il PC, il log per il controllo lo trovi in C:\Windows\temp

4 Fai girare questo tool -> Download e Info (http://www.bdtools.net/how-to-remove-downadup.php)

5 Fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

6 Scansione completa con A-Squared come indicato qui -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 3


NB: è assolutamente consigliato scaricare i tool sopra indicati e seguire la procedura offline

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598) --> dove troverai le modalità per allegare i log

log f-secure http://www.fileqube.com/file/TWGHafztT182868
http://www.fileqube.com/file/RsdNMe182869
log combofix http://www.fileqube.com/file/LqZwCV182870
log hijackthis http://www.fileqube.com/file/tFgSXQ182871

grazie,saluti.

ho dimenticato di fare la scansione con A-Squared, anche se già fatta un paio di giorni fa senza che avesse rilevato nulla, provvedo in giornata
ancora grazie.

log f-secure http://www.fileqube.com/file/TWGHafztT182868
http://www.fileqube.com/file/RsdNMe182869
log combofix http://www.fileqube.com/file/LqZwCV182870
log hijackthis http://www.fileqube.com/file/tFgSXQ182871

grazie,saluti.

ho dimenticato di fare la scansione con A-Squared, anche se già fatta un paio di giorni fa senza che avesse rilevato nulla, provvedo in giornata
ancora grazie.

Se non erro manca il Punto 4 :)

si scusa ma stamattina dormivo!:doh:
provvedo nel mezzogiorno.

ho rifatto tutto:

f-secure-engine http://www.fileqube.com/file/YiuCIdPn183361
f-secure-scan http://www.fileqube.com/file/wjoMYZUe183362
Win32.Worm.Downladup.Gen http://www.fileqube.com/file/CDpzBLnz183363
ComboFix http://www.fileqube.com/file/ekMsUMVQB183364
a2scan_090324-190958 http://www.fileqube.com/file/XGlBqboVD183367
hijackthis http://www.fileqube.com/file/ODjYSaNJ183369

spero di aver fatto tutto!:rolleyes:

grazie.

Bene, riscontri ancora problemi?

in effetti è da ieri sera ch il pc è connesso e per ora non ho più riscontrato il problema inoltre mi semra di aver capito che il problema non fosse "conficker", che veniva segnalato e terminato dal nod32, ma quella voce segnalata da a-squared "backdoor.win32.rbot.kos!a2". correggimi se sbaglio (non sono molto esperto di queste problematiche).
il fatto di aver disinstallato outpost e ripristinato il firewall di windows potrebbe aver creato il problema?
ora sto usando comodo mi sembra più intuitivo, posso continuare ad usare questo?
un consiglio meglio nod32 o avast?
grazie mille dell'aiuto, saluti.

Ti suggerisco di leggere questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 dove trovera le indicazione su come aggiornare il SO (devi aggiornare al SP3) i software complementari e migliorare la sicurezza del PC
Fra Avast e Nod32 io personalmente scelgo Nod32 senza ombra di dubbio per quanto concerne la scelta del Firewall fai riferimento alla Guida, ciao ;)

ciao chill! :help: dopo aver aggiornato windows al sp3 mi si presenta un nuovo problema alla rete che non so se sia dovuto all'infezione o all'aggiornamento, i due pc in rete (entrambe con winxp sp3 - nod32 - online armor) si vedono a fasi alterne, il server non vede il client ma il client vede il server, a volte condividono la connessione (senza però riuscire ad aprire il browser ie) e a volte no; ho però notato una strana cosa sul pc dove ho avuto l'infezione (che fa da client) aprendo la finestra del firewall di win lo da attivo quando clicco per impostralo mi da un messaggio di errore del tipo:
"impossibile visualizzare le in formazioni di windows firewall il relativo servizio non è avviato. avviare il servizio di win firewall / condivisione connessione internet ics?" scegliendo "si" il firewall si disattiva e la condivisione funziona (scarica e si aggiorna l'antivirus ma non riesco comunque a navigare) il problema è che comunque il tutto è molto instabile a volte riesco ad accedere alla rete locale e a volte no inoltre al riavvio il problema firewall sopracitato è lo stesso:confused: . per il resto il pc funziona perfettamente.

grazie della pazienza. saluti

Cioa il FW di Win dovrebbe essere disattivato in fuzione del fatto che usi OA

è possibile trovare un backup dei file rimossi da f-downadup?:

è possibile trovare un backup dei file rimossi da f-downadup?:

No

Premessa:effettuate rimozioni sia con downuap,combifix e cleaner microsoft...il malware viene rimosso(dll,servizi e chiave di registro) ma prontamente al successivo riavvio si rigenera la dll con lo stesso nome e il servizio e le chiavi di registro con nomi random....presenti ads su svchost.exe e ntkrnlpa.exe,anch'essi si rigenerano.
la dll viene bloccata dal servizio svchost.exe,per cui qualsiasi azione sullo stesso è consentita solo con unlocker...nemmeno avenger riesce a schiodarlo.
il malware genera una mole infinita di file temporanei con estensione exe travisata in gif,bmp o jpg
non vi è nessuna manomissione dell'mbr,almeno per ora
log di gmer:http://mio.discoremoto.alice.it/juninho85/log.log

per me c'è qualche .sys che mi sfugge

Fai girare il Removal Tool targato BitDefender http://www.bdtools.net/how-to-remove-downadup.php e successivamente ancora ComboFix, allega entrambi i log su http://fileqube.com/ :)

il tool bitdefender non rileva nulla
combofix:http://mio.discoremoto.alice.it/juninho85/ComboFix.txt
notare questa riga:
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6317:TCP"= 6317:TCP:qeyckt

i servizi sotto svchost non ci sono in quanto già eliminati manualmente,o comunque non son visibili

aggiornamenti:ora avira rileva un c:\windows\system32\x...stesso MD5 della dll...presumo sia il file da cui si rigeneri...elimini entrambi ma comunque tutto si rigenera

...e stesso MD5 di un altra DLL infetta in un altro pc in rete...

Allega il log su http://fileqube.com/

Errore

Si è verificato un errore e non è stato possibile effettuare l’operazione richiesta.
Ti preghiamo di riprovare più tardi.

:asd:

ho corretto

i servizi sotto svchost non ci sono in quanto già eliminati manualmente,o comunque non son visibili

questi non erano quindi visibili "ad occhio nudo"? :)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ebhzbjapc
asrxo
dmibz
wwsdhnup
gyzcv

no...li avevo già rimossi manualmente

la rimozione manuale è quindi post combo?

no,PRE-combo,è questa la cosa strana!:D

proviamo con la rimozione di combo


Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


NetSvc::
ebhzbjapc
asrxo
dmibz
wwsdhnup
gyzcv




Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

Infatti ti avevo suggerito di verificare qui

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

raga',non ci sono,ora pare essersene accorto pure combofix!:D

raga',non ci sono,ora pare essersene accorto pure combofix!:D

Allega il log

http://mio.discoremoto.alice.it/juninho85/log.txt

comunque mi sa che con combofix stiamo perdendo solo tempo :fagiano:

scusate, quali sarebbero i riscontri da cui dedurre la presenza di questo malware?

Quasti sono alcuni dettagli del malware trovati online: http://www.symantec.com/it/it/norton/theme.jsp?themeid=conficker_worm&inid=it_ghp_link_conficker_worm

http://mio.discoremoto.alice.it/juninho85/log.txt

comunque mi sa che con combofix stiamo perdendo solo tempo :fagiano:

prima che fosse riattivato da combo il ripristino era stato disattivato?

prima che fosse riattivato da combo il ripristino era stato disattivato?

il ripristino è disattivato da mesi

http://www.pcalsicuro.com/main/2009/01/conficker-si-diffonde-nelle-aziende/

diciamo che torna praticamente tutto,a parte
Carica un driver per patchare in memoria il driver tcpip.sys e sbloccare il limite delle connessioni che Microsoft ha inserito in Windows XP SP2.
che non riesco a capire quale si

tutti i pc di rete(circa 20) infetti...eccetto il mio :D

tutti i pc di rete(circa 20) infetti...eccetto il mio :D

sono soddisfazioni :D :D

alla fine come hai risolto?

NON ho risolto,perchè mi manca il componente che rigenerà il tutto all'avvio :D
per ora ho scovato:
1)l'elemento da cui parte l'infezione(tale jwgkvsq.vmx,file presente nel cestino di un qualsiasi pennino
2)file autorun.inf
3)file svch0st.exe(anche se dovrebbe non aver nulla a che fare con conficker)
4)dll nome ram in system32
5)servizio che si esegue sotto svchost tramite la stess dll
6)ads appesi a svchost.exe ed eventualmente altri eseguibili
7)eccezione su una porta tcp con nome random aperta nel firewall di windows
8)svariate modifiche al registro di sistema

non ricordo o non ho letto quale sia la versione che ti ha infettato...
quali tool hai fatto girare oltre a combo? quello di fsecure e bitdefender?
quello symantec l'hai provato?
http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99

non ricordo o non ho letto quale sia la versione che ti ha infettato...
quali tool hai fatto girare oltre a combo? quello di fsecure e bitdefender?
quello symantec l'hai provato?
http://www.symantec.com/security_response/writeup.jsp?docid=2009-011316-0247-99
f-secure e bitdefender già li ho fatti girare,ora provo anche quello symantec

qui ci sono linkati un pò tutti i tool delle varie softwarehouse
http://www.sysadmindayph.com/blog/remove-kido-conficker-downadup-downup-wor/

f-secure e bitdefender già li ho fatti girare,ora provo anche quello symantec

http://data2.kaspersky.com:8080/special/KK_v3.4.6.zip

il tool kaspersky non rileva nulla,quello symantec rileva,ripulisce richiedendo il riavvio ma conficker riesce comunque a ripristinarsi

per voi è possibile che ciò che rigenera il malware sia la rete stessa?
mi spiego...ho notato che una volta ripulito il malware e riavviato il sistema,se faccio una scansione con gmer il rootkit non viene rilevato,mentre se la faccio dopo qualche minuto si,che dite?:)

puoi provare a rimanere sconnesso dopo la pulizia?
le altre macchine sono ancora infette?

puoi provare a rimanere sconnesso dopo la pulizia?
le altre macchine sono ancora infette?

eccetto 2 macchine e una con win2000 si,tutti i pc sono infetti.
ora provo...per me come ragionamento può filare

scollegarsi da internet e dalla rete dovrebbe essere una delle prerogative per cominciare la disinfezione

ovvio...quando sono intervenuto manualmente la disinfezione andava a buon fine,il problema rispuntava a lavoro fatto,quando presumibilmente il problema era risolto per cui il pc veniva ricollegato alla rete

Trattandosi di una LAN è opportuno isolare le macchine, procedere con la disinfezione ed installare le relative patch, altrimenti non se ne esce più, ma il tutto mi sembra abbastanza ovvio :)

quindi al momento non c'è modo per rimuovere suddetto virus... anche a me lo toglie ma ritorna sempre (se devo tenerlo sconnesso tanto vale che lo tengo spento..)

datemi il tempo di provare e vi farò sapere

Ciao segui questa procedura:


1 Disabilita il ripristino configurazione sistema -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

2 Fai pulizia con ATF Cleaner -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

3 Scarica questo Tool f-downadup (ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip) sul DeskTop scompattalo direttamente nella Directory C:\
Da Start - Esegui - digita f-downadup.exe --disinfect e clicca su OK
Attendi pazientemente ed al termine riavvia il PC, il log per il controllo lo trovi in C:\Windows\temp

4 Fai girare questo tool -> Download e Info (http://www.bdtools.net/how-to-remove-downadup.php)

5 Fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

6 Scansione completa con A-Squared come indicato qui -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 3


NB: è assolutamente consigliato scaricare i tool sopra indicati e seguire la procedura offline

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598) --> dove troverai le modalità per allegare i log


credo di aver eliminato il virus con un paio di tool di rimozione specifici per il virus in questione. dico che credo di averlo eliminato dato che ora riesco ad aprire le pagine relative ai principali siti di antivirus. solo che il PC continua a riavviarsi da solo di tanto in tanto.
mi consigliate di effettuare lo stesso questi passaggi oppure combinerei qualche guaio? come posso essere sicuro di aver eliminato definitivamente il virus?

ps: mi consigliate di installare avira o kaspersky?

credo di aver eliminato il virus con un paio di tool di rimozione specifici per il virus in questione. dico che credo di averlo eliminato dato che ora riesco ad aprire le pagine relative ai principali siti di antivirus. solo che il PC continua a riavviarsi da solo di tanto in tanto.
mi consigliate di effettuare lo stesso questi passaggi oppure combinerei qualche guaio? come posso essere sicuro di aver eliminato definitivamente il virus?

ps: mi consigliate di installare avira o kaspersky?

Ti suggerisco di seguire tutti i passaggi ed allegare i log per il controlo, sono l'unico strumento che abbiamo per darti i suggerimenti del caso

Per quanto concerne l'AV se opti per una versione commerciale (pagamento) ti suggerisco la suite del Kaspersky ovvero KIS 2009, eventualmente Avira Antivir Free solo antivirus al quale dovrai affiancare un Firewall, comunque per queste richieste esiste un 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1476319

3 Scarica questo Tool f-downadup (ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip) sul DeskTop scompattalo direttamente nella Directory C:\
Da Start - Esegui - digita f-downadup.exe --disinfect e clicca su OK
Attendi pazientemente ed al termine riavvia il PC, il log per il controllo lo trovi in C:\Windows\temp

Start - Esegui non riesce a riconoscere la procedura. ho anche notato che (C:) non si apre con l'autoplay (o anche solo cliccandoci sopra) in quanto mi da uno strano errore (Impossibile trovare il file "RECYCLER/S-3-8-18-100005389-1000...). lo stesso errore mi viene aprendo ad esempio una penna

5 Fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

non riesco ad eseguire combofix, dato che il PC si riavvia improvvisamente (credo per colpa del virus). mi spiego meglio: apro combofix e mi esce un rettangolo blu. subito mi chiede di installare una console di ripristino di emergenza, se acconsento comunque non riesce ad installarla. poi continuo con la scansione, ma ad un certo punto il PC si riavvia.

accade sempre questo, anche se la prima scansione aveva rilevato un virus (con un nome tipo tookit o una cosa del genere), il PC comunque si è riavviato e non è riuscito nella scansione.

tengo a precisare che ho scollegato il PC da internet ma non sono riuscito a disabilitare il mio antivirus (avira internet security 2009). qualcuno sa come disattivarlo?


EDIT:
googlando ho trovato qualcuno con il mio stesso problema (almeno credo). il sito è questo (http://forum.swzone.it/showthread.php?t=106397)
la procedura alternativa indicata va bene lo stesso oppure devo trovare un modo per usare combofix?

non conosco la versione premium, con la free tasto dx sull'ombrello nella icon tray e togli la spunta su "Antivir guard Enable"

ne son venuto a capo,ecco come
Premessa:
1)disabilitate ripristino configurazione di sistema
2)bisogna avere gli strumenti del caso perchè è necessario operare sconnessi da qualsiasi rete lan o wan che sia


1)scansione con gmer,vi ritroverete risultati molto simili a questi:

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wvraoeh <-- ROOTKIT !!!

Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@DisplayName Update Network
Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh@Description Abilita i programmi basati su Windows per creare, accedere e modificare i file basati su Internet. Se il servizio ? stato arrestato, queste funzionalit? non saranno disponibili. Se il servizio ? disabilitato, i servizi da esso dipendenti non verranno avviati.
Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh\Parameters@ServiceDll C:\WINDOWS\system32\wtryc.dll
Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@DisplayName Update Network
Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh@Description Abilita i programmi basati su Windows per creare, accedere e modificare i file basati su Internet. Se il servizio ? stato arrestato, queste funzionalit? non saranno disponibili. Se il servizio ? disabilitato, i servizi da esso dipendenti non verranno avviati.
Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh\Parameters
Reg HKLM\SYSTEM\ControlSet002\Services\wvraoeh\Parameters@ServiceDll C:\WINDOWS\system32\wtryc.dll
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

e magari qualche ads "appeso" al file svchost.exe sotto system32...penso con lo scopo di nascondere la dll che carica il proprio servizio sotto l'host di servizi.
notare come il rootkit si carichi sotto un servizio di win(Update Network-Abilita i programmi basati su Windows per creare, accedere e modificare i file basati su Internet....)escludendone le funzionalità per cui questo è presente nel nostro sistema operativo.
Nel mio caso l'input che m'ha spinto a indagare è stato il non funzionare a ogni riavvio di un qualsiasi servizio(e sempre diverso) di win(e mai di terze parti),con continuo generamente di file temporanei(file con estensione .exe cammuffati in bmp,gif,jpg o jpeg)pur senza nessuna applicazione aperta....un altro pc invece non accedeva nè ai motori di ricerca ne sul sito di una qualsiasi software house di sicurezza

Dal log fondalmentalmente emergono una dll che è la causa principale di tutti i mali e un servizio...su alcuni pc mi è capitato di trovare una copia di questo file con stesso nome sotto C:\Programmi\internet explorer e sotto c:\windows\ con nome "x"...potete averne evidenza confrontando l'md5 del file incriminato,ovvero:
1ee727ac887e6a2425719ed082fbdbb5
che almeno nella mia lan aziendale è sempre lo stesso;)
Fate caso che tali file sono visibili solo se 1)abilitate la visualizzazione dei file nascosti 2)abilitate la visione dei file protetti di sistema
Vi è però dell'altro che gmer non può rilevare,queste modifiche al registro:
REGEDIT4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters]
"NV Hostname"="Roberto"
"DataBasePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,64,72,69,76,65,72,73,5c,65,74,63,00
"ForwardBroadcasts"=dword:00000000
"IPEnableRouter"=dword:00000000
"Domain"=""
"Hostname"="Roberto"
"SearchList"=""
"UseDomainNameDevolution"=dword:00000001
"DeadGWDetectDefault"=dword:00000001
"DontAddDefaultGatewayDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Adapters]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Adapters\NdisWanIp]
"LLInterface"="WANARP"
"IpConfig"=hex(7):54,63,70,69,70,5c,50,61,72,61,6d,65,74,65,72,73,5c,49,6e,74,\
65,72,66,61,63,65,73,5c,7b,34,32,34,39,44,41,32,41,2d,30,39,46,39,2d,34,38,\
37,44,2d,39,42,33,46,2d,37,39,39,34,37,37,30,34,42,30,36,35,7d,00,54,63,70,\
69,70,5c,50,61,72,61,6d,65,74,65,72,73,5c,49,6e,74,65,72,66,61,63,65,73,5c,\
7b,39,39,39,46,34,35,39,36,2d,45,34,35,34,2d,34,46,34,31,2d,41,45,31,42,2d,\
41,36,32,46,35,31,42,32,37,39,32,36,7d,00,00
"NumInterfaces"=dword:00000002
"IpInterfaces"=hex:2a,da,49,42,f9,09,7d,48,9b,3f,79,94,77,04,b0,65,96,45,9f,99,\
54,e4,41,4f,ae,1b,a6,2f,51,b2,79,26

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Adapters\{463DF0EB-5915-4AB2-93D5-8FE51DCB4C1C}]
"LLInterface"=""
"IpConfig"=hex(7):54,63,70,69,70,5c,50,61,72,61,6d,65,74,65,72,73,5c,49,6e,74,\
65,72,66,61,63,65,73,5c,7b,34,36,33,44,46,30,45,42,2d,35,39,31,35,2d,34,41,\
42,32,2d,39,33,44,35,2d,38,46,45,35,31,44,43,42,34,43,31,43,7d,00,00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\DNSRegisteredAdapters]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Interfaces]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Interfaces\{4249DA2A-09F9-487D-9B3F-79947704B065}]
"UseZeroBroadcast"=dword:00000000
"EnableDHCP"=dword:00000000
"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00
"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00
"DefaultGateway"=hex(7):00
"EnableDeadGWDetect"=dword:00000001
"DontAddDefaultGateway"=dword:00000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Interfaces\{463DF0EB-5915-4AB2-93D5-8FE51DCB4C1C}]
"UseZeroBroadcast"=dword:00000000
"EnableDeadGWDetect"=dword:00000001
"EnableDHCP"=dword:00000000
"IPAddress"=hex(7):31,37,32,2e,31,38,2e,36,39,2e,31,36,32,00,00
"SubnetMask"=hex(7):32,35,35,2e,32,35,35,2e,32,35,35,2e,32,32,34,00,00
"DefaultGateway"=hex(7):31,37,32,2e,31,38,2e,36,39,2e,31,36,31,00,00
"DefaultGatewayMetric"=hex(7):30,00,00
"NameServer"="208.67.222.222,208.67.220.220"
"Domain"=""
"RegistrationEnabled"=dword:00000001
"RegisterAdapterName"=dword:00000000
"TCPAllowedPorts"=hex(7):30,00,00
"UDPAllowedPorts"=hex(7):30,00,00
"RawIPAllowedProtocols"=hex(7):30,00,00
"NTEContextList"=hex(7):30,78,30,30,30,30,30,30,30,32,00,00
"DhcpClassIdBin"=hex:
"DhcpServer"="255.255.255.255"
"Lease"=dword:00000e10
"LeaseObtainedTime"=dword:475e71c3
"T1"=dword:475e78cb
"T2"=dword:475e7e11
"LeaseTerminatesTime"=dword:475e7fd3
"IPAutoconfigurationAddress"="0.0.0.0"
"IPAutoconfigurationMask"="255.255.0.0"
"IPAutoconfigurationSeed"=dword:00000000
"AddressType"=dword:00000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Interfaces\{999F4596-E454-4F41-AE1B-A62F51B27926}]
"UseZeroBroadcast"=dword:00000000
"EnableDHCP"=dword:00000000
"IPAddress"=hex(7):30,2e,30,2e,30,2e,30,00,00
"SubnetMask"=hex(7):30,2e,30,2e,30,2e,30,00,00
"DefaultGateway"=hex(7):00
"EnableDeadGWDetect"=dword:00000001
"DontAddDefaultGateway"=dword:00000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\PersistentRoutes]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\Winsock]
"UseDelayedAcceptance"=dword:00000000
"HelperDllName"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,\
6d,33,32,5c,77,73,68,74,63,70,69,70,2e,64,6c,6c,00
"MaxSockAddrLength"=dword:00000010
"MinSockAddrLength"=dword:00000010
"Mapping"=hex:0b,00,00,00,03,00,00,00,02,00,00,00,01,00,00,00,06,00,00,00,02,\
00,00,00,01,00,00,00,00,00,00,00,02,00,00,00,00,00,00,00,06,00,00,00,00,00,\
00,00,00,00,00,00,06,00,00,00,00,00,00,00,01,00,00,00,06,00,00,00,02,00,00,\
00,02,00,00,00,11,00,00,00,02,00,00,00,02,00,00,00,00,00,00,00,02,00,00,00,\
00,00,00,00,11,00,00,00,00,00,00,00,00,00,00,00,11,00,00,00,00,00,00,00,02,\
00,00,00,11,00,00,00,02,00,00,00,03,00,00,00,00,00,00,00


Notare come il rootkit apra una porta random sia come numero che come descrizione mettendosi in ascolto nella lan...il pc server sarà colui che reinfetterà eventuali pc che verranno ripuliti senza aver finito correttamente l'opera,per questo è fondamentale tenere il pc scollegato dalla rete dalla prima fino all'ultima fase.
Mi sto dilungando troppo dunque meglio passare a ciò che penso vi interesserà di più,anche perchè mio malgrado non ho le conoscenze per approfondire l'argomento anzi magari c'e già scappata qualche fregniaccia senza esser manco scesi nel dettaglio :D
alura...
1)salviamo in locale gmer,avenger,combofix.mbr(tool per ripristinare il master boot record) e la patch KB958644 scaricabile da qui (http://www.microsoft.com/downloads/details.aspx?FamilyID=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=it) che corregge la vulnerabilità grazie al quale conficker si annida prima sul vostro pc dunque sul resto della rete
2)facciamo un log di gmer da cui potremmo scorgere come vi dicevo prima la dll(che chiamerò wtryc.dll sita in system32 come nel caso di cui sopra) e il servizio con nome random presente sotto HKLM\SYSTEM\CurrentControlSet\Services (parte fissa) e HKLM\SYSTEM\ControlSet00(numero che va da 1 a 9,ocio al log!)\Services
3)riavviate e andate in modalità provvisoria
4)eseguite avenger con questo comando
Files to delete:
C:\Windows\system32\wtryc.dll
C:\Windows\X
C:\Programmi\internet explorer\wtryc.dll
eventuali altri file copia rilevati nel vostro hd,non dovrebbero essercene altri in ogni caso
Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\wvraoeh
HKLM\SYSTEM\ControlSet002\Services\wvraoeh

5)il pc si sarà riavviato,andate sempre in modalità provvisoria...consiglio un esecuzione del file mbr.exe dato che in alcuni pc,una volta sbloccata la fetida dll,prima dell'elimazione,ho notato che qualcosa di strano veniva fatto sull'mbr,sicuramente si trattava di rootkit dato che gmer me ne dava evidenza ma non son riuscito a capire se fosse sempre conficker o qualche altro problema...nel dubbio comunque
-copiatevi sto mbr.exe in c:\
-su esegui copiate "c:\mbr.exe --disinfect"

6)riavviate il pc,ancora una volta in modalità provvisoria,dunque installate la patch KB958644
e riavviate il pc amcora in provvisoria
7)eseguite combofix dunque riavviate e accedete in modalità normale
8se la procedura è andata a buon fine noterete che da gmer non si evincerà più nessuna riga anomala,dunque potete ricollegare il pc in rete nonostante i restanti ancora siano infetti,e passate alla macchina successiva :D

consiglio una scansione ad eventuali pen drive/hard disk esterni collegati ai pc infetti,troverete:
1)file "jwgkvsq.vmx" nel cestino
2)file AutoRun.inf(e non autorun,quello indica solitamente svch0st che è altra roba) alla directory principale

tutto ha inizio dal file .vmx ed eventuali autoplay abilitati,oltre ovviamente al sistema operativo non aggiornato

ne son venuto a capo,ecco come
.
.
.
.
.
ottimo :)
nessuno dei tool riesce nella pulizia?

La dll. malefica non viene caricata dai processi in esecuzione :muro:

ottimo :)
nessuno dei tool riesce nella pulizia?

nel mio caso il solo combofix non risolveva il problema.

La dll. malefica non viene caricata dai processi in esecuzione :muro:

eh?

eh?

la .dll associata al servizio

la .dll associata al servizio

come no,si carica sotto svchost.exe:mbe:

come no,si carica sotto svchost.exe:mbe:

Ovvio ma la vedi solo nel log di Gmer

Ovvio ma la vedi solo nel log di Gmer

dipende...nei casi in cui non riuscivo a trovare ads su svchost potevo vedere(anche se comunque rimaneva bloccata)la dll...in questo caso era sufficiente sbloccarla con unlocker a questo punto anche avira la rilevava :)
in presenza di ads non era possibile vederla

dipende...nei casi in cui non riuscivo a trovare ads su svchost potevo vedere(anche se comunque rimaneva bloccata)la dll...in questo caso era sufficiente sbloccarla con unlocker a questo punto anche avira la rilevava :)
in presenza di ads non era possibile vederla

Infatti, mi sono riguardato i tuoi log a ritroso ed era li bella bella che ci guardava :D

La cosa più snervante di questo worm è che non capisco dove risiede...ad oggi ancora non ho risolto!!!

La domanda è: i tool proposti dalla guida di Chill-Out (http://www.hwupgrade.it/forum/showpost.php?p=26807641&postcount=2) vanno fatti girare sulle macchine che sono state attaccate (e cioè su quelle dove l'antivirus segnala la presenza del worm), sul server windows 2003 o su quale altra macchina della rete?

Oltre al log di combofix quale altro log devo allegarvi?

su TUTTE le macchine collegate facenti parte della rete

Ho 110 macchine collegate sulla rete, di cui 100 sono frizzate su disco C: anche se hanno una partizione D: non frizzata...

2 di quelle palesemente attaccate non sono frizzate (ovviamente aggiungerei...).

Devo fermarmi la notte allora? :doh:

beh...sarebbe il giusto pegno da pagare per avere una lan di 110 macchine non aggiornate :D

Le 100 frizzate sono macchine per la clientela esterna e sono rigorosamente Xp Sp3...

Le 10 degli uffici, corrispondenti al nuemero del personale interno, se le gestiscono questi ultimi.

Io non ho nessuna responsabilità, di fatto la responsabilità è della sede centrale che non viene mai.... io sono solo l'unico "informatico" dei 10 qui presenti... e la piglio sempre..... :D

Ma seriamente devo passarmi tutte le macchine... pure quelle frizzate!?!?!?!?

frizzate sta per...?

C'è un software che crea un'immagine del disco C: e la ricarica ad ogni avvio.

http://www.faronics.com/

Siccome sono macchine aperte al pubblico da aula-corsi e che usa chiunque, qualsiasi impostazione modificata viene persa, anche nel registro di sistema ovviamente.

Formatti C:, carichi sistema operativo drive e programmi, decidi che il PC è OK così, e frizzi. Ad ogni avvio della macchina viene caricata sempre quella configurazione "congelata" che avevi deciso essere "OK".

Se:
cambi lo sfondo desktop --> riavvii e torn lo sfondo originale
salvi da qualche parte su C --> al riavvio perdi quel file
prendi un virus locale perchè scarichi schifezze --> al riavvio quel virus non c'è più.....

E' un sistema eccellente per avere macchine pulite e uguali per tutti...

beh allora è evidente come saranno da controllare solo quelle altre 10 macchine,no?

Mah... mica tanto sai.....? Io sto confiker o come diavolo si scrive mica ho capito dove e cosa attacca.... ok..... quelle macchine sono "pulite" su C: ma intanto vengono "attaccate" regolarmente come le altre e si bloccano tant'è che è necessario riavviarle.....

Tra l'altro sono certo al 99% che il virus sia stato portato via chiavetta USB da un "cliente" che ha usato una delle 100 macchine frizzate....

Va detto che delle 10 non-frizzate sempre e solo 2 macchine, che non avevano Sp3, presentano il problema e creano vari contrattempi sulla rete, le altre 8 non mi sembrano siano state mai attaccate nè infettate....

Insomma, l'istinto mi dice che il problema è solo su quei 2 PC che purtroppo non posso spegnere per varie ore per vedere se è veramente così poichè sono fondamentali per l'azienda ed hanno software esclusivi..... (tra l'altro abbastanza un macello da re-installare....).

per le 100 macchine interrompi la connessione di rete ...il tempo di ripulire le altre 10 e puoi riavviare tutto quanto.
dove attacca l'ho scritto sopra ;)

Farò così (non so bene quando e come) se dovesse ripresentarsi il problema..... da questa mattina l'amico "conf" ancora non si è fatto vedere dopo una settimana, quella precedente, di cleaner e tool vari....

Grazie mille per il tuo interessamento. ;)

figurati,se noti qualcosa di anomalo rispetto a quanto già constatato rencidici partecipi ;)

Ho sempre una cartella chiamata Recycler che si crea in ogni avvio ma che mi è possibile cancellare con unlocker.
Dentro trovo i file desktop.ini e INFO2 che non riesco a vedere ma che avira mi dice esserci.
Preciso che non sono infetto da conficker (avira, gmer e il tool di bitdefender danno esito negativo), che vedo i file nascosti (tranne sti due) e che ho maneggiato il virus (ho attaccato via usb un hd infetto da tutto).

Come posso far si che non mi si creino i suddeti files?:muro:

ciao

se vuoi ripulire per bene il pc apri qui (http://www.hwupgrade.it/forum/forumdisplay.php?s=&daysprune=&f=125) una discussione, spieghi brevemente il problema e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio) (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Qualcuno mi può spiegare tecnicamente perchè non dovrei far girare il cleaner sui PC frizzati?

Per me la spiegazione è ovvia ma siccome non ho una laurea in informatica nessuno mi crede.... :D

Riposto la situazione e chiedo scusa se ho aperto il topic nell'altra sezione di sicurezza ma credevo fosse opportuno differenziare il caso specifico.

-----------

Sulla "mia" LAN, 110 computer circa, ho beccato il confiker.

Di questi 110 PC, ben 100 sono "frizzati" appunto con:
http://www.progettoeducare.it/deepfreeze.html
che frizza tutto il disco C: ma non la partizione D: (dove gli utenti possono salvare liberamente).

I vari cleaner per la rimozione del confiker vanno fatti girare su tutti i PC che compongono la rete, con tutti gli hub spenti, e qui non ci piove.

LA DOMANDA E':

nel mio caso specifico devo secondo voi far girare questi tool anche sulle 100 macchine frizzate (e tra l'altro provviste di Sp3) ?

Io sarei più per la soluzione: spengo tutti gli hub, faccio girare i cleaner sui PC che NON sono frizzati.

Sarebbe fantastico avere una delucidazione minimamente tecnica.

scusami un attimino,la spiegazione tecnica te la sei data da sola qualche post fa.
la macchina ad ogni avvio carica un immagine preconfezionata no?se questa immagine è stata creata pre-infezione sei tranquillo,diversamento no
la cosa migliore è aggiornarti questa immagine installando la patch microsoft che copre la falla sfruttata da conficker in maniera che una volta ricaricata l'infezione non abbia modo di insediarsi.
per le altre 10 già abbiamo detto come conviene agire

scusami un attimino,la spiegazione tecnica te la sei data da sola qualche post fa.
la macchina ad ogni avvio carica un immagine preconfezionata no?se questa immagine è stata creata pre-infezione sei tranquillo,diversamento no
la cosa migliore è aggiornarti questa immagine installando la patch microsoft che copre la falla sfruttata da conficker in maniera che una volta ricaricata l'infezione non abbia modo di insediarsi.
per le altre 10 già abbiamo detto come conviene agire

esatto :)

Bisognerebbe spiegarlo al mio collega laureato in informatica che sostiene che il virus può andarsi a conficcare nel Master Boot Record o non ho capito in quale partizione nascosta dell'hard disk che non sia C: o in qualche cavolo di record di avvio.

La spiegazione è stata parecchio cervellotica, non sono in grado di riportarvela.

Bisognerebbe spiegarlo al mio collega laureato in informatica che sostiene che il virus può andarsi a conficcare nel Master Boot Record o non ho capito in quale partizione nascosta dell'hard disk che non sia C: o in qualche cavolo di record di avvio.

La spiegazione è stata parecchio cervellotica, non sono in grado di riportarvela.

tranquillizzalo dicendo che il conficker fa tutto ma non l'infezione del mbr :D

Bisognerebbe spiegarlo al mio collega laureato in informatica che sostiene che il virus può andarsi a conficcare nel Master Boot Record o non ho capito in quale partizione nascosta dell'hard disk che non sia C: o in qualche cavolo di record di avvio.

La spiegazione è stata parecchio cervellotica, non sono in grado di riportarvela.

in effetti qui (http://www.hwupgrade.it/forum/showpost.php?p=27287527&postcount=53) al punto 5 juninho85 ha notato qualcosa di strano anche a livello di MBR, da verificare che comunque fosse parte di conficker

Bisognerebbe spiegarlo al mio collega laureato in informatica che sostiene che il virus può andarsi a conficcare nel Master Boot Record o non ho capito in quale partizione nascosta dell'hard disk che non sia C: o in qualche cavolo di record di avvio.

La spiegazione è stata parecchio cervellotica, non sono in grado di riportarvela.

se avessi letto sopra avresti notato come ne ho già parlato di questa eventualità

La tua precisazione risale al 22 Aprile, era nella prima delle attuali 5 pagine del topic e mi era sfuggita, chiedo venia.

Stabilito che si farà come dico io, ho un solo grosso probelma.

Ai 2 server virtualizzati windows 2003 io accedo tramite VM-Ware da remoto e per tanto mi serve la connessione....

...se i cleaner vanno lanciati con i PC tutti contemporaneamente isolati dalla rete... come posso fare a rimanere connesso per agire sui server (in poche parole muovere mouse e tastiera sul server....).

:confused:

se avessi letto sopra avresti notato come ne ho già parlato di questa eventualità

mi era sfuggita questa modifica all'MBR ma evidenziavi che non è stata applicata a tutti i pc...

Ecco a te ;)

ComboFix.txt (http://wikisend.com/download/932790/ComboFix.txt)



Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


driver::
azuhlkmrv

netsvc::
azuhlkmrv

registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\azuhlkmrv]

file::
c:\windows\system32\pilfwsjv.dll




Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

cut

Credo tu abbia modificato il post, intanto io ho fatto il log con gmer.

log.log (http://wikisend.com/download/470438/log.log)

p.s.
Prima di gmer ho fatto un altro giro con il rescue cd di avira, e ora mi è stato possibile installare comodo ma ho ancora vari problemi...

Credo tu abbia modificato il post, intanto io ho fatto il log con gmer.

log.log (http://wikisend.com/download/470438/log.log)

p.s.
Prima di gmer ho fatto un altro giro con il rescue cd di avira, e ora mi è stato possibile installare comodo ma ho ancora vari problemi...

era solo per avere una certezza, che comunque è stata confermata in questo log
segui pure quanto scritto sopra

era solo per avere una certezza, che comunque è stata confermata in questo log
segui pure quanto scritto sopra

Nonostanteabbia spuntato la casellina per l'esecuzione come amministratore, continua a darmi questo messaggio:

"impossibile accedere al dispositivo, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie."

Nonostanteabbia spuntato la casellina per l'esecuzione come amministratore, continua a darmi questo messaggio:

"impossibile accedere al dispositivo, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie."

quando trascini lo script?

quando trascini lo script?

Si esatto. Comunque ho notato che il controllo accesso di windows mi blocca l'esecuzione di combofix, nonostante nelle impostazioni sia disabilitato. Nel registro ho visto che manca la voce dword EnableLUA, l'ho ripristinata e ora sto riavviando..speriamo bene. Nel caso non vada hai altri suggerimenti?

- edit -

Ok, ha funzionato ;)

Mi segnala però che Windows Defender è ancora attivo, quando in realtà da pannello di controllo risulta disattivo...sono andato avanti comunque. Appena finisce posto il log.

- edit2 -

Eccoti il log:
ComboFix.txt (http://wikisend.com/download/523360/ComboFix.txt)

Si esatto. Comunque ho notato che il controllo accesso di windows mi blocca l'esecuzione di combofix, nonostante nelle impostazioni sia disabilitato. Nel registro ho visto che manca la voce dword EnableLUA, l'ho ripristinata e ora sto riavviando..speriamo bene. Nel caso non vada hai altri suggerimenti?

- edit -

Ok, ha funzionato ;)

Mi segnala però che Windows Defender è ancora attivo, quando in realtà da pannello di controllo risulta disattivo...sono andato avanti comunque. Appena finisce posto il log.

- edit2 -

Eccoti il log:
ComboFix.txt (http://wikisend.com/download/523360/ComboFix.txt)

scarica la patch http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
disattiva il ripristino configurazione di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23)
fai pulizia con ATFCleaner (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2)
scansione completa e log di A-Squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8)
scansione e log di Prevx (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)

scarica la patch http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx
disattiva il ripristino configurazione di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23)

Quando tento di installare l'aggiornamento mi dice che "L'aggiornamento non è applicabile al sistema in uso". Ho scaricato questo (http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=5612815f-8685-45d2-af4a-164c298a0869) (ho Vista sp1).

Ma è normale che debba scaricare a mano questo aggiornamento visto che aggiorno il mio Vista praticamente ogni tre giorni?

Il rispristino configurazione invece l'ho sempre tenuto disattivato ;)

p.s.
Quando parli di scansione completa, mi basta farla sull'hard disk c:\ dov'è installato Vista o devo farlo anche sugli altri hard disk dove tengo installati programmi e file vari?

Quando tento di installare l'aggiornamento mi dice che "L'aggiornamento non è applicabile al sistema in uso". Ho scaricato questo (http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=5612815f-8685-45d2-af4a-164c298a0869).

Ma è normale che debba scaricare a mano questo aggiornamento visto che aggiorno il mio Vista praticamente ogni tre giorni?

Il rispristino configurazione invece l'ho sempre tenuto disattivato ;)

ok procedi con le restanti operazioni

ok procedi con le restanti operazioni

Dopo l'aggiornamento di A-squared la scansione prosegue in maniera parecchio lenta (è ancora al 5%, ho impostato solo il controllo di c:\ dov'è installato windows, senza euristica)...spero non sia sintomo di problemi.

- edit -

Ok..finito:

a2scan_090514-190229.txt (http://wikisend.com/download/441796/a2scan_090514-190229.txt) (ho eliminato i file relativi a firefox, gli altri sono file di programmi che uso)

PrevX.log (http://wikisend.com/download/510854/PrevX.log) (come elimino i file? manualmente?)

- edit2 -

Per disinstallare combofix ho dovuto rilanciarlo, per l'occasione s'è aggiornato e quindi gli ho fatto fare un'altra scansione:
ComboFix.txt (http://wikisend.com/download/500118/ComboFix.txt)

Questo il nuovo log di PrevX dopo la disinstallazione di Combofix:
PrevX.log (http://wikisend.com/download/492348/PrevX.log)

Come elimino quel pilfwsjv.dll.xxx? Non lo vedo nella cartella system32 (nemmeno visualizzando i file nascosti)...

- edit3 :D -

Ho eliminato il file coi comandi:
takeowl /f c:\windows\system32\pilfwsjv.dll.xxx
icacls c:\windows\system32\pilfwsjv.dll.xxx /grant administrators:F

e il log pulito di PrevX: PrevX.log (http://wikisend.com/download/561548/PrevX.log)

:)

Dopo l'aggiornamento di A-squared la scansione prosegue in maniera parecchio lenta (è ancora al 5%, ho impostato solo il controllo di c:\ dov'è installato windows, senza euristica)...spero non sia sintomo di problemi.

- edit -

Ok..finito:

a2scan_090514-190229.txt (http://wikisend.com/download/441796/a2scan_090514-190229.txt) (ho eliminato i file relativi a firefox, gli altri sono file di programmi che uso)

PrevX.log (http://wikisend.com/download/510854/PrevX.log) (come elimino i file? manualmente?)

- edit2 -

Per disinstallare combofix ho dovuto rilanciarlo, per l'occasione s'è aggiornato e quindi gli ho fatto fare un'altra scansione:
ComboFix.txt (http://wikisend.com/download/500118/ComboFix.txt)

Questo il nuovo log di PrevX dopo la disinstallazione di Combofix:
PrevX.log (http://wikisend.com/download/492348/PrevX.log)

Come elimino quel pilfwsjv.dll.xxx? Non lo vedo nella cartella system32 (nemmeno visualizzando i file nascosti)...

- edit3 :D -

Ho eliminato il file coi comandi:
takeowl /f c:\windows\system32\pilfwsjv.dll.xxx
icacls c:\windows\system32\pilfwsjv.dll.xxx /grant administrators:F

e il log pulito di PrevX: PrevX.log (http://wikisend.com/download/561548/PrevX.log)

:)
se sei ok ti consiglio il trattamento in firma per consigli vari

se sei ok ti consiglio il trattamento in firma per consigli vari

Ok, ho seguito i vari consigli post disinfezione.
Vorrei però chiederti gentilmente se esiste un modo per verificare e correggere eventuali modifiche che potessero esser state apportate al registro (come ad esempio quell' EnableLUA cancellato detto poco sopra)...

Esistono inoltre altri passaggi da fare per "resettare" impostazioni varie toccate dal worm? Te lo chiedo perchè noto ancora una lentezza nell'apertura di determinate cose, come il Centro connessioni di rete e condivisione, o la cartella Giochi che mette una vita ad aprirsi, oppure ancora Firefox che mi chiede di essere impostato come browser definitivo nonostante lo sia già (e continua a chiedermelo ad ogni suo avvio).

Scusa se continuo a disturbarti e ne approfitto per ringraziarti del gran lavoro che hai svolto, e l'ottimo aiuto che mi hai dato ;)

per le modifiche al registro basta combofix

Ok, ho seguito i vari consigli post disinfezione.
Vorrei però chiederti gentilmente se esiste un modo per verificare e correggere eventuali modifiche che potessero esser state apportate al registro (come ad esempio quell' EnableLUA cancellato detto poco sopra)...

Esistono inoltre altri passaggi da fare per "resettare" impostazioni varie toccate dal worm? Te lo chiedo perchè noto ancora una lentezza nell'apertura di determinate cose, come il Centro connessioni di rete e condivisione, o la cartella Giochi che mette una vita ad aprirsi, oppure ancora Firefox che mi chiede di essere impostato come browser definitivo nonostante lo sia già (e continua a chiedermelo ad ogni suo avvio).

Scusa se continuo a disturbarti e ne approfitto per ringraziarti del gran lavoro che hai svolto, e l'ottimo aiuto che mi hai dato ;)

carica il log classico di HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)

carica il log classico di HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)

Eccolo (http://wikisend.com/download/442930/hijackthis.log) ;)

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.24\RivaTunerWrapper.exe" /S
O4 - HKLM\..\Run: [RTSS] "C:\Program Files\RivaTuner v2.24\Tools\RTSS\RTSSWrapper.exe" /s
O4 - HKLM\..\Run: [RivaTuner] "C:\Program Files\RivaTuner v2.24\RivaTunerWrapper.exe" /T
O23 - Service: Servizio di Google Update (gupdate1c9b24e7a5c19b3) (gupdate1c9b24e7a5c19b3) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe (file missing)


se le O23 permangono segui qui sotto

Fai start → Esegui → digita o copia/incolla in sequenza

sc stop gupdate1c9b24e7a5c19b3 (invio)
sc delete gupdate1c9b24e7a5c19b3 (invio)
sc stop CRVS (invio)
sc delete CRVS (invio)

cut

Ma praticamente dovrei inibire l'avvio di quelle voci?
Monitor è un file della mia webcam, dovrebbe servire ad aprire il programma di gestione quando premo il tasto per scattare una foto dalla webcam stessa;

Le righe riferite a Rivatuner mi servono perchè ho impostato vari settaggi automatici per la scheda video all'avvio;

Google Update e Cyberlink RichVideo se non sbaglio sono configurati con avvio manuale dai servizi.

Escludendo questi quindi c'è altro da segnalare?

le O4 se ti servono lasciale
le O23 segnalano il file mancante e quindi non dovrebbero nemmeno funzionare

non vedo altro

puoi comunque fare un controllo del disco + deframmentazione per escludere il problema del disco

http://wikisend.com/download/440042/ComboFix.txt

Questo il log dopo la procedura indicata.
Il pc infetto è solo quersto del log (l'altro l'ho "purificato").

http://wikisend.com/download/440042/ComboFix.txt

Questo il log dopo la procedura indicata.
Il pc infetto è solo quersto del log (l'altro l'ho "purificato").

Segui quanto qui indicato http://www.hwupgrade.it/forum/showpost.php?p=26807641&postcount=2

puoi comunque fare un controllo del disco + deframmentazione per escludere il problema del disco

Controllo disco intendi scansione completa?
Procederò poi con la deframmentazione (OT: Mi consigli JkDefrad 3.36 o MyDefrag 4.0b7 che è ancora in beta?)

Ne approfitto per ringraziarti ancora una volta, saluti!

Controllo disco intendi scansione completa?
Procederò poi con la deframmentazione (OT: Mi consigli JkDefrad 3.36 o MyDefrag 4.0b7 che è ancora in beta?)

Ne approfitto per ringraziarti ancora una volta, saluti!
controllo disco in firma -> chkdsk

jkdefrag va benissimo

Segui quanto qui indicato http://www.hwupgrade.it/forum/showpost.php?p=26807641&postcount=2

Dopo aver eseguito Combofix con il file di testo, gli antivirus si aggiornano nuovamente e va di nuovo sui siti dove prima nn andava.
Grazie 1000!!!

Appena mia sorella ritorna (il portatile era il suo) cerchero' di recuperare l'ultimo log e postarlo.

Dopo aver eseguito Combofix con il file di testo, gli antivirus si aggiornano nuovamente e va di nuovo sui siti dove prima nn andava.
Grazie 1000!!!

Appena mia sorella ritorna (il portatile era il suo) cerchero' di recuperare l'ultimo log e postarlo.

Bene, se possibile sarebbe opportuno allegare i log per il controllo :)

me lo sono beccato questa mattina navigando sul sito dell'università/facebook (non ho cliccato a nessun link-video ecc)...

Ho Kav2009 aggiornato alle ultime def. e spyboot aggiornato!

seguirò tutto l'iter della 1 pagina e vi mando i log!

intanto:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12.19.58, on 27/04/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\ChgService.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Apoint\Apoint.exe
C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programmi\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\Dell\QuickSet\Quickset.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Digital Line Detect\DLG.exe
C:\Programmi\Apoint\Apntex.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\NeverLand\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default.aspx?c=it&l=it&s=gen
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint\Apoint.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programmi\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmi\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programmi\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-1967818342-358069971-868491073-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'postgres')
O4 - HKUS\S-1-5-21-1967818342-358069971-868491073-1007\..\RunOnce: [NeroHomeFirstStart] C:\Programmi\File comuni\Ahead\Lib\NeroScoutOptions.exe (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Scarica con Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica sito web con Free Download Manager - file://C:\Programmi\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Programmi\PartyItalia\PartyPokerIt\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Programmi\PartyItalia\PartyPokerIt\RunApp.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAF3C8CC-929B-4490-BFEB-FC83F337E415}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Change Modem Device Service - Unknown owner - C:\WINDOWS\system32\ChgService.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: postgresql-9.0 - PostgreSQL Server 9.0 (postgresql-9.0) - PostgreSQL Global Development Group - C:/Programmi/PostgreSQL/9.0/bin/pg_ctl.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 11303 bytes



http://img857.imageshack.us/img857/9476/wormkido.jpg

se non ricordo male conficker lo intercetti "meglio" con gmer piuttosto che con l'antivirus

me lo sono beccato questa mattina navigando sul sito dell'università/facebook (non ho cliccato a nessun link-video ecc)...

Ho Kav2009 aggiornato alle ultime def. e spyboot aggiornato!



3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1984665

thx mod