Con CTRL+ALT+Canc vedo all'avvio stu2.exe e poi scompare ma non riesco più ad accedere alla rete e ad internet. Ho fatto una scansione con Malware bytes ed ho eliminato tutto quello che ha trovato, ma ho sempre lo stesso problema. l'unico modo che ho per connettermi a internet è usare il dial-up. Grazie

Ciao

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio) (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.


Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria (http://www.hwupgrade.it/forum/showpost.php?p=25116981&postcount=41), se non bastasse effettua prima una scansione con il rescue cd di Kaspersky (http://www.hwupgrade.it/forum/showthread.php?t=1878747) o di Avira (http://www.hwupgrade.it/forum/showthread.php?t=1689812) per fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco (http://www.hwupgrade.it/forum/showpost.php?p=24113158&postcount=22) e della RAM (http://www.hwupgrade.it/forum/showpost.php?p=25062288&postcount=38)

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nel bigino in firma guarda alla voce Portabilità di ogni programma, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente aggiornato sul pc infetto

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...
link caricamento log generici ► freefilehosting.net (http://freefilehosting.net/) ■ fileqube.com ■ (http://fileqube.com/) wikisend.com (http://wikisend.com/) ■ mediafire.com (http://www.mediafire.com/index.php)
link caricamento immagini ► freefilehosting.net (http://freefilehosting.net/) ■ fileqube.com ■ picoodle.com (http://fileqube.com/) ■ imageshack.us (http://imageshack.us/)

Ho eseguito la pulitura del sistema e poi avviato Malware Bytes e ha prodotto questo log:

http://wikisend.com/download/459608/mbam-log-2009-04-07 (11-45-33).txt

Poi ho intuito che potesse essere un file di exel a scatenare il tutto. Infatti avviato il file ho visto nel task manager attività sospetta allora ho eliminato il file, rifatto la pulizia e avviato di nuovo un'altra scansione ed ha prodotto quest'altro log:

http://wikisend.com/download/459612/mbam-log-2009-04-07 (12-00-40).txt

Ragazzi non arrabbiatevi, ma per il momento sono riuscito a darvi soltanto questo materiale x' il pc infetto è quello dell'ufficio e non riesco sempre a starci li davanti. Spero riusciate a darmi qualche info per continuare a procedere. Grazie

i file che ha trovato devono essere tutti eliminati, dai i log non sembra sia stato fatto

riscansiona, elimina e procedi con la guida

i file che ha trovato devono essere tutti eliminati, dai i log non sembra sia stato fatto

riscansiona, elimina e procedi con la guidaI file scansionati sono stati tutti eliminati. Quando provo a scansionare di nuovo ne trova degli altri. Cmq provo ad andare avanti.

Ecco quì quello che sono riuscito a fare:

Malware: http://wikisend.com/download/930714/mbam-log-2009-04-07 (17-37-34).txt

Asquare: http://wikisend.com/download/122620/a2scan_090407-174051.txt

Dr Web: http://wikisend.com/download/484402/DrWeb.cvs.csv

ESET: http://wikisend.com/download/466678/esi-eula.txt

Gmer: http://wikisend.com/download/438938/gmer.log

Il collegamento alla rete non riesco ad averlo e quindi i test da rete non li ho fatti. Grazie

con mbam hai eliminato i file segnalati?

fai girare e carica il log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

con mbam hai eliminato i file segnalati?Sì li ho eliminati con il tasto elimina di mbam, ma sembra che non lo faccia. Ora provo!

manca anche quello di hijackthis

Ecco il log di comboFix: http://wikisend.com/download/888464/ComboFix.txt

Manca anche il log di SysInspector hai allegato il file inerente la Licenza, inoltre i tool utilizzati per fare le scansioni non sono aggiornati sia per quanto concerne la Versione sia per il DataBase

A-Squared

a-squared Free - Versione 4.0
Ultimo aggiornamento: N/A


MBAM

Malwarebytes' Anti-Malware 1.35
Versione del database: 1936
Windows 5.1.2600 Service Pack 2

copia questo file
c:\windows\system32\dllcache\userinit.exe
e incollalo al posto di questo sovrascrivendolo, dato che sembra corrotto
c:\windows\system32\userinit.exe

una volta che il pc tornerà a connettersi rifarai le scansioni con i programmi, citati da chill, aggiornati
in alternativa potevi scaricare ubn file di aggiornamento per mbam oopure utilizzare la versione usb di asquared aggiornata su un altro pc

copia questo file
c:\windows\system32\dllcache\userinit.exe
e incollalo al posto di questo sovrascrivendolo, dato che sembra corrotto
c:\windows\system32\userinit.exe

una volta che il pc tornerà a connettersi rifarai le scansioni con i programmi, citati da chill, aggiornati
in alternativa potevi scaricare ubn file di aggiornamento per mbam oopure utilizzare la versione usb di asquared aggiornata su un altro pcScusami una domanda, devo copiarlo dal pc infetto o da uno buono? Si copia tranquillamente o è protetto dal sistema?

Scusatemi, ma purtroppo le mie conoscenze di tutto questo non sono al max, non per questo chiedo aiuto a voi.

Scusami una domanda, devo copiarlo dal pc infetto o da uno buono? Si copia tranquillamente o è protetto dal sistema?

Scusatemi, ma purtroppo le mie conoscenze di tutto questo non sono al max, non per questo chiedo aiuto a voi.

Dal tuo PC, lo trovi in questo percorso c:\windows\system32\dllcache\userinit.exe

mi pare si riesca a sovrascriverlo normalmente

Dopo aver copiato il file userinit.exe come sopra indicato, apri il Blocco Note copia e incolla questa righe:

file::
c:\windows\9g2234wesdf3dfgjf23
c:\windows\system32\stu2.exe
c:\windows\nl12.exe
c:\windows\nlmark2.dat
c:\windows\f23567.dat

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Successivamente ripeti le scansioni con i tool aggiornati ed alleghi anche il log di SysInspector assolutamente necessario

Ho copiato e incollato, riavviato e provato a connettermi, ma niente da fare. non si connette!

Dopo aver copiato il file userinit.exe come sopra indicato, apri il Blocco Note copia e incolla questa righe:



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Successivamente ripeti le scansioni con i tool aggiornati ed alleghi anche il log di SysInspector assolutamente necessarioSalvato lo script, sostituito userint avviato lo script sull'icona di comboFix salvato il log, riavviato ma non si connette a internet. Il log è:
http://wikisend.com/download/436288/ComboFix.txt

comincia a caricare i log di hijackthis e eset sysinspector

Salvato lo script, sostituito userint avviato lo script sull'icona di comboFix salvato il log, riavviato ma non si connette a internet. Il log è:
http://wikisend.com/download/436288/ComboFix.txt

Scarica e trascina il file in allegato sull'icona di Combofix

Ecco il log di Hjack: hijackthis.log (http://wikisend.com/download/441378/hijackthis.log)

Ecco quello di Sys: SysInspector-PC1-090408-1743.xml (http://wikisend.com/download/594518/SysInspector-PC1-090408-1743.xml)

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


O4 - Startup: Gestionale 2.lnk = C:\g2z_cln\g2.exe
O15 - Trusted Zone: *.archiviosex.net
O15 - Trusted Zone: *.otherchance.com
O15 - Trusted Zone: *.whatsnew.name





Start → Pannello di Controllo
click su Rete e connessioni internet o Connessione di rete
click su Connessioni di rete
click destro su Connessione alla rete locale (LAN) -> proprietà
scorri l'elenco e doppio click su Protocollo Internet TCP/IP
Metti la spunta su Utilizza i Seguenti DNS
Inserisci gli Open DNS (oppure quelli del tuo provider)
208.67.222.222
208.67.220.220
Ok → Ok → Riavvia il pc

Hai fatto quanto qui indicato? http://www.hwupgrade.it/forum/showpost.php?p=27018266&postcount=20

Questa fà parte di un noto applicativo, forse è indispensabile

O4 - Startup: Gestionale 2.lnk = C:\g2z_cln\g2.exe

Hai fatto quanto qui indicato? http://www.hwupgrade.it/forum/showpost.php?p=27018266&postcount=20

Questa fà parte di un noto applicativo, forse è indispensabileSi scusami, ma non ho caricato il log. Eccolo: ComboFix.txt (http://wikisend.com/download/533332/ComboFix.txt)

Mentre x la riga del g2.exe non la spunto x' è il mio gestionale.

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


O4 - Startup: Gestionale 2.lnk = C:\g2z_cln\g2.exe
O15 - Trusted Zone: *.archiviosex.net
O15 - Trusted Zone: *.otherchance.com
O15 - Trusted Zone: *.whatsnew.name





Start → Pannello di Controllo
click su Rete e connessioni internet o Connessione di rete
click su Connessioni di rete
click destro su Connessione alla rete locale (LAN) -> proprietà
scorri l'elenco e doppio click su Protocollo Internet TCP/IP
Metti la spunta su Utilizza i Seguenti DNS
Inserisci gli Open DNS (oppure quelli del tuo provider)
208.67.222.222
208.67.220.220
Ok → Ok → Riavvia il pc
Ecco il nuovo log: hijackthis.log (http://wikisend.com/download/435466/hijackthis.log)

Cmq la rete non c'è ancora!

Mi sono appena accorto che Outlook Explorer controlla perfettamente la posta, non riesco a navigare in internet da IExplorer e non riesco a far l'aggiornamento di Mbam! Cosa può esser?

Scarica e trascina il file in allegato sull'icona di Combofix

Scarica e trascina il file in allegato sull'icona di CombofixFatto ecco il log: ComboFix.txt (http://wikisend.com/download/470262/ComboFix.txt)

se la connessione non funziona ancora

scarica XP TCP/IP Repair da qui (http://www.xp-smoker.com/downloads/xptcprep.exe)
installalo e lancialo
clicca su Reset TCP/IP e poi su su Repair Winsock
riavvia il pc e se il problema è risolto disinstalla pure XP TCP/IP Repair

se la connessione non funziona ancora

scarica XP TCP/IP Repair da qui (http://www.xp-smoker.com/downloads/xptcprep.exe)
installalo e lancialo
clicca su Reset TCP/IP e poi su su Repair Winsock
riavvia il pc e se il problema è risolto disinstalla pure XP TCP/IP RepairOra provo anche quello li, ma ho scoperto che la connessione funziona, ma soltanto guardando posta, e su internet visitando pagine protette cioè https, viene bloccato l'http normale!!

Provato, non funziona!

li hai impostati gli open dns?
IE o firefox?

ricorda che win va aggiornato al più presto a sp3 e IE alla 7

li hai impostati gli open dns?
IE o firefox?

ricorda che win va aggiornato al più presto a sp3 e IE alla 7Si gli open sono impostati, uso IE e sono al Service Pack 2. Ma non penso che questo sia dipeso dal non aggiornamento!

Adesso è necessario installare un'AV http://www.hwupgrade.it/forum/showthread.php?t=1514684 e fare scansione completa, inoltre non hai impostato gli Open in quanto risultano i DNS di Telecom

Adesso è necessario installare un'AV http://www.hwupgrade.it/forum/showthread.php?t=1514684 e fare scansione completa, inoltre non hai impostato gli Open in quanto risultano i DNS di TelecomI DNS sono quelli OPEN x' mi sono accorto che ripristinando il TCP/IP erano spariti, ho rifatto la prova e non funziona. Secondo me è bloccata la porta 80 di http.

fai un test delle porte e, nel caso fossero bloccate, riapri quelle che ti servono

fai un test delle porte e, nel caso fossero bloccate, riapri quelle che ti servonoCome faccio a far il test? Cmq io non ho niente che blocca. Non ho firewall o niente!

un malware ;)

nn mi ricordo come si fa a fare il test...ma cerca e troverai!

Forse sono riuscito a sistemare.. Ho guardato il log di Hjack e mi dava impostazioni su un proxy che io non uso. Ho levato ed ora la connessione è ok. Faccio i test e poi penso di esser ok!!

giusto...poteva essere un proxy impostato nn funzionante!:)