Ciao.
Un qualche malware particolarmente micidiale continua a dirottare connessioni agli antivirus.:( Ho più volte corretto l'errore con SpyBootS&D, ma all'apertura di nuove sessioni i file tornano attivi. Ora l'infezione si è estesa, non posso aggiornare l'antivirus che stavo provando (Pctools) nè rimuoverlo, nè reinstallare avira (neppure da chiavetta perchè il computer non riesce a stabilire una connessione sicura per l'attivazione).
Qui (http://www.fileqube.com/file/NKUabp191866) ho postato un log di hijackthis. Qualcuno sa aiutarmi?
grazie in anticipo

Ciao segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1878747 per creare e disinfettare il PC col Kaspersky Rescue Disk successivamente vediamo il da farsi :)

ciao chill-out, grazie per la risposta.
Ho seguito la guida, il rescue disk ha trovato varie cose e sostiene di averle ripulite. Qui (http://www.fileqube.com/file/bxThbmU192759) c'è il log, a me sembra pulito. Ho interrotto io la scansione (dopo 34 ore!!!) ma era ormai giunta a un HD esterno, quasi certamente sicuro e ora a buon conto disconnesso.
Però non tutto va ancora bene :muro: : il computer si riavvia sponaneamente senza motivo, non riesce a caricare Peer guardian (disinstallato/reinstallato, si avvia la prima volta ma la seconda torna a denunciare di non trovare un file. Online armour ha rilevato un programma "03.tmp", che mi pare simile a malware appena rimossi, che cercava di accedere a internet da Windows system 32.
Ora sto scansionando con Avira, poi scansionerò con Spyboot e a Malwarebytes...
Altri suggerimenti?

Segui passo passo la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

guai al terzo passaggio della guida alla disinfezione:
il comp (Win XP) mi si riavvia sempre prima di completare una scansione, tanto con Fsecure online quanto con Kasp virus removal tool... quest'ultimo aveva fatto in tempo a mandare uno strano messaggio relativo a un qualche file c\.../fbrecover.ini (o simili) protetto da password, che mi giungeva nuovo.
Malwarebytes dava tutto pulito, mentre aSquared ha rilevato due trojan (che ho già rimosso) e qualche cookie tracciante che è ancora in quarantena perchè non pare comunque pericoloso). che faccio? mi ostino con lo step 3 o vedo se riesco a completare i successivi e posto comunque i log che ho? :help:


Comunque, se posso azzardare una recensione, la versione gratuita di PCtools Internet safety mi pare abbastanza una ciofeca: comodo, certo, aver tutto in un programma, ma non ha impedito un contagio a tutto tondo della macchina!

Salta il Punto 4, procedi con i successivi ed allega tutti i log :)

Buongiorno,
sono ancora vivo.
Nel completare la serie di scansioni, mi sono imbattuto in alcuni problemi (soprattutto un Rootkit) abbastanza seri da farmi decidere di intervenire subito. Così, naturalmente, i primi log non sarebbero più stati aggiornati. Ora riprendo la serie di scansioni poi invio.
Nel frattempo segnalo che:
- riesco a completare le scansioni solo in modalità provvisoria: in questa modalità non avvengono riavvii automatici, che altrimenti diffcilmente lasciano lavorare il sistema più di un'ora
- ho tentato di eliminare l'opzione di riavvio automatico, per capire cosa determinasse i riavvii, ma non è stato possibile (la finestra di dialogo accetta la spunta, ma tutto resta come prima) in quanto Windows Security center e tutti i suoi annessi risultano "non disponibili".
Tutto ciò dice qualcosa a qualcuno? è possibile che qualche file necessario al funzionamento di Security center sia stato infettato e, magari, che uno dei vari antivirus abbia rimosso il file danneggiato? E, se così fosse, esiste il modo di ritrovare da qualche parte nel computer o riscaricare da windows download i file necessari al ripristino?

... o che il problema dipenda da qualche file che viene caricato all'avvio nella modalità normale?

Il tutto comincia a essere piuttosto lontano dalla mia idea di come passare il tempo in modo ideale...

pùchemai bartlebyscrivano

aspettiamo i log delle scansioni veloci mancanti?

Ecco finalmente i log :) :
2 - http://wikisend.com/download/950092/
3 - http://wikisend.com/download/525130/
4- http://wikisend.com/download/594238/
5- http://wikisend.com/download/597560/
6- http://wikisend.com/download/436530/
7- http://wikisend.com/download/492332/
8- http://wikisend.com/download/499494/
9- http://wikisend.com/download/524068/

tutte le scansioni sono state fatte in modalità provvisoria.
righe rosse di Gmer:
C:\WINDOWS\system32\svchost.exe ***hidden*** [AUTO]felhdii

tasto dx sulla riga rossa di gmer e seleziona delete service + nuovo log
in seguito fai girare e carica il log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

hai recentemente avuto problemi con MBR rootkit?

Ciao.

dopo aver lanciato combofix tutto sembra incasinato a morte :muro: :
-non accedo più a internet (messaggio di "connessioni di rete": errore 711 - configurazione computer)
-un sacco di immagini di windows sono danneggiate
-tantissime opzioni non funzionano più
(... e ovviamente non avevo attivato la consolle di ripristino)

ecco comunque i log (ho lanciato due volte combofix)
- http://www.wikisend.com/download/642996/1a_Gmer.log
- http://www.wikisend.com/download/887728/2a_combofix.txt
- http://www.wikisend.com/download/551856/3a_combofix.txt

e... si, ho avuto di recente problemi con un rootkit, che ho riparato seguendo la vostra guida e con la vostra assistenza on-line. Per qualche mese sembrava tutto ok.

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Driver::
fcbyzj
sgwudqvi

netsvc::
fehldii




Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt


E:\wubi.exe lo conosci?

edit:

online armor non era disattivo durante la prima scansione di combo
con gmer hai rimosso la riga rossa?

[LIST]

Trascina il file di testo appena creato


ehm... veniamo alla prossima: una delle funzioni disabilitate è trascina (ma anche copia e incolla fra cartelle)

E:\wubi.exe lo conosci?

dovrebbe far parte di un ISO di Ubuntu che avevo caricato su una periferica virtuale sempre tentando di risolvere il problema attuale, ma non ho poi usato dopo aver letto meglio le info

edit:

online armor non era disattivo durante la prima scansione di combo,

vero: ho visto poi, al momento di riattivare, che probabilmente la disattivazione richiedeva il riavvio

vero
con gmer hai rimosso la riga rossa?

si, scusa la formattazione della risposta

sob! reinstallare windows??????

hai fatto quanto ti ho scritto al post #12?

spero di esserci riuscito: ho copiato direttamente le tue istruzioni nella finestra dos di combo.

questo è il log relativo:
http://www.wikisend.com/download/563082/3a_combofix.txt

ma dopo l'operazione non è cambiato nulla

mi sembra ancora quello vecchio
ComboFix 09-05-07.A0 - massimo 08/05/2009 16.01.32.2 - NTFSx86
Eseguito da: c:\documents and settings\massimo\Documenti\temp\ComboFix.exe



trascina il file che ti ho allegato in caso di problemi

N

No, scusa, il problema è che attualmente NON RIESCO a trascinare alcunché né a fare copia incolla, ma solo a riaprire i file e salvarli nella nuova destinazione... il che non mi pare possibile con combo che è solo un file eseguibile

http://aumha.org/downloads/dragndropx.zip
estrai l'archivio, fai doppio click su dragndropx.reg, conferma e riavvia il pc
poi dicci se si è ripristinato il trascinamento

Ciao ragazzi,
no, neanche il suggerimento precedente ha funzionato...
Ora ho riformattato: oltre a tutto, erano successe un po' troppe cose nel sistema su cui non avevo affatto idee chiare, così meglio riiniziare, a costo di sorbirsi qualche giornata di lavoro noioso.
Grazie comunque per il supporto :rolleyes:

nel trattamento in firma trovi consigli su come proteggere meglio il tuo "nuovo" pc