Ho fatto entrambe le cose..
Per sicurezza adesso ho fatto ripartire la scansione con gmer spuntando nella lista degli hd solo E:/ ma la scansione è partita subito analizzando anche C:/...aspetto e vedo e carico il log quando finisce. Comunque sono sicura di aver spuntato tutte le unità quando ho fatto la scansione la prima volta, non capisco perché abbia saltato sia D:/ che E:/

vediamo che dice emsisoft

allego il log di gmer (stavolta durante lo scorrimento ho visto che analizzava E:/)
gmer 2.txt (http://wikisend.com/download/475266/gmer 2.txt)
e di emsisoft
a2scan_110322-181809.txt (http://wikisend.com/download/525074/a2scan_110322-181809.txt)

Entrambe mi hanno dato l'HD pulito.
Durante la scansione con emsisoft ho visto chiaramente che analizzava il file che mi segnalano nod32 e DrWeb e che lo passava tranquillamente. Pure Malwarebytes non mi segnala elementi nocivi. Non so che pensare :confused:

credo emsisoft abbia fatto la scansione veloce personalizzata, prova a rifarla ma come scansione completa, 12000 file scansionati sono troppo pochi :)
in nod32 metti emsisoft nell'esclusion list del modulo di scansione in tempo reale

ciao a tutti! credo di essere affetto dal conficker, così ho cominciato l'iter di correzione ma mi blocco subito al primo step :(
parto con bitdefender, gli do lo start e mi fa in un attimo il system scan e poi al system disinfect sembra congelarsi...non succede nulla e la barra di caricamento nn parte neanche...

ciao a tutti! credo di essere affetto dal conficker, così ho cominciato l'iter di correzione ma mi blocco subito al primo step :(
parto con bitdefender, gli do lo start e mi fa in un attimo il system scan e poi al system disinfect sembra congelarsi...non succede nulla e la barra di caricamento nn parte neanche...

Ciao, tralascia BitDefender e prosegui.

aiuto chill out!! ho provato con tutti gli step ma nn me ne funziona neanche uno...il primo mi si blocca come ti avevo detto, combofix parte caricando la barra e poi il nulla, provo con gmer e come lo faccio partire si blocca tutto il computer!! aiutamiiiiiii, cosa faccio??? sono pure senza antivirus :(

aiuto chill out!! ho provato con tutti gli step ma nn me ne funziona neanche uno...il primo mi si blocca come ti avevo detto, combofix parte caricando la barra e poi il nulla, provo con gmer e come lo faccio partire si blocca tutto il computer!! aiutamiiiiiii, cosa faccio??? sono pure senza antivirus :(

L'AV non funziona o non si aggiorna?

non si aggiornava, ma stupidamente, pensando che fosse un problema dell'av, l'ho disinstallato per poi reinstallarlo, ma ora non si installa più...avevo la free edition di avg...

non si aggiornava, ma stupidamente, pensando che fosse un problema dell'av, l'ho disinstallato per poi reinstallarlo, ma ora non si installa più...avevo la free edition di avg...

Quindi non sei sicuro che il problema sia il Conficker, scariva AVG Remover in base al SO in uso e prova a reinstallarlo http://www.avg.com/us-en/download-tools

me lo sono beccato questa mattina navigando sul sito dell'università/facebook (non ho cliccato a nessun link-video ecc)...

http://img857.imageshack.us/img857/9476/wormkido.jpg

Ho Kav2009 aggiornato alle ultime def. e spyboot aggiornato!

seguirò tutto l'iter della 1 pagina e vi mando i log!

intanto:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12.19.58, on 27/04/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\ChgService.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Apoint\Apoint.exe
C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programmi\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\Dell\QuickSet\Quickset.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Digital Line Detect\DLG.exe
C:\Programmi\Apoint\Apntex.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\NeverLand\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/de...=it&l=it&s=gen
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint\Apoint.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programmi\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmi\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programmi\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-1967818342-358069971-868491073-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'postgres')
O4 - HKUS\S-1-5-21-1967818342-358069971-868491073-1007\..\RunOnce: [NeroHomeFirstStart] C:\Programmi\File comuni\Ahead\Lib\NeroScoutOptions.exe (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Scarica con Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica sito web con Free Download Manager - file://C:\Programmi\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Programmi\PartyItalia\PartyPokerIt\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Programmi\PartyItalia\PartyPokerIt\RunApp.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/sh...1/mcinsctl.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/...Uploader55.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/sh...26/mcgdmgr.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAF3C8CC-929B-4490-BFEB-FC83F337E415}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Change Modem Device Service - Unknown owner - C:\WINDOWS\system32\ChgService.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: postgresql-9.0 - PostgreSQL Server 9.0 (postgresql-9.0) - PostgreSQL Global Development Group - C:/Programmi/PostgreSQL/9.0/bin/pg_ctl.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 11303 bytes



Update:


fatto girare tutto, sembra non abbia avuto nessun tipo di infezione!

però ho un file molto strano: C:\WINDOWS\system32\ChgService.exe

e queste chiavi:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O23 - Service: Change Modem Device Service - Unknown owner - C:\WINDOWS\system32\ChgService.exe



per il resto sembro pulito e nessun tools ha trovato nulla nonostante il msg di Kaspersky


che mi consigliate?



update: log combofix allegato

me lo sono beccato questa mattina navigando sul sito dell'università/facebook (non ho cliccato a nessun link-video ecc)...



Mi alleghi i seguenti log

BDTOOLS REMOVE Downadup

Gmer

Mi alleghi i seguenti log

BDTOOLS REMOVE Downadup

Gmer

oggi mi si è ripresentato, penso di non averlo tolto, faccio rigirare tutto e ti posto tutti i log thx chill

log gmer

log gmer

No log compressi, grazie.

No log compressi, grazie.


è 28k, non me lo prende non compresso... provo a leggere le faq magari trovo qualche info (oppure lo copio tramite code)

edito: allego tramite link --> http://www.filedropper.com/geamerlog

è 28k, non me lo prende non compresso... provo a leggere le faq magari trovo qualche info (oppure lo copio tramite code)

edito: allego tramite link --> http://www.filedropper.com/geamerlog

http://www.hwupgrade.it/forum/showthread.php?t=1751598

http://www.hwupgrade.it/forum/showthread.php?t=1751598



ho letto le faq e l'ho messo su file dropper quando ho editato!

Ricapitolando: sto avendo troppi problemi, pensavo di averlo pulito, non so più cosa ha questo pc!!!

ecco l'attuale situazione: ho un file 52.exe trojan che kaspersky ha rilevato per 20 minuti, ora non ne trovo traccia, dopo questo avviso è uscito un avviso su trojan generic rilevato:

http://img831.imageshack.us/img831/4503/assente.jpg (http://img831.imageshack.us/i/assente.jpg/)

ho 240mila notifiche , 1 ogni secondo...

questa è la situazione secondo Kav aggiornato 2009 dove sembrava avesse pulito tutto (avevo fatto girare tutta la sequenza atf-ecc ecc fino a combofix)

http://img862.imageshack.us/img862/5510/kido.jpg (http://img862.imageshack.us/i/kido.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)



Uploaded with ImageShack.us (http://imageshack.us)


ATF: mi da delle scritte oscurate è normale??
http://img7.imageshack.us/img7/9052/atfk.jpg (http://img7.imageshack.us/i/atfk.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)


ricomincio daccapo e faccio girare tutti e vi posterò i log

Chiedo una info: chi ha xp sp3 non ha bisogno dell'aggiornamento di cui al link in 1 pagina giusto^?(ho letto così nella pagina del bollettino della microsoft), inoltre spybot aggiornato mi segnala un win32 palevo...

argh

Forse ce l'ho fatta!

allego i log

bd_rem

http://www.filedropper.com/win32wormdownladupgen


Combofix (1 dove sembra abbia eliminato due exe e un png

.
c:\documents and settings\NeverLand\Dati applicazioni\Btqiqj.exe
c:\documents and settings\NeverLand\djd.exe
c:\documents and settings\NeverLand\Logo.png

http://www.filedropper.com/combofix_3

2 passata:

http://www.filedropper.com/combofix2

Gemer

http://www.filedropper.com/gemer


hijackthis:


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21.31.07, on 05/05/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\ChgService.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Apoint\Apoint.exe
C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programmi\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\Dell\QuickSet\Quickset.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Digital Line Detect\DLG.exe
C:\Programmi\Apoint\Apntex.exe
C:\Programmi\Yz Dock\YzDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\NeverLand\Desktop\Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default.aspx?c=it&l=it&s=gen
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint\Apoint.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programmi\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmi\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programmi\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-1967818342-358069971-868491073-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'postgres')
O4 - HKUS\S-1-5-21-1967818342-358069971-868491073-1007\..\RunOnce: [NeroHomeFirstStart] C:\Programmi\File comuni\Ahead\Lib\NeroScoutOptions.exe (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Scarica con Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica sito web con Free Download Manager - file://C:\Programmi\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Programmi\PartyItalia\PartyPokerIt\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Programmi\PartyItalia\PartyPokerIt\RunApp.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1304621004109
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1304620971296
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAF3C8CC-929B-4490-BFEB-FC83F337E415}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Change Modem Device Service - Unknown owner - C:\WINDOWS\system32\ChgService.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: postgresql-9.0 - PostgreSQL Server 9.0 (postgresql-9.0) - PostgreSQL Global Development Group - C:/Programmi/PostgreSQL/9.0/bin/pg_ctl.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 11309 bytes



devo dire che una bella botta l'hanno data prima spyboot rimuovendo un worm palevo, poi combofix che ha tolto 2 eseguibili e un png

speriamo bene!

mod che ne pensi??

Controlla su VT www.virustotal.com il seguente file C:\WINDOWS\system32\ChgService.exe per i risultati è sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione.

dovrebbe essere un servizio del modem,sembra ok, questo il primo link

http://www.virustotal.com/file-scan/reanalysis.html?id=c4ec10a3a9fa050d29095b994b5ed5b975a12e53c315b08fbf4f74346b327e70-1304688345

al 2 copiandolo e cliccandoci mi da internal server error, lo lascio :

http://www.virustotal.com/file-scan/report.html?id=c4ec10a3a9fa050d29095b994b5ed5b975a12e53c315b08fbf4f74346b327e70-1304688345#

DISCUSSIONE SPOSTATA.

Avevo chiesto:
Come da oggetto...sono andato nella cartella ma nulla....anche visualizzando i file nascosti non si trova...nemmeno su google ma cosa è?

Parlo di quel... hpitdsg.dll o come si chiama... hjdcxlexn (idxdjw)
pericolo al 100% non rintracciabile...processo nascosto..

Potete aiutarmi??

Poi ho fatto un Log con ComboFix e quindi....mi è stato detto:



Ciao, apri il Blocco note e copia ed incolla questa righe:



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

Fatto quanto sopra indicato ci trasferiamo nel 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1984665


Fatto ti allego il .LOG

http://wikisend.com/download/273454/log2.txt

log2.txt (http://wikisend.com/download/273454/log2.txt)

DISCUSSIONE SPOSTATA.

Avevo chiesto:
Come da oggetto...sono andato nella cartella ma nulla....anche visualizzando i file nascosti non si trova...nemmeno su google ma cosa è?

Parlo di quel... hpitdsg.dll o come si chiama... hjdcxlexn (idxdjw)
pericolo al 100% non rintracciabile...processo nascosto..

Potete aiutarmi??

Poi ho fatto un Log con ComboFix e quindi....mi è stato detto:




Fatto ti allego il .LOG

http://wikisend.com/download/273454/log2.txt

log2.txt (http://wikisend.com/download/273454/log2.txt)

Ok, adesso fai scansione con Emsi Anti malware come indicato nella prima pagina del 3D.

dovrebbe essere un servizio del modem,sembra ok, questo il primo link

http://www.virustotal.com/file-scan/reanalysis.html?id=c4ec10a3a9fa050d29095b994b5ed5b975a12e53c315b08fbf4f74346b327e70-1304688345

al 2 copiandolo e cliccandoci mi da internal server error, lo lascio :

http://www.virustotal.com/file-scan/report.html?id=c4ec10a3a9fa050d29095b994b5ed5b975a12e53c315b08fbf4f74346b327e70-1304688345#

A posto

ciao

mi sa che mi sono preso sto conficker su un netbook.

Me ne sono accorto perchè non mi aprirva le pagina web relative a antivirus ecc ecc. Poi me lo sono beccato anche sulla penna usb (meno male che l'antivir del pc desktop me l'ha bloccato).

ho fatto i test proposti in prima pagina:

test 1: Possibly Infected by Conficker A/B variant
test 2: System is possibly infected with Conficker.B
clean Status: There are no signs for an infection.


ho fatto uno scan con hijackthis ma non mi trovato niente e anche il tool bd_rem_tool niente.

Vi allego il log di combofix:

http://www.filedropper.com/combofix_3

Cosa faccio?

Grazie

ciao

mi sa che mi sono preso sto conficker su un netbook.

Me ne sono accorto perchè non mi aprirva le pagina web relative a antivirus ecc ecc. Poi me lo sono beccato anche sulla penna usb (meno male che l'antivir del pc desktop me l'ha bloccato).

ho fatto i test proposti in prima pagina:

test 1: Possibly Infected by Conficker A/B variant
test 2: System is possibly infected with Conficker.B
clean Status: There are no signs for an infection.


ho fatto uno scan con hijackthis ma non mi trovato niente e anche il tool bd_rem_tool niente.

Vi allego il log di combofix:

http://www.filedropper.com/combofix_3

Cosa faccio?

Grazie

Il log di Gmer grazie.

accidenti:muro:

ho dimenticato Gmer. Appena torno a casa faccio la scansione e posto i risultati.
Grazie

allora
appena avviato gmer mi da questo risultato:

GMER 1.0.15.15640 - http://www.gmer.net
Rootkit quick scan 2011-06-01 14:32:15
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.FB2O
Running: gmer.exe; Driver: C:\DOCUME~1\GIANPA~1\IMPOST~1\Temp\kfpcipob.sys


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 MBR read error
Disk \Device\Harddisk0\DR0 MBR BIOS signature not found 0

---- System - GMER 1.0.15 ----

SSDT spmg.sys ZwEnumerateKey [0xF74B5DA4]
SSDT spmg.sys ZwEnumerateValueKey [0xF74B6132]

---- Devices - GMER 1.0.15 ----

Device \Driver\iaStor \Device\Ide\iaStor0 [F739DEB0] iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F7349B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 [F739DEB0] iaStor.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\ae51yhts \Device\Scsi\ae51yhts1 85C87500
Device \Driver\ae51yhts \Device\Scsi\ae51yhts1Port2Path0Target0Lun0 85C87500
Device \FileSystem\Ntfs \Ntfs 867531F8

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] xaichtner <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----






la scansione per i rootkit è in questo file di testo:

http://www.filedropper.com/gmer2root


la scansione dell'autostart invece in questo file:

http://www.filedropper.com/autostart

Come procedo?

Grazie per l'assistenza e ciao

Apri il Blocco note e copia ed incolla questa righe:


Driver::
xaichtner

Netsvc::
xaichtner

File::
c:\windows\system32\aexnak.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xaichtner]
[-HKLM\SYSTEM\CurrentControlSet\Services\xaichtner]
[-HKLM\SYSTEM\ControlSet002\Services\xaichtner]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt + log della scansione di controllo con Emsisoft Anti-Malware 5.0

ciao
intanto posto il log di combofix (la scansione di emisoft ci sta mettendo un'eternità:eek: ):

http://www.filedropper.com/combofix_4

puoi già anticiparmi qualcosa?

Grazie

ps: adesso sembra che mi posso collegare ai siti dei produttori di antivirus.

ciao
intanto posto il log di combofix (la scansione di emisoft ci sta mettendo un'eternità:eek: ):

http://www.filedropper.com/combofix_4

puoi già anticiparmi qualcosa?

Grazie

ps: adesso sembra che mi posso collegare ai siti dei produttori di antivirus.

Siamo a posto, attendo il log della scansione di controllo.

Siamo a posto, attendo il log della scansione di controllo.

Ho avviato di nuovo la scansione completa ma ci mette una vita come già detto sopra.
Ieri però per quel poco che ha scansionato (ho dovuto spegnerlo prima che completasse per mie ragioni) mi ha trovato anche alcuni trojan (tra le altre cosuccie) e soprattutto
mi ha indicato una cartella CAIN in programmi (ho controllato dentro la cartella e c'era anche un file abel.exe). Ho già letto qualcosa in merito a questo programma un po' di tempo fa e se ricordo bene è un tool per il cracking/sniffing/spia in generale delle reti. Ma è possibile che un worm scarichi e installi questo programma?
O è capitato lì in altro modo?
Ho cancellato tutto per sicurezza.
Intanto però sono riuscito a installare l'antivirus e a fare una scansione e risulta tutto ok per fortuna.

Un'altra cosa se permetti.
Mi hai indicato delle righe da copiare in un file di testo da passare a combofix.
Volevo sapere, per curiosità, come hai fatto (quali indicazioni ti sono state di aiuto nei log postati insomma) a capire che erano le righe giuste.
Dove o cosa bisogna leggere di quei file di log (a parte l'esperienza ovviamente) per essere ragionevolmente sicuri delle procedure da avviare:

tipo:

Driver:: (??? perchè driver?)
xaichtner

Netsvc::
xaichtner


grazie ancora

Ho avviato di nuovo la scansione completa ma ci mette una vita come già detto sopra.
Ieri però per quel poco che ha scansionato (ho dovuto spegnerlo prima che completasse per mie ragioni) mi ha trovato anche alcuni trojan (tra le altre cosuccie) e soprattutto
mi ha indicato una cartella CAIN in programmi (ho controllato dentro la cartella e c'era anche un file abel.exe). Ho già letto qualcosa in merito a questo programma un po' di tempo fa e se ricordo bene è un tool per il cracking/sniffing/spia in generale delle reti. Ma è possibile che un worm scarichi e installi questo programma?
O è capitato lì in altro modo?
Ho cancellato tutto per sicurezza.
Intanto però sono riuscito a installare l'antivirus e a fare una scansione e risulta tutto ok per fortuna.

Un'altra cosa se permetti.
Mi hai indicato delle righe da copiare in un file di testo da passare a combofix.
Volevo sapere, per curiosità, come hai fatto (quali indicazioni ti sono state di aiuto nei log postati insomma) a capire che erano le righe giuste.
Dove o cosa bisogna leggere di quei file di log (a parte l'esperienza ovviamente) per essere ragionevolmente sicuri delle procedure da avviare:

tipo:

Driver:: (??? perchè driver?)
xaichtner

Netsvc::
xaichtner


grazie ancora

Perdonami ma è un pò lungo da spiegare.

Perdonami ma è un pò lungo da spiegare.

Ok Non preoccuparti. Quindi significa che per individuare le azioni da intraprendere bisogna avere delle precise competenze per evitare di fare danni.

E sullla cartella CAIN segnalatami da emisoft anti-malware non mi puoi accennare nulla?

Grazie

Ok Non preoccuparti. Quindi significa che per individuare le azioni da intraprendere bisogna avere delle precise competenze per evitare di fare danni.

E sullla cartella CAIN segnalatami da emisoft anti-malware non mi puoi accennare nulla?

Grazie

Mi riallaccio al discorso di prima, senza vedere il log tirò ad indovinare. Tirare ad indovinare = danno :)

Mi riallaccio al discorso di prima, senza vedere il log tirò ad indovinare. Tirare ad indovinare = danno :)

Puoi anche provare ad indovinare tanto non ci rimetto più mano al netbook per il momento.
Dopo che ho installato l'antivirus e fatto la scansione mi va bene così.

Ho fatto anche la scansione intelligente con emisoft e non risulta più niente.
Quella completa è troppoooooooooooo lunga...lascio perdere (anche perchè adesso non ne ho la disponibilità; è di un mio amico il quale mi ha chiesto aiuto)

Ciao

Buongiorno (e complimenti!) questi i risultati dei due test:
Possibly Infected by Conficker A/B variant
System is possibly infected with Conficker.B

ecco i tre log:

http://wikisend.com/download/298094/Win32.Worm.Downladup.Gen.log

http://wikisend.com/download/411734/ComboFix.txt

http://wikisend.com/download/359044/GMER.txt

Grazie!

Buongiorno (e complimenti!) questi i risultati dei due test:
Possibly Infected by Conficker A/B variant
System is possibly infected with Conficker.B

ecco i tre log:

http://wikisend.com/download/298094/Win32.Worm.Downladup.Gen.log

http://wikisend.com/download/411734/ComboFix.txt

http://wikisend.com/download/359044/GMER.txt

Grazie!

Apri il Blocco note e copia ed incolla questa righe:


Driver::
hvxmtys
tlcmwtfeq

Netsvc::
hvxmtys
tlcmwtfeq

File::
C:\WINDOWS\system32\jiwqm.dll
C:\WINDOWS\system32\rnoqch.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hvxmtys]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tlcmwtfeq]
[-HKLM\SYSTEM\CurrentControlSet\Services\hvxmtys]
[-HKLM\SYSTEM\ControlSet003\Services\hvxmtys]
[-HKLM\SYSTEM\ControlSet003\Services\tlcmwtfeq]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt + log della scansione di controllo con Emsisoft Anti-Malware 5.0

ecco qua i compiti svolti:

http://wikisend.com/download/175314/ComboFix.txt

http://wikisend.com/download/284920/a2scan_110603-121614.txt

adesso dici che è tutto ok?

ps. mai ho trovato un sito ed un forum così utile sul web! Complimenti davvero! Vi dovreste quotare in borsa...ma no a milano direttamente al Nasdaq!;)

ecco qua i compiti svolti:

http://wikisend.com/download/175314/ComboFix.txt

http://wikisend.com/download/284920/a2scan_110603-121614.txt

adesso dici che è tutto ok?

ps. mai ho trovato un sito ed un forum così utile sul web! Complimenti davvero! Vi dovreste quotare in borsa...ma no a milano direttamente al Nasdaq!;)

Sei ok :)

salve ragazzi,complimenti per il forum! non riesco a sbarazzarmi di questo maledetto
ecco i risultati dei due test:
1) Possibly Infected by Conficker A/B variant
2) System is possibly infected with Conficker.B
clean Status: There are no signs for an infection.

ecco i miei files log :
combofix : http://wikisend.com/download/964604/ComboFix.txt
gmer : http://www.mediafire.com/?1h8jkg2bfq5cyy5
bdtools: http://www.mediafire.com/?wz3mzqgwdabd1qm

perfavore aiutatemi,non riesco a venirne a capo

Ciao e complimenti per il forum.

Purtroppo alcuni mesi fa nel nostro laboratorio abbiamo subito un'infenzione da un virus che ora so essere il conficker/kido/ecc.
Credevo di averlo debellato, invece da qualche giorno è ricomparso sulle macchine windows 2000 (quelle con windows XP risultano negative a tutti i test): una workstation e un server di stampa, che sono offline, e un vecchio catorcio che usiamo per connetterci a Internet.

Sto cercando di disinfestare almeno il computer online. Ho seguito la procedura a pagina 1 tranne un importante particolare: poiché BDtools non mi gira su win2000, ho dovuto instalare la versione per networks su di un XP e fare la scansione in LAN. Dopo il punto 2 ho staccato il cavo di rete come richiesto.

Questi sono i log:
BDtools (http://www.mediafire.com/file/ilxooaatmctxur4/Win32.Worm.Downladup.Gen.log)
ComboFix (http://www.mediafire.com/file/3o9nqbvg72n73ft/ComboFix.txt)
Gmer (http://www.mediafire.com/file/f32fr55zngxx636/gmer%2002.log)

Spero di non aver fatto troppi casini.

Ciao e complimenti per il forum.

Purtroppo alcuni mesi fa nel nostro laboratorio abbiamo subito un'infenzione da un virus che ora so essere il conficker/kido/ecc.
Credevo di averlo debellato, invece da qualche giorno è ricomparso sulle macchine windows 2000 (quelle con windows XP risultano negative a tutti i test): una workstation e un server di stampa, che sono offline, e un vecchio catorcio che usiamo per connetterci a Internet.

Sto cercando di disinfestare almeno il computer online. Ho seguito la procedura a pagina 1 tranne un importante particolare: poiché BDtools non mi gira su win2000, ho dovuto instalare la versione per networks su di un XP e fare la scansione in LAN. Dopo il punto 2 ho staccato il cavo di rete come richiesto.

Questi sono i log:
BDtools (http://www.mediafire.com/file/ilxooaatmctxur4/Win32.Worm.Downladup.Gen.log)
ComboFix (http://www.mediafire.com/file/3o9nqbvg72n73ft/ComboFix.txt)
Gmer (http://www.mediafire.com/file/f32fr55zngxx636/gmer%2002.log)

Spero di non aver fatto troppi casini.

Ciao, Apri il Blocco note e copia ed incolla questa righe:

Driver::
zvxyg
ujozb
fkhbx
jexgg
mbdftu
cumijpa
ftiawv
swdemimxo

Netsvc::
zvxyg
ujozb
fkhbx
jexgg
mbdftu
cumijpa
ftiawv
swdemimxo

File::
c:\winnt\system32\dpncyd.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cumijpa]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fkhbx]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ftiawv]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jexgg]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mbdftu]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\swdemimxo]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ujozb]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zvxyg]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt + log della scansione di controllo con Emsisoft Anti-Malware 5.0

Ciao, scusami, ma nel pomeriggio di venerdì il catorcio ha iniziato a non funzionare più in maniera accettabile (per la cronaca: l'explorer non copiava più i files, neanche col copia-incolla, ho dovuto ricorrere alla riga di comando) così ne ho approfittato per smantellarlo e assemblarne uno un po' meno catorcio e, sopratutto, pulito.

Allora, ti posto i log per un altro computer infetto.

BDtools (http://www.mediafire.com/file/vuiljf5h0d38ilq/Daf_Win32.Worm.Downladup.Gen.log)
Combofix (http://www.mediafire.com/file/qy4c6g16g8lr65r/Daf_combofix%20log%2002.txt)
Gmer (http://www.mediafire.com/file/tsomc94ffqabqnm/Daf_Gmer%20002.log)

Vediamo se ho capito, il file CFScript.txt che dovrò trascinare sull'icona ComboFix sarà qualcosa come:

Driver::
zhfqv
wtiidhkm
gxagbgv
fikxjr
kibheobk
taicfm

Netsvc::
zhfqv
wtiidhkm
gxagbgv
fikxjr
kibheobk
taicfm

File::
c:\winnt\system32\ckmmpsr.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fikxjr]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gxagbgv]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kibheobk]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\taicfm]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wtiidhkm]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zhfqv]

Giusto?

P.S.
Emsisoft anti-malware non funziona sotto windows 2000.

Esatto, pertanto apri il Blocco note e copia ed incolla questa righe:

Driver::
zhfqv
wtiidhkm
gxagbgv
fikxjr
kibheobk
taicfm

Netsvc::
zhfqv
wtiidhkm
gxagbgv
fikxjr
kibheobk
taicfm

File::
c:\winnt\system32\ckmmpsr.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fikxjr]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gxagbgv]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kibheobk]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\taicfm]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wtiidhkm]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zhfqv]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

Allora, ecco il log.
ComboFix (http://www.mediafire.com/file/31xb5c8q2i48t3r/Daf_ComboFix%20log%2003.txt)

Per ora mi fermo qui. Magari la prossima settimana sarà fermo il terzo computer e potrò disinfestarlo.

Ciao e grazie mille.

Allora, ecco il log.
ComboFix (http://www.mediafire.com/file/31xb5c8q2i48t3r/Daf_ComboFix%20log%2003.txt)

Per ora mi fermo qui. Magari la prossima settimana sarà fermo il terzo computer e potrò disinfestarlo.

Ciao e grazie mille.

A posto, ciao.

Ciao, rieccomi.
Il terzo computer sembra essere meno conciato degli altri, con solo un servizio infetto.
BDtools (http://www.mediafire.com/file/f8tz2tvz7i417ix/amd2_Win32.Worm.Downladup.Gen.log)
ComboFix (http://www.mediafire.com/file/62by2un3m6gf7rs/amd2_ComboFix.txt)
Gmer (http://www.mediafire.com/file/z5949wv0p3gk9pd/amd2_gmer.log)

Ciao, rieccomi.
Il terzo computer sembra essere meno conciato degli altri, con solo un servizio infetto.
BDtools (http://www.mediafire.com/file/f8tz2tvz7i417ix/amd2_Win32.Worm.Downladup.Gen.log)
ComboFix (http://www.mediafire.com/file/62by2un3m6gf7rs/amd2_ComboFix.txt)
Gmer (http://www.mediafire.com/file/z5949wv0p3gk9pd/amd2_gmer.log)

Script

Driver::
wyifmdbvo

Netsvc::
wyifmdbvo

File::
c:\winnt\system32\mawjfm.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wyifmdbvo]
[-HKLM\SYSTEM\CurrentControlSet\Services\wyifmdbvo]
[-HKLM\SYSTEM\ControlSet002\Services\wyifmdbvo]

Ciao a tutti e complimenti per l'ottimo operato..Chiedo il vs aiuto poichè penso di essermi beccato questa bestiaccia in quanto non riesco ad andare ne' sui siti di antivirus, ne' sui siti di microsoft e un processo chiamato "koytqnvyxearxroa.exe" mi occupa la CPU al 100%..tra l'altro ora non riesco nemmeno ad installare i driver della scheda di rete la quale non mi permette l'accesso ad internet cosi non riesco ad effettuare i test. Ho provato di tutto dal KK di kaspersky lab al microsoft malware removal tool ma non sono riuscito a liberarmene. Così mi sono imbattuto in voi e ho eseguito la guida per la rimozione del Conficker o Kido. Vi invio i log dei vari tool sperando in una soluzione abbastanza indolore, confidando nelle vs conoscenze ed esperienze.

http://www.filedropper.com/win32wormdownladupgen

http://www.filedropper.com/combofix_4

http://www.filedropper.com/loggmer

Grazie a tutti

Ciao

Ciao a tutti e complimenti per l'ottimo operato..Chiedo il vs aiuto poichè penso di essermi beccato questa bestiaccia in quanto non riesco ad andare ne' sui siti di antivirus, ne' sui siti di microsoft e un processo chiamato "koytqnvyxearxroa.exe" mi occupa la CPU al 100%..tra l'altro ora non riesco nemmeno ad installare i driver della scheda di rete la quale non mi permette l'accesso ad internet cosi non riesco ad effettuare i test. Ho provato di tutto dal KK di kaspersky lab al microsoft malware removal tool ma non sono riuscito a liberarmene. Così mi sono imbattuto in voi e ho eseguito la guida per la rimozione del Conficker o Kido. Vi invio i log dei vari tool sperando in una soluzione abbastanza indolore, confidando nelle vs conoscenze ed esperienze.

http://www.filedropper.com/win32wormdownladupgen

http://www.filedropper.com/combofix_4

http://www.filedropper.com/loggmer

Grazie a tutti

Ciao

Ciao, scarica TDSSKiller http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

Ciao, allora ho eseguito il TDSSKiller aggiungendo oltre ai "service and drivers" e "boot sectors" anche "Verify file digital signatures" e "Detect TDLFS file system", non so se ho fatto bene.
Comunque ha trovato 21 infezioni.
Come noterai dal file di log ho lasciato selezionata l'opzione skip non sapendo se fosse stato giusto spostarli in quarantena o eliminarli.
Allego file di log:

http://www.filedropper.com/tdsskiller2744007072012135133log

Attendo tue notizie.
Grazie della disponibilità.
Ciao.

Ciao, allora ho eseguito il TDSSKiller aggiungendo oltre ai "service and drivers" e "boot sectors" anche "Verify file digital signatures" e "Detect TDLFS file system", non so se ho fatto bene.
Comunque ha trovato 21 infezioni.
Come noterai dal file di log ho lasciato selezionata l'opzione skip non sapendo se fosse stato giusto spostarli in quarantena o eliminarli.
Allego file di log:

http://www.filedropper.com/tdsskiller2744007072012135133log

Attendo tue notizie.
Grazie della disponibilità.
Ciao.

Ripeti scansione con Gmer ed allega il log.

Ciao ecco il log di Gmer: http://www.filedropper.com/loggmer2

Ciao ecco il log di Gmer: http://www.filedropper.com/loggmer2

Mah, qualcosa non torna:

scarica HitmanPro 3.6

http://www.surfright.nl/en/downloads/

non necessita installazione, al termine della scansione ed in caso di infezione provvederà alla rimozione gratuita.

Ho reinstallato la scheda di rete poichè HitmanPro 3.6 necessita di una connessione per effettuare una scansione. Una volta finita la scansione ho cancellato tutti i file infetti e riavviato il PC. Il PC però risulta ancora infetto.
C'è ancora qualche speranza?

Ho reinstallato la scheda di rete poichè HitmanPro 3.6 necessita di una connessione per effettuare una scansione. Una volta finita la scansione ho cancellato tutti i file infetti e riavviato il PC. Il PC però risulta ancora infetto.
C'è ancora qualche speranza?

Infetto da cosa?

Alla fine ho formattato e reinstallato tutto..ero arrivato ad un punto che non caricava nemmeno più windows.
Colgo l'occasione per ringraziarti della diponibilità.
Ciao.

salve a tutti..è un'anno o più che sono infetto da questo maledetto virus,ma solo ora grazie a Voi sono riuscito ad accorgermene!!..ora sto facendo i vari scan riportati in pagina 1...e sono arrivato al Gmer.
Stavo cercando i vari log da postare...e non riesco a trovare il primo C:\win32 ecc ecc...perchè??..io quel programma l'ho lanciato senza rete internet,è stato un'errore??..

Come posso rimuovere questo virus da un pendrive senza formattarlo?

Come posso rimuovere questo virus da un pendrive senza formattarlo?

Inserisce la chiavetta tenendo/mantendo premuto il tasto SHIFT e scansionala con DrWeb CureIt.

Grazie per la vostra preziosissima guida.
Ho anch'io il sospetto di avere sul pc un conficker, beccato in quei pochissimi giorni in cui, per mia negligenza, sono rimasta senza antivirus. Quando sono rientrata dopo le vacanze ed ho provato ad installare il nuovo antivirus Kaspersky già comprato, non mi faceva partire l'installazione e da lì mi sono insospettita. Mi sono poi accorta di non avere più accesso a siti di antivirus né a microsoft. Grazie al vostro forum ho scoperto dell'esistenza di questa tipologia di virus e mi sono adoperata subito per seguire la vostra guida.
I risultati dei test sono i seguenti:
test 1 - Possibly Infected by Conficker A/B variant
test 2 - Status: There are no signs for an infection.

Ho iniziato la procedura usando nella sequenza indicata BDTOOLS REMOVE Downadup e Combofix. Ho poi avviato Gmer ed è andato in crash. Schermata blu, ho riavviato il pc. Ho deciso di scrivervi e quando ho rifatto il primo test per comunicarvi il risultato esatto è risultato non infetto.
Possibile che sia stato sufficiente quanto fatto finora?

Come ulteriore prova mi sono collegata a siti di antivirus, che ora si aprono, ed ho lanciato l'installazione di Kaspersky, che ha funzionato correttamente. Ho appena lanciano una scansione completa per vedere cosa trova.

Altra cosa: quando mi sono accorta di avere il virus è anche perché la grafica di windows era cambiata, senza che io avessi variato le opzioni. E' possibile che anche questo dipenda dal virus di cui stiamo parlando? Al momento la grafica non è tornata come prima.

Avete qualche azione ulteriore da suggerirmi per essere sicura che il virus sia stato elminato?

P.s. qui il log Combofix http://wikisend.com/download/130260/ComboFix.txt

Ciao a tutti ragazzi, e grazie in anticipo a chiunque mi darà una mano

Ho fatto i 4 punti alla prima pagina, con l'unico problema che non trovo il log del BDTool. Ho fatto una normale ricerca (oltre naturalmente a guardare nella posizione indicata) ed ho letto attentamente anche la guida generale alla disinfezione ma niente. Intanto vi allego gli altri due log.

combofix (http://www.filedropper.com/combofix_2)

gmer (http://www.filedropper.com/gmer)

ragazzi io ho risolto con l'aiuto di una guida trovata sul sito microsoft... purtroppo ho il link su un altro pc, ma cmq vi consiglio di cercare lì per risolvere il vostro problema!!

Ciao a tutti