Provo a iniziare a postare...nella sezione adibita ai log di HJT mi hanno cosnigliato di fixare delle voci tuttavia il problema del b.exe è rimasto all'avvio...ora ho fatto la disinfezione fino all' 80% di doctorWeb CureIT poi si è bloccato tutto e ho dovuto ricominciare daccapo per ben 2 volte. Siccome il pc mi serve vediamo se con quello fatto fino ad ora si è pulito o devo avere pazienza con queste 6 ore e piu di DoctorWeb... Grazie a tutti

questo era il log HJT iniziale

Provo a iniziare a postare...nella sezione adibita ai log di HJT mi hanno cosnigliato di fixare delle voci tuttavia il problema del b.exe è rimasto all'avvio...ora ho fatto la disinfezione fino all' 80% di doctorWeb CureIT poi si è bloccato tutto e ho dovuto ricominciare daccapo per ben 2 volte. Siccome il pc mi serve vediamo se con quello fatto fino ad ora si è pulito o devo avere pazienza con queste 6 ore e piu di DoctorWeb... Grazie a tutti

questo era il log HJT iniziale

primo fix...

primo fix...

ATF fatto e poi ecco log di Malwarebytes...

ATF fatto e poi ecco log di Malwarebytes...

Non riesco a ridurre i file di Asquared e Fsecure...accidenti...cmq il log di HJThis è questo....se potete controllare per favore

non possiamo capire che hai fatto con le infezioni trovate da Malwarebytes' Anti-Malware
se li hai eliminati dopo aver salvato il log fai
Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)
e carica l'ultimo log in ordine di tempo altrimenti riesegui la scansione completa, elimina tutto e carica il nuovo log


i log caricali su un server remoto e inserisci in un unico post tutti i link

non possiamo capire che hai fatto con le infezioni trovate da Malwarebytes' Anti-Malware
se li hai eliminati dopo aver salvato il log fai
Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)
e carica l'ultimo log in ordine di tempo altrimenti riesegui la scansione completa, elimina tutto e carica il nuovo log


i log caricali su un server remoto e inserisci in un unico post tutti i link

scusami ma non è quello il LOG? l'ho salvato...non ho capito perchè non è buono...

ragazzi il problema è che col pc ci devo lavorare se per favore qualcuno può tranquillizzarmi e vedere se il nuovo HJT va bene lo ringrazio tanto...appena ho delle ore libere faccio tutte le altre scansioni...ma ci mettono ORE! :muro: :muro: :muro:

-> No action taken. significa che non hai eliminato le infezioni quindi nuova scansione e nuovo log

dov'è scritto che asquared e fsecure vadano ridotti?

fixa
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [PowerBar] "C:\Programmi\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - Startup: Yahoo! Widgets.lnk = C:\Programmi\Yahoo!\Widgets\YahooWidgets.exe



aspettiamo tutti gli altri log

-> No action taken. significa che non hai eliminato le infezioni quindi nuova scansione e nuovo log

dov'è scritto che asquared e fsecure vadano ridotti?

fixa
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [PowerBar] "C:\Programmi\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - Startup: Yahoo! Widgets.lnk = C:\Programmi\Yahoo!\Widgets\YahooWidgets.exe



aspettiamo tutti gli altri log

va bene la faccio partire adesso...speriamo nel frattempo mi faccia lavorare e non mi impalli tutto sennò tocca farla di notte o nella pausa pranzo....grazie della pazienza...cmq il b.exe non appare piu...ora riparto una cosa alla volta :)

ragazzi scusate ma li aveva già messi in quarantena eh...oltre 2 ore perse :muro:

allego il nuovo log con ZERO infezioni, passo al successivo software grazie ancora della pazienza ma non sono molto pratico col pc...perdonatemi...allego schermata della quarantena:

Edit

anche le immagini caricale sui server remoti, almeno non deformi il layout dello schermo, grazie

aspettiamo i restanti log

Allego tutti i log fatti fino ad ora con il file HJT Final...mancherebbero GMER e PREVX che per mancanza di tempo ancora non riesco...vediamo se devo usarli o è già pulito cosi ragazzi visto che non ho piu rilevamenti dall'antivirus...

P.S. ora all'avvio in pratica mi parte OnLIne Armor che mi chiede se continuare o meno con qualcosa...a me dissero che se stavo attento mi bastavano AVIRA e il FireWall di WindowS XP PRO, non so conviene che lo installi? Ho anche il router con FireWall in HW.. :rolleyes:

a2scan_090725-141323.txt (http://wikisend.com/download/444450/a2scan_090725-141323.txt)

DrWeb.csv (http://wikisend.com/download/480014/DrWeb.csv)

FsecureScan.txt (http://wikisend.com/download/579038/FsecureScan.txt)

hijackthis_FIRSTFIX.txt (http://wikisend.com/download/879926/hijackthis_FIRSTFIX.txt)

hijackthisFinal.txt (http://wikisend.com/download/445996/hijackthisFinal.txt)

mbam-log-2009-07-25 (13-26-02).txt (http://wikisend.com/download/436256/mbam-log-2009-07-25 (13-26-02).txt)

SysInspector-HOME-DN7OGO4HA1-090726-1149.xml (http://wikisend.com/download/461152/SysInspector-HOME-DN7OGO4HA1-090726-1149.xml)


Grazie ancora tanto per l'aiuto che mi date :help: :help:

Con il Browser chiuso esegui HJT, clicca su Do a system scan only e metti il segna di spunta nella casella bianca a sx delle sotto indicate voci e clicca su Fix checked

O9 - Extra button: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Programmi\PartyItalia\PartyPokerIt\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Programmi\PartyItalia\PartyPokerIt\RunApp.exe (file missing)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programmi\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing)

per completezza allega i log mancanti, ovvero Gmer e Prevx :)

Stesso identico problema!

Il 31/7 ho scaricato un torrent con questo maledetto file!
Norton non l'ha riconosciuto! Subito non gli ho dato peso, oggi peró ad un tratto sono comparsi dei suoni alquanto strani e voci da un film hard!!! Apro il mixer della scheda audio e vedo che il tutto proviene da quel maledetto b.exe!

Grazie a Dio ho risolto tutto con un antispyware! Ora non compare più niente! Ho solo un pensiero... Se ho sentito quei suoni è perché qualcuno si è collegato al mio pc? C'è pericolo di keylogger? Devo cambiare qualche pass?
Grazie ragazzi!

Stesso identico problema!

Il 31/7 ho scaricato un torrent con questo maledetto file!
Norton non l'ha riconosciuto! Subito non gli ho dato peso, oggi peró ad un tratto sono comparsi dei suoni alquanto strani e voci da un film hard!!! Apro il mixer della scheda audio e vedo che il tutto proviene da quel maledetto b.exe!

Grazie a Dio ho risolto tutto con un antispyware! Ora non compare più niente! Ho solo un pensiero... Se ho sentito quei suoni è perché qualcuno si è collegato al mio pc? C'è pericolo di keylogger? Devo cambiare qualche pass?
Grazie ragazzi!

Nessuno?:help:

il keylogger spedisce info all'esternoi del pc e precisamente cio che scrivi quindi non era quello di cui hai paura :)
troja è invece un programma che funge da Cavallo di Troia ossia mascherandosi da certo programma apre silentemente un varco al "suo padrone oscuro".
virus è invece un programma che ha capicità auto replicanti per garantirsi lunga prosperità e per infettare più pc possibili, attualmente i virus non sono più classificabili in maniera univoca perchè sono strumenti per far arricchire il loro creatore pertanto è un mix ben congegnato di più tecnologie tra le quali keylogger avanzato (focalizzato per password di accesso di windows e tutti gli spazi web, codici carte di credito, account email, account messenger,..), funzionalità per rendersi invisibile agli antivirus, funzionalità per compromettere gli antivirus ma senza far apparire errori a video, funzionalità per caricarsi assieme al kernel di windows, funzionalità per rendere il pc parte di una botnet (pc zombie) e comandarlo da remoto, funzionalità per debellare altre infezioni eventualmente in corso, funzionalità per dirottare la navigazione su pagine web della stessa community di ideatori di virus, ecc...

il keylogger spedisce info all'esternoi del pc e precisamente cio che scrivi quindi non era quello di cui hai paura :)
troja è invece un programma che funge da Cavallo di Troia ossia mascherandosi da certo programma apre silentemente un varco al "suo padrone oscuro".
virus è invece un programma che ha capicità auto replicanti per garantirsi lunga prosperità e per infettare più pc possibili, attualmente i virus non sono più classificabili in maniera univoca perchè sono strumenti per far arricchire il loro creatore pertanto è un mix ben congegnato di più tecnologie tra le quali keylogger avanzato (focalizzato per password di accesso di windows e tutti gli spazi web, codici carte di credito, account email, account messenger,..), funzionalità per rendersi invisibile agli antivirus, funzionalità per compromettere gli antivirus ma senza far apparire errori a video, funzionalità per caricarsi assieme al kernel di windows, funzionalità per rendere il pc parte di una botnet (pc zombie) e comandarlo da remoto, funzionalità per debellare altre infezioni eventualmente in corso, funzionalità per dirottare la navigazione su pagine web della stessa community di ideatori di virus, ecc...

Ti ringrazio per la risposta molto precisa...

Ti dico solo che anche se ho debellato il problema stavo ugualmente per formattare.

Ti posso chiedere un solo altro aiuto?
Il file l'ho scaricato il 31/7, solo stanotte però l'ho sentito attivato e l'ho quindi scoperto!
Sentivo il pc emettere suoni, sentivo parlare in inglese e addirttura sentivo parti di un film hard...

Questo significa che qualcuno si è connesso alla mia rete o al mio pc in particolare?
O Che quell'essere oscuro ha inviato quei suoni a tutti i pc infettati dal trojan? O cosa?

Ho cambiato cmq tutte le password di forum, siti, etc.
Posso star tranquillo?

Come si fa ad essere certi che non abbia scaricato, trafugato o inviato pass o altri dati personali?

Grazie infinite

Ti ringrazio per la risposta molto precisa...

Ti dico solo che anche se ho debellato il problema stavo ugualmente per formattare.

Ti posso chiedere un solo altro aiuto?
Il file l'ho scaricato il 31/7, solo stanotte però l'ho sentito attivato e l'ho quindi scoperto!
Sentivo il pc emettere suoni, sentivo parlare in inglese e addirttura sentivo parti di un film hard...

Questo significa che qualcuno si è connesso alla mia rete o al mio pc in particolare?
O Che quell'essere oscuro ha inviato quei suoni a tutti i pc infettati dal trojan? O cosa?

Ho cambiato cmq tutte le password di forum, siti, etc.
Posso star tranquillo?

Come si fa ad essere certi che non abbia scaricato, trafugato o inviato pass o altri dati personali?

Grazie infinite

io purtroppo non ti so' dare una spiegazione certa potrei solo fantasticare tra le possibili cause, ad ogni modo se tu lo possedessi ancora (esempio in uno zip) lo si potrebbe far scansionare su viruscan.org e virustotal.com e www.threatexpert.com per vedere cosa emerge :)

un firewall software difefrente da quello di windows ti avrebbe avvertito per che attività avrebbe voluto svolgere quel file e verso chi si sarebbe messo in contatto :)

io purtroppo non ti so' dare una spiegazione certa potrei solo fantasticare tra le possibili cause, ad ogni modo se tu lo possedessi ancora (esempio in uno zip) lo si potrebbe far scansionare su viruscan.org e virustotal.com e www.threatexpert.com per vedere cosa emerge :)

un firewall software difefrente da quello di windows ti avrebbe avvertito per che attività avrebbe voluto svolgere quel file e verso chi si sarebbe messo in contatto :)

Ho Norton Internet Security!

Mi ricordo che una volta aperto il file, l'ha riconosciuto e "apparentemente" eliminato.
Posso risalire all'orgine del trojan grazie a quell'avviso?

il NIS come bontà del firewall è molto mediocre però almeno dovresti poter visualizzare qualche regola creata dal firewall se è riuscito a contattare l'esterno..
ovviamente non avrai traccia di interazioni tra processi perchè appunto è di quelle cose in cui non eccelle ma almeno chi ha contattato forse sì

voci da un film hard!!!

che cavolo almeno fosse partito pure a me un bel pornazzo :muro: :muro: :muro:

Allora sono andato su cronologia di Norton. Il file originiario in questione è msa.exe. Pure io che cavolo l'ho aperto a fare... vabbè



Norton me lo dava come rimosso... così non era...

Avete informazioni su questo file...? Che tipo di infezione è?

Grazie a tutti!

Ragazzi un aggiornamento...



Nella cronologia di norton leggo questo:

http://img4.imageshack.us/img4/950/54317079.th.jpg (http://img4.imageshack.us/i/54317079.jpg/)
Ha aggiornato 2 file nel registro

Spero possiate aiutarmi a capire la natura di questo maledettissimo file! Si tratta di keylogger?

pericolo basso quindi semmai pubblicità non gradita o qualcosa di simile...
certo che comunque fare un pensierino a cambiare/migliorare protezione perchè come vedi attualmente con un click sbagliato e sei foregato ;)

pericolo basso quindi semmai pubblicità non gradita o qualcosa di simile...
certo che comunque fare un pensierino a cambiare/migliorare protezione perchè come vedi attualmente con un click sbagliato e sei foregato ;)

Grazie ancora per l'aiuto!

Di certo ho aggiunto un altro spyware in realtime e altri due passivi con scansioni settimanali!

Certo però che la cavolata l'ho fatta io anche se Norton... Vabbè

Posso star tranquillo o sto maledetto si è ramificato e continua a fare i propri comodi?

Quindi da quando vedo nessuno si è connesso alla mia rete ma è il file exe che si è connesso... o sbaglio?

Ho visto che in tutti erano 4 file: l'orginario msa.exe, a.exe, b.exe, c.exe.

Se ci sono altre esperienze/pareri in merito sono ben accette!

Grazie ancora!

Grazie ancora per l'aiuto!

Di certo ho aggiunto un altro spyware in realtime e altri due passivi con scansioni settimanali!

Certo però che la cavolata l'ho fatta io anche se Norton... Vabbè

Posso star tranquillo o sto maledetto si è ramificato e continua a fare i propri comodi?

Quindi da quando vedo nessuno si è connesso alla mia rete ma è il file exe che si è connesso... o sbaglio?

Ho visto che in tutti erano 4 file: l'orginario msa.exe, a.exe, b.exe, c.exe.

Se ci sono altre esperienze/pareri in merito sono ben accette!

Grazie ancora!

Ti suggerisco di seguire questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737