Ciao a tutti, I need help:)

L'avg 8.5 ha rilevato il trojan come da titolo nel file ntfs.sys che non può esseere eliminato pena l'impossibilità di avviare xp. Questo trojan ne ha attivati altri come trojan backdoor.generic11.AIVI in dllcache\beep.sys (sempre secondo avg).

Dunque ho fatto girare prima combofix e poi hijackthis di cui vi fornisco il log in allegato.

Per favore potete darmi una mano??:confused:

hijackthis.log (http://wikisend.com/download/543420/hijackthis.log)

ComboFix-quarantined-files.txt (http://wikisend.com/download/546204/ComboFix-quarantined-files.txt)

ComboFix.txt (http://wikisend.com/download/913308/ComboFix.txt)

Ciao allega anche il log di AVG in modo da avere una situazione più chiara di che cosa e dove lo rileva.

Certo! ecco l'elenco delle minacce:

C:\WINDOWS\system32\drivers\ntfs.sys with Trojan Horse Rootkit-Pakes.M
C:\WINDOWS\system32\braviax.exe with Trojan horse Injector.FH
C:\WINDOWS\system32\dllcache\figaro.sys with Trojan horse BackDoor.Generic11.AINT
C:\Documents and Settings\Proprietario\msword98.exe with Trojan Horse Crypt.GHK

as reported by AVG.

Certo! ecco l'elenco delle minacce:

Sbaglio o qualche file è già stato eliminato o messo in quarantena dallo stesso AVG

ecco l'elenco dei rilevamenti di avg (alcuni ripetitivi). Non si capisce benissimo ma sinceramente non so come ottenere un log da avg:confused:

y.txt (http://wikisend.com/download/544978/y.txt)

qui ti dice il nome dell'infezione, il file infettato e il processo (tipo netstat.exe, monlite.exe ecc.)

ecco l'elenco dei rilevamenti di avg (alcuni ripetitivi). Non si capisce benissimo ma sinceramente non so come ottenere un log da avg:confused:

y.txt (http://wikisend.com/download/544978/y.txt)

qui ti dice il nome dell'infezione, il file infettato e il processo (tipo netstat.exe, monlite.exe ecc.)

Ok, per precauzione dimmi se hai il disco di installazione di Win

sì xp home sp2. Ho già dovuto usarlo per ripristinare il file ntfs.sys quando l'ho cancellato con avg (inutilmente)

sì xp home sp2. Ho già dovuto usarlo per ripristinare il file ntfs.sys quando l'ho cancellato con avg (inutilmente)

Bene puoi quindi procedere con la Guida alla disinfezione http://www.hwupgrade.it/forum/showthread.php?t=1599737

Bene puoi quindi procedere con la Guida alla disinfezione http://www.hwupgrade.it/forum/showthread.php?t=1599737

Ah... ma dai log che ho già postato non si evince nulla che possa aiutare a risolvere il problema?

E' proprio necessario creare un account OpenDNS?

Ah... ma dai log che ho già postato non si evince nulla che possa aiutare a risolvere il problema?

I tool indicati nella Guida alla disinfezione sono dedicati alla risoluzione del problema, gli eventuali residui provvederemo a rimuoverli manualmente ed in caso di necessità.

ciao, io ho avuto lo stesso problema del rootkit in ntfs.sys unitamente a braviax.exe e msword98.exe...
eliminavo i file (a parte ntfs.sys) e poi ovviamente tornavano. Allora dopo aver scoperto che il porco risiedeva oltre che nei suddetti file anche in figaro.sys, in beep.sys, ho terminato dal task manager tutti i processi sospetti, ho eliminato braviax.exe, msword98.exe, figaro.sys e beep.sys (attenzione che quest'ultimo file risiede in \windows\system32\drives e in \windows\system32\dllcache e che una volta eliminato viene richiesto il disco di xp per ripristinarli).
poi con blocco note ho creato un file di testo e l'ho chiamato braviax.exe, gli ho dato attributo sola lettura e l'ho copiato nelle cartelle dove veniva creato il braviax.exe vero. Stessa cosa con figaro.sys e con msword98.exe. Fatto questo ho riavviato in modalità provvisoria e ho fatto uno scan con avg in prompt dos e mi ha trovato parecchi altri file infetti e li ha eliminati tutti tranne ovviamente ntfs.sys. quest'ultimo l'ho eliminato a mano appena finita la scansione e al suo posto ho messo un ntfs.sys preso da un sistema pulito. poi un bel regedit e ricerca ed eliminazione in tutto il registro di chiavi e valori "braviax.exe", "figaro.sys", ecc. ecc. ecc.
Ora sembra tutto ok!
Spero possa essere utile a qualcuno!

ciao, io ho avuto lo stesso problema del rootkit in ntfs.sys unitamente a braviax.exe e msword98.exe...
eliminavo i file (a parte ntfs.sys) e poi ovviamente tornavano. Allora dopo aver scoperto che il porco risiedeva oltre che nei suddetti file anche in figaro.sys, in beep.sys, ho terminato dal task manager tutti i processi sospetti, ho eliminato braviax.exe, msword98.exe, figaro.sys e beep.sys (attenzione che quest'ultimo file risiede in \windows\system32\drives e in \windows\system32\dllcache e che una volta eliminato viene richiesto il disco di xp per ripristinarli).
poi con blocco note ho creato un file di testo e l'ho chiamato braviax.exe, gli ho dato attributo sola lettura e l'ho copiato nelle cartelle dove veniva creato il braviax.exe vero. Stessa cosa con figaro.sys e con msword98.exe. Fatto questo ho riavviato in modalità provvisoria e ho fatto uno scan con avg in prompt dos e mi ha trovato parecchi altri file infetti e li ha eliminati tutti tranne ovviamente ntfs.sys. quest'ultimo l'ho eliminato a mano appena finita la scansione e al suo posto ho messo un ntfs.sys preso da un sistema pulito. poi un bel regedit e ricerca ed eliminazione in tutto il registro di chiavi e valori "braviax.exe", "figaro.sys", ecc. ecc. ecc.
Ora sembra tutto ok!
Spero possa essere utile a qualcuno!

ma non hai risolto il problema del perchè braviax.exe e msword98.exe venissero creati perchè se tu rimuovessi quei file di testo ricompariranno, cio significa che non hai risolto :)

Proverò ad eliminarli e poi vi saprò dire.
comunque il rootkit in ntfs.sys non è più ricomparso e credo fosse stata sua la causa della creazione di braviax.exe ecc. ecc.

Ho fatto! Ho eliminato anche quelli che ho creato io, ho riavviato, e del virus nessuna traccia...:D
Ho controllato anche le date dei file di sistema che il virus modificava/sostituiva e sono tutte corrette come gli originali di windows... sembrerebbe tutto ok... come strumenti ho usato AVG free per le scansioni e la pulizia da modalità provvisoria senza il virus in esecuzione, e spybot per controllare i task, i programmi in esecuzione automatica, i BHO, gli ActiveX ecc...

:winner: yuppii!

era ora che avg individuasse un virus di un anno e mezzo fa' :)

va bene se prendo il file ntfs.sys dal cd di installazione di xp?

va bene se prendo il file ntfs.sys dal cd di installazione di xp?

no

DUNQUE,

Ho seguito passo passo la guida alla disinfezione, fatta ECCEZIONE del punto 5, in quanto dr web cureit provocava il riavvio del pc non appena lo eseguivo.

Di seguito inserisco i logs:

Malwarebytes anti-malware:
mbam-log-2009-08-23 (13-10-32).txt (http://wikisend.com/download/458098/mbam-log-2009-08-23 (13-10-32).txt)

A-squared free:
a2scan_090823-133039.txt (http://wikisend.com/download/537862/a2scan_090823-133039.txt)

F-secure online:
report_fsols_4_0.html (http://wikisend.com/download/435694/report_fsols_4_0.html)

ESET sysinspector:
SysInspector-FULVIO-090823-1543.xml (http://wikisend.com/download/442520/SysInspector-FULVIO-090823-1543.xml)

Hijackthis:
hijackthis.log (http://wikisend.com/download/582840/hijackthis.log)

Gmer:
log gmer.log (http://wikisend.com/download/456366/log gmer.log)

Prevx:
log prevx.log (http://wikisend.com/download/595624/log prevx.log)

http://xs842.xs.to/xs842/09340/immagine872.jpg (http://xs.to)

Ciao ripeti scansione completa con F-secure online ed allega il log :)

Scanning Report
Sunday, August 23, 2009 15:01:27 - 15:15:52

Computer name: FULVIO
Scanning type: Quick scan
Target: System

Ok, mi chiedevo se dovessi seguire la procedura dell'amico lust, eliminerei le minacce?

Ok, mi chiedevo se dovessi seguire la procedura dell'amico lust, eliminerei le minacce?

Se F-Secure rileva eventuali malware, eliminali.

fatto quello che ti ha detto Chill-Out, fai:
fixa:
O4 - HKUS\S-1-5-18\..\Run: [braviax] (User 'SYSTEM')
O20 - AppInit_DLLs: cru629.dat


poi disinstalla avg e installa avira antivir persoanl, impostalo come descritto qui: http://www.hwupgrade.it/forum/showthread.php?t=1514684
e dopo averlo aggiornato fai una scansione completa del pc mettendo in quarantena tutto cio che trova :)

Ecco il log di f-secure dopo la scansione completa e relativa pulizia:

report_fsols_4_0.html (http://wikisend.com/download/461148/report_fsols_4_0.html)

In più ho fixato le 2 voci indicate con hijackthis

Ciao, disinstalla Combofix come indicato qui http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19 successivamento lo riscarichi http://download.bleepingcomputer.com/sUBs/ComboFix.exe e lo fai girare nuovamente, fatta questa operazione procedi così:

Scarica SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) sul Desktop
Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premere un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovreste visualizzare il messaggio "Finished"
Premere un tasto per terminare lo script e ricaricare le icone del desktop
Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt

Riepilogo log da allegare:
Combofix
SDFix
Nuovo log Prevx 3.0
Nuovo log HJT

log combofix:
ComboFix.txt (http://wikisend.com/download/874032/ComboFix.txt)

log SDFix:
Report.txt (http://wikisend.com/download/498874/Report.txt)

log prevx 3:
log prevx.log (http://wikisend.com/download/448700/log prevx.log)

log hijackthis:
hijackthis.log (http://wikisend.com/download/441528/hijackthis.log)

http://xs142.xs.to/xs142/09352/taglia222.jpg (http://xs.to)

Ora prevx non indica più ntfs.sys come infetto però, ecco che c'è ne sono altri

Per scrupolo, abilita la visualizzazione dei files nascosti

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

e controlla su http://virscan.org/ e http://www.virustotal.com/it/ i seguenti file:

c:\programmi\richcomm\powermanagerii\pmservice.exe

c:\documents and settings\proprietario\dati applicazioni\cososys\carryiteasy\carrylaunch.exe

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione

pmservice:
http://virscan.org/report/b0163fc4ea10c939cd425d6ed4c33ec9.html

http://www.virustotal.com/it/analisis/5e2dde5ccf0cec93ce6077c03d282eb4a853e0d1f8371b9a5bfce23a35b3b953-1251211889

carrylaunch.exe:
http://virscan.org/report/b70610bcf3629d4b203b09994151a1b9.html

http://www.virustotal.com/it/analisis/511f8fccb8c8e1546d6f8fa559f2e11cfd87e28cf5c89a569485c4c6530f8d35-1251212051

Questi file sembrano puliti, solo prevx li indica come sospetti. Il pmservice è il software di gestione gruppo di continuità, il carryiteasy è un software per gestire i dati sulle pen-drive. Che ne devo fare?

Per quanto riguarda hgstartjp25.exe e grwinsthip.exe invece

Infatti, come sopra indicato li abbiamo controllati per scrupolo, procedi così:

- Con il Browser chiuso esegui HJT clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sotto indicate voci e clicca su Fix checked

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} (F-Secure Online Scanner Launcher) - hxxp://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - hxxp://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8D9E639C-110C-4F85-9067-3B97C0BDE9C0} (HGPluginJP25 Class) - hxxp://down.hangame.co.jp/jp/dist/hgstart/HGPluginJP25.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - hxxp://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {DB7BF79A-FC51-4B5A-92BC-A65731174380} (InstantAction Game Launcher) - hxxp://www.instantaction.com/download/iaplayer.cab


- Apri il Blocco note e copia ed incolla questa righe:

File::
c:\windows\system32\grwinsthlp.exe
c:\windows\downloaded program files\hgstartjp25.exe


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

Rieilogo log da allegare:
Combofix
Nuovo log Prevx

log combofix:
ComboFix.txt (http://wikisend.com/download/592020/ComboFix.txt)

log prevx:
log prevx.log (http://wikisend.com/download/502478/log prevx.log)
http://img213.imageshack.us/img213/6587/taglia2.jpg

Ora sembra tutto a posto, a parte quegli avvisi di prevx che virus non sono.

Tutto ok indipendetemente da Prexv, adesso segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 che ti aiuterà ad aggiornare, proteggere...etc il PC.

grazie infinite per la vostra disponibilità gratuità verso chi chiede aiuto, cosa che per il supporto tecnico di qualsiasi software non esiste! ;)

Ora seguirò il trattamento post disinfezione.

grazie infinite per la vostra disponibilità gratuità verso chi chiede aiuto, cosa che per il supporto tecnico di qualsiasi software non esiste! ;)

Ora seguirò il trattamento post disinfezione.

Prego ;)