Salve a tutti, da qualche giorno ho problemi di virus, per iniziare riporto quanto scritto in un post scritto l'altroieri in una sezione errata:

Da un paio di giorni sto lottando con diversi virus,rilevati da Antivir:
TR/Rootkit.Gen
TR/Trash.Gen
TR/Dldr.FraudLo.sxm
che vanno ad infettare diversi file:
wisdstr.exe
braviax.exe
[]\install[1] (2,3 etc etc).exe


All'inizio avevo trovato guida su un altra pagina,ho fatto quindi scansioni con combofix, in seguito ccleaner, e poi malwarebytes, il tutto tenendo il pc offline dato che l'infezione si era diffusa e se entravo online dopo poco si riavviava il pc.
A seguito di un'ultima scansione con malwarebytes, in cui non ha trovato nulla, ho ricollegato il cavo di rete e dopo poco antrivir ha ripreso a segnalare la presenza di virus.

Quindi ho trovato la guida di questa sezione, e mi sono deciso a sguirla, per cui ho disattivato il ripristino e scansionato con prevx e gmer, al momento sono ancora online, e nonostante avira segnali i vius, il pc non si riavvia più da solo.
Ecco i log, spero possiate aiutarmi
prevxlog.log (http://wikisend.com/download/872582/prevxlog.log)
gmerlog.log (http://wikisend.com/download/557520/gmerlog.log)

Windows xp, sp2
Antivir
Google Chrome

Edit: allego anche clip di prex dopo la scansione:
http://i26.tinypic.com/2rh0od4.jpg


Dopodichè ho seguito sotto consiglio dell'utente chill-out, la guida alla disinfezione, ecco i riusltati:

Malwarebytes:
http://wikisend.com/download/468912/malware_LOG-2009-08-17 (22-41-59).txt

asquared:
http://wikisend.com/download/939294/a2scan_LOG090817-224859.txt

F-secure:
http://wikisend.com/download/564706/F_secure LOG.txt

Sysinspector:
http://wikisend.com/download/559828/SysInspector-BLINDZOO-A606FD-090818-1350.xml

Hijackthis:
http://wikisend.com/download/722630/hijackthis.log

Gmer
http://wikisend.com/download/500928/gmer.LOG

Prevx:
http://wikisend.com/download/443836/prevxLOG.log

clipboard prevx:
http://i27.tinypic.com/33dxkt3.jpg

Ora il computer non si riavvia più da solo anche rimanendo online, percho antivir(avira) continua a segnalare TR/Dldr.FraudLo.sxm e TR/rootkit.Gen

Qualche consiglio?

fai anche la scansione con dr.web cureit e poi vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce :)
dopo aver aggiornato windows a sp3 e InternetExplorer alla versione 8, installa la nuova java enviroment prendendola da qui: http://java.sun.com/javase/downloads/index.jsp

infine rifai quella di gmer, hijackthis e prevx :)

Oltre a quanto indicato sopra dal collega, fai girare questo tool

ComboFix - Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

fai anche la scansione con dr.web cureit e poi vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce :)
dopo aver aggiornato windows a sp3 e InternetExplorer alla versione 8, installa la nuova java enviroment prendendola da qui: http://java.sun.com/javase/downloads/index.jsp

infine rifai quella di gmer, hijackthis e prevx :)
Ho già fatto la scansione con dr.web cureit, ma mi son perso il log da qualche parte,comunque la rifarò.
Appena posso farò quanto mi consigli,grazie.

Oltre a quanto indicato sopra dal collega, fai girare questo tool

ComboFix - Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt
Combofix è stato uno dei primi tool che ho fatto girare, mi è sembrato davvero potente.Speriamo sia la mia salvezza:D:D

Allego scan di avira fatto oggi pomeriggio dopo aver aggiornato il software
http://wikisend.com/download/490270/AVSCAN-20090818-191250-6BA87471.LOG

Purtroppo dopo aver aggiornato il software, non riesco più ad aggiornare il database, dite sia il caso di disinstallare\reinstallare?
http://wikisend.com/download/619090/Upd-2009-08-19-02-09-43.log

Ho già fatto la scansione con dr.web cureit, ma mi son perso il log da qualche parte,comunque la rifarò.
Appena posso farò quanto mi consigli,grazie.


Combofix è stato uno dei primi tool che ho fatto girare, mi è sembrato davvero potente.Speriamo sia la mia salvezza:D:D

Allego scan di avira fatto oggi pomeriggio dopo aver aggiornato il software
http://wikisend.com/download/490270/AVSCAN-20090818-191250-6BA87471.LOG

Purtroppo dopo aver aggiornato il software, non riesco più ad aggiornare il database, dite sia il caso di disinstallare\reinstallare?
http://wikisend.com/download/619090/Upd-2009-08-19-02-09-43.log

Procedi così allega il precedente log di combo che trovi in C:\ComboFix.txt successivamente lo disinstalli seguendo queste istruzioni http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19 lo riscarichi e lo fai girare nuovamente.

spero di aver capito esattamente:
questo è il log che avevo nel c\:
http://wikisend.com/download/909728/ComboFix.txt

Ora aggiorno al sp3,riavvio, blocco i software di sicurezza, chiudo tutte le applicazioni e rilancio combofix (che già ho riscaricato)

in seguito posto il nuovo log.

spero di aver capito esattamente:
questo è il log che avevo nel c\:
http://wikisend.com/download/909728/ComboFix.txt

Ora aggiorno al sp3,riavvio, blocco i software di sicurezza, chiudo tutte le applicazioni e rilancio combofix (che già ho riscaricato)

in seguito posto il nuovo log.

Attendo :)

fai anche la scansione con dr.web cureit e poi vai al seguente link http://secunia.com/vulnerability_scanning/online/ [/url]

Questo è un link d'oro, grazie mille, non pensavo di essere cosi' "out of date"

Aggiornato a sp3, ie8, flash,java alle ultime versioni

Procedi così allega il precedente log di combo che trovi in C:\ComboFix.txt successivamente lo disinstalli seguendo queste istruzioni http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19 lo riscarichi e lo fai girare nuovamente.

Ho avuto un problema, infatto nonostante avessi chiuso il guard di avira, combofix mi segnalava che "avira desktop" e "avira desktop" (si, 2 copie uguali)era in funzione.
Quindi ho preso e ho bloccato combofix, disinstallato avira e riavviato il pc.
Fatto partire combofix, che comunque mi segnalava che 1 avira desktop era in funzione, gli ho detto di proseguire comunque ed ecco i risultati.

http://wikisend.com/download/505036/ComboFix.txt

Ora ho reinstallato avira che comunque non riesce ad aggiornare il database, probabilmente qualcosa non è andato a buon fine quando ho aggiornato il software, ho provato a dare un occhio con Ccleaner ma non c'è traccia di vecchi avira, e nemmeno in c\:programmi.

La buona notizia: ho impiegato 5 minuti a scrivere questo post, rimanendo online, per il momento nessun popup di avira a segnalare virus.

Ora faccio andare gmer, poi hijackthis e prevx e magari anche una scansione completa con avira, poi vi posto i link.
Nel frattempo grazie per i consigli:)

Questo è un link d'oro, grazie mille, non pensavo di essere cosi' "out of date"

Aggiornato a sp3, ie8, flash,java alle ultime versioni



Ho avuto un problema, infatto nonostante avessi chiuso il guard di avira, combofix mi segnalava che "avira desktop" e "avira desktop" (si, 2 copie uguali)era in funzione.
Quindi ho preso e ho bloccato combofix, disinstallato avira e riavviato il pc.
Fatto partire combofix, che comunque mi segnalava che 1 avira desktop era in funzione, gli ho detto di proseguire comunque ed ecco i risultati.

http://wikisend.com/download/505036/ComboFix.txt

Ora ho reinstallato avira che comunque non riesce ad aggiornare il database, probabilmente qualcosa non è andato a buon fine quando ho aggiornato il software, ho provato a dare un occhio con Ccleaner ma non c'è traccia di vecchi avira, e nemmeno in c\:programmi.

La buona notizia: ho impiegato 5 minuti a scrivere questo post, rimanendo online, per il momento nessun popup di avira a segnalare virus.

Ora faccio andare gmer, poi hijackthis e prevx e magari anche una scansione completa con avira, poi vi posto i link.
Nel frattempo grazie per i consigli:)

Combo ha lavorato come doveva, attendiamo i log di Gmer - HJT - Prevx

PS: non ha senso fare una scansione con Avira non aggiornato

PS: non ha senso fare una scansione con Avira non aggiornato
In effetti... dovrò vedere di risolvere anche il problema di avira, se finirà l'incubo di questi virus...

Hjt
http://wikisend.com/download/954990/hijackthis.NUOVOlog.txt

Prevx
http://wikisend.com/download/501324/prevx_NUOVO.log
http://i28.tinypic.com/v3hlzp.jpg

Gmer
http://wikisend.com/download/605806/gmerNUOVO.log

EDIT: ho fatto comunque la scansione con avira....
http://wikisend.com/download/490508/AVSCAN-nuovo.LOG

per prevx:
[BP] c:\mbr.exe [PX5: 97B3B01300DBF77D18A5015A07DE7800CCA0FABD] Malware Group: Medium Risk Malware
[B] c:\windows\cep12dun.exe [PX5: 83B8DD3E2A2024DB94C9017B4488C900A0C3D768] Malware Group: Medium Risk Malware


ridisabilita il ripristino di sistema:

C:\System Volume Information\_restore{E46BB3E5-38EE-4139-AB64-6D8EDAA2AF61}\RP1\A0000038.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Hijacker.Gen
C:\System Volume Information\_restore{E46BB3E5-38EE-4139-AB64-6D8EDAA2AF61}\RP1\A0000055.pif
[RILEVAMENTO] Il file contiene un programma eseguibile. Tale condizione viene nascosta da un'estensione file innocua (HIDDENEXT/Crypted)
C:\System Volume Information\_restore{E46BB3E5-38EE-4139-AB64-6D8EDAA2AF61}\RP2\A0000234.dll
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Fake.XPAntiSp.2
C:\System Volume Information\_restore{E46BB3E5-38EE-4139-AB64-6D8EDAA2AF61}\RP2\A0000335.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Hijacker.Gen
C:\System Volume Information\_restore{E46BB3E5-38EE-4139-AB64-6D8EDAA2AF61}\RP2\A0000345.pif
[RILEVAMENTO] Il file contiene un programma eseguibile. Tale condizione viene nascosta da un'estensione file innocua (HIDDENEXT/Crypted)


i dns li avevi impostati nel router come da guida?

per corregegre l'mbr procedi come descritto qui:
http://www.hwupgrade.it/forum/showthread.php?t=1715546

potresti avere la nuova versione che è molto bastarda...

per prevx:
[BP] c:\mbr.exe [PX5: 97B3B01300DBF77D18A5015A07DE7800CCA0FABD] Malware Group: Medium Risk Malware
[B] c:\windows\cep12dun.exe [PX5: 83B8DD3E2A2024DB94C9017B4488C900A0C3D768] Malware Group: Medium Risk Malware


C:\System Volume Information\_restore{E46BB3E5-38EE-4139-AB64-6D8EDAA2AF61}\RP1\A0000038.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Hijacker.Gen
C:\System Volume Information\_restore{E46BB3E5-38EE-4139-AB64-6D8EDAA2AF61}\RP1\A0000055.pif
[RILEVAMENTO] Il file contiene un programma eseguibile. Tale condizione viene nascosta da un'estensione file innocua (HIDDENEXT/Crypted)
C:\System Volume Information\_restore{E46BB3E5-38EE-4139-AB64-6D8EDAA2AF61}\RP2\A0000234.dll
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Fake.XPAntiSp.2
C:\System Volume Information\_restore{E46BB3E5-38EE-4139-AB64-6D8EDAA2AF61}\RP2\A0000335.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Hijacker.Gen
C:\System Volume Information\_restore{E46BB3E5-38EE-4139-AB64-6D8EDAA2AF61}\RP2\A0000345.pif
[RILEVAMENTO] Il file contiene un programma eseguibile. Tale condizione viene nascosta da un'estensione file innocua (HIDDENEXT/Crypted)



i dns li avevi impostati nel router come da guida?
Scusa ma non capisco, dovrei usare in qualche modo queste righe di codice?


Il ripristino di sistema non l'avevo ancora riabilitato, probabilmente l'ha fatto qualcuno dei sw che ho usato?

per quanto riguarda i dns,pero di si...nella guida era segnato di impostare i dns primario e secondario, solo che nel menu del mio router (d-link 624) non c'erano quelle voci, e quindi ho modificato:

spuntato questa (prima era disattivata)---> Enable PPTP
Server IP/Name <---impostato come primario
Route Target <----lasciato inalterato
Route Mask <----impostato come secondario

per corregegre l'mbr procedi come descritto qui:
http://www.hwupgrade.it/forum/showthread.php?t=1715546

potresti avere la nuova versione che è molto bastarda...

E' stata la prima cosa che ho fatto!
http://www.hwupgrade.it/forum/showpost.php?p=28554489&postcount=1322

A quanto pare non è servita a molto:(
Vedrò di rifarla, ora devo andare al lavoro, grazie ancora del supporto.

Scusa ma non capisco, dovrei usare in qualche modo queste righe di codice?


Il ripristino di sistema non l'avevo ancora riabilitato, probabilmente l'ha fatto qualcuno dei sw che ho usato?

per quanto riguarda i dns,pero di si...nella guida era segnato di impostare i dns primario e secondario, solo che nel menu del mio router (d-link 624) non c'erano quelle voci, e quindi ho modificato:

spuntato questa (prima era disattivata)---> Enable PPTP
Server IP/Name <---impostato come primario
Route Target <----lasciato inalterato
Route Mask <----impostato come secondario
non sono righe di codice bensì path in cui è stato trovato un file infetto ma per il momento mi son serviti solo per tenere traccia senza riaprire i logs nelle prossimne ore e per formulare le domande che ti ho posto :)

lo riabilita combofix e quindi quando hai scansionato con avira questo ha trovato infezione nel ripristino di sistema :)

intendevo hai inserito nel router i dns di www.opendns.com ?

qualcosa che manca c'è perchè non mi spiego infezioni differenti nel giro di questi pochi giorni...

non sono righe di codice bensì path in cui è stato trovato un file infetto ma per il momento mi son serviti solo per tenere traccia senza riaprire i logs nelle prossimne ore e per formulare le domande che ti ho posto :)

lo riabilita combofix e quindi quando hai scansionato con avira questo ha trovato infezione nel ripristino di sistema :)

intendevo hai inserito nel router i dns di www.opendns.com ?

qualcosa che manca c'è perchè non mi spiego infezioni differenti nel giro di questi pochi giorni...
Bene, provvederò a ridisabilitare il ripristino, e me ne ricorderò se dovrò usare combo.

Intendevo proprio quei dns:
questa è la pagina del mio router
https://www.opendns.com/start/device/dlink-dl-624


questa è l'immagine che spiega dove cambiare i dns
http://www.opendns.com/img/start_dlink_DI-624_3.gif

ma io non ho quelle due voci, come ho scritto più su:(

Bene, provvederò a ridisabilitare il ripristino, e me ne ricorderò se dovrò usare combo.

Intendevo proprio quei dns:
questa è la pagina del mio router
https://www.opendns.com/start/device/dlink-dl-624


questa è l'immagine che spiega dove cambiare i dns
http://www.opendns.com/img/start_dlink_DI-624_3.gif

ma io non ho quelle due voci, come ho scritto più su:(

ok ora è chiaro prima non era esplicito.. è che ci sono molti che dicono "fatto fatto fatto" e poi non hanno fatto, quindi meglio chiedere 2 volte che nisba :asd:

dopo la modifica hai spento e riacceso il router?

per corregegre l'mbr procedi come descritto qui:
http://www.hwupgrade.it/forum/showthread.php?t=1715546

potresti avere la nuova versione che è molto bastarda...

In precedenza ha seguito la guida per la rimozione del MBR

@blindzoom

Apri il Blocco note e copia ed incolla questa righe:

Driver::
esihdrv
MEMSWEEP2

File::
c:\windows\system32\19.tmp
c:\docume~1\BLINDZ~1\IMPOST~1\Temp\esihdrv.sys
c:\windows\cep12dun.exe

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

ok ora è chiaro prima non era esplicito.. è che ci sono molti che dicono "fatto fatto fatto" e poi non hanno fatto, quindi meglio chiedere 2 volte che nisba :asd:

dopo la modifica hai spento e riacceso il router?

Beh il router si è riavviato da solo per rendere effettive le modifiche.

Poi l'ho fisicamente spento quando ho fatto partire combofix,e poi ho controllato e le impostazioni sono ancora salvate come le ho modificate io.

@blindzoom

Apri il Blocco note e copia ed incolla questa righe:



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt
Fatto
http://wikisend.com/download/478650/ComboFix.txt


Che sia il caso di riseguire la guida alla rimozione dell'mbr come consigliato da xcdegasp? alla fine avevo solo fatto andare gmer e prevx, ma non i tool di rimozione segnalati in seguito nella guida!

Fatto
http://wikisend.com/download/478650/ComboFix.txt


Che sia il caso di riseguire la guida alla rimozione dell'mbr come consigliato da xcdegasp? alla fine avevo solo fatto andare gmer e prevx, ma non i tool di rimozione segnalati in seguito nella guida!

io un apassata con qui tools gliela darei, male non fai di certo.. poi eventualmente nel caso peggiore non eliminano nulla :boh:

Seguito la guida,mebroot non ha trovato nulla, e a quanto pare nemmeno mbr.exe

http://wikisend.com/download/472828/mbr1.log
http://wikisend.com/download/443640/mbr2.log
http://wikisend.com/download/933112/mbr3.log

In seguito ho fatto una scansione con prev:
prevx after mbr.log (http://wikisend.com/download/435184/prevx after mbr.log)

http://i26.tinypic.com/257jdbn.jpg


EDIT:

Prevx rileva il software anti-mbr (mbr.exe) come un virus!
infatti una volta eliminate le 2 copie (una nel cestino ed una nella cartella dei dowload) ecco i risultati:
http://wikisend.com/download/928986/prevxOK.log

http://i27.tinypic.com/34driw0.jpg

RE-EDIT:report gmer
http://wikisend.com/download/472824/gmer_3.log

pulito :D

pulito :D

Perfetto, è stata dura ma alla fine si è risolto tutto.
Grazie a te e a chill-out,seppur virtuale come minimo vi devo una
http://weblogs.newsday.com/sports/watchdog/blog/beer.jpg
:D

Farò tesoro di quanto imparato in questi giorni:)

una birra è sempre gradita con queste temperature :D

Prego :)