Salve a tutti,
è tutto il giorno che cerco di combattere con un malware veramente ostico.
Ho cercato, letto e provato un pò di tutto, ma se sono qui, purtroppo senza è perchè non c'è stata grande riuscita.

Questo malware (in auge in questi giorni stando ad alcuni 3D che ho trovato in rete) continua a creare cartelle copia in Documents and Setting del mio utente,
di questo tipo
C:\Documents and Settings\HelpAssistant.UTENTE1
C:\Documents and Settings\HelpAssistant.UTENTE2
C:\Documents and Settings\HelpAssistant.UTENTE3

ecc ecc.

Ho fatto subito una scansione con Malware Bytes ma non rileva nulla.
Idem Avast 6 Pro.

Poi sono passato ad HijackThis ma non mi sembra di vederci niente di che:
----------------------------------------------------------------
http://wikisend.com/download/468210/hijackthis.log
----------------------------------------------------------

Infine ho passato il Combofix, ma mi ha generato un .txt molto generoso, e sinceramente non capisco in pieno se ha trovato stranezze oppure no.

http://wikisend.com/download/448712/ComboFix.txt

Non so più che pesci pescare.

Credevo fosse il mebroot.bz ma ho seguito qualche tutorial (e gli ho pure passato un paio di remover tool) ma senza sortire effetti.


Qualche consiglio??? Sono veramente affranto! :banned:

Grazie :)

ciao

per hjt esiste un 3d dedicato
il log non si incollano, riedita caricandolo su uno dei server remoti indicati nelle regole di sezione
+ allega anche il log di combo

Ciao,
scusate per l'inadempienze :)

Ho modificato il 3D con i link alle scansioni.

Spero in qualche guru :)

Grazie mille!

carica anche quello precedente

Ciao,
purtroppo non ho scansioni precedenti a queste :(

in effetti lascansione precedente era di marzo, avevo letto di fretta
segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio) (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.


Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria (http://www.hwupgrade.it/forum/showpost.php?p=25116981&postcount=41), se non bastasse effettua prima una scansione con il rescue cd di Kaspersky (http://www.hwupgrade.it/forum/showthread.php?t=1878747) o di Avira (http://www.hwupgrade.it/forum/showthread.php?t=1689812) per fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco (http://www.hwupgrade.it/forum/showpost.php?p=24113158&postcount=22) e della RAM (http://www.hwupgrade.it/forum/showpost.php?p=25062288&postcount=38)

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nel bigino in firma guarda alla voce Portabilità di ogni programma, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente aggiornato sul pc infetto

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...
link caricamento log generici ► fileqube.com (http://fileqube.com/) ■ wikisend.com (http://wikisend.com/)
link caricamento immagini ► fileqube.com (http://fileqube.com/) ■ picoodle.com (http://www.picoodle.com/) ■ imageshack.us (http://imageshack.us/)

Ok.

Intanto aggiorno: ho appena fatto una scansione con PrevX, ma a parte il Combofix (che avevo scaricato ieri sera e che lui reputa come malware) non mi trova nessuna infezione.

prevx è un ottimo tool ma non basta per ritenersi puliti

Ho fatto una scansione approfondita anche col mio antivirus AVAST PRO
ma senza risultati.

Ora però la cosa però si sta facendo molto più grave, infatti Thunderbird fa fatica ad aprirsi e la cartella del mio profilo sembra, di tutto punto, diventata tutta infetta!!!!

Scusa l'intromissione,ma l'utilizzo di un firewall non potrebbe aiutarti a scoprire quale processo crea quelle cartelle?
PS potresti provare anche con A-squared free, regrun e gmer(meglio se in mod.provvisoria)

Ho fatto una scansione approfondita anche col mio antivirus AVAST PRO
ma senza risultati.

Ora però la cosa però si sta facendo molto più grave, infatti Thunderbird fa fatica ad aprirsi e la cartella del mio profilo sembra, di tutto punto, diventata tutta infetta!!!!

Scusa l'intromissione,ma l'utilizzo di un firewall non potrebbe aiutarti a scoprire quale processo crea quelle cartelle?
PS potresti provare anche con A-squared free, regrun e gmer

Cosa fare è indicato qui

http://www.hwupgrade.it/forum/showpost.php?p=29445408&postcount=6

Sto seguendo passo passo la guida.

Ho appena finito lo scan con F-Secure OnLine e Gmer (ma questo non in modalità provvisoria, infatti ora lo faccio ripartire) ma senza che abbiano trovato nulla!

:(

Hai fatto una puizia del sistema ?per es con ccleaner?svuota la cartella C/doc. and settings/"nome tuo"/impostazioni locali/temp (che è una cartella nascosta e devi abilitarla tramite le "opzioni cartella")

Hai fatto una puizia del sistema ?per es con ccleaner?svuota la cartella C/doc. and settings/"nome tuo"/impostazioni locali/temp (che è una cartella nascosta e devi abilitarla tramite le "opzioni cartella")

Prova a leggere la Guida alla disinfezione

http://www.hwupgrade.it/forum/showpost.php?p=29445408&postcount=6

Grazie a mbr.exe credo di aver trovato qualcosa, finalmente!!!

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x86084b00
NDIS: TP-LINK 11b/g Wireless Adapter #3 -> SendCompleteHandler -> 0x860c1200
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x01D37F8B2
malicious code @ sector 0x01D37F8B5 !
PE file found in sector at 0x01D37F8CB !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Purtroppo se cerco di fixarlo mi dice
Use "Recovery Console" command "fixmbr" to clear infection !

Scusate l'ignoranza, come faccio il fixmbr ???

Grazie!

Ciao, segui qui (http://www.hwupgrade.it/forum/showthread.php?t=1715546) la guida per la rimozione di MBR rootkit e posta in quella discussione i log richiesti dalla fase1, in un unico post, secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Grazie innanzitutto per la pazienza :)

Ho fatto il fix dell'mbr dalla console di ripristino ma stando al tool mbr.exe purtroppo senza successo :(
http://wikisend.com/download/476842/mbr.log

Comunque mi sposto nella discussione segnalata.

Grazie ancora!

Non rimane altre che chiudere