Seguo la procedura per INFETTI:

Windows Xp sp3

Problema: connessione con cellulare nokia pc suite non funziona più. scansione con AVG 8.5: nessun virus

procedo allora pensando ad un problema di qualche installazione recente al Ripristino confugurazione di sistema: niente. Ripeto più volte.

Scarico AVG 9, scansione: trovato virus JS/Downloader.Agent

Risorse di rete: crea nuova connessione non va, non si connette con nessun tipo di connessione.

parto con la procedura:

2. Malwarebytes rileva 7 minacce: 6 trojan.downloader, 1 hijack.system.hid...
Però i blocca e non riesco a salvare il log

3. A- squared, allego log

4. F-secure online: non posso connettermi, uso Kaspersky rem tool, allego log

5. Dr web cure it: all'avvio del programma il notebook si riavvia ed esegue scandisc, procedura ripetuta con stesso risultato

6. Sysinspector allego log

7. Hijackthis: allego log

8. Gmer: allego log, sulla schermata appare in rosso questo: SERVICE C:\windows\system32\svchost.exe(***hidden***) AUTO qzimzile

9. Prevx: non riesco a connettermi ad internet.

Se qualcun mi potesse aiutare... tenete presente che non sono molto esperto... :help:

Ciao

perchè hai aperto 2 discussioni?
molto probabilmente sei infetto da conficker, motivo per cui non riesci a connetterti ad alcuni siti ed è evidenziato dalla riga rossa di gmer
segui qui (http://www.hwupgrade.it/forum/showthread.php?t=1984665) la guida per la rimozione di Conficker/Downadup/Kido e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Su questo PC c'è di tutto, direi che è il caso di proseguire qui, allega i log secondo le seguenti modalità:


Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Ciao, scusa per le imprecisioni di prima, l'ho detto che non sono molto esperto...

Rimozione conficker:

BDtoolsremove ecco il log (http://www.mediafire.com/file/jzmnjmmknea/Win32.Worm.Downladup.Gen.log)

Per quanto riguarda Combofix non riesco a chiudere l'antivrus AVG in nessun modo

Gmer si avvia ma si chiude dando un errore

Nel post di prima forse non si è capito bene che per gli scanner online il problema non è che non mi apre il sito ma che tutto il notebook non si connette affatto ad internet.

Grazie
Ora che posso fare?:muro:

proviamo allora un'altra strategia, segui quanto riportato qui e fai una scansione con Avira rescue Disk:
http://www.hwupgrade.it/forum/showpost.php?p=22757132&postcount=13

OK

Allego i log nell'ordine, saltando quelli che non sono riuscito a produrre perché il programma si bloccava

A-squared (http://www.mediafire.com/file/vtlqgmnttlm/a2scan_091115-215640.txt)

Kaspersky

Sysinspector (http://www.mediafire.com/file/z2lwmvjjkjn/SysInspector-NOME-ARJH7HJY1U-091116-2058.xml)

Hijackthis (http://www.mediafire.com/file/zog2nh55wim/hijackthis.log)

Gmer (http://www.mediafire.com/file/jzmyqmjw2zz/gmer.log)

Grazie ciao

per disabilitare avg
http://www.avg-antivirus.it/support/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=295


viste le innumerevoli schifezze che ha fatto passare io lo toglierei anche optando per l'installazioine dell'ottimo antivir free, di cui guida in firma

una volta disabilitato/disinstallato riprova con combofix

Nel frattempo provo avira rescue disc e vi faccio sapere

prima fai anche una pulizia con atf-cleaner poi vai di avira rescue disk :)

Dunque: AVIRa rescue disk ha dato questo:

Records:1

Trojan TR/PWS.sinowal.gen

not removable

renamed

Per quanto riguarda AVG non riesco a disinstallarlo dà un errore di diagnostica e si blocca, lo fa anche ogni volta che avvio il computer...

Ora che si fa?

http://www.avg.com/it-it/download-tools

Che pasticcio, l'avevo detto che c'era di tutto, dimmi se hai scaricato Combo sul Desktop.

Sì ho scaricato combo sul desktop, ora provo con avg remover e di nuovo con combo.

Se no dovrò mettere mano al portafogli e pagare un tecnico perché sono lontano da casa, non ho cd appresso tranne i recovery ausus che non funzionano, né amici che mi possono dare il cd di xp, e ho solo una connessione con il cell nokia...
bal casino eh...
GRAZIE dell'aiuto

Dunque:

AVG se n'è andato con il removal tool

Però combo mi dà:

ERRORE DATA 2009-11-17
controlla le tue impostazioni

:cry:

hai la data di windows sballata?

Ok sono riuscito a far partire combo, aspetto...

Che io sappia la data è giusta, al limite come lo verifico?

Secondo me, no.

Ecco il log (http://www.mediafire.com/file/y5mmjzytmyy/ComboFix.txt) di combo

Apri il Blocco note e copia ed incolla questa righe:

Driver::
qzimzklle
rbtduxfig

Netsvc::
qzimzklle

File::
c:\windows\system32\yidlubfs.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qzimzklle]
[-HKLM\SYSTEM\CurrentControlSet\Services\qzimzklle]
[-HKLM\SYSTEM\ControlSet003\Services\qzimzklle]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

Fatto.

Ecco il log (http://www.mediafire.com/file/wummnyzdgew/ComboFix.txt)

Adesso segui passo passo questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1715546 ovviamente i log per il controllo li allegherai qui, attendiamo quelli inerenti la Prima Fase

Avvio Gmer scansione...

Ad un certo punto, schermata blu:

Si è verificato un problema e windows è stato arrestato per impedire danni al computer

Il problema potrebbe essere causato dal file: kwldyaog.sys

PAGE_FAULT_IN_NONPAGED_AREA

ecc...

Che devo fare, spegnere o scollegare il notebook?

Passa a Prevx, leggi attentamente la Guida in merito a questo passaggio.

PrevX ha fatto la scansione inidivduato 2 minacce, rootkit mbr (cleanable) e combofix sul desktop (need license) avviando il clean per rootkit mbr dopo essermi disconnesso da internet come indicato appare:

Schermata blu:
Win arrestato per impedire danni...
Un driver ha causato un sovraccarico in un buffer basato su stack...
ecc...

:confused:

PrevX ha fatto la scansione inidivduato 2 minacce, rootkit mbr (cleanable) e combofix sul desktop (need license) avviando il clean per rootkit mbr dopo essermi disconnesso da internet come indicato appare:

Schermata blu:
Win arrestato per impedire danni...
Un driver ha causato un sovraccarico in un buffer basato su stack...
ecc...

:confused:

segui la guida per disinfettare il pc dall'infezione nel MBR:
http://www.hwupgrade.it/forum/showthread.php?t=1715546

segui la guida per disinfettare il pc dall'infezione nel MBR:
http://www.hwupgrade.it/forum/showthread.php?t=1715546

avendo quasi ogni tipo di infezione lo stiamo curando solo in questo 3d

PrevX ha fatto la scansione inidivduato 2 minacce, rootkit mbr (cleanable) e combofix sul desktop (need license) avviando il clean per rootkit mbr dopo essermi disconnesso da internet come indicato appare:

Schermata blu:
Win arrestato per impedire danni...
Un driver ha causato un sovraccarico in un buffer basato su stack...
ecc...

:confused:

hai disattivato i software di sicurezza prima del clean?

Sì AVG è disinstallato

Prima non ho potuto salvare il primo log, Quando ho riavviato ha effettuato altra scansione, nessuna traccia ora di rootkit mbr, ne ho fatta un'altra,

allego il log http://wikisend.com/download/162994/prevx.log

avendo quasi ogni tipo di infezione lo stiamo curando solo in questo 3d

ok.. mazza ma è un pc affetto da hiv che non oppone nessuna resistenza alle varie contaminazioni? :eek:

Non so che gli è preso a sto notebook, avrò avuto un paio di virus in 4 anni, non scarico quasi niente, navigo sempre con connessione tramite cavetto e nokia, ho sempre avuto AVG (che ha fallito alla grande...), aiutatemi! eravamo al punto di prevX e log allegato http://wikisend.com/download/162994/prevx.log:help:

Sì AVG è disinstallato

Prima non ho potuto salvare il primo log, Quando ho riavviato ha effettuato altra scansione, nessuna traccia ora di rootkit mbr, ne ho fatta un'altra,

allego il log http://wikisend.com/download/162994/prevx.log
carica un nuovo log di hjt

ok.. mazza ma è un pc affetto da hiv che non oppone nessuna resistenza alle varie contaminazioni? :eek:
questo pc entra negli annali :)

[QUOTE=wjmat;29738210]carica un nuovo log di hjt

Ecco il nuov log di hijackthis: http://wikisend.com/download/631904/hijackthis.log

Portiamo a termine la Guida per la rimozione del MBR Rootkit, quindi passa alla Seconda Fase.

http://www.hwupgrade.it/forum/showthread.php?t=1715546

ok.. mazza ma è un pc affetto da hiv che non oppone nessuna resistenza alle varie contaminazioni? :eek:

Abbiamo rimosso Conficker , adesso stiamo rimuovendo Mebroot, dopo vediamo cosa salta fuori :D

interessante mi sa che lo seguirò avidamente sto thread :D

Eccomi qua con la seconda fase terminata:

Log mbr http://wikisend.com/download/861372/mbr.log

log nfix http://wikisend.com/download/440364/NFix_2009-11-18_18-01-58.log

Vado con la terza fase

Eccomi qua con la seconda fase terminata:

Log mbr http://wikisend.com/download/861372/mbr.log

log nfix http://wikisend.com/download/440364/NFix_2009-11-18_18-01-58.log

Vado con la terza fase

Ok, dovremmo aver risolto anche il problema del MBR Rootkit, a questo punto in considerazione del fatto che abbiamo ripristinato la connettività è opportuno seguire nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

NB: prima di iniziare la Guida è necessario installare un'AV visto che ne sei attualmente sprovvisto, suggersco Antivir >>> http://www.hwupgrade.it/forum/showthread.php?t=1514684 ovviamente dopo averlo installato, configurato ed aggiornato lancerai una scansione completa del sistema.

OK procedo di nuovo con la guida, nel frattempo installo avira antivir

GRAZIE!!!

Eccomi di nuovo, ed ecco i vari log

1. malwareb: http://wikisend.com/download/526996/mbam-log-2009-11-19 (11-02-42).txt

2. a-squared: http://wikisend.com/download/885418/a2scan_091119-110653.txt

3. kaspersky: http://wikisend.com/download/227086/kasp filtrato.txt

4. cureit: http://wikisend.com/download/593618/cureit filtrato.txt

5. sysinspector: http://wikisend.com/download/455438/SysInspector-NOME-ARJH7HJY1U-091119-1902.xml

6. hijackthis: http://wikisend.com/download/465250/hijackthis.log

7. gmer: http://wikisend.com/download/596366/gmer.log

8. prevx: http://wikisend.com/download/652420/prevx.log

tutto ok ora? speriamo... nel frattempo prima di passare alla procedura post infez volevo chiedere questo: ci sono una serie di cartelle HelpAssistant in documents and setttings che credo create dal virus, le posso eliminare tutte senza problemi?

E In base ai virus che ho trovato, oltre alle cartelle da cancellare indicate nel thread post infezione, potrei trovarne altre simili a helpassistant in base ai virus che erano nel pc e quali?

E... GRAZIE!!!!!

1 Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Viewpoint Toolbar BHO - {A7327C09-B521-4EDB-8509-7D2660C9EC98} - C:\Programmi\Viewpoint\Viewpoint Toolbar\3.9.0\ViewBarBHO.dll (file missing)
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

2 Fai le seguenti verifiche:

1 Start - Pannello di controllo - Account utente -> controlla se presente un'Account denominato HelpAssistant

2 Start - Pannello di controllo - Strumenti di amministrazione - Gestione computer - Utenti e gruppi locali -> controlla se presente un'Account denominato HelpAssistant

3 Ripeti scansione Veloce con A2=a-squared e passa in quarantena le seguenti chiavi:

Scansione avviata: 19/11/2009 11.06.53

Value: HKEY_USERS\.DEFAULT\Software\Viewpoint\Content Debugger --> Viewpoint Manager rilevati: Trace.Registry.Viewpoint Media Toolbar!A2
Value: HKEY_USERS\S-1-5-18\Software\Viewpoint\Content Debugger --> Viewpoint Manager rilevati: Trace.Registry.Viewpoint Media Toolbar!A2

Dunque:

1. HJT: fatto


2.

1. non presente account helpassistant

2. non ho trovato il percorso indicato (ho win XP home sp3)


3. a-squared

appaiono i messaggi ... non è stato eliminato! si prega di rimuovere la protezione di sola lettura

ecco il log: http://wikisend.com/download/597560/a2scan_091120-172139.txt

Elimina la cartella HelpAssistant, fai scansione completa con Avira aggiornato ed allega il log.

Successivamente puoi passare al Trattamento post infezione.

Fatta la scansione con avira ecco log: http://wikisend.com/download/551026/report.txt

Nel frattempo ho installato anche armor firewall, però è spuntato un nuovo problemino: l'icona avira non c'è più nella barra delle applicazioni, però l'antivir guard risulta attivo e gli avvisi di avvenuto o necessità di aggiornamento spuntano regolarmente dalla barra.

dalle vostre faq su avira ho scaricato una utility che però non ha risolto il problema, devo procedere con la disinstallazione e le altre utility, o magari è solo questione di impostazioni di amor (che uso per la prima volta)? O è AVG anche se disinstallato con il remover?

O forse è collegato a tutti i problemi che ho avuto (anche se lo stesso problema ce l'ho anche su un altro pc...) Posso continuare qui, o cambio sezione?

Intanto grazie di nuovo, non è semplice guidare uno inesperto alla soluzione dei problemi, complimenti.:)

Dal punto di vista delle infezioni siamo ok, per quanto concerne i problemi che lamenti chiedi nel 3D dedicato ad OA devi aver sbagliato qualcosa a livello di configurazione >> http://www.hwupgrade.it/forum/showthread.php?t=1798515