ciao a tutti,

sono abbastanza impanicato! :mc:

descrivo qui di seguito i sintomi:
ho win xp sp3
è saltato fuori il firewall di windows dicendomi che c'era Net-Worm.Win32.DipNet.d che cercava di accedere alla rete (l'ho bloccato)
contemporaneamente un programmino fasullo che si chiama "AntiMalware" cercava di installarsi sul mio pc (ovviamente ho evitato che si installasse)
allo stesso tempo l'antivirus Avira e SpyBot S&D non funzionavano
ho avviato HiJackThis e ho rimosso due elementi sospetti: uno era un misterioso aggiornamento "Google Update", l'altro un file che si chiamava richtxt64 (o qualcosa del genere)

dopo un po' di riavvii adesso non compaiono più gli avvisi di windows firewall e neanche le iconcine del programma fasullo, però non riesco più a lanciare
- Avira
- SpyBot S&D
- Malwarebytes Antimalware

Ho provato a disinstallarli e reinstallarli, ma niente! Clicco sopra gli eseguibili, ma non partono!

Allego il log di HJT anche se sembra che ora non vi siano particolari problemi...

Aggiungo un altro dettaglio che forse può aiutare: da quando è iniziato questo casino l'icona di HDD Thermometer nella tray è cambiata. Non ci sono più i valori di temperatura dei singoli HD, ma compare un unico termometro...

Avete qualche idea? :mbe:
Grazie in anticipo!
mas

ciao io credo dovrai seguire questa guida:

http://www.hwupgrade.it/forum/showthread.php?t=1933977

visto che non siamo certi si tratti del solo bagle, segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

ciao e grazie per le risposte.
ora, con calma, provo a fare l'ultima procedura segnalata.
dico "con calma" perché il pc dopo due minuti dall'avvio si pianta invariablmente (l'orologio si ferma...)
finora ho seguito l aprocedura x bagle e:
- malwarebytes antimalware non si avvia (manco disinstallandolo e reinstallandolo)
- elibagla non ha trovato virus
- combofix si pianta dopo un po' (ho aspettato 20 minuti... l'orologio nrella tray era fermo)

:confused: :mc: :muro: :cry:

ciao e grazie
mas

sembra che sia riuscito a debellare sto virus (rootkit?)
il pc non si impalla più e le icone nella tray sono tornate normali
come ho fatto?
ho installato prevx che mi ha rilevato 4 elementi nocivi (3 file + 1 voce di registro)
i 3 file li ho passati ad avenger e questo è il log

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRTkkdkfjwbmu.sys
Start Type: 1 (System)

Rootkit scan completed.

File "c:\windows\system32\drivers\h8srtkkdkfjwbmu.sys" deleted successfully.
File "c:\windows\system32\h8srthopbpxpqqd.dll" deleted successfully.
File "c:\windows\system32\h8srtruwntiloax.dll" deleted successfully.

Completed script processing.


Ora ho due domande:
1) quei tre file avevo provato a cercarli in esplora risorse, ma non li ho trovati (i file nascosti erano visibili)... come è possibile? :mbe:
2) ho lanciato due volte combofix e adesso mi trovo con due cartelle "strane" in c: ... posso eliminarle senza timore?

ciao e grazie ancora

a me non sembra per nulla un log di una scansione completa del pc di prevx..
se combofix le ha create è perchè ha cancellato qualcosa, se tu le cancelli non puoi più tornare indietro..

infatti quello è una parte del log di avenger

e il log di prevx dovè?

voilà


Prevx Scan Log - Version v3.0.5.28
Log Generated: 8/12/2009 00:31, Type: 0,1
Windows XP Professional Service Pack 3 (Build 2600) 32bit|1040
Hostname: zoe
Some non-malicious files are not included in this log.
Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Tue 2009-12-08 00:21:46 ora solare Europa occidentale. Number of Scans: 1. Last Scan Duration: 3 minutes 18 seconds.
[B] c:\windows\system32\drivers\h8srtkkdkfjwbmu.sys [PX5: F526E9070007FA5D9C0000D4AB77E30051406982] Malware Group: Medium Risk Malware
[B] c:\windows\system32\h8srthopbpxpqqd.dll [PX5: 089806E400EC610FA025008F0CA7EB00B4864ECC] Malware Group: High Risk Fraudulent Security Program
[B] c:\windows\system32\h8srtruwntiloax.dll [PX5: B7074BCB00C4BC375A0E00824DFEAD006B05453B] Malware Group: Medium Risk Malware
[B] c:\software\mirc632.exe [PX5: 135503977DC62AA49A561A46E6D56D000D2E7378] Malware Group: Medium Risk Malware


ho incollato solo la parte relativa ai file infetti.
tra l'altro mi segnala come infetto il programma di installazione di mirc che se ne sta lì buonino sul disco da oltre un anno...

se non vuoi collaborare è inutile che proseguiamo..

LOLWUT?
grazie per l'interessamento, ma forse non ci siamo capiti: ho eradicato il virus 2 gg fa!

LOLWUT?
grazie per l'interessamento, ma forse non ci siamo capiti: ho eradicato il virus 2 gg fa!

quindi ho fatto bene a non perdere il tempo dietro a te :rolleyes: