Salve a tutti, sono alle prese con questo virus che non è stato detectato dalla scansione di Avira che ho fatto ieri sera subito dopo essermi accorto di averlo preso.

OS: Win7 Ultimate

Ecco i sintomi:

- Ovviamente il pc a volte mi lavora quando pare a lui (clessidra che carica quando non dovrebbe)

- Cosa più strana e lampante.. Chrome non funziona più: si apre e basta. Inserendo indirizzi e cliccando invio rimane fermo fisso, inoltre non mi carica la tipica schermata per scegliere i preferiti. E' in continuo caricamento (clessidra sul mouse) . Il sintomo persiste anche dopo disin\installazione

Allego screenshot

http://img30.imageshack.us/img30/1882/senzatitolo1mt.th.jpg (http://img30.imageshack.us/i/senzatitolo1mt.jpg/)

-Edit: FORSE mi apre delle pagine web nel browser corrente: eccone una:
http://www2.shopodo.co.uk/websearch?qe=site:http://www.hwupgrade.it/forum

- Oggi mi si è disattivato il click destro sulla barra delle applicazioni

- Due processi runnanti in task manager (NB: NON SONO PRESENTI IN HJACKTHIS perchè li ho chiusi ^^) : glujoa.exe e gsd.exe (glujoa.exe avvistato solo ieri, gsd.exe persiste anche dopola chiusura)

- Formazione di varie voci strane in regedit che PERSISTONO dopo il cancellamento (si ricreano) :

rundll32.exe "C:\Users\Francesco\AppData\Local\svprCPak.dll",Startup
C:\Users\Francesco\AppData\Local\Temp\Gsd.exe


Cosa ho fatto: Scansione con Avira aggiornato a ieri sera alle 3 di notte ora italiana

Aiutatemi... non posso formattare ora! :(

Confido nel vostro aiuto!

Allego uno scan HjackThis:

Scarica QUI (http://www.hwupgrade.it/forum/attachment.php?attachmentid=75577&stc=1&d=1270118869)

Edit: Scan con F-Secure

Scarica (http://www.hwupgrade.it/forum/attachment.php?attachmentid=75579&stc=1&d=1270121904)

Grazie ancora in anticipo

Ciao

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log in un unico post e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) (esempio1 (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6) & esempio2 (http://www.hwupgrade.it/forum/showpost.php?p=30220144&postcount=48))
Qui (http://www.hwupgrade.it/forum/showpost.php?p=24315070&postcount=27) trovi ulteriori dettagli e consigli per una corretta esecuzione della procedura

link caricamento log generici ► wikisend (http://wikisend.com/) ■ fileqube (http://www.fileqube.com/)
link caricamento immagini ► imageshack (http://imageshack.us/) ■ fileqube (http://www.fileqube.com/)

wjmatt grazie mille sei sempre tempestivo, ho fatto la scansione con MWbytes ed è scomparso tutto, chrome però non funziona ancora a dovere.. tento l'ennesima reinstallazione

Niente! Il virus è debellato.. ma Chrome continua a non funzionare!! Any helps?

per dire debellato ci servono i log :)

Non dire gatto se non ce l'hai nel sacco! E va bene :) Ho fatto una scansione con dr web ma non ho salvato lo screen credendo di non averne bisogno, comunque mi ha curato due cose, una delle quali un processo vivente.

Ti allego la scansione di MWbytes comunque che è la più corposa e tettona

Scarica Edit

E' guarito dottore?

edit

i log non zippati e non postare link a rischio, quindi riedita cortesemente il post precedente

come già detto devi seguire in ordine la guida alla disinfezione

ok comincio da capo

AMO FIREFOX!!! MI E' CRASHATO MENTRE SCRIVEVO IL POST E ME L'HA RIPRISTINATO!!! GRANDE!!! torniamo a noi :P

Malwarebytes non mi trova nulla (è la seconda scansione, eccoti la prima precedente a tutto sto ciclo) :

http://wikisend.com/download/942020/mbam-log-2010-04-01 (12-56-57).txt

Asquared QUI (http://www.hwupgrade.it/forum/attachment.php?attachmentid=75587&stc=1&d=1270147505):

Fsecure:

http://wikisend.com/download/451144/fsonlinescanner_report.html

Drweb:

http://wikisend.com/download/908430/DrWeb.csv

Il tool della eset si blocca su detecting system.. ce l'ho lasciato mezz'ora

Hjhack:

http://wikisend.com/download/499386/hijackthis.log

Gmer

http://wikisend.com/download/494960/logGMer.log

Prevx

http://img31.imageshack.us/img31/9672/reprot.th.jpg (http://img31.imageshack.us/i/reprot.jpg/)


Non è piacevolissimo vedere che prevx continua a trovarmi quei poco di buono di files, no? LOL! comunque ecco le analisi dottò che ne pensa?

Ah, i redirect casuali ci sono, come quella pagina che ho postato prima, e le pagine cambiano sempre

- Dal log di MBAM si evince che hai fatto scansione rapida e non hai eliminato gli elementi infetti

Tipo di scansione: Scansione veloce
Elementi esaminati: 105763

Processi infetti in memoria: 0
Moduli di memoria infetti: 5
Chiavi di registro infette: 116
Valori di registro infetti: 13
Voci infette nei dati di registro: 8
Cartelle infette: 15
File infetti: 74

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
C:\Users\Francesco\AppData\Local\svprCPak.dll (Trojan.Hiloti) -> No action taken.
C:\Program Files\MyWebSearch\bar\firefox\NPMYWEBS.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\M3PLUGIN.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (Adware.MyWebSearch) -> No action taken.
C:\Program Files\MyWebSearch\bar\1.bin\F3HTMLMU.DLL (Adware.MyWebSearch) -> No action taken.

aggiorna MBAM, ripeti scansione completa ed elimina tutti gli elementi.

- Stesso discorso per quanto concerne a-squared, F-Secure e DrWeb CureIt

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

- Dal log di MBAM si evince che hai fatto scansione rapida e non hai eliminato gli elementi infetti



aggiorna MBAM, ripeti scansione completa ed elimina tutti gli elementi.

- Stesso discorso per quanto concerne a-squared, F-Secure e DrWeb CureIt

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).


Ok grazie. Rifarò scansioni complete. Riguardo i log ho usato wikisend che è elencato lì, poichè più di un file per messaggio non posso allegarlo

Ok grazie. Rifarò scansioni complete. Riguardo i log ho usato wikisend che è elencato lì, poichè più di un file per messaggio non posso allegarlo

Wikisend è OK, ma i log devono essere tutti in formati .txt