ciao raga,
mi sono beccato una bella rogna...credo si chiami booyaka.exe, un trojan o roba smile...fattostà che mi sta creando casini.
in pratica all'avvio del pc avevo un processo chiamato booyaka.exe in avvio auromatico...poi subito mi partiva un qc in bkgrnd che mi fa apparire una finestrella tipo antivirus alert, che mi dice (in inglese, quindi nnè del s.o. che è ita) che una data applicazione è infetta e se voglio far partire le scansione. ogni volta che cerco di lanciare una app appare tale finestra, as es indicando taskmanager.exe, o notepad.exe...insomma un casino.
ho cercato un po' in rete e nn ho trov niente a riguardo, solo una pag che spiega di eliminare in mod prov tale booyaka.exe...beh, l'ho fatto, ma nn cambia molto.
il probl è che ora se lancio alcuni prog dopo un attimo si piantano e si chiudono da soli...

il pc è un laptop toshiba satellite a300, con vista home.

aiutatemi!

grazie e ciao,
ale

Segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

grazie!
solo una cosa non mi è chiara...perchè devo usare quei DNS?
servono ad impedire intrusioni durante le scansioni?

e poi eliminare i punti di ripristino...non mi potrebbero servire?

grazie e ciao,
ale

ciao, sto facendo tutte le scansioni, poi dove devo postare i logs? in qs discussione?

inoltre chiedo ai mod se possono modificare il titolo, inserendo [Vista], come da vostre istruzioni, scusate me ne sono dimenticato.

ciao e grazie,
ale

ciao, sto facendo tutte le scansioni, poi dove devo postare i logs? in qs discussione?


Ciao, devi seguire esattamente quanto qui indicato

http://www.hwupgrade.it/forum/showpost.php?p=32469938&postcount=2

ok, sono arrivato al p.to 4...appena finisco posto tutti i log, speriamo che con quelli mi possiate aiutare, xk i sintomi peggiorano...adesso mi sono accorto che il lettore dvd non va più.
inserisco un qualsiasi cd o dvd e il lettore comincia a girare, poi nella barra degli indirizzi di esplora risorse si vede che sta leggendo (in vista c'è la barra che si riempie di colore, man mano che fa la scansione del drive), però se poi clicco per aprire l'icona del dvd, si apre la finestrella che mi dice se voglio preparare alla scrittura il disco vuoto...in pratica non vede il contenuto...

può essere danneggiato fisicamente il lettore, oppure sarà solo colpa dell'infezione in corso?

grazie e ciao,
ale

ecco i vari logs, zippati in un unico file:

logs.zip (http://wikisend.com/download/477066/logs.zip)

attendo info, il lettore continua a non funzionare...

grazie e ciao,
ale

ecco i vari logs, zippati in un unico file:

logs.zip (http://wikisend.com/download/477066/logs.zip)

attendo info, il lettore continua a non funzionare...

grazie e ciao,
ale

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

scusa ma non è la stessa cosa uploadare i logs in un unico file?!?
mi sembra anche più comodo x chi deve scaricarseli...invece di cliccare un log alla volta, soprattutto trattandosi di file piccoli.

cmq guarda, fa niente...ho già perso un mare di tempo con le scansioni...se potete darmi una mano, ok, altrimenti lascio tutto com'è e mi prendo un pc nuovo!

ciao,
ale

scusa ma non è la stessa cosa uploadare i logs in un unico file?!?
mi sembra anche più comodo x chi deve scaricarseli...invece di cliccare un log alla volta, soprattutto trattandosi di file piccoli.

Come indicato nelle Regole di sezione preferiamo log in formato .txt, quindi non compressi per tutta una serie di motivazioni, ad esempio dalla postazione in cui scrivo al momento non ho la possibilita di decomprire nessun file.

Altrimenti non mi sarei premurato di indicarti

http://www.hwupgrade.it/forum/showpost.php?p=32469938&postcount=2


cmq guarda, fa niente...ho già perso un mare di tempo con le scansioni...se potete darmi una mano, ok, altrimenti lascio tutto com'è e mi prendo un pc nuovo!

ciao,
ale

Come preferisci, da parte nostra la disponibilità rimane invariata.

ecco qua:

Malwarebytes Anti-Malware log: 02 - mbam-log-2010-07-01 (07-37-37).txt (http://wikisend.com/download/578690/02 - mbam-log-2010-07-01 (07-37-37).txt)

A-Squared Free v4.x log: 03 - a2scan_100701-173523.txt (http://wikisend.com/download/486524/03 - a2scan_100701-173523.txt)

Kaspersky Virus Removal Tool screenshot: 04 - report kaspersky.jpg (http://wikisend.com/download/108426/04 - report kaspersky.jpg)

Dr.Web CureIT log: 05 - cureit filtrato.txt (http://wikisend.com/download/934068/05 - cureit filtrato.txt)

HiJackThis log: 07 - hijackthis.log (http://wikisend.com/download/102044/07 - hijackthis.log)

Gmer log: 08 - gmer.log (http://wikisend.com/download/520662/08 - gmer.log)

Prevx 3.0 log: 09 - report prevx.log (http://wikisend.com/download/439082/09 - report prevx.log)

Prevx 3.0 screenshot: 09 - report prevx.jpg (http://wikisend.com/download/488290/09 - report prevx.jpg)

credo cmq che il virus sia stato rimosso, non ho più avuto problemi di appz bloccate o messaggi strani. l'unica cosa è che ora il dvd non legge niente...sento che gira appena inserisco un cd/dvd, fa la scansione e vede qualsiasi cosa come disco vuoto.

ciao e grazie,
ale

Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx della sottoindicata voce e clicca su fix checked

O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

successivamente abilita la visualizzazione dei file nascosti da Pannello di controllo mettendo il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

utiyoda2.sys che trovi in c:\windows\system32\drivers\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione.

NB:
non vedo nessun Firewall installato
devi necessariamente aggiornare il SO SP2
devi necessariamente aggiornare IE alla versione 8

Per il lettore CD scarica ed esegui questo Fix http://support.microsoft.com/gp/cd_dvd_drive_problems in quanto il problema potrebbe essere legato al mancato aggiornamento di Vista o dall'installazione di un qualche gioco per PC, se non dovesse sortire gli effeti sperati è necessario chiedere in Sezione dedicata http://www.hwupgrade.it/forum/forumdisplay.php?f=121

Chill-Out grazie mille per l'assistenza!

rispondo con ordine:

utiyoda2.sys lo controllerò stasera, ora non ho il portatile con me.

Firewall: pensavo bastasse quello di vista.

aggiornamenti SO SP2: io faccio sempre tutti gli aggiornamenti automatici, quando vista me li consiglia...com'è possibile che non sia aggiornato?!?

IE8: uso FF, devo cmq aggiornare IE?

PS: nessun gioco installato. proverò con il fix di mamma MS.

grazie ancora, ti faccio sapere come va!
ciao,
ale

Chill-Out grazie mille per l'assistenza!

rispondo con ordine:

utiyoda2.sys lo controllerò stasera, ora non ho il portatile con me.

Ok

Firewall: pensavo bastasse quello di vista.

Purtroppo non è sufficiente, certo che se sei dietro router il problema è in parte mitigato.


aggiornamenti SO SP2: io faccio sempre tutti gli aggiornamenti automatici, quando vista me li consiglia...com'è possibile che non sia aggiornato?!?

Strano, qui trovi le info che ti necessitano http://www.hwupgrade.it/forum/showthread.php?t=1726383


IE8: uso FF, devo cmq aggiornare IE?

Si


PS: nessun gioco installato. proverò con il fix di mamma MS.

grazie ancora, ti faccio sapere come va!
ciao,
ale

Come detto in precedenza può dipendere anche dal mancato aggiornamento.

dunque eccomi qua. i links forniti alla fine della scansione online sono i seguenti:

http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

http://www.virustotal.com/it/analisis/7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237-1278196059

non h capito bene se ho fatto le cose correttamente...dai report mi sembra che abbia scansito altri files, mentre io ho caricato quello che mi hai detto tu. prova a vedere se i report ti dicono qualcosa...

aggiornato IE8.

ora sto scaricando il malloppo di 475 mb del sp2, però sono un po' scettico...in rete nn è che se ne parli proprio bene...è davvero indispensabile?
che migliorie apporta?

per la cronaca, il lettore dvd continua a non andare...

ciao,
ale

dunque eccomi qua. i links forniti alla fine della scansione online sono i seguenti:

http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

http://www.virustotal.com/it/analisis/7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237-1278196059

non h capito bene se ho fatto le cose correttamente...dai report mi sembra che abbia scansito altri files, mentre io ho caricato quello che mi hai detto tu. prova a vedere se i report ti dicono qualcosa...

Direi di no, ripeti il controllo il file è questo utiyoda2.sys che trovi in c:\windows\system32\drivers\


aggiornato IE8.


ora sto scaricando il malloppo di 475 mb del sp2, però sono un po' scettico...in rete nn è che se ne parli proprio bene...è davvero indispensabile?
che migliorie apporta?

Assolutamente indispensabile, sia dal punto di vista della sicurezza che della stabilità del sistema.


per la cronaca, il lettore dvd continua a non andare...

ciao,
ale

Non funziona neanche dopo aver fatto l'aggiornamento al SP2?

allora...se uploado il file su virusscan, mi appare la finestrella di upload, poi di scansione, poi appare la scritta:

The file are utiyoda2.sys uploaded by other users and scanned successfully at 2008/06/28 04:13:55, and 0 softwares update the database from last scan to now.

c'è il tasto scan result, se lo clicco si apre la pag:

http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

se invece lo carico su virus total, appare la scritta:

Il file è già stato analizzato:
MD5: 524d8d450622db4a7875b111c299a76b
First received: 2009.01.30 13:00:58 UTC
Data 2010.07.08 16:07:46 UTC [<1D]
Risultati 16/41
Permalink: analisis/7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237-1278605266

se clicco sul link o sul pulsante visualizza ultimo report, appare la pagina:

http://www.virustotal.com/it/analisis/7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237-1278605266

dove dice di aver analizzato il file utm3njcz.sys.

boh, nn ci capisco niente, ma cmq credo che ormai il virus sia debellato...nn ho avuto più probl di appz bloccate, nè messaggi di errore.

ah, per la cronaca, dopo l'up del sp2 funziona anche il dvd!
che dire...nn ho capito bene cosa sia successo, ma ora sembra risolto!
grazie ancora per la pazienza che hai avuto!

ciao,
ale

allora...se uploado il file su virusscan, mi appare la finestrella di upload, poi di scansione, poi appare la scritta:

The file are utiyoda2.sys uploaded by other users and scanned successfully at 2008/06/28 04:13:55, and 0 softwares update the database from last scan to now.

c'è il tasto scan result, se lo clicco si apre la pag:

http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

se invece lo carico su virus total, appare la scritta:

Il file è già stato analizzato:
MD5: 524d8d450622db4a7875b111c299a76b
First received: 2009.01.30 13:00:58 UTC
Data 2010.07.08 16:07:46 UTC [<1D]
Risultati 16/41
Permalink: analisis/7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237-1278605266

se clicco sul link o sul pulsante visualizza ultimo report, appare la pagina:

http://www.virustotal.com/it/analisis/7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237-1278605266

dove dice di aver analizzato il file utm3njcz.sys.

boh, nn ci capisco niente, ma cmq credo che ormai il virus sia debellato...nn ho avuto più probl di appz bloccate, nè messaggi di errore.

ah, per la cronaca, dopo l'up del sp2 funziona anche il dvd!
che dire...nn ho capito bene cosa sia successo, ma ora sembra risolto!
grazie ancora per la pazienza che hai avuto!

ciao,
ale

Bene abbiamo risolto anche il problema del DVD, il perchè del non funzionamento te l'ho spiegato nei post precedenti.

Per quanto concerne il file utiyoda2.sys che trovi in c:\windows\system32\drivers\

lo devi rianalizzare, quindi non considerare il messaggio di VT

Il file è già stato analizzato:
MD5: 524d8d450622db4a7875b111c299a76b
First received: 2009.01.30 13:00:58 UTC
Data 2010.07.08 16:07:46 UTC [<1D]
Risultati 16/41
Permalink: analisis/7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237-1278605266

e clicca su Rianalizza ora

fatto!

ecco il risultato: link (http://www.virustotal.com/it/analisis/7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237-1278617457)

sembra che sia leggermente infetto...che faccio?!?

:)

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
c:\windows\system32\drivers\utiyoda2.sys


clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

avenger.txt (http://wikisend.com/download/501718/avenger.txt)

che sia definitivamente debellato?!?

avenger.txt (http://wikisend.com/download/501718/avenger.txt)

che sia definitivamente debellato?!?

Direi di si, per scrupolo nuova scansione con Prevx.

ok, fatto, risulta pulito!

ora procedo con il post-infezione!

grazie e ciao,
ale

ok, fatto, risulta pulito!

ora procedo con il post-infezione!

grazie e ciao,
ale

Prego, buon proseguimento.