Ho fatto una scansione con avira e mi rileva questo trojan, purtroppo è impossibile eliminarlo sia con avira sia manualmente. Riavviando il pc avira mi dice che è impossibile eliminare questo trojan e quando provo a eliminarlo manualmente mi dice che non è inserita la periferica a esso colleggata ( ? ). Ho scansionato con prevx 3 e me lo rileva però possiedo solo la versione che analizza e non quella che elimina. Emsisoft anti- malware pare non rilevare nulla, hijackthis non rileva nulla e nemmeno spybot search and destroy. Non so cosa fare..

ho usato malwarebytes' anti malware, mi trova il file infetto e me lo elimina, mi dice di riavviare il pc per completare l'eliminazione ma appena il pc è riavviato il file infetto è ancora la. Ripetendo la scansione mi rileva di nuovo il file.

ho usato malwarebytes' anti malware, mi trova il file infetto e me lo elimina, mi dice di riavviare il pc per completare l'eliminazione ma appena il pc è riavviato il file infetto è ancora la. Ripetendo la scansione mi rileva di nuovo il file.

Allega il log di MBAM e Prevx, così diamo un nome ed un volto al file infetto

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt deve essere hostato su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

grazie per la risposta, allego solo il log di mbam perchè ho rimosso prevx dato che ho solo la versione analisi..
Se è necessario posso riscaricare prevx
http://www.filedropper.com/mbam-log-2010-10-0415-20-02

grazie per la risposta, allego solo il log di mbam perchè ho rimosso prevx dato che ho solo la versione analisi..
Se è necessario posso riscaricare prevx
http://www.filedropper.com/mbam-log-2010-10-0415-20-02

Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

eccolo http://www.filedropper.com/tdsskiller244004102010160418log

pensi possa essere quel trojan la causa della lentezza del pc?

eccolo http://www.filedropper.com/tdsskiller244004102010160418log

pensi possa essere quel trojan la causa della lentezza del pc?

Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita, successivamente aggiorna MBAM esegui scansione completa ed allega il log.

ho usato hitman pro e mi ha rivelato il file, ha riavviato il pc e ora windows mi dice "windows non è stato in grado di avviarsi" e sta facendo una scansione per riparare i problemi... E' normale?

edit: il pc non parte più anche dopo i tentativi di riparazione non funziona, ho provato a ripristinare un punto precedente di windows ma ritorna sempre alla riparazione. Merda.

ho usato hitman pro e mi ha rivelato il file, ha riavviato il pc e ora windows mi dice "windows non è stato in grado di avviarsi" e sta facendo una scansione per riparare i problemi... E' normale?

edit: il pc non parte più anche dopo i tentativi di riparazione non funziona, ho provato a ripristinare un punto precedente di windows ma ritorna sempre alla riparazione. Merda.

No non è normale, cosa ha eliminato Hitman?

No non è normale, cosa ha eliminato Hitman?

il file teipt.sys che era rilevato come trojan.

il file teipt.sys che era rilevato come trojan.

Sicuro? Solo teipt.sys ? Perchè non è normale il malfuzionamente riscontrato dopo la rimozione.

Sicuro? Solo teipt.sys ? Perchè non è normale il malfuzionamente riscontrato dopo la rimozione.

si solo quello.

si solo quello.

Quando il Ripristino all'avvio fallisce viene visualizzato un riepilogo del problema, quale?

Quando il Ripristino all'avvio fallisce viene visualizzato un riepilogo del problema, quale?

appena finisce te lo scrivo. Nel frattempo ho scansionato con mbam l'altro pc e mi ha rilevato un worm e un trojan, ma sono normali queste rilevazioni se ho online armor aggiornato, avira aggiornato e faccio periodiche scansioni con spybot e avira? Nessuno di questi mi ha mai segnalato virus ma solo qualche spyware stupido. Solo ora con mbam ho notato di avere ste infezioni sennò ne sarei rimasto all'oscuro.

appena finisce te lo scrivo. Nel frattempo ho scansionato con mbam l'altro pc e mi ha rilevato un worm e un trojan, ma sono normali queste rilevazioni se ho online armor aggiornato, avira aggiornato e faccio periodiche scansioni con spybot e avira? Nessuno di questi mi ha mai segnalato virus ma solo qualche spyware stupido. Solo ora con mbam ho notato di avere ste infezioni sennò ne sarei rimasto all'oscuro.

Un PC per volta altrimenti facciamo più macello di quanto ne abbiamo già fatto, si questi problemi sono normali se non si aggiorna il SO, tu sei fermo al SP1.

Se durante il Ripristino all'avvio ti viene proposto il Ripristino configurazione di sistema clicca su annulla.

Un PC per volta altrimenti facciamo più macello di quanto ne abbiamo già fatto, si questi problemi sono normali se non si aggiorna il SO, tu sei fermo al SP1.

Se durante il Ripristino all'avvio ti viene proposto il Ripristino configurazione di sistema clicca su annulla.

no quel pc in cui ho trovato un worm e un trojan ha xp con sp3... vabbè ne parliamo eventualmente dopo.

Ho ripristinato un punto più vecchio e il pc si è avviato. Penso si possa continuare.

no quel pc in cui ho trovato un worm e un trojan ha xp con sp3... vabbè ne parliamo eventualmente dopo.

Ho ripristinato un punto più vecchio e il pc si è avviato. Penso si possa continuare.

Come detto in precedenza aggiorna MBAM e fai scansione completa, successivamente vediamo come procedere.

ok faccio la scansione anche se non sono molto fiducioso perchè l'avevo già fatta all'inizio

ho fatto la scansione completa e mi ha trovato il solito file mi ha detto di averlo rimosso e ha riavviato, ma al riavvio il file è ancora li...

ho fatto la scansione completa e mi ha trovato il solito file mi ha detto di averlo rimosso e ha riavviato, ma al riavvio il file è ancora li...

Cortesemente mi alleghi il log.

Cortesemente mi alleghi il log.

si eccolo, come vedi identico a prima.
http://www.filedropper.com/mbam-log-2010-10-0419-42-54

Ho riprovato con hitman e mi rida di nuovo l'avvio corrotto, ma sono riuscito a trovare il log e ho trovato questa cosa interessante:
Boot cause found:
boot critical file C:\windows\system32\drivers\teipt.sys is corrupt.

E' proprio il file infettato dal trojan, appena lo elimino windows non parte più.

Fai girare Combofix esattamente come indicato in questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1984665

fatto, ti allego il log.
http://www.filedropper.com/log

fatto, ti allego il log.
http://www.filedropper.com/log

Allegami anche questo ComboFix-quarantined-files.txt che trovi in c:\Qoobox

il servizio incriminato è stato deregistrato ma per scrupolo , apri il Blocco note e copia/incolla queste righe

Driver:
teipt

File::
C:\windows\system32\drivers\teipt.sys


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

questo è il primo log
http://www.filedropper.com/combofix-quarantined-files

ora faccio la procedura che hai detto e allego qua l'altro log.

edit:
ho riavviato manualmente il pc. La prima volta si è riavviato da solo mentre sta volta no... comunque

http://www.filedropper.com/combofix_1

siamo a buon punto?

ho allegato entrambi i log.

questo è il primo log
http://www.filedropper.com/combofix-quarantined-files

ora faccio la procedura che hai detto e allego qua l'altro log.

edit:
ho riavviato manualmente il pc. La prima volta si è riavviato da solo mentre sta volta no... comunque

http://www.filedropper.com/combofix_1

siamo a buon punto?

ho allegato entrambi i log.

Scarica il file in allegato sul Desktop e trascinalo sull'icona di Combofix, al termine allega il log che trovi sempre in C:\ComboFix.txt

Scarica il file in allegato sul Desktop e trascinalo sull'icona di Combofix, al termine allega il log che trovi sempre in C:\ComboFix.txt

l'ho fatto.. è il secondo log nel mio post sopra

l'ho fatto.. è il secondo log nel mio post sopra

Rifallo, dal log si evince che non hai seguito le istruzioni, il nuovo log allegalo nel prossimo post altrimenti non si capisce + nulla.

ok fatto, ma l'avevo già fatto prima... c'è pure scritto opzioni usate cfscript.txt

http://www.filedropper.com/combofix_2

ok fatto, ma l'avevo già fatto prima... c'è pure scritto opzioni usate cfscript.txt

http://www.filedropper.com/combofix_2

Scansione completa con MBAM aggiornato, se il respondo è positivo, il prossimo passo è l'aggiornamento al SP2 :)

mbam rileva ancora il file, mi dice di averlo eliminato, ma al riavvio è ancora la.

http://www.filedropper.com/mbam-log-2010-10-0617-19-22

mbam rileva ancora il file, mi dice di averlo eliminato, ma al riavvio è ancora la.

http://www.filedropper.com/mbam-log-2010-10-0617-19-22

Chiedo scusa, ho sbagliato per ben due volte lo Script da inserire in Combo, in pratica ho dimenticato i :

Successivamente fai scansione completa con DrWeb CureIt in modalità Enhanced -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737 Punto 5

questo è il log di combofix
http://www.filedropper.com/log2

ho usato dr web cureit, mi ha rilevato il file e cancellato, ho riavviato e il file teipt pare non esserci più!

questo è il log di combofix
http://www.filedropper.com/log2

ho usato dr web cureit, mi ha rilevato il file e cancellato, ho riavviato e il file teipt pare non esserci più!

Il log di DrWeb mi sarebbe molto utile, grazie.

ecco il log di cureit mi rendo conto che è un pò incasinato perchè la prima volta la ricerca si è bloccata, mentre altre volte ho fatto partire la scansione ma poi l'ho bloccata.... potrei rifarlo ma c'è stato un bel pò per la scansione..
http://www.filedropper.com/cureit


questo è invece il log di mbam, scansione completa dopo l'eliminazione del trojan,ho pensato potesse servire:

http://www.filedropper.com/mbam-log-2010-10-0713-11-01

ecco il log di cureit mi rendo conto che è un pò incasinato perchè la prima volta la ricerca si è bloccata, mentre altre volte ho fatto partire la scansione ma poi l'ho bloccata.... potrei rifarlo ma c'è stato un bel pò per la scansione..
http://www.filedropper.com/cureit


questo è invece il log di mbam, scansione completa dopo l'eliminazione del trojan,ho pensato potesse servire:

http://www.filedropper.com/mbam-log-2010-10-0713-11-01


Perfetto, aggiorna il SO al SP2 e leggi questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Perfetto, aggiorna il SO al SP2 e leggi questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ok, i log sono a posto allora? Ora installo il sp2... Era l'unica cosa della guida che non avevo seguito..
Ma è normale tutto sto casino per eliminare quel trojan? Non mi era mai capitato...

...
Ma è normale tutto sto casino per eliminare quel trojan? Non mi era mai capitato...

ho letto solo frettolosamente il thread, quel tanto cmq che mi è sufficiente per abbozzare una risposta:
si, è normale visto il livello di profondità (e quindi danni) che vanno a fare certi malware..

Questo dimostra ancora una volta come prevenire (ove possibile..) sia di gran lunga più facile che non...curare

PS: la persona che ti ha seguito passo passo in quest'operazione, peraltro, è una delle più preparate della sezione per cui ritieniti grato dell'assistenza che ti ha generosamente fornito :)

PS: la persona che ti ha seguito passo passo in quest'operazione, peraltro, è una delle più preparate della sezione per cui ritieniti grato dell'assistenza che ti ha generosamente fornito :)

Leggo un tono polemico nel tuo post e non capisco il perché dato che nel mio post non volevo mettere in dubbio la competenza di Chill-Out. Semplicemente non mi era mai capitato di avere un trojan così tosto...

no, no...nessun tono polemico, forse mi sono espresso male io, scusami..

ritieniti grato è forse il binomio contestato:
volevo dire che non eri nelle mani dell'ultimo padrone ma "coccolato" da uno dei migliori spazzacamini :D della sezione...

Meglio di cosi'... :D

no, no...nessun tono polemico, forse mi sono espresso male io, scusami..

ritieniti grato è forse il binomio contestato:
volevo dire che non eri nelle mani dell'ultimo padrone ma "coccolato" da uno dei migliori spazzacamini :D della sezione...

Meglio di cosi'... :D

Ok mi fa piacere di esserci chiariti c'è stato un malinteso. Ovviamente apprezzo molto la generosità di Chill-Out. :)

Ok, i log sono a posto allora? Ora installo il sp2... Era l'unica cosa della guida che non avevo seguito..
Ma è normale tutto sto casino per eliminare quel trojan? Non mi era mai capitato...

Si è normale ed è andata anche bene considerando la bestiolina, il Trojan/Rootkit si installa come driver di sitema nascosto

drivers\[NOME CASUALE].sys nel nostro caso teipt.sys

sovrascrivendo il processo per eledure ed inibire la rimozione da parte dell'AV.

ritieniti grato è forse il binomio contestato:
volevo dire che non eri nelle mani dell'ultimo padrone ma "coccolato" da uno dei migliori spazzacamini :D della sezione...

Meglio di cosi'... :D

Troppo buono ;)

Si è normale ed è andata che bene considerando la bestiolina, il Trojan/Rootkit si installa come driver di sitema nascosto

drivers\[NOME CASUALE].sys nel nostro caso teipt.sys

sovrascrivendo il processo per eledure ed inibire la rimozione da parte dell'AV.



Troppo buono ;)

i log sono ok allora?posso procedere con il sp2?

i log sono ok allora?posso procedere con il sp2?

Si, dopo aver installato il SP2 controlla anche tutti gli aggiornamenti successivi.

Si, dopo aver installato il SP2 controlla anche tutti gli aggiornamenti successivi.

ok grazie solo 2 due domande veloci.
in un tuo post dicevi " il servizio incriminato è stato deregistrato ma per scrupolo , apri il Blocco note e copia/incolla queste righe" che intenti per deregistrato? Questo grazie a combofix?

Ultima cosa: ho letto di questo programmi di virtualizzazione, tipo sandboxie... Secondo te è opportuno metterli? Considera che il computer è di mia madre e chiaramente non è una molto pratica quindi vorrei evitare di complicarle la vita... Online armor + avira + mbam ( tutti aggiornati e ora metto il sp2 ) , possono bastare per la sicurezza?

ok grazie solo 2 due domande veloci.
in un tuo post dicevi " il servizio incriminato è stato deregistrato ma per scrupolo , apri il Blocco note e copia/incolla queste righe" che intenti per deregistrato? Questo grazie a combofix?

Ultima cosa: ho letto di questo programmi di virtualizzazione, tipo sandboxie... Secondo te è opportuno metterli? Considera che il computer è di mia madre e chiaramente non è una molto pratica quindi vorrei evitare di complicarle la vita... Online armor + avira + mbam ( tutti aggiornati e ora metto il sp2 ) , possono bastare per la sicurezza?

Deregistrato ma non cancellato, la cancellazione l'abbiamo fatta con lo Script "CFScript" necessaria per deletare il driver, altrimenti saremmo ancora qui a combattere.

NB: Combo è un ottimo tool ma è necessario usarlo sempre sotto la supervisione di un Helper

Per gli altri quesiti ti rimando alla lettura dei seguenti 3D:

http://www.hwupgrade.it/forum/showthread.php?t=2011681

http://www.hwupgrade.it/forum/showthread.php?t=1064733

come dice Nv25: "Questo dimostra ancora una volta come prevenire (ove possibile..) sia di gran lunga più facile che non...curare"

PS: Sandboxie è assolutamente consigliato.

Ne ero sicuro... Provo a installare il sp2 e mi dice parametro errato e non riesco a installarlo

Ne ero sicuro... Provo a installare il sp2 e mi dice parametro errato e non riesco a installarlo

Chiedi in Sezione dedicata http://www.hwupgrade.it/forum/forumdisplay.php?f=127 riportando per esteso l'errore.

fatto, grazie :)