comincio con la procedura "Guida alla disinfezione per Infetti"
aggiornerò questo thread dopo ogni passaggio



prima analisi preliminare
- ripristino configurazione di sistema: era già settata su disattiva


open dns: settati (però ho notato che con questi open dns non riesco più ad inviare gli sms gratis dalla mia mail alice quindi finita la disinfestazione dovrò tornare a quelli classici)


atf-cleaner: il link per scaricarlo presente nella guida non funziona più, l'ho preso altrove _ ESEGUITO (anche se non pulisce i file di opera, forse con la nuove versioni del browser è cambiato qualcosa)

malwarebytes: durante la scansione si attivano avvisi avira antivirus (screenshotavira01.JPG (http://wikisend.com/download/182316/avira01.JPG)) sono costretto a fare elimina altrimenti non prosegue la scansione di malwarebytes. trovati due elementi ed eliminati. LOG=mbam-log-2012-03-24 (12-16-12).txt (http://wikisend.com/download/278896/mbam-log-2012-03-24 (12-16-12).txt)

Emsisoft Anti-Malware 5.x : mi richiede il service pack 3 per funzionare
a-squared emergency USB: lo scarico ma quando lo avvio dice che è uscito emisoft anti-malware e obbliga a scaricare quello
a-squared Command Line Scanner: questo funziona, ecco il log a_squared_commandline.txt (http://wikisend.com/download/413146/a_squared_commandline.txt)

Kaspersky Virus Removal Tool: ecco il log filtrato kasp filtrato.txt (http://wikisend.com/download/290510/kasp filtrato.txt) (il link per scaricare parserlog non funziona, fortunatamente già lo avevo nel pc)

DoctorWebCureIt: log filtrato cureit filtrato.txt (http://wikisend.com/download/391054/cureit filtrato.txt)

Eset SysInspector: log SysInspector-COMPUTER-120327-1249.xml (http://wikisend.com/download/603902/SysInspector-COMPUTER-120327-1249.xml)

HiJackThis hijackthis.log (http://wikisend.com/download/158084/hijackthis.log)

Gmer: la scansione si blocca, non so bene cosa sia successo ma ho trovato il programma chiuso e la finestra di errore windows con errore nel registro di sistema

Prevx 3.0: cliccando su download fa scaricare prevxsafeonline, prevx 3.0 l'ho preso dal link della guida. Schermata= prevx3schermata.JPG (http://wikisend.com/download/185542/prevx3schermata.JPG) Log=prevx.txt (http://wikisend.com/download/494504/prevx.txt)

...continua...

per atf-cleaner va rinfrescata la pagina appena viene caricata, il problema è che assegna un token appena la visiti quindi incollando l'url diretto rimane in pancia il token non più valido..

l'antivirus va sempre impostato affinchè non interferisca con gli altri programmi di analisi, quindi devi far ignorare malwarebytes e tutti gli altri tool altriemnti lui intercetta i file prima degli altri programmi :)

prosegui pure con la guida

finito

per le prossime volte quando pubblichi i log fallo sempre in nuovi messaggi altriemnti diventa un casino :)
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKCU\..\Run: [{328B0CC2-F84C-169C-5687-206E6CD07441}] "C:\Documents and Settings\Utente principale\Dati applicazioni\Qaipoz\puupuk.exe"


fatto questo fai subito una nuova scansione con malwarebytes e poi una completa con avira.
comunque winxp con sp2 non è più considerato sicuro da almeno 2 anni quindi prima lo aggiorni a sp3 e meglio sarà per tutti.

hijack: ho fixato le due voci

malware log: mbam-log-2012-03-29 (12-42-04).txt (http://wikisend.com/download/388778/mbam-log-2012-03-29 (12-42-04).txt)

avira log: AVSCAN-20120331-092826-6C0606A1.LOG (http://wikisend.com/download/654822/AVSCAN-20120331-092826-6C0606A1.LOG)


il primo non trova nulla, mentre avira ha trovato e riparato qualcosa.
che ne dici?
il fatto che gmer si blocchi e non riesce a fare la scansione è un problema? devo riprovare?
ah adesso anche con gli opendns funziona tutto, quindi li lascerò settati.

avira è obsoleto!! disinstalla l'attuale e installa la nuova versione, fai la scansione che richiede, aggiornalo e poi fai una scansione completa e pubblica il log di quest'ultima.
è inutile avere un antivirus settato su "interattivo" fagli mettere i file che identifica in automatico in quaratena così sarà efficace!

ps: se ti chiedesse il SP3 di winXP ovviamente dovrai prima aggiornare winXP a SP3 :)

Ok non è l'ultima versione ma non lo definirei obsoleta, gli aggiornamenti escono regolarmente. Intanto ho cambiato da interattivo ad automatico in quarantena.
Gmer devo riprovarlo?

non è più considerata sicura infatti un semplice malware può raggirarlo, e comunque è più vecchia di un anno (significa che non è la precedente ma quella prima ancora) quella che tu ritieni non obsoleta :O

ok cerco di aggiornarlo allora. ma la scansione con gmer però devo riprovarla prima di fare la scansione finale con avira?

Ho seguito anch'io la procedura suggerita; purtroppo non sono riuscito a rimuovere questo (credo) trojan che, per conoscenza, qui allego.

E' possibile avere qualche ulteriore indicazione (magari specifica per il tipo di infezione)?

Il S.O. usato è Windows Seven/64 bit. L'antivirus che uso è l'ultima versione di Avira free.

Grazie.

P.S.: sono davvero costernato, dal momento che ci sto particolarmente attento. Ma tant'è, purtroppo.

ok cerco di aggiornarlo allora. ma la scansione con gmer però devo riprovarla prima di fare la scansione finale con avira?
tralascia la scansione con gmer.. se fosse indispensabile avere l'SP3 per l'ultima versione di avira allora installa l'sp3 e poi fai la scansione con avira aggiornato (intendo anche con database aggiornato quindi dovrai farne una ulteriore a quella a cui lui ti obbliga durante l'installazione)

Ho seguito anch'io la procedura suggerita; purtroppo non sono riuscito a rimuovere questo (credo) trojan che, per conoscenza, qui allego.

E' possibile avere qualche ulteriore indicazione (magari specifica per il tipo di infezione)?

Il S.O. usato è Windows Seven/64 bit. L'antivirus che uso è l'ultima versione di Avira free.

Grazie.

P.S.: sono davvero costernato, dal momento che ci sto particolarmente attento. Ma tant'è, purtroppo.
segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti in un nuovo thread facendo attenzione alle Regole di Sezione, così potremmo aiutarti. GRAZIE :)

ho installato avira 10.2 del 25/01/2012, però ho un problema: quando parte la scansione si apre la finestra di installazione nuovo hardware "Copia replicata volume generico". Io faccio "annulla" ma in questo modo la scansione non va avanti. In pratica la stessa cosa descritta qui: http://forum.core-ita.com/showthread.php?3567-Problema-con-scansione-Avira-Antivir-Free

siamo ad avira 2012 spero sia questa che hai installato:
http://download.html.it/software/vedi/8670/avira-free-antivirus/

segui questa guida per impostarlo a dovere: http://www.hwupgrade.it/forum/showthread.php?t=1514684

a quel link vedo solo dettagli per la configurazione della premium security suite e non dell'antivirus. comunque non credo sia un problema di configurazione la storia del ""Copia replicata volume generico", provo a disinstallare antivir e rimettere tutto da capo.

tralascia la scansione con gmer.. se fosse indispensabile avere l'SP3 per l'ultima versione di avira allora installa l'sp3 e poi fai la scansione con avira aggiornato (intendo anche con database aggiornato quindi dovrai farne una ulteriore a quella a cui lui ti obbliga durante l'installazione)


segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti in un nuovo thread facendo attenzione alle Regole di Sezione, così potremmo aiutarti. GRAZIE :)


Grazie.
:)

niente, non c'è verso di farlo andare.
credo di avere un problema abbastanza irrisolvibile con la nuova versione di antivir, come emerge anche da questa discussione che ho trovato: http://forum.avira.com/wbb/index.php?page=Thread&threadID=129028

quella discussione è di un anno fa ed è relativa al passaggio da avira v9 a v10, tu già possiedi avira v10, devi solo disinstallarla e passare alla v2012..
sei anche libero di cambiarla, cioè nessuno ti obbliga a restare con avira :)

la discussione sarà anche vecchia ma il problema per me è attuale. finche usavo avira 9 non ho mai avuto nemmeno mezzo problema, invece aggiornando mi succede questo.
nel frattempo la situazione è peggiorata, visto che non potevo usare avira per la scansione ho tolto tutto e ho messo avast. all'inizio tutto ok, poi oggi volevo fare appunto la scansione completa invece ogni volta che accendo il pc dopo qualche minuto mi appare una finestra con conto alla rovescia "il sistema sta per essere arrestato ntautorithy system ecc ecc", in pratica quello di cui si parla qui:
http://www.hwupgrade.it/forum/showthread.php?t=1597177
dopo che blocco il conto alla rovescia non riesco a fare scansioni ne con avast ne con malwarebytes.
quindi ho provato due scansioni con avira antivir rescue system e kaspersky rescue disk 10 ma entrambe non trovano nulla e il problema permane.
avira rescue system log: rescue-system_scan.log (http://wikisend.com/download/190310/rescue-system_scan.log)
kaspersky rescue disk log: kasprescue.txt (http://wikisend.com/download/337652/kasprescue.txt)

edit: ho provato a far partire il pc in modalità provvisoria per vedere se riuscivo a fare le scansioni, invece non riusciva ad avviarsi e dopo il tentativo non si avvia proprio più nemmeno in modalità normale, appare la classica schermata blu ma per un periodo brevissimo, non si fa nemmeno in tempo a leggere cosa c'è scritto.

edit2: risolto il problema dell'avvio pc con disco di windows, console di ripristino, chkdsk /r. ora si avvia normalmente, rimane ovviamente il problema "il sistema sta per essere arrestato ntautorithy system ecc ecc"

edit3: il problema dipendeva da avast, disinstallato tutto funziona come prima. ora ho da provare solo avg.

puoi installare sp3 intanto?

avg sembra funzionare bene, ho fatto scansione completa e trova qualcosa, log: avg.csv (http://wikisend.com/download/466342/avg.csv)

tra i processi attivi di windows trovi anche questo? ntoskrnl.exe

no in questo momento non c'è quel processo (ovviamente sono in una sessione diversa rispetto a quella di prima in cui ho scansionato con avg).

e allora direi che siamo a posto :)

magari...
andava tutto bene e invece adesso mi si ripresenta il problema della finestra con conto alla rovescia "il sistema sta per essere arrestato ecc ecc",
questa volta è preceduto però da un messaggio di errore di cui allego screenshot (anche dei dettagli):
- win32_01.JPG (http://wikisend.com/download/454298/win32_01.JPG)
- win32_02.JPG (http://wikisend.com/download/290184/win32_02.JPG)

a sto punto vorrei solo capire ed essere sicuro di non essere infetto per poter copiare quello che mi serve su hard disk esterno e poi piallare tutto

E ci hai fatto ammattire per poi alla fine piallare tutto? :(
Scaricavi una distro live di ubuntu, copiavi i file e formattavi. :mc:

no, infatti non avevo assolutamente intenzione di piallare.
è una decisione che sto maturando adesso visto che non riesco a venirne a capo. altrimenti avrei fatto subito da distro live.

disinstalla avg e la vita ti sorriderà :)

cioè avg che mi fa sto casino? prima però era avast.
la vita mi sorrideva fino a che avevo avira 9. ma come virus/malware sono pulito? sto problema dell'nt autorithy system quindi non è collegato con virus o trojan?

già che ci sono allego scansione con hijackthis: hijackthis02.log (http://wikisend.com/download/556902/hijackthis02.log)

(scusate il doppio post ma ne ha scritti due contemporaneamente, non so il motivo. perciò ho spezzato il messaggio)

ti avevo già chiesto di installare l'sp3, puoi procedere con questa installazione?

nel frattempo aggiornato anche a sp3
HiJackThis hijackthis041112.log (http://wikisend.com/download/505630/hijackthis041112.log)