Hardware Upgrade Forum - un nuovo bagle^?

Hardware Upgrade Forum (https://www.hwupgrade.it/forum/index.php)

- Aiuto sono infetto! Cosa faccio? (https://www.hwupgrade.it/forum/forumdisplay.php?f=125)

- - un nuovo bagle^? (https://www.hwupgrade.it/forum/showthread.php?t=1797842)

un nuovo bagle^?

in accensione si apre la cartella documenti e ora anche kaspersky.
in questo pc mi sono gia salvato da un bagle(spariti anti virus)usando vostra procedura e sucessivamente da un gromozon)con prevx csi.
altre anomalie che riscontro adesso sono
avenger non siapre
c cleaner neppure
non mi fa entrare in alcuni siti compreso il vostro)scrivo da altro pc)
se clicco avenger in ricerca mi disconnette
qualcuno mi sa dire se e' un nuovo bagle e come eliminarlo
Grazie

segui questa semplice guida: http://www.hwupgrade.it/forum/showthread.php?t=1562611

questo lo chiudo perevitare doppioni :)

forse hai altre cose nel pc, segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

Codice:

Malwarebytes' Anti-Malware 1.24

Versione del database: 1038

Windows 5.1.2600 Service Pack 3



21.04.53 10/08/2008

mbam-log-8-10-2008 (21-04-01).txt



Tipo di scansione: Scansione completa (C:\|D:\|)

Elementi scansionati: 159769

Tempo trascorso: 41 minute(s), 0 second(s)



Processi delle memoria infetti: 0

Moduli della memoria infetti: 0

Chiavi di registro infette: 4

Valori di registro infetti: 0

Elementi dato del registro infetti: 0

Cartelle infette: 0

File infetti: 3



Processi delle memoria infetti:

(Nessun elemento malevolo rilevato)



Moduli della memoria infetti:

(Nessun elemento malevolo rilevato)



Chiavi di registro infette:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Spyware.Sinowal) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} (Adware.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe (Security.Hijack) -> No action taken.



Valori di registro infetti:

(Nessun elemento malevolo rilevato)



fsecure



Scanning Report

Monday, August 11, 2008 08:11:09 - 10:06:04

Computer name: PCMACO001 

Scanning type: Scan system for malware, rootkits 

Target: C:\ D:\ 





--------------------------------------------------------------------------------



Result: 2 malware found

RemoteAdmin.Win32.WinVNC (spyware) 

System 

Tracking Cookie (spyware) 

System 



--------------------------------------------------------------------------------



Statistics

Scanned:

Files: 87208 

System: 6307 

Not scanned: 10 

Actions:

Disinfected: 0 

Renamed: 0 

Deleted: 0 

None: 2 

Submitted: 0 

Files not scanned:

C:\PAGEFILE.SYS 

C:\HIBERFIL.SYS 

C:\WINDOWS\TEMP\SQLITE_DHFHMKII2A9UPJI 

C:\WINDOWS\SYSTEM32\CSRRNNKN.EXE 

C:\WINDOWS\SYSTEM32\DRIVERS\ATAPI.SYS 

C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT 

C:\WINDOWS\SYSTEM32\CONFIG\SECURITY 

C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE 

C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM 

C:\WINDOWS\SYSTEM32\CONFIG\SAM 



--------------------------------------------------------------------------------



Options

Scanning engines:

F-Secure USS: 2.30.0 

F-Secure Hydra: 2.8.8110, 2008-08-10 

F-Secure AVP: 7.0.171, 2008-08-11 

F-Secure Pegasus: 1.20.0, 2008-04-15 

F-Secure Blacklight: 1.0.68 

Scanning options:

Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR 

Use Advanced heuristics

I log vanno allegati secondo le Regole di sezione grazie per la collaborazione

ecco qui tutti i risultati delle scansioni

rifai la scansione con malwarebytes dando poi l'azione da eseguire "esempio elimina", hai pubblicato il link ad un file "asq.dat" che non si sa cosa sia, manca il log di dr.web cureit...
magari rifalle entrambe (malwarebytes e a-squared) così vediamo se trovano altro :)

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Documents and Settings\maco001\Impostazioni locali\Temporary Internet Files\Content.IE5\8JAFAAOW\EE9F3B2[1].exe" -scan

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

manca il log di kaspersky-tool e la scansione con f-secure l'hai fatta dopo il log di hijackthis... forse è il caso che segui alla lettera le cose scritte visto che ho scritto un avvertimento chiaro nel mantenere l'ordine d'esecuzione, il tutto perchè ha un motivo be preciso!

ciao
asq.dat e quello che mi da a a square che comunque ho postato anche con un jpeg incollandolo
l'altro che devo rifare lo riposto ma era chiaro
http://www.fileqube.com/shared/xFbfHUaaV79304

a square non mi fa salvare se non quel file dat.... ho usato lo strtatagemma dell'immagine
malware la sto rifacendo in ogni caso

Quote:

Originariamente inviato da xcdegasp (Messaggio 23661425)

Codice:

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Documents and Settings\maco001\Impostazioni locali\Temporary Internet Files\Content.IE5\8JAFAAOW\EE9F3B2[1].exe" -scan

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

immagino
guarda che e fatto tutto nellordine preciso

ricapitolo..
ho seguito l'ordine preciso
malware avevo elimiato e postato come da guida )la sto rifacendo
a square non mi da il file da salvare )vedi immagine jpeg
poi fatto f secure
poi dr web)non ha trovato nulla
poi inspector
poi gmer
hjack
e prev csi non ha trovato nulla )ti ho inviato ultimi virus trovati)
appena rifa malware faccio e rimetto anche l'ultimo hjack

io non vorrei apparire pedante ma nei log che hai pubblicato di HijackThis ci sono inequivocabili tracce di kaspersky-tool in esecuzione e mi attendevo anche delle tracce dello scaner online di f-secure..

fixa:

Codice:

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe

puoi rifarmi una scansione con dr.web cureit, una con kaspersky-tool e una con prevxcsi?

scherzi non penso tu sia pedante.
all'apertura del pc si aprono la finestra documenti due di blocco note e kaspersky tool)che sia per quello che lo vedi?
io sono stato attento a fare in ordine cio che chiedi.
peralro nella guida non viene neanche chiesto kaspersky.
se devo rifare qualcosa dimmi pure

kaspersky-tool è sostitutivo di f-secure nella guida mavisto che lo possiedi perchè non farne una anche con quello? :)
ok

posso rifarle.
dr curei ha fatto scansione per 3 ore ...nulla
kaspersky riprovo
e anche prevx csi )lo ho installato e non trova nulla .
se vuoi o ser aiuta ho l'immagine di quando avenger ha trovato 17 virus in un giorno..
le varie anomali avenger c cleaner e anche alcuni siti come il vostro che vanno in vìcrash persistono

dr web puoi fare a meno a sto punto ma degli altri servono i log!

ok.. se vuoi ho anche panda.. on line ma non ha trovato nulla fatta stasera allego... http://www.fileqube.com/shared/rjRzdDyz79346

se aiuta.. tempo fa ho avuto unn bagle risolto con la vostra guida...
poi un altroio credo fosse un gromozon mi impediva egualmente di andare su pagine di aiuto.. poi ho acquistato prevx sembrava fosse l'unico assieme a symantec a vederlo e in effetti aveva risolto..a fine mese alla consueta scansione avg ha trovato 17 virus e prev 3 da li ha ricominciato adaver il problema delle cartellle che si aprono e deoi crash quando cerchi soluzioni per debellarlo.
sinceramente mi ricorda piu gli edffetti del gromozon che del bagle... ma parlo solo per darvi delle impressioni

Quote:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe (Security.Hijack) -> Quarantined and deleted successfully.

Gromozon :rolleyes:

Serve come già detto una scansione con Prevx CSI per salvare il log procedi così: terminata la scansione per ottenere il log cliccare su Options - Save a Log File

Scansione con Kaspersky Removal Tool

Successivamente fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Allega tutti e 3 i log