[win XP] utente molto scarso vs TROJAN.DOS.WIN32.OPDOS+W32.MALWARE.GE+GENERIC.MALWARE

[hgbav]

Utente mooolto scarso

da settimane ho una periodica riconnessione su altro sito, che mi cambia anche la pagina iniziale di explorer in about:blank, non ho antivirus, beata ignoranza, lancetta e francizio sono stati molto cortesi e pazienti per permettermi di arrivare fino a qui con qualche informazione in piu', forse ho anche eliminato uno dei 3, grazie a lancetta, ma non ne sono sicuro, vi allego i log che posso allegare (perche' max solo 3?).Vi prego aoiutatemi, ma con parole semplici, per me e' stato veramente un successo arrivare a questo punto, se poi potete anche consigliarmi un antivirus che si trovi nei negozi, con 56 k e la mia conoscenza informatica scaricare e' un problema, ne voglio uno alla grillo, con 3 tasti, ACC, CANC, SPEGN...

3_prevxcsi_21012008.txt - 0.31MB

http://www.zshare.net/download/67478542a6c0d4/

[hgbav]

di nuovo molte grazie, se mi aiutate avrete fatto una vera buona azione!!!!

[murack83pa]

ciao,
hai sicuramente un bel rootkit...gmer nn ha rilevato righe rosse?
quelle che rileva, clicca col pulsante destro e le elimini,


attenti ulteriori istruzioni..

[lancetta]

Cominciamo di forza e vediamo che succede:

Apri il blocco note e copia/incolla queste righe:

Quote:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MSNAgent"=-

salva il file col nome fix.reg in C:\ (importante!)
Assicurati che l'estensione del file sia .reg

Scarica Avenger da qua AVENGER
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

Quote:

Files to delete:
C:\Documents and Settings\Giuliano\Desktop\wininit.sys
C:\Documents and Settings\Giuliano\Dati applicazioni\Tack.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.21\entra.exe
C:\Documents and Settings\Giuliano\wininit.sys
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.10\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.11\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.12\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.13\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.14\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.15\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.16\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.17\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.18\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.19\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.20\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.21\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.4\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.5\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.6\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.7\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.8\entra.exe
File C:\WINDOWS\Downloaded Program Files\CONFLICT.9\entra.exe
File C:\WINDOWS\Downloaded Program Files\entra.exe
File C:\WINDOWS\r-k.exe

Programs to launch on reboot:
C:\fix.reg

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui
dopo da gmer fai fare un giro e vedi se ti dà voci in rosso dal tab rootkit

in hijackthis fixa questa

Quote:

O15 - Trusted Zone: http://www.happyfile.net

poi nuova scansione con prevx e log di hijackthis

[Riverside]

Qualcuno è in grado di aggiornarmi?: da quando è richiesta la pubblicazione del log di CCleaner (è il secondo che vedo allegato, stasera)

[murack83pa]

Quote:

Originariamente inviato da Riverside

Qualcuno è in grado di aggiornarmi?: da quando è richiesta la pubblicazione del log di CCleaner (è il secondo che vedo allegato, stasera)

come...nn lo sapevi?

[lancetta]

li abbiamo talmente pressati con i log che ti farebbero vedere anche la stampata del conto in banca

[hgbav]

1) grazie, seguiro' le istruzioni e sono fiducioso, con il suggerimento su hj... datomi quando ancora non avevi visto tutti i log mi hai ridotto del 70 la frequenza del problema e mi è sparito qualche messaggio di errore, spero con questo di sistemare il resto.

2) per i log avete ragione, io ero stressato di non avervene potuto far vedere uno (punto due della guida, file tropppo grosso da scaricare per chi ha problemi come i miei, a 1/3 partiva l''amico')

3) se alla fine della fiera installo avg posso considerarmi abbastanza sicuro?

a presto

hgbav

[lancetta]

Quote:

Originariamente inviato da hgbav

1) grazie, seguiro' le istruzioni e sono fiducioso, con il suggerimento su hj... datomi quando ancora non avevi visto tutti i log mi hai ridotto del 70 la frequenza del problema e mi è sparito qualche messaggio di errore, spero con questo di sistemare il resto.

2) per i log avete ragione, io ero stressato di non avervene potuto far vedere uno (punto due della guida, file tropppo grosso da scaricare per chi ha problemi come i miei, a 1/3 partiva l''amico')

3) se alla fine della fiera installo avg posso considerarmi abbastanza sicuro?

a presto

hgbav

lascia perdere avg e vedi di procurati in qualche modo Avira Antivir poi segui la guida in sezione nel 3d dedicato e ridurrai del 90% i problemi evitando naturalmente di cliccare a dx ed a manca.....posta i log mi raccomando e segui tutto per bene

[Riverside]

Quote:

Originariamente inviato da lancetta

lascia perdere avg e vedi di procurati in qualche modo Avira Antivir ......

In qualche modo ma ...... non da Emule
Scaricalo dal sito ufficiale, ovviamente: questo è ciò che intendeva dire Lancetta

[lancetta]

Quote:

Originariamente inviato da Riverside

In qualche modo ma ...... non da Emule
Scaricalo dal sito ufficiale, ovviamente: questo è ciò che intendeva dire Lancetta

socio..se non erro ha la 56k...... ecco perchè, siccome è corposo magari da qualche amico provvisto di adsl scarica l'eseguibile d'installazione e tramite chiavetta o cd se lo porta sul suo pc

[xcdegasp]

Quote:

Originariamente inviato da Riverside

Qualcuno è in grado di aggiornarmi?: da quando è richiesta la pubblicazione del log di CCleaner (è il secondo che vedo allegato, stasera)

bho.. io non ne so nulla

[hgbav]

Quote:

Originariamente inviato da lancetta

Cominciamo di forza e vediamo che succede:

Apri il blocco note e copia/incolla queste righe:

salva il file col nome fix.reg in C:\ (importante!)
Assicurati che l'estensione del file sia .reg

Scarica Avenger da qua AVENGER
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui
dopo da gmer fai fare un giro e vedi se ti dà voci in rosso dal tab rootkit

in hijackthis fixa questa


poi nuova scansione con prevx e log di hijackthis

Lancetta (a proposito, why this name?),
ho con soddisfazione seguito le tue indicazioni, sono riuscito a fare tutto e mi sembra di essere pulito, pero', e la cosa mi inquieta, non riesco ad eliminare, con il fix checked di hijack... il punto 15 trust..., mi devo preoccupare?

Adesso provo a far andare la macchina per qualche ora per scaricare l'antivirus consigliato, se ho fatto fuori l'amico domani dovrei essere dotato di antivirus, per il momento grazie mille, per il grazie 1.000.000 aspetto la conferma di essere fuori dal tunnel (comunque siete grandi!!!)

prevx_22012008.txt - 0.30MB

[xcdegasp]

scusate ma a-squared e una scansione online o dr.web e virit?
perchè due log di prevx?

Quote:

C:\Documents and Settings\Giuliano\Desktop\wininit.sys

Loaded from: \REGISTRY\Machine\System\CurrentControlSet\Services\agony\ImagePath \??\C:\Documents and Settings\Giuliano\Desktop\wininit.sys

Loaded from: \REGISTRY\Machine\SYSTEM\ControlSet001\Services\agony\ImagePath C:\Documents and Settings\Giuliano\Desktop\wininit.sys

PX5: 7B10807100E97095457500BF00ADC600C3A1BD95

MD5: 802fab3318b130f31b60b83b7df650de

Determination: BAD

Malware Group: Trojan.DoS.Win32.Opdos



C:\Documents and Settings\Giuliano\Dati applicazioni\Tack.exe

Loaded from: FILE

PX5: FF15FAF20089AFE02E4A00E7E7A5ED0083FCBC40

MD5: 55cfec08513bcaea93d7b4623580e11b

Determination: BAD

Malware Group: Generic.Malware

[xcdegasp]

dal log di hijackthis potresti fixare queste voci:

Quote:

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.happyfile.net

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Unknown owner - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (file missing)
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe

per Fixare si intende: devi fare un anuova scansione con HijackThis, al termine il pulsante in basso a sinistra si chiamerà "Fix IT", quindi devi selezionare le voci che ti ho elencato e poi premere "Fix IT".

Cambia subito i DNS del tuo pc forzando l'uso di quelli di www.OpenDNS.com e poi installati un antivirus visto che attualmente non c'è nessun antivirus attivo (possibilmente disinstalla completamente Norton)
inutile dire che senza antivirus non reggi nemmeno 6 minuti di connessione.

poi fai la scansione con a-squared visto che ti manca e con un servizio online, non importa che rimuova direttamente il malware l'importante è constatare e avere altri dati.


oltre a questo si evidenziano acrobat reader e java obsoleti, collegati al sito http://secunia.com/software_inspector/ e scansiona il pc, ti evidenzierà tutti i programmi obsoleti altamente critici da aggiornare subito

[lancetta]

Quote:

Originariamente inviato da hgbav

Lancetta (a proposito, why this name?),
ho con soddisfazione seguito le tue indicazioni, sono riuscito a fare tutto e mi sembra di essere pulito, pero', e la cosa mi inquieta, non riesco ad eliminare, con il fix checked di hijack... il punto 15 trust..., mi devo preoccupare?

Adesso provo a far andare la macchina per qualche ora per scaricare l'antivirus consigliato, se ho fatto fuori l'amico domani dovrei essere dotato di antivirus, per il momento grazie mille, per il grazie 1.000.000 aspetto la conferma di essere fuori dal tunnel (comunque siete grandi!!!)

prevx_22012008.txt - 0.30MB

IN AVENGER incolla questo :

Quote:

files to delete:
C:\WINDOWS\r-k.exe

Fallo da provvisoria se necessario (riavvia il pc e premi continuamente F8 si aprirà una schermata nera e con le frecce scegli la modalità indicata..fatte le dovute operazioni riavvii normalmente)
stessa cosa per quella voce 015 anche se mi sembra strano...

Quote:

Originariamente inviato da xcdegasp

scusate ma a-squared e una scansione online o dr.web e virit?
perchè due log di prevx?

ha una 56 k ecco perchè ho preferito avenger ... poi era abbastanza malcombinato con malware comprensivo di rootkit
almeno così iesce a scaricare almeno l'antivirus... visto che non riusciva a navigare poi vedremo di fargli scaricare anche asqured e super
p.s. ma quale log prevx hai guardato?

[hgbav]

stasera faro' quanto consigliato, poi faccio anche quanto consigliato dal moderatore o prima una riscansione con post dei log? moderatore, scusa se mi permetto, ma non vorrei fare troppe cose, un passo alla volta, se ha senso altrimenti anche due, mi permette di capire piano piano il percorso per future altre volte. grazie comunque per l'interessamento, grazie a lancetta anche per la pazienza.

[lancetta]

Quote:

Originariamente inviato da hgbav

stasera faro' quanto consigliato, poi faccio anche quanto consigliato dal moderatore o prima una riscansione con post dei log? moderatore, scusa se mi permetto, ma non vorrei fare troppe cose, un passo alla volta, se ha senso altrimenti anche due, mi permette di capire piano piano il percorso per future altre volte. grazie comunque per l'interessamento, grazie a lancetta anche per la pazienza.

mettiamo prima di tutto in sicurezza la macchina e sopratutto cerca di scaricare antivir è importante !poi seguiamo gli altri consigli.....e fixa quelle voci in hijack che ti diceva degasp poi posti i 2 log (avenger ed hijackthis)

[hgbav]

la mia avventura non e' finita, ma cerco almeno di farvi perdere poco tempo:
1) ho fatto girare script in avenger in modalità provvisoria, nessun problema, ma quando dici "stessa cosa per la voce 015" non capisco cosa intendi, dove e' il file che devo cancellare? perdonami, mi potresti dare qualche info in +?
2) ho fixato tutte le voci consigliate da degasp, mi sembra siano sparite, tranne la 015, che sembra ostinata, ho allegato i due log di avenger e hijack
3) sto scaricando anche ora avira, ieri sera ho avuto problemi di connessione, non credo c'entri l'amico, al 90% del download, ora ci riprovo.

grazie per l'aiuto, come detto sono disponibile a darvi anche i numeri di cc pur di riuscire a far fuori L'"AMICO", vedi sotto altre info

altre info:
A) comincio a pensare di essere paranoico, ma avevo prepararato una dir. in c:\programmi con tutti i tool che uso consigliato da voi (avenger, gmer, cccleaner, ecc.), stasera nella sub di avenger non c'era l'eseguibile (e vabbe, magari mi sono dimenticato di estrarlo e metterlo la volta scorsa, ma c'erano altri file, tra cui un entra.exe che ha fatto ripartire L'AMICO, disconnettendomi, e cambiando la pagina iniziale, è possibile o sono paranoico io?
B) da qualche settimana in fase di avvio il pc mi segnala che potrei avere il sw contraffatto di windows, chiedendomi se voglio intervenire ora o dopo, ho sempre detto dopo e ciò non ha mai prodotto nessun vincolo, non credo che c'entri qualcosa, ma visto quanto descritto al punto A) comincio ad aver paura di ogni cosa anche solo apparentemente strana

come sempre, tante grazie ed aspetto vostri preziosissimi consigli.

ps: per degasp, seguitro' tuoi consigli su programmi non aggiornati appena faccio fuori l'AMICO, tra l'altro quando ancora ero un beato ignorante e non conoscevo questo forum ho provato a siustemare il problema con la precisione di un BOBCAT in un negozio di cristalli, cancellando a destra e a manca file apparentemente strani, ho vari programmi che non mi vanno +, con il sito segnalato mi vengono segnalati?

[lancetta]

Quote:

Originariamente inviato da hgbav

la mia avventura non e' finita, ma cerco almeno di farvi perdere poco tempo:
1) ho fatto girare script in avenger in modalità provvisoria, nessun problema, ma quando dici "stessa cosa per la voce 015" non capisco cosa intendi, dove e' il file che devo cancellare? perdonami, mi potresti dare qualche info in +?
2) ho fixato tutte le voci consigliate da degasp, mi sembra siano sparite, tranne la 015, che sembra ostinata, ho allegato i due log di avenger e hijack
3) sto scaricando anche ora avira, ieri sera ho avuto problemi di connessione, non credo c'entri l'amico, al 90% del download, ora ci riprovo.

grazie per l'aiuto, come detto sono disponibile a darvi anche i numeri di cc pur di riuscire a far fuori L'"AMICO", vedi sotto altre info

altre info:
A) comincio a pensare di essere paranoico, ma avevo prepararato una dir. in c:\programmi con tutti i tool che uso consigliato da voi (avenger, gmer, cccleaner, ecc.), stasera nella sub di avenger non c'era l'eseguibile (e vabbe, magari mi sono dimenticato di estrarlo e metterlo la volta scorsa, ma c'erano altri file, tra cui un entra.exe che ha fatto ripartire L'AMICO, disconnettendomi, e cambiando la pagina iniziale, è possibile o sono paranoico io?
B) da qualche settimana in fase di avvio il pc mi segnala che potrei avere il sw contraffatto di windows, chiedendomi se voglio intervenire ora o dopo, ho sempre detto dopo e ciò non ha mai prodotto nessun vincolo, non credo che c'entri qualcosa, ma visto quanto descritto al punto A) comincio ad aver paura di ogni cosa anche solo apparentemente strana

come sempre, tante grazie ed aspetto vostri preziosissimi consigli.

sta ca..o di 56k
per la 015 rilancia hijackthis da provvisoria e fixi
per il problema del soft contrafatto hem hai probabilmente una copia di XP un pò leggermente tarocca/napoletana devi chiedere a chi ti ha venduto il pc o soft
al limite tutte le cartelle di backup cancellale ma non credo che centrino
leggo i log