pc infetto più virus

[ciliegia91]

Ragazzi innanzitutto vi ringrazio in anticipo xkè mi avete già aiutato una volta (chillout & wjmat) con il mio pc desktop. Ora i problemi sono sul notebook ke è sicuramente infetto da + virus....
La procedura la conosco già quindi ho uploadato un file .rar con tutti i log necessari per farvi capire qual è il problema.

Ecco il file:

link eliminato poichè non funzionante

[ciliegia91]

un attimo ho dei problemi con l'upload su fileqube

[ciliegia91]

Questo dovrebbe andare

http://wikisend.com/download/952394/log.rar

[wjmat]

ciao

i log caricali anche singolarmente riportando ogni link e relativa scansione
ps: a me vanno bene anche così

con mbam e asquared sembra tu non abbia eliminato nulla...

[ciliegia91]

1. log di Malwarebytes : http://wikisend.com/download/559244/1. mbam-log-2008-12-02 (14-22-41).txt
2. log di A-squared : http://wikisend.com/download/490718/2. a2scan_081202-142958.txt
3. log di Kaspersky Virus Removal Tool : http://wikisend.com/download/596122/3. kaspersky log.txt
4. log di Dr.Web CureIT : http://www.hwupgrade.helloweb.eu/Par...4432887052.txt
5. log di ESET SysInspector : http://wikisend.com/download/500158/5. SysInspector-NOME-2D81AAF6C1-081202-1722.xml
6. log di HiJackThis : http://wikisend.com/download/118140/6. hijackthis.txt
7. log di Gmer : http://wikisend.com/download/511084/7. gmer.log
8. log di PrevxCSI : http://wikisend.com/download/175494/8. prevxcsi.log

[ciliegia91]

up

[Chill-Out]

Quote:

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wofib (Trojan.FakeAlert.H) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\pecoquicon.exe (Trojan.FakeAlert.H) -> No action taken.

Ripeti la scansione completa con MBAM -> No action taken significa che non hai eliminato nulla

[ciliegia91]

ma come? li ho messi in quarantena..infatti sono là. cmnq ora li ho eliminati dalla quarantena e sto rifacendo la scansione. devo fare altro?

[ciliegia91]

Nuovo log di MB: http://wikisend.com/download/215878/mbam-log-2008-12-02 (23-50-42).txt

[Chill-Out]

Verifica su http://www.virustotal.com/it/ e http://virscan.org il seguente file temiquou.exe in questo percorso C:\WINDOWS\system32\ per i risultati basta riportare nel prossimo post l'URL rilasciata a fine scansione.

[ciliegia91]

http://www.virustotal.com/it/analisi...119faa1898dea1

sembra proprio un trojan

[Chill-Out]

Quote:

Originariamente inviato da ciliegia91

http://www.virustotal.com/it/analisi...119faa1898dea1

sembra proprio un trojan

Manca Virscan per completezza

[ciliegia91]

si hai ragione purtroppo l'ho già eliminato...comunque ogni volta ke elimino questo benedetto trojan, si rigenera ad ogni avvio prendendo le sembianze di un processo attivo... infatti se c'è il processo attivo "esempio.exe" prende il nome "esempio .exe" aggiungendo uno spazio e un sacco di file .exe(+numeri) da 15 kb l'uno nella cartella dell'exe originale

[ciliegia91]

domani rifaccio tutte le scansioni secondo le modalità e vi riposto i nuovi log

[Chill-Out]

Quote:

Originariamente inviato da ciliegia91

domani rifaccio tutte le scansioni secondo le modalità e vi riposto i nuovi log

No è sufficiente che incolli l'URL rilasciato da Virscan poi lo eliminiamo

[ciliegia91]

non ce l'ho più il file "temiquou.exe" quindi non posso scansionarlo con virscan. scusami se ho intrapreso l'azione di eliminarlo deliberatamente

[Chill-Out]

Quote:

Originariamente inviato da ciliegia91

non ce l'ho più il file "temiquou.exe" quindi non posso scansionarlo con virscan. scusami se ho intrapreso l'azione di eliminarlo deliberatamente

Il problema l'avevo visto qui: C:\Programmi\Winamp\winampa .exe di conseguenza fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

[ciliegia91]

ok lo sto eseguendo. appena finisce posto il log

[ciliegia91]

ecco il log di combofix


http://wikisend.com/download/909728/ComboFix.txt

[Chill-Out]

Sinceramente mi aspettavo un log diverso, comunque procedi così:

1 Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci:

Quote:

O4 - HKLM\..\Run: [ccPrxy.exe] ccPrxy.exe
O4 - HKLM\..\Run: [podi] C:\WINDOWS\system32\cozabyjij .exe
O4 - HKLM\..\Run: [loki] C:\WINDOWS\system32\temiquou.exe
O23 - Service: BsHelpCS (forabyeostrao) - Unknown owner - C:\WINDOWS\system32\counyssou.exe (file missing)
O23 - Service: Microsoft Local Alerter (jmgn9dynlaoseiu) - Unknown owner - C:\WINDOWS\system32\soucouz.exe

clicca su Fix cheked

2 Da Start - Esegui - digita cmd

nella finestra DOS digita:

sc stop forabyeostrao -->> e batti invio
sc delete forabyeostrao -->> e batti invio

sc stop jmgn9dynlaoseiu -> batti invio
sc delete jmgn9dynlaoseiu -> batti invio

Exit per uscire

3 Apri il Blocco Note copia e incolla questa righe:

Quote:

File::
C:\WINDOWS\system32\temiquou.exe
c:\documents and settings\User\ccprxy.exe
c:\documents and settings\User\ccprxy .exe
c:\windows\system32\ccprxy.exe
C:\WINDOWS\system32\soucouz.exe
C:\WINDOWS\system32\cozabyjij .exe

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Riepilogo log da allegare:
Nuovo log HJT
Log di Combofix