credo proprio di essere infetta

[kiarettina]

è già la terza volta che ricorro al vostro utilissimo aiuto, e a quanto pare sempre per lo stesso motivo: credo di essere infetta. uso tutte le precauzioni eppure mi è capitato di nuovo. ho anche effettuato la formattazione del disco fisso ma ho ancora problemi. ho letto e seguito la procedura per gli infetti, ma vorrei chiedere se per cortesia esiste un metodo più veloce per capire cos'ho preso. io comunque attendo le vostre preziose indicazioni e sono pronta ad eseguire il tutto.
grazie

[vistony]

forse dovresti dire qual'è il tuo problema, nel senso, perché pensi di essere infetta??? cosa ti succede di anomalo??

[kiarettina]

è tutto moooooooooooolto lento; dall'accensione all'apparizione della scrivania con le icone ci vorrà circa un quarto d'ora, venti minuti, per avviare qualsiasi applicazione ci vogliono sempre una decina di minuti, a volte il browser firefox mi dice che chiuderà tutte le finestre perchè ha rilevato qualcosa di anomalo, succede anche che si spenga facendomi apparire la schermata blu con le diciture di programma incompatibile.
anche effettuare una stampa è bibbioso. in poche parole è tutto infinitamente lento.

[Chill-Out]

Quote:

Originariamente inviato da kiarettina

è già la terza volta che ricorro al vostro utilissimo aiuto, e a quanto pare sempre per lo stesso motivo: credo di essere infetta. uso tutte le precauzioni eppure mi è capitato di nuovo. ho anche effettuato la formattazione del disco fisso ma ho ancora problemi. ho letto e seguito la procedura per gli infetti, ma vorrei chiedere se per cortesia esiste un metodo più veloce per capire cos'ho preso. io comunque attendo le vostre preziose indicazioni e sono pronta ad eseguire il tutto.
grazie

Ciao, ma questo problema si è verificato subito dopo aver formattato e reinstallato i programmi?

[vistony]

Cerca nel task manager se c'è un processo che ti sfrutta molta cpu, dovresti almeno postare un log hijack per vedere se c'è qualcosa di anomalo, comunque penso che una scansione con antivurus e antispyware aggiornati almeno l'hai fatta??

[kiarettina]

ho rifatto hijack, malwarebytes e a-squared:

A-SQUARED
http://wikisend.com/download/933112/...0252CHIARA.txt

HIJACK
http://wikisend.com/download/563384/...thisCHIARA.txt

MALWAREBYTES
http://wikisend.com/download/922382/mbam-log-2009-02-11 (22-17-54)CHIARA

grazie
chiara

[Chill-Out]

1 Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sotto indicate voci e clicca su Fix cheked

Quote:

O4 - HKLM\..\RunOnce: [NSSInstallation] C:\WINDOWS\system32\Adobe\Shockwave 11\nssstub.exe /RunOnce
O17 - HKLM\System\CCS\Services\Tcpip\..\{84177DFE-5997-43C6-B127-EC5771A460E6}: NameServer = 85.255.116.126,85.255.112.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{913707E4-59CE-4811-97A3-E1E49983388B}: NameServer = 85.255.116.126,85.255.112.119
O17 - HKLM\System\CCS\Services\Tcpip\..\{D836D4AA-D611-47C2-83FB-C743924D08FE}: NameServer = 83.224.65.134 83.224.66.134
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.61,85.255.112.218
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.61,85.255.112.218
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.61,85.255.112.218

2 Disinstalla ClamWin

3 Fai girare questo tool http://www.avg.com/filedir/util/avg_...avgremover.exe

4 Riallega in formato .txt il lof di MBAM

[kiarettina]

ecco:

Quote:

Malwarebytes' Anti-Malware 1.34
Versione del database: 1749
Windows 5.1.2600 Service Pack 2

12/02/2009 10.42.51
mbam-log-2009-02-12 (10-42-42)CHIARA

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|G:\|)
Elementi scansionati: 92252
Tempo trascorso: 12 minute(s), 58 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 5
Cartelle infette: 1
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\totalvid (Trojan.DNSChanger) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{84177dfe-5997-43c6-b127-ec5771a460e6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.61,85.255.112.218 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{84177dfe-5997-43c6-b127-ec5771a460e6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.61,85.255.112.218 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{84177dfe-5997-43c6-b127-ec5771a460e6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.116.61,85.255.112.218 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{84177dfe-5997-43c6-b127-ec5771a460e6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.126,85.255.112.119 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{913707e4-59ce-4811-97a3-e1e49983388b}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.126,85.255.112.119 -> No action taken.

Cartelle infette:
C:\resycled (Trojan.DNSChanger) -> No action taken.

File infetti:
C:\resycled\boot.com (Trojan.DNSChanger) -> No action taken.

[Chill-Out]

Estratto dal log di MBAM

Quote:

Chiavi di registro infette:
HKEY_CLASSES_ROOT\totalvid (Trojan.DNSChanger) -> No action taken.

No action taken -> significa che non hai eliminato nulla, ripeti scansione completa ed elimina gli elementi infetti

Segui quanto indicato qui http://www.hwupgrade.it/forum/showpo...63&postcount=7

NB: i log vanno allegati nel rispetto delle Regole di sezione

[kiarettina]

prima non sono riuscita ad allegare il file con la procedura indicata perchè mi segnalava errore. ora ci riprovo con quello nuovo:

grazie

[Chill-Out]

Quote:

Originariamente inviato da kiarettina

prima non sono riuscita ad allegare il file con la procedura indicata perchè mi segnalava errore. ora ci riprovo con quello nuovo:

grazie

Fai quanto indicato qui http://www.hwupgrade.it/forum/showpo...63&postcount=7

e poi porta a termine la Guida, attendo tutti i log in un unico post, grazie.

[kiarettina]

per cortesia mi specifichi quali log desideri che ti alleghi?
grazie

[kiarettina]

ritiro la domanda, scusa, seguo tutta la guida e poi allego
grazie

[Chill-Out]

http://www.hwupgrade.it/forum/showthread.php?t=1599737

tranne Punto 1 e 2 che hai già fatto

[kiarettina]

questo è quello che ho ottenuto:

dr.web: http://wikisend.com/download/893670/DrWebchiara.csv

gmer: http://wikisend.com/download/495604/gmerCHIARA.log

hijack: http://wikisend.com/download/916494/...thisCHIARA.txt

sysinspector: http://wikisend.com/download/593172/...1248chiara.zip

[Chill-Out]

Quote:

Originariamente inviato da kiarettina

questo è quello che ho ottenuto:

dr.web: http://wikisend.com/download/893670/DrWebchiara.csv

gmer: http://wikisend.com/download/495604/gmerCHIARA.log

hijack: http://wikisend.com/download/916494/...thisCHIARA.txt

sysinspector: http://wikisend.com/download/593172/...1248chiara.zip

1 Riallega in formato .txt i log di DrWeb CureIt

2 Riallega in formato .xml il log di SysInspector

Devi semplicemente seguire le istruzioni in Guida, grazie.

[kiarettina]

hai ragione, scusami,
drweb

Codice:

ekiga-setup-3.0.2beta-7316.exe;G:\software_libero\internet\chat\voip;Trojan.DownLoader.origin;Incurabile.Spostato.;

sysinspector :http://wikisend.com/download/816662/...0212-2140a.xml

[Chill-Out]

1 Rilancia la scansione con Gmer terminata la stessa seleziona il Servizio identificato come hidden Service system32\drivers\gaopdxspxgview.sys (*** hidden *** ) lo selezioni col tasto dx del mouse e clicca su Delete Service

2 Produci il log inerente il Punto 4 della Guida ti suggerisco il Kaspersky Removal Tool

3 Fai girare questo tool:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare:
Kaspersky Removal Tool
Combofix
Nuovo log Gmer
Nuovo log SysInspestor
Nuovo log HJT

Grazie.

[kiarettina]

alla fine della nuova scansione con gmer, lo stesso non mi da la possibilità di cancellare il servizio selezionato come da te indicato;

kaspersky ha prodotto questo: http://wikisend.com/download/947514/kasperskyCHIARA.txt

gmer: http://wikisend.com/download/556748/gmerCHIARA.log

sysinspector: http://wikisend.com/download/527188/...90214-0739.xml

hijack: http://wikisend.com/download/476484/...thisCHIARA.txt


grazie

[kiarettina]

alla fine della nuova scansione con gmer, lo stesso non mi da la possibilità di cancellare il servizio selezionato come da te indicato;

kaspersky ha prodotto questo: http://wikisend.com/download/947514/kasperskyCHIARA.txt

gmer: http://wikisend.com/download/556748/gmerCHIARA.log

sysinspector: http://wikisend.com/download/527188/...90214-0739.xml

hijack: http://wikisend.com/download/476484/...thisCHIARA.txt


grazie