Backdoor.Win32.PcClient & EmailWorm.Win32.Zhelatin

[netlore]

Buongiorno a tutti,

ho provato a cercare qui e su google qualcosa a riguardo dei "virus" in oggetto ma nulla che mi aiutasse quindi chiedo a voi

Ad OGNI avvio di WinXP PRO mi compare il messaggio in allegato di allarme di COMODO che ho installato nel pc

Sia che lo metto in quarantena sia che lo rimuovo, al successivo riavvio mi torna.
La scansione di Malwarebytes trova nulla, processi strani non ci sono dal task manager.

Potete aiutarmi per favore?
Grazie

[Chill-Out]

Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[netlore]

Ok, ti ringrazio, appena ho tempo mi ci dedico con calma. Spero che nel frattempo non mi esploda il pc!

[netlore]

Allora, ho seguito passo passo la Guida alla disinfezione e ora vi riporto i risultati:

1) il link con i log è questo: http://www.mediafire.com/?sharekey=4...091f646800a064

2) Il malwarebytes mi ha individuato 6 infezioni che ho rimosso

3) non ho potuto eseguire F-secure in quanto terminato il download mi dava sempre un errore all'avvio dello scan. Ho allora eseguito il Kaspersky il quale alla fine mi ha fatto eliminare un .rar (che secondo me era un falso positivo in quanto conteneva un cad per il palmare) ma non mi ha fatto salvare il log!
Ho seguito la guida apposita passo passo ma dopo aver cliccato su Report non c'era (forse non l'ho visto io ma ci ho guardato bene) la possibilità di salvare il log

4) Il log originale di CureIt era molto lungo, ho eseguito come da guida Parserlog ma quello filtrato è praticamente vuoto!
Ditemi voi se devo uppare quello originale ma sono 14 MB....

5) dopo aver eseguito ESET ho spento il pc (era ieri sera...), stamattina ho riavviato e ho ancora il messaggio di comodo sul Backdoor.Win32.pcclient

6) ho eseguito infine i punti 7,8 e 9 della guida senza problemi, con Gmer che mi ha detto che sono pulito

Se non sbaglio ora rimango in attesa di una vostra valutazione, giusto??
A disposizione per chiarimenti

Grazi mille in anticipo

[Chill-Out]

Quote:

Originariamente inviato da netlore

Allora, ho seguito passo passo la Guida alla disinfezione e ora vi riporto i risultati:

1) il link con i log è questo: http://www.mediafire.com/?sharekey=4...091f646800a064

2) Il malwarebytes mi ha individuato 6 infezioni che ho rimosso

3) non ho potuto eseguire F-secure in quanto terminato il download mi dava sempre un errore all'avvio dello scan. Ho allora eseguito il Kaspersky il quale alla fine mi ha fatto eliminare un .rar (che secondo me era un falso positivo in quanto conteneva un cad per il palmare) ma non mi ha fatto salvare il log!
Ho seguito la guida apposita passo passo ma dopo aver cliccato su Report non c'era (forse non l'ho visto io ma ci ho guardato bene) la possibilità di salvare il log

4) Il log originale di CureIt era molto lungo, ho eseguito come da guida Parserlog ma quello filtrato è praticamente vuoto!
Ditemi voi se devo uppare quello originale ma sono 14 MB....

5) dopo aver eseguito ESET ho spento il pc (era ieri sera...), stamattina ho riavviato e ho ancora il messaggio di comodo sul Backdoor.Win32.pcclient

6) ho eseguito infine i punti 7,8 e 9 della guida senza problemi, con Gmer che mi ha detto che sono pulito

Se non sbaglio ora rimango in attesa di una vostra valutazione, giusto??
A disposizione per chiarimenti

Grazi mille in anticipo

Cortesemente riallega i seguenti log in quanto incompleti:

CureIt
Prevx

Allega inoltre il log di comodo inerente la seguente rilevazione Backdoor.Win32.pcclient

[netlore]

Pardon,

ho riuppato il log di PrevX e quello di CureIT NON Filtrato (14 MB) in quanto usando Parserlog rimane solo quello da 1 kb.

Ho messo su anche i log dell'ultima settimana di Comodo, in formato htm e txt

Spero di non aver sbagliato altro

Grazie ancora

[Chill-Out]

Quote:

Originariamente inviato da netlore

Pardon,

ho riuppato il log di PrevX e quello di CureIT NON Filtrato (14 MB) in quanto usando Parserlog rimane solo quello da 1 kb.

Ho messo su anche i log dell'ultima settimana di Comodo, in formato htm e txt

Spero di non aver sbagliato altro

Grazie ancora

Il log di CureIT è tutto ta incompleto, ti suggerisco di riscaricare il tool e ripetere scansione completa.

C'è qualcosa che non torna, abilita la visualizzazione dei files nascosti

Quote:

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

e controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

termsrv.dll che trovi in c:\windows\system32\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione.

[netlore]

Allora,

ho rieseguito CureIt che dice di aver trovato qualcosa e il log è uppato su mediafire, file Cureit_2009-01-18

Di seguito i link delle scansioni online del maledetto termsrv.dll:

http://virscan.org/report/e2bc779850...697c3d935.html

http://www.virustotal.com/it/analisi...cb9-1263846814

[Chill-Out]

Quote:

Originariamente inviato da netlore

Allora,

ho rieseguito CureIt che dice di aver trovato qualcosa e il log è uppato su mediafire, file Cureit_2009-01-18

Di seguito i link delle scansioni online del maledetto termsrv.dll:

http://virscan.org/report/e2bc779850...697c3d935.html

http://www.virustotal.com/it/analisi...cb9-1263846814

Non vedo il log, nel frattempo dovresti aver provveduto ad aggiornare le signature di CIS.

[netlore]

sul link di mediafire c'è il file Cureit_2009-01-18.log, ho controllato or ora.

Non va bene???

Per quanto riguarda CIS non ho controllato che fosse aggiornato perchè di solito si aggiorna in automatico, cmq stasera lo aggiorno manualmente.
Poi faccio una scansione con Comodo?

Sempre grazie

[xcdegasp]

il log di cureit del 18-1-2010 dice che hai fatto la scansione fast e non quella completa

[netlore]

Quote:

Originariamente inviato da xcdegasp

il log di cureit del 18-1-2010 dice che hai fatto la scansione fast e non quella completa

che lo abbia fatto di fretta non ci piove, l'ho rifatto però stamattina:
riscaricato il tool
lanciato
stoppato xchè inizia con la scansione fast
ho selezionato scansione completa e l'ho rilanciato.
Sono strasicuro!!!

Il log è CureIt_2009-01-20, mi sembra cmq identico a quello del 18...

[Chill-Out]

Quote:

Originariamente inviato da netlore

che lo abbia fatto di fretta non ci piove, l'ho rifatto però stamattina:
riscaricato il tool
lanciato
stoppato xchè inizia con la scansione fast
ho selezionato scansione completa e l'ho rilanciato.
Sono strasicuro!!!

Il log è CureIt_2009-01-20, mi sembra cmq identico a quello del 18...

Hai agiornato CIS?

[netlore]

Per quanto riguarda CIS, si auto-aggiorna il database dei visrus in real-time in pratica, quindi quando ho fatto la scansione era al max aggiornato a 2 ore prima.
Io parlo della definizione che vedo nella schermata principale, a sx al centro.
Intendi qualcos'altro???

[Chill-Out]

Quote:

Originariamente inviato da netlore

Per quanto riguarda CIS, si auto-aggiorna il database dei visrus in real-time in pratica, quindi quando ho fatto la scansione era al max aggiornato a 2 ore prima.
Io parlo della definizione che vedo nella schermata principale, a sx al centro.
Intendi qualcos'altro???

No, produci scansione completa ed allega il log

[netlore]

Allora, ho rifatto una scansione ma:

1) la definizine dei virus si aggiorna prima di iniziare la scansione, quindi meglio di così..

2) sarò diventato un niubbo tutto di un botto ma...non vedo la possibilità di scegliere il tipo di scansione!
Semplicemente faccio una scansione con il profilo "Mio Computer" che è di default. Non ci sono selezioni di scansioni normale, completa o altro

3) l'unico log che posso salvare è "Log Antivirus_2009-01-21.htm" che ho caricato su mediafire

4) a fine scansione non rileva nulla

Sto cominciando a disperare...

[Chill-Out]

Quote:

Originariamente inviato da netlore

4) a fine scansione non rileva nulla

Sto cominciando a disperare...

Per quale motivo disperi se non rileva nulla

[netlore]

Perchè ogni avvio del pc mi da quel warning!

Comincio a pensare che sia un falso positivo....no?

[Chill-Out]

Quote:

Originariamente inviato da netlore

Perchè ogni avvio del pc mi da quel warning!

Comincio a pensare che sia un falso positivo....no?

Allegami il log del Warning

[netlore]

Quote:

Originariamente inviato da Chill-Out

Allegami il log del Warning

Io te lo allego ma è quello su mediafire, cmq ecco qui in formato .txt

Io gli dico sempre "RIMUOVI" e si ripresenta, stessa cosa se metto in quarantena
Mi rimane da IGNORARLO e campo felice??

Grazie