[WinXP] Antivirus disattivato a seguito infezione Bagle? AIUTO

[MarioJoker82]

Salve,
una patch fasulla mi ha infettato il pc. Unico sintomo, rallentamento e disabilitazione del software antivirus Sophos 9.5 (correttamente aggiornato).

Prima di ricercare online la soluzione ero andato in modalità provvisoria ed effettuato una scansione con Malwarebytes Anti-Malware (purtroppo non aggiornato da 20 giorni) e avevo analizzato il log di hijackthis, senza riscontrare anomalie.

Riavvio il pc e il problema persiste. Sophos non è attivato e non riesce ad aggiornarsi (Windows mi segnala infatti che non sono protetto).

Trovo una online una vostra guida: http://www.hwupgrade.it/forum/showthread.php?t=1933977

Eseguo quindi le operazioni preliminari (disabilitazione ripristino config e modifica server DNS).

Aggiorno Malwarebytes Anti-Malware che ad aggiornamento effettuato non parte più visualizzandomi il messaggio che non dispongo dei diritti di amministratore (questo anche dalla modalità provvisoria).

Sempre da tale modalità eseguo lo stinger che trova 2 files infetti che segnala come FAKEALERT-REP e in dettaglio:
FP_AX_CAB_Installer
sethc.exe

Al riavvio però i problemi persistono.

Installo allora nell'ordine Findykill, Elibagla che non rilevano minacce nemmeno in modalità provvisoria.
Infine Combofix di cui posto il link al log: ComboFix.txt

Dopo eseguo prevx 3.0 che mi rileva solo alcuni falsi positivi e infine ATF-Cleaner.

Dopo il riavvio ancora i software antivirus Sophos e Malwarebytes Anti-Malware non funzionano, ma torna a funzionare hijackthis e questo è il suo log: hijackthis.log

Eseguo scansione anche con BangleGUI di Sophos senza rilevare minacce.

Disinstallo e reinstallo Malwarebytes Anti-Malware che parte, eseguo scansione che non riporta minacce. Allego log: mbam-log-2011-07-25 (15-40-38).txt

Ora il mio problema credo sia solo Sophos che risulta disattivato. Cosa faccio. Riprocedo con i passi di rimozione bagle, disinstallo e reinstallo Sophos o provo a seguire la GUIDA ALLA DISINFEZIONE PER INFETTi. Come posso essere sicuro di aver eliminato le minacce.

Scusate per il lungo post. Spero potrete aiutarmi.

[Chill-Out]

Ciao, scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita

PS: ti viene data la possibilità di salvare un log in formato .xml, sarebbe opportuno salvarlo ed allegarlo, vedi Regole di sezione in firma

[MarioJoker82]

Grazie per la risposta. Ho effettuato la scansione e ha rilevato delle tracce di malware e trojan. Lui consiglia di cancellare, ma secondo me sono tutti falsi positivi.

Ad esempio:
C:\WINDOWS\system32\nvsvc32.exe (me lo classifica trojan ma dovrebbe essere un file della mia scheda video)

C:\Acer|Empowering Technology\admServ.exe (anche questo è un file di origine del mio portatile)

e altri simili.

Non posso ancora postarti il log perchè devo decidere l'azione da intraprendere. Che faccio? Li elimino, ignoro o metto in quarantena?

[Chill-Out]

Quote:

Originariamente inviato da MarioJoker82

Grazie per la risposta. Ho effettuato la scansione e ha rilevato delle tracce di malware e trojan. Lui consiglia di cancellare, ma secondo me sono tutti falsi positivi.

Ad esempio:
C:\WINDOWS\system32\nvsvc32.exe (me lo classifica trojan ma dovrebbe essere un file della mia scheda video)

C:\Acer|Empowering Technology\admServ.exe (anche questo è un file di origine del mio portatile)

e altri simili.

Non posso ancora postarti il log perchè devo decidere l'azione da intraprendere. Che faccio? Li elimino, ignoro o metto in quarantena?

Questi sono Falsi Positivi, gli altri?

[MarioJoker82]

Allora ti escludo i cookies e i sospetti.
Come minacce mi rileva:
C:\WINDOWS\system32\nvsvc32.exe (Trojan)
C:\Acer|Empowering Technology\admServ.exe (Trojan)
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe (Malware: Virus.win32.Virut)
C:\Programmi\Canon\IJPLM\IJPLMSVC.EXE (Trojan)
C:\Programmi\Java|jre6\bin\jqs.exe (Malware)
C:\Programmi\File comuni\LightScribe\LSSrvc.exe (Malware)
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe (Malware)
C:\Programmi\Sophos\AutoUpdate\ALsvc.exe (Trojan)
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe (Trojan)
C:\Programmi\Sophos\Sophos Anti-Virus\SAVAdminService.exe (Malware)
C:\Programmi\Sophos\AutoUpdate\ALsvc.exe (Trojan) [me lo segnala per la seconda volta]

Che azioni devo intraprendere? Da profano penserei che siano tutti falsi positivi e sarei tentato di ignorare. Cosa consigli?

Sto scansionando il pc con Emsisoft Anti-Malware. Sembra trovare gli stessi "virus" e altre minacce. Quando finirà posso inoltrare un log senza intraprendere azioni?

[MarioJoker82]

Ho provveduto ad ignorare ciò che per me era un Falso Positivo in modo da inoltrarti il log: loghitman.xml

Se secondo te queste sono reali minacce potrei rimuoverle con Emsisoft Anti-Malware al termine della scansione.

[MarioJoker82]

Nel dubbio potessi aver preso il Virut, ho fatto una scansione con Stinger e con lo strumento di rimozione malware di Windows. Non ha trovato infezioni.

[MarioJoker82]

Ho messo tutto in quarantena. Eccoti il report.

a2scan_110725-182051.txt

Ha dovuto riavviarsi per completare alcuni spostamenti in quarantena.

[Chill-Out]

Controllando i log comprendo il perchè di questo pasticcio, l'unica soluzione è formattare e reinstallare il SO regolarmente licenziato.

A tal proposito ti invito a prendere visione del Regolamento del Forum

[MarioJoker82]

Ti ringrazio per la risposta. reinstallerò il SO con i cd di backup del notebook. Solo per curiosità: ma per te ho preso il Virut?

[Chill-Out]

Quote:

Originariamente inviato da MarioJoker82

Ti ringrazio per la risposta. reinstallerò il SO con i cd di backup del notebook. Solo per curiosità: ma per te ho preso il Virut?

Molto probabile