Mi serve un "consulto" per questo virus

[patman]

Ciao a tutti e grazie in anticipo a chi mi vorrà aiutare.
Devo essermi preso (anche se non ho capito come) quel maledetto virus, di cui non conosco il nome, che crea dei file exe temporanei il cui nome è una stringa alfanumerica i cui primi 2 numeri cambiano sempre. Zone Alarm fortunatamente me lo ferma ma finora, nonostante scansioni con tantissimi antivirus/Spyware (nod 32, Kaspersky on line, pccillin online,Spybot, Spyware Doctor, Mc Afee on line...) non ho ottenuto alcun risultato: mi dicono sempre che sono "pulito"....

Ho visto che avete già trattato alcune volte casi analoghi, però dai vecchi thread non sono riuscito a risolvere nulla... Ho deciso quindi di seguire pedissequamente la procedura che suggerite nella guida e sto predisponendo tutti i log richiesti (è da ieri sera che il pc lavora ... ora sta girando GMER e quindi sono in dirittura d'arrivo...). Pubblicherò i log (seguendo ovviamente i consigli della "guida") tra poco. Ora ho una domanda "preliminare": il log di Dr Web occupa circa 70 MB: ho cercato di scaricare il parserlog ma il collegamento risulta non funzionante... Dove lo posso prendere?

Grazie e a tra poco per i log!

[Gle89]

Salve e benvenuto!

Sono contenta che tu abbia letto la guida alla disinfezione e le regole di sezione Aspettiamo quindi i tuoi log e per ParserLog prova a scaricarlo da questo link http://hwupgrade.helloweb.eu/ParserLog/cureit.zip

[patman]

Ciao a te e grazie per il supporto!
Putroppo non riesco a scaricare il parserlog: mi scarica un file cureit.zip da 59kb che però non riesco ad aprire in quanto winzip mi dice che si tratta di un archivio non valido.... Se lo apro con winrar mi esce un file cureit senza estensione e ovviamente non riesco ad aprirlo. Che strano....

[wjmat]

non lo vedi cureit.jar?

[patman]

In attesa di trovare una soluzione per scaricare il parserlog, incomincio a postare tutti i log ad eccezione di Dr Web a causa delle dimensioni spropositate....

A-Squared a2scan_080730-233247.txt

F Secure F-Secure Online Scanner 3_3_1 - Scanning Report - Thursday, July 31, 2008 085020.txt

EsetSysinspector SysInspector-COMPUTER-080731-1204.xml

HiJackThis hijackthis.log

Gmer Gmer.log

PrevxCSI PrevxCSI.log

Spero che vada tutto bene.....!

[patman]

Quote:

Originariamente inviato da wjmat

non lo vedi cureit.jar?

No, a me vuole scaricare un cureit.zip......

[wizard1993]

Quote:

Originariamente inviato da patman

No, a me vuole scaricare un cureit.zip......

cureit.jar è dentro cureit.zip inoltre quel file deve pesare sugli 81 kb, non di più, se necessario te lo spedisco io in privato

[patman]

Quote:

Originariamente inviato da wizard1993

cureit.jar è dentro cureit.zip inoltre quel file deve pesare sugli 81 kb, non di più, se necessario te lo spedisco io in privato

Mi faresti un vero favore

Mi dà sempre un file zip da 59kb......

[wizard1993]

Quote:

Originariamente inviato da patman

Mi faresti un vero favore

Mi dà sempre un file zip da 59kb......

allora la cosa però qui è abbstanza complessa, infatti io dispongo solo si una beta non ancora resa pubblica, quindi segui attentamente:
scarica questo
http://www.zshare.net/download/163014422f034874/
scompattalo apri con blocco note il file "def" e incollaci questo script

Spoiler:

Codice: line Contains: infetto [Scan path] Sistema operativo: Processi in memoria: [Memory test] ----------------------------------------------------------------------------- Statistiche delle Scansioni Oggetti controllati: Trovati oggetti Infetti: Trovato Oggetti modificati: Trovato oggetti Sospetti: Trovato Adware: Trovato Dialer: Trovato Joke: Trovato Riskware: Trovato Hacktool: Oggetti curati: Oggetti cancellati: Oggetti rinominati: Oggetti spostati: Oggetti ignorati: Velocità di scansione: Durata scansione: spostato cancellato infettato incurabile

salva, avvia il programma spunta entrambe le caselle scegli il file e premi esegui conversione, ti verrà dato un link in output incollalo qui

[patman]

Ciao, grazie per le dritte.
Ho fatto come mi hai gentilmente spiegato ma non sono sicuro che tutto stia funzionando bene. Quando ho premuto "esegui conversione" ha lavorato per circa 10-15 secondi, quindi ha aperto una piccola finestra chiamata "work in progress", java si è connesso ad internet, quindi ha lavorato per 4-5 secondi e adesso è circa 30 minuti che è tutto fermo e non succede niente.... I processi non risultano bloccati, ma ha tutta l'aria di essere in freeze. E' normale che impieghi così tanto? A parte il fatto che non mi sembra che stia lavorando....

[patman]

Ovviamente, come ho postato il precedente messaggio, il processo è terminato!

Ecco l'output:
http://www.hwupgrade.helloweb.eu/Par...5008360001.txt

Tutto ok?

[wizard1993]

Quote:

Originariamente inviato da patman

Ovviamente, come ho postato il precedente messaggio, il processo è terminato!

Ecco l'output:
http://www.hwupgrade.helloweb.eu/Par...5008360001.txt

Tutto ok?

dovrei chiamarla alpha più che beta, non ha fatto un accidente

[patman]

Infatti mi pareva che il log fosse rimasto di circa 68 MB....

[wizard1993]

ecco la versione ripulita
http://www.hwupgrade.helloweb.eu/Par...1683113745.txt

[wjmat]

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programmi\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ComRepl] C:\WINDOWS\System32\comrepl.exe /com /w
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero
O14 - IERESET.INF: START_PAGE_URL=http://www.computervalley.it
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/ qtplugin.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5347/mcfscan.cab
O16 - DPF: {EECC2B58-FDE7-4F3A-B933-B25BE90F1D37} (CTXAXSetupCtl Object) - http://download.yoomba.com/YoombaActivation.cab

il pc come sta?

[patman]

Ciao, innanzitutto grazie per l'aiuto!

Ho seguito le tue istruzioni e qui posto il nuovo log che mi hai richiesto

hijackthis 2.log

Per ora sembra andare tutto bene, però si tratta di un virus maledetto perchè nei giorni scorsi non si è fatto sentire per parecchie ore per poi tornare a manifestarsi!

Mi accorgo della sua presenza perchè Zone Alarm mi avvisa che TODO <qualcosa> cerca di accedere ad internet e io lo blocco regolarmente. Inoltre in questi casi trovo sempre dei file eseguibili con lo stesso nome (ma cambiano regolarmente le prime 2 cifre) da 0 byte nella cartella TEMP.

Al momento non se ne è ancora creato nessuno....

Lo tengo d'occhio e vi aggiorno.

Ringrazio ancora per l'aiuto.

[wjmat]

dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

[patman]

Per ora continua ad andare tutto bene e non sono più ricomparsi avvisi di Zone Alarm o i maledetti file exe nella cartella TEMP....

Ancora grazie per l'aiuto, mi auguro veramente di non dovere più ricorrere ai vostri consigli per eliminare qualche virus/malware

Ho letto anche l'interessantissima guida riguardante le "suite" di software per essere maggiormente protetti; finora io mi ero basato su Nod 32, Zone Alarm (free), Spybot e Spyware Doctor (free) e non avevo più avuto problemi negli ultimi 2-3 anni. Leggendo la guida penso che sostituirò Online Armor a Zone Alarm e utilizzero anche a-squared.

Saluti!