Virus Heur.Worm.Generic

[d3j4 w]

Non so come ne perchè ma su Windows è comparso sto virus!
Kaspersky mi segnala il virus, lo sposta nella quarantena, ma al riavvio ricompare!!!

Quote:

Probabilmente infetto: virus Heur.Worm.Generic (modifica) c:\windows\system32\spool.exe 17,5 KB 10/09/2008 13.25.07

Probabilmente infetto: virus Heur.Worm.Generic (modifica) c:\windows\system32\lsassmgr.exe 17,5 KB 10/09/2008 14.12.02

Probabilmente infetto: virus Heur.Worm.Generic (modifica) c:\programmi\internet explorer\iexplor.exe 17,5 KB 10/09/2008 14.17.09

Probabilmente infetto: riskware Worm.P2P.generic C:\WINDOWS\system32\spool.exe 17,5 KB 10/09/2008 14.16.11

Probabilmente infetto: virus Heur.Worm.Generic (modifica) c:\programmi\mozilla firefox\firefoxe.exe 17,5 KB 10/09/2008 13.24.29

Probabilmente infetto: virus Heur.Worm.Generic (modifica) c:\windows\system32\srtsrv32.exe 17,5 KB 10/09/2008 12.16.17

Ho notato che c'è anche un virus chiamato Worm.P2P.generic... su windows non uso programmi P2P! Avviando in modalità provvisoria compare un finto antispyware accanto all'orologio che rimanda alla pagina di un sito chiamato gomyron che viene bloccato dqa google...

Quote:

Il sito web ***.gomyron.*** è stato segnalato come sito web malevolo ed è stato bloccato sulla base delle impostazioni di sicurezza correnti.

ho provato ad usare:

• mcafee stinger
• spybot
• spyware terminator

ma è stato tutto inutile

[Chill-Out]

Segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! ***

[d3j4 w]

a causa di un guasto alla linea non ho potuto eseguire la scansione con i programmi aggiornati. spero di rimediare al più presto anche perchè aumentano gli exe modificati (me li segnala kaspersky)

[wjmat]

Ricapitolando, dopo aver disabilitato il ripristino di sistema , fatto la pulizia dei file inutili con ATFCleaner , vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log
Qui e qui esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com

[d3j4 w]

Ho eseguito le scansioni, ma non riesco a "snellire" il log con parser

[wjmat]

Quote:

Originariamente inviato da d3j4 w

Ho eseguito le scansioni, ma non riesco a "snellire" il log con parser

il parser potrebbe impiegare anche un minuto a partire....
se non va leggi come fare...

[d3j4 w]

Quote:

Originariamente inviato da wjmat

il parser potrebbe impiegare anche un minuto a partire....
se non va leggi come fare...

si avvia (è molto veloce), seleziono i file, mi dice che ha completato ma non li trovo da nessuna parte!

[wjmat]

se fai anche upload ci dai solo il link

[d3j4 w]

nulla da fare ho cercato di snellire a mano i log di kaspersky e Dr.Web spero che li prendete in considerazione lo stesso non vorrei formattare anche perchè ho installato anche Ubuntu (e non vorrei reinstallare tutto da capo)

1. log di Malwarebytes Anti-Malware: Download (from fileqube)
2. log di A-squared scansione deep: Download (from fileqube)
3. log di Kaspersky Virus Removal Tool: Download (from fileqube)
4. log di Dr.Web CureIT: Download (from fileqube)
5. log di ESET SysInspector: Download (from fileqube)
6. log di HiJackThis: Download (from fileqube)
7. log di Gmer: Download (from fileqube)
8. log di PrevxCSI: Download (from fileqube)

[wjmat]

Scarica Avenger da qui
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Codice:

Files to delete:
C:\WINDOWS\system32\CSRLT.EXE
C:\WINDOWS\system32\LSSMON.EXE
C:\WINDOWS\MSBLT.EXE
C:\WINDOWS\divx32.dll
C:\WINDOWS\KeyGen.exe
C:\WINDOWS\system32\upd01.exe

con cureit non hai fatto scansione completa o sbaglio...

[wjmat]

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [CSRLT.EXE] C:\WINDOWS\system32\CSRLT.EXE
O4 - HKLM\..\Run: [Layersecurity Servicemonitor] C:\WINDOWS\system32\LSSMON.EXE
O4 - HKLM\..\RunOnce: [MSBLT.EXE] C:\WINDOWS\MSBLT.EXE
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\d3j4 w\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - Global Startup: Orbit.lnk = C:\Programmi\Orbitdownloader\orbitdm.exe

[d3j4 w]

Quote:

Originariamente inviato da wjmat

Scarica Avenger da qui
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Codice:

Files to delete:
C:\WINDOWS\system32\CSRLT.EXE
C:\WINDOWS\system32\LSSMON.EXE
C:\WINDOWS\MSBLT.EXE
C:\WINDOWS\divx32.dll
C:\WINDOWS\KeyGen.exe
C:\WINDOWS\system32\upd01.exe

con cureit non hai fatto scansione completa o sbaglio...

l'ho fatta completa ma come ho detto ho "snellito" a mano il log eliminando le voci negative

[d3j4 w]

ho se guito le istruzioni
adesso all'avvio kaspersky non mi rileva più i virus! Purtroppo però l'antivirus mi segnala che molti exe sono stati modificati (explorer.exe, firefox.exe, thunderbird.exe) cìè una soluzione a questo?? e se non c'è posso recuperare i dati senza temere di trasportarmi il virus appresso???

[wjmat]

i log please...
firefox e thunder li disinstalli e li reinstalli
poi per i restanti di win vediamo

[d3j4 w]

Quote:

Originariamente inviato da wjmat

i log please...
firefox e thunder li disinstalli e li reinstalli
poi per i restanti di win vediamo

ho dimenticato quello di avenger e adesso non lo trovo più

[Chill-Out]

Ha girato il Kav Removal Tool sul Kaspersky installato

Allega il log completo del Kaspersky bisogna individuare il provesso che inietta codice maligno

[d3j4 w]

Quote:

Originariamente inviato da Chill-Out

Ha girato il Kav Removal Tool sul Kaspersky installato

Allega il log completo del Kaspersky bisogna individuare il provesso che inietta codice maligno

Si infatti è strano all'avvio inizialmente windows mi dice che kaspersky è disattivato.
il log completo del Kav Removal Tool è grande 38,6 MB (40443418 byte) serve proprio tutto??? dove lo uppo

[Chill-Out]

Quote:

Originariamente inviato da d3j4 w

Si infatti è strano all'avvio inizialmente me windows mi dice che kaspersky è disattivato.
il log completo del Kav Removal Tool è grande 38,6 MB (40443418 byte) serve proprio tutto??? dove lo uppo

No mi serve il log del Kaspersky Antivirus ovvero il tuo AV residente

[d3j4 w]

Quote:

Originariamente inviato da Chill-Out

No mi serve il log del Kaspersky Antivirus ovvero il tuo AV residente

a portata di mano ( adesso sto da ubuntu) ho questo:

Quote:

rilevato: riskware Hidden data sending Processo in esecuzione: C:\Programmi\Windows Live\Messenger\msnmsgr.exe

rilevato: riskware Invader Processo in esecuzione: C:\Programmi\Orbitdownloader\Grab.exe

eliminato: Trojan program Trojan.Win32.Agent.ynz File: C:\DOCUME~1\D3J4W~1\IMPOST~1\Temp\IXP000.TMP\76056~1.EXE//PE_Patch.UPX//UPX

rilevato: riskware Invader Processo in esecuzione: C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{B2C7F511-A253-4190-ABCF-6111CDB1E1B3}\setup.exe

rilevato: riskware Invader Processo in esecuzione: C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{94CFBB29-0570-4BE5-B9F9-CE5967964FEF}\setup.exe

rilevato: riskware Invader Processo in esecuzione: C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{EA70BB8B-BDD0-4E6C-959D-35F78CAC8A0D}\setup.exe

rilevato: riskware Invader Processo in esecuzione: C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{4ED01DCA-F955-4C04-9296-D92A72554AA4}\setup.exe

rilevato: riskware Invader Processo in esecuzione: C:\Documents and Settings\d3j4 w\Impostazioni locali\Temp\{E32757FC-6858-4A42-8F84-21CB22D96D67}\setup.exe

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd1\00. Bonus - Justin Timberlake - Recrimination 2008.exe//data0000.cab/IEPJXW~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd1\00. Justin Timberlake - Recrimination 2008.m3u.exe//data0000.cab/IWDSKI~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd1\00. Justin Timberlake - Recrimination 2008.nfo.exe//data0000.cab/IITIFP~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd1\00. Justin Timberlake - Recrimination 2008.sfv.exe//data0000.cab/IJTTBE~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd2\00. Justin Timberlake - Recrimination 2008.m3u.exe//data0000.cab/IWDSKI~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd2\00. Justin Timberlake - Recrimination 2008.nfo.exe//data0000.cab/IITIFP~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd2\00. Justin Timberlake - Recrimination 2008.sfv.exe//data0000.cab/IJTTBE~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\Documents and Settings\d3j4 w\Desktop\JustinTimberlake_Recrimination_2008\Cd2\00. Bonus - Justin Timberlake - Recrimination 2008.exe//data0000.cab/IEPJXW~1.EXE

rilevato: virus Heur.Worm.Generic (modifica) URL: http://www.universal101.com/upd02.app

rilevato: riskware Worm.P2P.generic Processo in esecuzione: C:\WINDOWS\system32\srtsrv32.exe

eliminato: Trojan program Trojan.Win32.Small.xxd File: C:\WINDOWS\system32\srtsrv32.exe

rilevato: riskware Trojan.generic Processo in esecuzione: C:\WINDOWS\system32\srtsrv32.exe

non trovato: Trojan program Trojan.Win32.Small.xxd File: C:\Programmi\Internet Explorer\iexplor.exe

eliminato: Trojan program Trojan.Win32.Small.xxd File: C:\Programmi\Mozilla Firefox\firefoxe.exe

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd1\00. Bonus - Justin Timberlake - Recrimination 2008.exe//data0000.cab/IEPJXW~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd1\00. Justin Timberlake - Recrimination 2008.m3u.exe//data0000.cab/IWDSKI~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd1\00. Justin Timberlake - Recrimination 2008.nfo.exe//data0000.cab/IITIFP~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd1\00. Justin Timberlake - Recrimination 2008.sfv.exe//data0000.cab/IJTTBE~1.EXE

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd2\00. Bonus - Justin Timberlake - Recrimination 2008.exe

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd2\00. Justin Timberlake - Recrimination 2008.m3u.exe

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd2\00. Justin Timberlake - Recrimination 2008.nfo.exe

eliminato: Trojan program Trojan.Win32.Monderb.kol File: C:\RECYCLER\S-1-5-21-2025429265-1844237615-1801674531-1003\Dc215.rar/JustinTimberlake_Recrimination_2008\Cd2\00. Justin Timberlake - Recrimination 2008.sfv.exe

sarà inviato in quarantena al riavvio del computer: virus Heur.Worm.Generic (modifica) File: C:\WINDOWS\system32\LSASSMGR.EXE

non trovato: Trojan program Trojan.Win32.Small.xxd File: C:\WINDOWS\system32\spool.exe

rilevato: riskware Worm.P2P.generic Processo in esecuzione: C:\WINDOWS\system32\LSASSMGR.EXE

rilevato: riskware Trojan.generic Processo in esecuzione: C:\WINDOWS\system32\LSASSMGR.EXE

rilevato: riskware Worm.P2P.generic Processo in esecuzione: C:\WINDOWS\system32\spool.exe

rilevato: riskware Worm.P2P.generic Processo in esecuzione: C:\Programmi\Mozilla Firefox\firefoxe.exe

eliminato: Trojan program Trojan.Win32.Small.xxd Modulo in esecuzione: LSASSMGR.EXE\LSASSMGR.EXE

i file di JustinTimberlake li aveva mia cugina sulla pendrive...

[Chill-Out]

Che macello allegami il log di Avenger lo trovi in C:\Avenger.txt