worm.win32.otwycal.ag!A2, Backdoor.Win32.Hupigon.cmmc!A2, c:\windows\PChealth\,ecc...

[000577]

Oggi mentre cancellavo delle stringhe di avvio dal pc, utilizzando CCleaner, mi sono accorto di una stringa "sospetta":
c:\windows\PCHealth\helpctr\binaries\MSConfig.exe /auto

Perciò come sono abituato in questi casi ho effettuato una scansione on-line con a-squared Web Malware Scanner e BitDefender Online Scanner.

Il primo ha rilevato questi due amichetti:
worm.win32.otwycal.ag!A2 e Backdoor.Win32.Hupigon.cmmc!A2
il secondo sta ancora lavorando.

Ora il tutto è collegato oppure ogni cosa ha bisogno di una cura?
Allego inoltre log effettuato con HijackThis per aiutarvi nella diagnosi!
Grazie mille

[wjmat]

Ciao benvenuto nel pronto soccorso di HU.

segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema , fatto la pulizia dei file inutili con ATFCleaner , vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log
Qui e qui esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com

[000577]

Solo una cosa...alla fine di ogni scansione delle guida devo salvare il log..ok...però alla fine di ogniuna di queste mi chiederà di effettuare una operazione tipo spostamento file in quarantena oppure cancellazione, ecc...io che devo fare?

[000577]

Chiedo perdono m sono accorto solo ora che è tutto spiegato nel collegamento INFO. Faccio tutte le scansioni del caso e vi dico...per ora grazie

[wjmat]

mi pare di averti allegato delle info

[xcdegasp]

novità?

[000577]

Sto effettuando proprio ora tt le istruzioni fornitemi dal gentilissimo wjmat...purtroppo però per la fretta ho già commesso un errore infatti al punto 2. credendo che A-squared generasse automaticamente il log nn ho fatto salva report...mi sento un idiota...3 files proprio con questo programma li ho messi in quarantena...ora sto continuando la procedura...se devo far qualcosa per ovviare al salvataggio del log al punto 2. fatemi sapere...grazie mille

P.S. Giusto per informazione la stringa c:\windows\PCHealth\helpctr\binaries\MSConfig.exe /auto stamattina magicamente nn c'era più...lo dico per fornirvi un elemento in più nella diagnosi finale

[wjmat]

se li hai messi sicuramente in quarantena ed era la deep scan ok
altrimenti ripeti

[000577]

Ragazzi ora "forse" ha finito la scansione con Dr.Web ma invece di poter selezionare tutto e spostare nel cestino ha trovato un qualcosa infetto e mi chiede di curare...dato che dalla guida allegata nn menziona questa possibilità cosa devo fare?..

[xcdegasp]

Quote:

Originariamente inviato da 000577

Ragazzi ora "forse" ha finito la scansione con Dr.Web ma invece di poter selezionare tutto e spostare nel cestino ha trovato un qualcosa infetto e mi chiede di curare...dato che dalla guida allegata nn menziona questa possibilità cosa devo fare?..

devi "curare"
ho colto l'occasione per corregerla

[000577]

Come da guida dopo aver effettuato la pulizia generica con ATFCleaner ho eseguito le seguenti scansioni delle quali allego i log generati:

Malwarebytes log> http://www.fileqube.com/shared/vFYdQzuez114983
A-Squared log> http://www.fileqube.com/shared/eVncaSgnH114984
F-Secure log> http://www.fileqube.com/shared/BxvaC114985
Dr.Web log> http://www.hwupgrade.helloweb.eu/Par...4920869927.txt
ESET Sys log> http://www.fileqube.com/shared/ryKKKIZd115004
HiJackThis log> http://www.fileqube.com/shared/ViQIpD115005
Gmer log> http://www.fileqube.com/shared/AnJLrh115006
PrevxCSI log> http://www.fileqube.com/shared/IJmEgak115007

Solo per fornirvi maggiori dettagli..un particolare mi lascia perplesso..durante alcune di queste scansioni il mio antivirus, Avira Antivir Personal Free che utilizzo ormai da un anno proprio su consiglio di questo forum, rilevava dei file infetti nel momento in cui l'altro programma che stava scansionando li analizzava..io nell'indecisione ho sempre selezionato ignora..nel caso nn sia stato chiaro fatemi sapere..cmq per ora vi lascio tutte le analisi effettuate...grazie

[xcdegasp]

il log di a.squared è parziale..
visto che possiedi avira, fai una scansione completa con Avira Antivir e pubblica il report

[000577]

Allora come da richiesta allego il log post-scansione di Avira Antivir log> http://www.fileqube.com/shared/vmuJmNoY115310

Per rispondere a xcdegasp il log di A-Squared è parziale perchè come ho scritto qualche post prima mi sono dimenticato di salvare il log...così ho creato io una specie di log con scritto i file infetti e le infezioni.

Infine ho notato che Avira m segna come infetti anche file che io utilizzo tranquillamente come dei keygen di programmi che ho; credo sia dovuto al fatto che contenendo dei codici Avira si mette sulle difensive! Io li ho cmq messi in quarantena.

Credo ora di avervi fornito tutte le possibili informazioni sul caso

Aspetto vostre analisi

[xcdegasp]

Quote:

Originariamente inviato da 000577

Allora come da richiesta allego il log post-scansione di Avira Antivir log> http://www.fileqube.com/shared/vmuJmNoY115310

Per rispondere a xcdegasp il log di A-Squared è parziale perchè come ho scritto qualche post prima mi sono dimenticato di salvare il log...così ho creato io una specie di log con scritto i file infetti e le infezioni.

Infine ho notato che Avira m segna come infetti anche file che io utilizzo tranquillamente come dei keygen di programmi che ho; credo sia dovuto al fatto che contenendo dei codici Avira si mette sulle difensive! Io li ho cmq messi in quarantena.

Credo ora di avervi fornito tutte le possibili informazioni sul caso

Aspetto vostre analisi

impostato così Avira è inefficace, le tue impostazioni attuali:

Quote:

Primary action...................: interactive

Secondary action.................: ignore
Search for rootkits..............: off

Scan all files...................: Intelligent file selection

la prima azione ti consiglio di impostarla su "repair" la seconda su "quarantena" assicurati che non ci sia la casellina fleggata su "sposta prima gli oggetti in quarantena" in caso disabilitala;
i rootkits devono assere ricercati altrimenti non potrai identificarli con semplicità e rimuoverli;
devi analizzare sempre tutte le estensioni e non le più comuni..

per lo scan queste sono le impostazioni da seguire:
http://img91.imageshack.us/my.php?im...nerscanuh3.jpg

le azioni da impostare te le avevo già dette quindi passo a "Archives":
http://img182.imageshack.us/my.php?i...rchivesmp8.jpg

heuristic su medium anzicchè come da immagine:
http://img411.imageshack.us/my.php?i...uristicwv4.jpg

per la sezione "Guard":
http://img411.imageshack.us/my.php?i...ardscanaw2.jpg

sezione "heuristic":
http://img81.imageshack.us/my.php?im...uristicam4.jpg

nella sezione "Gneral" ci sono le Extended Thread Categories:
http://img169.imageshack.us/my.php?i...hreadcadi6.jpg

nella sezione "security":
http://img81.imageshack.us/my.php?im...ecuritytt5.jpg
io proteggerei con password sia la configurazione che i job


tutte queste impostazioni sono state prese dal thread guida di avira
quindi poi rifai la scansione e pubblica il report

[000577]

OOOK...grazie per la pazienza...ho impostato come da guida...ora rifaccio la scansione e riposto il log!!!

Cmq volevo farvi i complimenti...chissà quanta gente ve lo dice...cmq io ritengo voi siate davvero i migliori...e oltretutto siete anche molto gentili...thanks

[xcdegasp]

fa sempre piacere ricevere i complimenti, ce la mettiamo tutta per aiutare e perfortuna la maggior parte apprezza e sono collaborativi
grazie mille

[000577]

Eccomi qui...allego la seconda scansione effettuata con Avira con le opzioni consigliatemi un post fa
Avira Antivir log> http://www.fileqube.com/shared/CqdQz115428

[xcdegasp]

ottimo, ora un nuovo log con prevx e gmer

[000577]

Eccoli qui:
Gmer log> http://www.fileqube.com/shared/nTCAM115466
Prevx log> http://www.fileqube.com/shared/szRWISoH115471

[wjmat]

anche di hijackthis