Quando apro l'hd esterno: Impossibile trovare il file RECYCLER....." E' un Virus?

[Stefy_MHR]

Salve ragazzi! Ho formattato da poco, ma io qui ho un problema ogni giorno, una cosa incredibile!
Quando tento di aprire il contenuto del mio hard disck esterno esce questo:



Nel frattempo posto un log di hijackthis:
http://www.fileqube.com/file/pljJtfn173478
Spero di risolvere!

[helix272]

Quote:

Originariamente inviato da Stefy_MHR

Salve ragazzi! Ho formattato da poco, ma io qui ho un problema ogni giorno, una cosa incredibile!
Quando tento di aprire il contenuto del mio hard disck esterno esce questo:



Nel frattempo posto un log di hijackthis:
http://www.fileqube.com/file/pljJtfn173478
Spero di risolvere!

Metti la visualizzazione file nascosti (o usa total commander) e vedi se c'e autorun.inf (e lo pialli nel caso)

[Chill-Out]

Segui passo passo la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! ***

[Stefy_MHR]

Quote:

Originariamente inviato da helix272

Metti la visualizzazione file nascosti (o usa total commander) e vedi se c'e autorun.inf (e lo pialli nel caso)

mmm il file dovrebbe essere nell'hard disck o su risorse del computer?

[wjmat]

segui la guida che ti ha indicato chill tenendo collegato il disco esterno durante le scansioni

[Stefy_MHR]

Quote:

Originariamente inviato da wjmat

segui la guida che ti ha indicato chill tenendo collegato il disco esterno durante le scansioni

ok proverò anche se non ho tutto questo tempo per fare scansioni!

[Stefy_MHR]

Forse dovreste dare un occhio a questo log di mcafree rootkit detect!
http://www.fileqube.com/file/expXuhf173797

[Chill-Out]

Quote:

Originariamente inviato da Stefy_MHR

Forse dovreste dare un occhio a questo log di mcafree rootkit detect!
http://www.fileqube.com/file/expXuhf173797

Sei infetto segui la Guida

[Stefy_MHR]

Quote:

Originariamente inviato da Chill-Out

Sei infetto segui la Guida

Ok procedo!

[redheart]

cribbio sta accadendo pure a me!!!!!! ho da poco formattato, ma non ho hd esterni mi succeede in tutte e 4 le partizioni dei miei 2 hd interni!

internet è mezzo impazzito e si sente il rumore di boot del floppy ogni 2 minuti

[Stefy_MHR]

Quote:

Originariamente inviato da redheart

cribbio sta accadendo pure a me!!!!!! ho da poco formattato, ma non ho hd esterni mi succeede in tutte e 4 le partizioni dei miei 2 hd interni!

internet è mezzo impazzito e si sente il rumore di boot del floppy ogni 2 minuti

Anche io ho appena formattato.. che rabbia!!
E comunque non siamo soli: http://www.hwupgrade.it/forum/showthread.php?t=1925461

[Stefy_MHR]

Credo di aver capito che recycler ha a che fare con il cestino di windows!

[wjmat]

seguite la guida indicata da chill al post 3 o non ne veniamo fuori più

[Stefy_MHR]

Quote:

Originariamente inviato da wjmat

seguite la guida indicata da chill al post 3 o non ne veniamo fuori più

Io sto seguendo la guida... sto scansionando con DR.web!

[Stefy_MHR]

Può centrare qualcosa?

Codice:

Il worm si diffonde anche attraverso dispositivi removibili, quali pen drive usb. Una volta connesso il dispositivo, il malware crea il file autorun.inf e copia la dll all’interno della cartella RECYCLER. Sia la cartella che il file vengono configurati con attributo di sola lettura.

E' scritto in fondo qui: http://www.pcalsicuro.com/main/2009/...nelle-aziende/

[Stefy_MHR]

Ecco i log!

Malwarebytes Anti-Malware: http://wikisend.com/download/800360/mbam-log-2009-02-14
A-Squared Free v4.x: http://wikisend.com/download/506980/...214-155748.txt
F-Secure OnLine: http://wikisend.com/download/615046/f-secure
Dr.Web CureIT: http://wikisend.com/download/612712/CureIt.log
ESET SysInspector: http://wikisend.com/download/929386/...90215-1237.xml
HiJackThis: http://wikisend.com/download/561528/hijackthis.log
Gmer: http://wikisend.com/download/513212/gmer.log
PrevxCSI: http://wikisend.com/download/949352/prevx.log
-Screen: http://i40.tinypic.com/2hnb0jl.jpg

N.B.
1) Nel log di gmer, i processi gaopad sono rootkit (però gmer non li segnala), ne sono certo, io comunque non ho killato niente!
2) Il log di Dr.Web CureIT non sono riuscito a snellirlo dato che il download e la guida di parserlog si trova su helloweb, che ha chiuso...
3) Ora l'hard disck riesco ad aprirlo, erano due autorun.inf, (individuato da Dr.Web) la causa ma comunque sono infetto lo stesso dal rootkit!

[Chill-Out]

Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ho provveduto a rinominarlo per scrupolo col un nome casuale
Doppio click su valeska87.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - non toccare il mouse - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

[Stefy_MHR]

Quote:

Originariamente inviato da Chill-Out

Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ho provveduto a rinominarlo per scrupolo col un nome casuale
Doppio click su valeska87.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - non toccare il mouse - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Ecco il log.. comunque il firewall di windows non ha segnalato nulla!
Combofix: http://wikisend.com/download/560820/ComboFix.txt

[Chill-Out]

Apri il Blocco Note copia e incolla questa righe:

Quote:

File::
c:\windows\system32\drivers\39c32.SYS
c:\windows\system32\drivers\e3e33.SYS
c:\windows\system32\2c2.sys
c:\windows\system32\drivers\2631.SYS

Driver::
39c32
e3e33
2631

Registry::
[-HKLM\SYSTEM\ControlSet001\Services\gaopdxserv]
[-HKLM\SYSTEM\ControlSet002\Services\gaopdxserv]
[-HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt + nuovo log di Gmer

Ciao

[Stefy_MHR]

Ecco!

ComboFix: http://wikisend.com/download/530866/ComboFix.txt
Gmer: http://wikisend.com/download/526862/gmer.log

P.S. Vedo ancora il nome gaopad in gmer!
Grazie!