GUIDA alla rimozione virus da MSN Messenger (Thread semi-ufficiale).

[wjmat]

queste se non le cononosci fixale

Codice:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ba.issia.cnr.it
O17 - HKLM\Software\..\Telephony: DomainName = ba.issia.cnr.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ba.issia.cnr.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ba.issia.cnr.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ba.issia.cnr.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ba.issia.cnr.it
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ba.issia.cnr.it

poi questa non mi convince...

Codice:

O20 - AppInit_DLLs: ASAPHook

[gargamella75]

Quote:

Originariamente inviato da wjmat

queste se non le cononosci fixale

Codice:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ba.issia.cnr.it
O17 - HKLM\Software\..\Telephony: DomainName = ba.issia.cnr.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ba.issia.cnr.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ba.issia.cnr.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ba.issia.cnr.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ba.issia.cnr.it
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ba.issia.cnr.it

Non saprei...tieni conto che è il dominio del mio Istituto...non credo sia qui il problema.

Quote:

Originariamente inviato da wjmat

poi questa non mi convince...

Codice:

O20 - AppInit_DLLs: ASAPHook

Questa non so cosa sia e anche il tool online che ho consultato me la segna in viola, ossia potenziale pericolo



Per completezza allego i log di msnfix, msncleaner e K (purtoppo per live kill sto ancora al 20% di download a 266 Kb!!! Al limite se è proprio fondamentale ripeterò il tutto appena avrò scaricato...cioè venerdì). Comunque è da quasi un'ora che ho riattivato msn e ancora nulla...magari ne sono uscito!

[wjmat]

fai una verifica veloce... attiva la visualizzazione di file e cartelle nascoste e vai in C:\Documents and Settings e guarda se c'è qualche nome di utente strano...

[gargamella75]

No, è tutto ok.

[wjmat]

LiveKillCleanMessenger prova a scaricarlo da qui

[PGR79]

- edit: Cancellato post doppio-

[PGR79]

ciao ragazzi,
penso di aver preso un virus da MSN, ho seguito tutta la guida e letto ed eseguito le operazioni dei thread in evdenza della sezione.

In pratica gli effetti sono che non vedo piu i file di sistema e spesso mi appare un errore di applicazione cli.exe indicando che un' istruzione ha fatto riferimento a un indirizzo di memoria che non puo' essere "read", e devo premere OK per terminarla.

Vi allego gli allegati delle scansioni che ho fatto seguendo il primo post:

Windows XP SP2
Antivirus : Avast

grazie 10000!!!

log livekillcleanmsn
http://www.fileup.itadib.com/downloa...fJXsoezydg9n36


log msnfix
http://www.fileup.itadib.com/downloa...vfRHalNeM7IVKr

[PGR79]

rieccomi: in attesa di un vs consiglio su come procedere, poiche' non ho ancora capito bene qual e' il problema che affligge il mio pc vi allego qualora possano essere utili come indicato dal thread "guida alla disinfezione per infetti"
i log ottenuti con
prevx gsi
http://www.fileup.itadib.com/downloa...RaGMYSkdRExkHI

e gmer
http://www.fileup.itadib.com/downloa...ixkOAlRGC6aRFu

ancora grazie anticipate per l' aiuto!

[Chill-Out]

NB: ripristino configurazione sistema disattivato

Fai pulizia con CCleaner se no l'hai già fatto in Guida trovi le istruzione su come procedere

Apri HijackThis clicca su DO a system scan only - metti il segno di spunta nella casella bianca a sx delle sotto indicate voci:

O4 - HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe

clicca su Fix checked

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php
scompattalo, avvialo ed iserisci nel box bianco (copi ed incolli) il seguente Script

Quote:

Files to delete:
C:\WINDOWS\system32\fool0.dll
C:\WINDOWS\system32\kxvo.exe
C:\io.com
C:\WINDOWS\system32\fool1.dll
c:\windows\system32\ieso0.dll

clicca su Execute, al termine il PC si dovrebbe riavviare, se non si riavvia fallo tu manualmente ed allega il log che trovi in C:\Avenger.txt

[PGR79]

innanztutto grAZIE per la risposta Chill Out,

ripristino disabilitato e ccleaner gia' fatto in precedenza ma ripetuto.
Ho cancellato la voce con HJthis e eseguito lo script, allego il log di avenger:

inoltre dopo il reboot ho rifatto girare HJthis per vedere se era rimasta la voce che mi hai detto di fixare, in effetti e' sparita, ti allego il log cmq:

http://www.fileup.itadib.com/downloa...DfPQmAUhdr2RsD

prossimi step?

[Chill-Out]

Quote:

Originariamente inviato da PGR79

grAZIE per la risposta Chill Out,

ripristino disabilitato e ccleaner gia' fatto in precedenza ma ripetuto.
Ho cancellato la voce con HJthis e eseguito lo script, allego il log di avenger:

prossimi step?

Porta a termine i controlli come indicato in Guida

[gargamella75]

Aggiornamento sulla mia situazione:

Dopo aver fixato alcune voci che mi trovava Hijackthis (relative a ctfmon.exe) msn ha funzionato normalmente, senza spammare virus ai miei contatti. Ma continuavo a non accedere ai principali siti di antivirus & Co.
Ho lanciato LiveKillClean ma nada, non ha trovato nulla.
Come ultima cosa ho installato e lanciato (in mod provvisoria) SDFix (un mio collega ha risolto direttamente operando in questo modo) ed ora tutto va alla perfezione!
Vi allego il report di SDFix (che per me è ermetico...dice di aver cancellato C:\Uniq ...boh...non so se davvero era questa la causa dei miei problemi...avrei giurato di averlo da mesi...)

[PGR79]

Quote:

Originariamente inviato da Chill-Out

Porta a termine i controlli come indicato in Guida

ciao,
allora con Panda non son stati rivelati rootkit.
Ecco allegato il log di SuperAntispyware, 10 oggetti sospetti messi in quarantena.
http://www.fileup.itadib.com/downloa...EAVu10GAhoQ3Zg

Ed anche il log di HJthis, purtroppo il problema mi pare sia ancora presente, vedo ancora le finestre di errore e credo anche il processo che e' riapparso....

[xcdegasp]

Quote:

Originariamente inviato da PGR79

ciao,
allora con Panda non son stati rivelati rootkit.
Ecco allegato il log di SuperAntispyware, 10 oggetti sospetti messi in quarantena.
http://www.fileup.itadib.com/downloa...EAVu10GAhoQ3Zg

Ed anche il log di HJthis, purtroppo il problema mi pare sia ancora presente, vedo ancora le finestre di errore e credo anche il processo che e' riapparso....

sicuro che non mancano dei log?

[PGR79]

di che tipo? nel senso che i log allegati sono incompleti o manca qualche passaggio della Guida (mi sembra di aver fatto tutto correttamente.. )

[xcdegasp]

che sono più di due i programmi da usare
e non sono quelli

[Chill-Out]

Effewttivamente la Guida non è stata seguita passo passo e questo non aiuta, comunque apri HijackThis clicca su DO a system scan only - metti il segno di spunta nella casella bianca a sx delle sotto indicate voci:

O4 - HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe

clicca su Fix checked

In Avenger inserisci questo Script

Quote:

Files to delete:
C:\DOCUME~1\RA\IMPOST~1\Temp\SSUPDATE.EXE
C:\WINDOWS\system32\kxvo.exe

Registry values to delete:
HKEY_USERS\S-1-5-21-2373963945-1096926480-1834194714-1006\Software\Microsoft\Windows\CurrentVersion\Run | kxvo.exe

Poi scansione online con BitDefender salva ed allega il log in formato html

Riepilogo log da allegare
Avenger
BitDefender
Nuovo log di HijackThis

[PGR79]

avevo inteso dalla guida questa frase:

"PRIMA DI ESEGUIRE LA TERZA PARTE DELLA PROCEDURA, ATTENDI UNA RISPOSTA"

visto che la risposta e' arrivata dopo aver postato tutti i log delle parti 1&2 ho postato i log della terza parte che sono (se ho capito bene quelli che ho postato), invece avrei dovuto ripetere i log prima vero?
mea culpa , ora faccio tutto e posto i risultati!

[PGR79]

.. allora mi sono perso l' ultimo post di ChillOut visto che oggi non avevo accesso al forum, e ho rieseguito la guida nella prima parte (forse male interpretando il mex di ieri di xcdegasp).

Ho fixato il problema con HiJackThis relativo a questa linea:
O4 - HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe

poi Ho pulito con ccleaner, ho fatto girare PrevxCsi che mi ha rivelato questi problem che ho cancellato con questo script da Avenger (scusate ma il log di PrevxCsi non l' ho salvato, facendolo girare dopo il reboot dava tutto ok)

Codice:

Files to delete:
C:\du08sout.cmd
C:\WINDOWS\system32\kxvo.exe
C:\apj.com
C:\WINDOWS\system32\fool0.dll
C:\WINDOWS\system32\fool1.dll

poi ho fatto girare LIVEKILL CLEAN MESSENGER che non ha trovato nulla, allego il log.
poi ho fatto girare MSNFIX che ha trovato un virus (allego log) e mi ha riavviato il pc.
Poi MSNCLEANER, riavviato e HJThis che allego.

KASPERSKY mi e' scaduto, quindi sto utilizzando ora come suggerito da ChillOut Bitdefender, finira' tra qualche ora, intanto se ho fatto qualcosa di sbagliato o devo fare altro prima di questa scansione la interrompo e seguo le Vs istruzioni!
Grazie per l' aiuto e scusate per il casino :-(

[PGR79]

ecco i 3 logs mancanti

Scan BitDefender che ha trovato ancora qualcosa sob sob :
http://www.fileup.itadib.com/downloa...CdrJ6TMv4YtnVS