AIUTO: ho un virus! Cosa faccio? Quale virus ho?

[mirketto94]

Da più di una settimana ho preso un virus tutto è iniziato così:
era scaduto il tempo di versione di prova di Kaspersky Internet Security 2009 così l'ho disinstallato ed ho installato Avast, dopo un po' ho deciso di installare il trial di Kaspersky Antivirus e mi dava l'errore 1721 (non è a causa della licenza perchè sennò lo avrebbe installato ed avrebbe detto che avevo una licenza scauta), poi ho installato Nod32 tutto bene, ma il giorno dopo ho avviato il computer e c'era il messaggio del Centro sicurezza del PC e diceva che non avevo antivirus e quando sono andato a controllare nel folder dell'antivirus diceva che non ero l'amministratore poi che il collegamento era rotto, lo stesso lavoro me lo ha fatto con avast, Bitdefender e Avira
Così ho fatto tutto quello che diceva la guida alla disinfestazione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

Ecco tutti i miei log:

Malwarebytes Anti-Malware:
http://www.fileqube.com/file/zNyQNbLQ199039

A-Squared Free v4.x:
http://www.fileqube.com/file/QXvXjpTEm199041

F-Secure OnLine:
http://www.fileqube.com/file/fdxtTKP199042

Dr.Web CureIT snellito con ParserLog:
http://www.fileqube.com/file/UOABmK199043

ESET SysInspector:
http://www.fileqube.com/file/BJeWNXF199044

HiJackThis:
http://www.fileqube.com/file/tikJyz199045

Gmer:
http://www.fileqube.com/file/IPLUMCu199046

Prevx 3.0:
http://www.fileqube.com/file/efwuSG199048

Come posso risolvere il problema?
Che virus ho?

[wjmat]

Ciao

scansioni e caricamento log eseguiti da manuale

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ProductReg] "C:\Program Files\Acer\WR_PopUp\ProductReg.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [basicsmssmenu] "C:\Program Files\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O16 - DPF: {15BC34E3-81B5-41EF-8704-A6421FAD29F9} (AgentObj Class) - https://endpointassessment.sophos.com/webagent/webagentNT.cab
O16 - DPF: {167C192D-44C1-4EAB-9279-496EA91C75D2} (CredListObj Class) - https://endpointassessment.sophos.com/webagent/credlist.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C237A80A-4C55-4C68-BAA9-CBE4408D12B2} (F-Secure Online Scanner 4.0 Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

fai controllare su www.virustotal.com e su http://virscan.org/

Codice:

c:\windows\pev.exe

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

[mirketto94]

scusa mentre faccio la scansione con HijackThis dice che non può controllare la cartella C:\Windows\System32\drivers\etc\hosts.
è uguale o c'è il virus che si è impossessato dell'host e devo fare qualcosa?
Grazie in anticipo

E poi non sono sparite tutte le voci fixate ma solo questa:

Codice:

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

ecco il risultato di virustotal.com:
http://www.virustotal.com/it/analisi...3db-1244274644

e quello su virscan.org:
http://virscan.org/report/31bb62f4b6...6b591eb17.html

[wjmat]

hai utilizzato combofix in precedenza?

prova a rifixare

[mirketto94]

Quote:

Originariamente inviato da wjmat

hai utilizzato combofix in precedenza?

prova a rifixare

già l'ho utilizzato per fare la disinfestazione per Bagle lo devo riutilizzare?
Ma il file che ha trovato Dr. Web (WmrInstall_11.exe) non è quello che installa il worm. Devo fare qual cosa?

[mirketto94]

comunque ecco il log del 1 giugno di ComboFix:
http://www.fileqube.com/file/EvMxarzo198461

Se è necessario faccio un'altra scansione con Combofix
Rispondetemi per favore
Grazie in anticipo

[wjmat]

rimuovi combofix come da info nel bigino in firma

[mirketto94]

Quote:

Originariamente inviato da wjmat

rimuovi combofix come da info nel bigino in firma

fatto ma io non ho capito una cosa: il virus sono riuscito ad eliminarlo o no?
il file WmrInstall_11.exe che ha trovato Dr. Web l'ho fatto analizzare su virscan.org ecco il risultato: http://www.virscan.org/report/e8541b...aa9dfd4d2.html
Sembra un file infetto

[Chill-Out]

Quote:

Originariamente inviato da mirketto94

fatto ma io non ho capito una cosa: il virus sono riuscito ad eliminarlo o no?
il file WmrInstall_11.exe che ha trovato Dr. Web l'ho fatto analizzare su virscan.org ecco il risultato: http://www.virscan.org/report/e8541b...aa9dfd4d2.html
Sembra un file infetto

Quel file nello specifico era già nella Quarantena di DrWeb, per cui non ti devi preoccupare

[mirketto94]

Quote:

Originariamente inviato da Chill-Out

Quel file nello specifico era già nella Quarantena di DrWeb, per cui non ti devi preoccupare

No: stava nella quarantena di Dr. Web perchè mentre facevo la scansione l'ha trovato e l'ha messo in quarantena, poi è andata via la corrente a casa ed ho dovuto rifarfare la scansione e quindi ha trovato SlgClientServicesRedists.exe e WmrInstall_11.exe nella quarantena perchè l'aveva spostato il giorno prima.

Ma xampp-win32-1.7.0.exe invece che è pericoloso o no?
era quello per installare apache, php ed altro (io gestisco un sito web)

In definitiva: l'ho trovato il virus o no? A me sembra che gli Avira sia ancora bloccato (quindi è problabile che il virus c'è ancora ).
Ora provo a disinstallarlo e ad installarlo poi vi farò sapere.
Per favore aiutatemi

[mirketto94]

Quote:

Originariamente inviato da mirketto94

A me sembra che gli Avira sia ancora bloccato (quindi è problabile che il virus c'è ancora ).
Ora provo a disinstallarlo e ad installarlo poi vi farò sapere.
Per favore aiutatemi

Avira l'ho disinstallato, poi l'ho riinstallato.
Tutto bene... ma poi oggi ho riacceso ed avira non era nell'area notifica, così ho cliccato sull'icona del desktop ma come al solito viene fuori questo messaggio:




il virus c'è ancora... perchè non rispondete più? per favore
Grazie in anticipo

[wjmat]

nuovo log di prevx

[Chill-Out]

Avira va disinstallato correttamente come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1514684 e successivamente reinstallato.

[mirketto94]

Ecco il novo log di Prevx:
http://www.fileqube.com/file/fGSRyLb199720

Ecco la screenshot di Prevx:


Un mio amico mi ha detto che potrei avere anche due o più antivirus che sono entrati in conflitto ma io su programmi e funzionalità ho solo Avast quindi...

è più probabile che abbia un virus
per favore aiutatemi ad eliminarlo
Grazie ancora per la vostra attenzione

[mirketto94]

Quote:

Originariamente inviato da Chill-Out

Avira va disinstallato correttamente come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1514684 e successivamente reinstallato.

Se parli di questo:

Quote:

R1:Provate ad eseguire questa utility
R2: Disinstallate il programma e,nell'ordine:
1)riavviate il pc
2)eseguite questo tool
3)eseguite quest'altro tool
4)reinstallate il programma

l'ho fatto
ma il virus sembra che ci sia ancora

[wjmat]

vuoi lasciare avast o antivir?
ammesso che non possano convivere 2 antivirus contemporaneamente non è detto che tu sia necessariamente infetto se l'av non si installa correttamente

[Chill-Out]

Quote:

Originariamente inviato da mirketto94

Se parli di questo:

l'ho fatto
ma il virus sembra che ci sia ancora

Quale virus? Dai log non risulta nulla, se poi ce lo vogliamo inventare

[mirketto94]

Quote:

Originariamente inviato da Chill-Out

Quale virus? Dai log non risulta nulla, se poi ce lo vogliamo inventare

ottimo!!
è quello che voglio dire io: perchè se non è risultato nessun virus mi si bloccano tutti gli antivirus.
Grazie
credo che stiamo per arrivare alla soluzione del mio problema

[mirketto94]

Quote:

Originariamente inviato da wjmat

vuoi lasciare avast o antivir?
ammesso che non possano convivere 2 antivirus contemporaneamente non è detto che tu sia necessariamente infetto se l'av non si installa correttamente

io in verità avevo pensato che quando avevo risolto il problema di comprarmi la versione originale del Kaspersky Internet Security 2009 ma vedo che non mi fà installare neanche il trial...

[Chill-Out]

Quote:

Originariamente inviato da mirketto94

ottimo!!
è quello che voglio dire io: perchè se non è risultato nessun virus mi si bloccano tutti gli antivirus.
Grazie
credo che stiamo per arrivare alla soluzione del mio problema

Perche hai fatto un gran pasticcio

Quote:

Originariamente inviato da mirketto94

Da più di una settimana ho preso un virus tutto è iniziato così:
era scaduto il tempo di versione di prova di Kaspersky Internet Security 2009 così l'ho disinstallato ed ho installato Avast, dopo un po' ho deciso di installare il trial di Kaspersky Antivirus e mi dava l'errore 1721 (non è a causa della licenza perchè sennò lo avrebbe installato ed avrebbe detto che avevo una licenza scauta), poi ho installato Nod32 tutto bene, ma il giorno dopo ho avviato il computer e c'era il messaggio del Centro sicurezza del PC e diceva che non avevo antivirus e quando sono andato a controllare nel folder dell'antivirus diceva che non ero l'amministratore poi che il collegamento era rotto, lo stesso lavoro me lo ha fatto con avast, Bitdefender e Avira

Edit: dimenticavo questo è ciò che risulta dal log di Prevx

c:\program files\avira\antivir desktop\avgnt.exe

Avira Antivir è regolarmente funzionante