[risolto][win XP] Troj : js/Psyme

[Chill-Out]

NB: disattiva il ripristino configurazione sistema se non sai come fare leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1599737

Fai pulizia con Ccleaner seguendo le istruzioni indicate qui al punto 2 http://www.hwupgrade.it/forum/showthread.php?t=1589984

Pulisci gli ADS utilizzando ESET ADS Revealer http://www.hwupgrade.it/forum/showthread.php?t=1294909

Scarica SDFix http://downloads.andymanchesta.com/R...ools/SDFix.exe e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php
Scompattalo, avvialo e copia all'interno del box bianco il sottoindicato script:

Quote:

Files to delete:
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\gqursj.exe
C:\Documents and Settings\Utente\Dati applicazioni\wunauclt.exe

clicca su Execute il PC si dovrebbe riavviare eventulamente riavvialo tu manualmente, al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da allegare per il controllo

Questo file C:\WINDOWS\system32\cd.exe per scrupolo lo carichi qui www.virustotal.com per il controllo, ricorda di indicare il link per visuallizare il responso

Riepilogo dei log da allegare:
SDFix
Avenger
Nuovo log Di prevx CSI
Nuovo log di Gmer

[beppe5646]

Quote:

Originariamente inviato da Chill-Out

NB: disattiva il ripristino configurazione sistema se non sai come fare leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1599737

Fai pulizia con Ccleaner seguendo le istruzioni indicate qui al punto 2 http://www.hwupgrade.it/forum/showthread.php?t=1589984

Pulisci gli ADS utilizzando ESET ADS Revealer http://www.hwupgrade.it/forum/showthread.php?t=1294909

Scarica SDFix http://downloads.andymanchesta.com/R...ools/SDFix.exe e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php
Scompattalo, avvialo e copia all'interno del box bianco il sottoindicato script:



clicca su Execute il PC si dovrebbe riavviare eventulamente riavvialo tu manualmente, al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da allegare per il controllo

Questo file C:\WINDOWS\system32\cd.exe per scrupolo lo carichi qui www.virustotal.com per il controllo, ricorda di indicare il link per visuallizare il responso

Riepilogo dei log da allegare:
SDFix
Avenger
Nuovo log Di prevx CSI
Nuovo log di Gmer

http://www.fileup.itadib.com/downloa...yuEB6PIrvJRwcb
http://www.fileup.itadib.com/downloa...C8iPjLJi52usAf
http://www.fileup.itadib.com/downloa...mxvzQurM4u8mGM
http://www.fileup.itadib.com/success.php?id=1710

Ciao , purtroppo il processo non è andato a buon fine.
In AVENGER all'interno del box ho copiato a mano i files da eliminare(sottoindicato script), e come potrai vedere non ha trovato i suddetti files
Debbo ripetre tutta l'operazione?
ciao

[Chill-Out]

Questo file C:\WINDOWS\system32\cd.exe per scrupolo lo carichi qui www.virustotal.com per il controllo, ricorda di indicare il link per visuallizare il responso

devi controllare questo

[beppe5646]

ciao
il fatto è che in System32 non riesco a trovare questo file "cd.exe"
non esiste, (visualizzo anche i files di sistema)

[Chill-Out]

Clicca su una cartella qualsiasi clicca su Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta in Visualizza cartelle e file nascosti - togli il segno di spunta da Nascondi i file protetti di sistema - Applica e OK

e cerchi cd.exe

[beppe5646]

http://www.fileup.itadib.com/downloa...gsfRVgl19iJPl3

[Chill-Out]

Dopo aver visto il log di SDFix tra trojan e processi hidden (come sospettavo) e opportuno far girare prima questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

[beppe5646]

Quote:

Originariamente inviato da Chill-Out

Dopo aver visto il log di SDFix tra trojan e processi hidden (come sospettavo) e opportuno far girare prima questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

http://www.fileup.itadib.com/downloa...9htnJG4z2dhZy1

[Chill-Out]

L'hai fatto girare due volte, mi serve il primo log

[beppe5646]

http://www.fileup.itadib.com/downloa...MYgVXflkl9bty0

[Chill-Out]

Quote:

Originariamente inviato da beppe5646

http://www.fileup.itadib.com/downloa...MYgVXflkl9bty0

E' sempre lo stesso log in questo modo ci complichiamo la vita, allegami questo
C:\ComboFix-quarantined-files.txt

[beppe5646]

http://www.fileup.itadib.com/downloa...KFZHcamnEJ03zW

scusami

[Chill-Out]

Bene era quello che volevo vedere, adesso mi ricontrollo tutti i log ed appena posso ti posto uno Script da inserire in ComboFix, ciao.

[beppe5646]

grazie ciao

[Chill-Out]

Dunque provvedi a svuotare il contenuto della cartella Prefetch da Start - Tutti i programmi - Accessori - Esplora risorse il percorso è il seguente C:\WINDOWS\Prefetch mi raccomando devi eliminare SOLO il contenuto NON LA CARTELLA

Scarica il file in allegato sul Desktop
Trascina il file scaricato ovvero CFScript.txt sull'icona di ComboFix attendi pazientemente ed al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

[beppe5646]

Quote:

Originariamente inviato da Chill-Out

Dunque provvedi a svuotare il contenuto della cartella Prefetch da Start - Tutti i programmi - Accessori - Esplora risorse il percorso è il seguente C:\WINDOWS\Prefetch mi raccomando devi eliminare SOLO il contenuto NON LA CARTELLA

Scarica il file in allegato sul Desktop
Trascina il file scaricato ovvero CFScript.txt sull'icona di ComboFix attendi pazientemente ed al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

http://www.fileup.itadib.com/downloa...BRPC5OgisiwKH1

[Chill-Out]

Allega un nuovo log di Prevx CSI e Gmer per controllo, dopodichè fai una scansione completa col tuo AV che dovrebbe essere AVG e mi dici se rileva ancora problemi.

[beppe5646]

Quote:

Originariamente inviato da Chill-Out

Allega un nuovo log di Prevx CSI e Gmer per controllo, dopodichè fai una scansione completa col tuo AV che dovrebbe essere AVG e mi dici se rileva ancora problemi.

http://www.fileup.itadib.com/downloa...mNxW6DNDlAPana
http://www.fileup.itadib.com/downloa...SeCKqbBDjaP8IO


da controllo di PREVX CSI :
BAD C:\windows\system\cd.exe generic malware
bad C:\windows\system\svreg.exe generic malware

[beppe5646]

Col mio AVg già prima non rilevava niente, comunque dato che lo scan dura quasi 1 ora, lo farò più tardi se mi dici che tutto è OK
grazie

[xcdegasp]

Quote:

Originariamente inviato da beppe5646

http://www.fileup.itadib.com/downloa...mNxW6DNDlAPana
http://www.fileup.itadib.com/downloa...SeCKqbBDjaP8IO


da controllo di PREVX CSI :
BAD C:\windows\system\cd.exe generic malware
bad C:\windows\system\svreg.exe generic malware

questo è bene se lo scansioni su www.virustotal.com:

Codice:

C:\WINDOWS\Nircmd.exe	InMem: 0	Det [UP]	MD5: 1D56C98258B6D70F56BAA32380DEA992	PX5: C1C9B84A00BA65586E6A00C9BB6313000CC2D7B7

Codice:

Summary:
C:\WINDOWS\system32\cd.exe - [b] >> Generic.Malware
C:\Documents and Settings\Utente\Dati applicazioni\wunauclt.exe - [b] >> Generic.Malware
C:\WINDOWS\system32\swreg.exe - [b] >> Generic.Malware