[INFO] Nuova infezione ancora senza nome...

[OliVale]

ma per la conferma aspetto le vostre analisi...
Ecco i vari log richiesti dopo aver seguito le vostre istruzioni:

SYSCLEAN TRENDMICRO: sysclean.log - 0.00MB
20071114.log - 0.00MB

HJT pre-vundoScan: hijackthis6prevundo.txt - 0.01MB

VundoFix: vundofix.txt - 0.00MB

FixVundo: fixvundo.log - 0.00MB

VirtumundoBeGone eseguito in modalità provvisosria F8: non ho trovato il log...dove cercarlo eventualmente?

COMBOFIX:combofix.txt - 0.01MB
non ho trovato il file C:\ComboFix-quarantined-files.txt

HJT finale: hijackthis7fine.txt - 0.00MB

Gmer completo: gmer_log.log - 0.03MB

ELISTARTA TOOL l'ho fatto girare più volte nel frattempo, il log finale: infosat.txt - 0.01MB
Mi consigliate di tenerlo installato, oppure alla fine di tutte le verifiche lo si può eliminare?

Nel frattempo, dopo tutte le pulizie, per maggior protezione ho installato Comodo Firewall, prima non ce n'era nessuno... dite che può andare bene?

I sintomi per ora sembrano spariti tutti, inoltre ho suggerito al mio amico di navigare con Firefox invece che con IE.

Spero di non aver scordato nulla, eventualmente ci sentiamo più tardi.

Grazie ancora di tutto! A dopo e vista l'ora buon appetito!

[OliVale]

VirtumundoBeGone : vbg.txt - 0.00MB

[Bugs Bunny]

fixa

O2 - BHO: {26d26291-1464-7c5b-a394-68dee5c82044} - {44028c5e-ed86-493a-b5c7-464119262d62} - C:\WINDOWS\system32\vwgektqu.dll (file missing)

[Chill-Out]

Il log di Gmer non è completo, ma mi sembra che siamo a buon punto, dopo aver fixato la voce indicata da Bugs riallega un log di HJT

[Riverside]

Quote:

Originariamente inviato da Chill-Out

Il log di Gmer non è completo, ma mi sembra che siamo a buon punto, dopo aver fixato la voce indicata da Bugs riallega un log di HJT

Chill, facciamo che fargli rifare un log di GMER ed uno di ELISTARTA dopo il riavvio.
Poi, altro riavvio e log di HThis.

@Oli, una cosa dovresti dirci: su quel P.C. è stato, per caso, effettuato un backup di salvataggio di messaggi di posta elettronica?

In ogni caso, il log di Hthis è quasi a posto; devi fixare queste voci:

O2 - BHO: {26d26291-1464-7c5b-a394-68dee5c82044} - {44028c5e-ed86-493a-b5c7-464119262d62} - C:\WINDOWS\system32\vwgektqu.dll (file missing)

O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe

Poi, una volta definita la questione, prendi in considerazione la sostituzione di Avast con un antivirus più efficace come, per esempio:
ANTIVIR PERSONAL EDITION FREE: clicca qui per il download
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir pubblicata da Juninho (leggi, attentamente, i primi tre post), ed altre cose importanti ed interessanti in relazione ad Antivir.
Se necessiti di informazioni o spiegazioni, posta, in quella discussione.

[OliVale]

Quote:

Originariamente inviato da Riverside

@Oli, una cosa dovresti dirci: su quel P.C. è stato, per caso, effettuato un backup di salvataggio di messaggi di posta elettronica?

Ho chiesto al mio amico e più che un salvataggio di messaggi di posta mi pare di aver capito che ha salvato dei vecchi files provenienti dal suo vecchio PC, che potevano anche provenire da scambi di email con amici suoi.
Per GMER ho avviato il SW e con tutte le voci selezionate ho fatto Scan, e poi Save log. Come posso fare per avere una scanzione più approfondita?

Domani pomeriggio dopo il lavoro ripasserò da lui per il fixaggio delle righe segnalate e per le ulteriori scansioni. Dal mio PC scarico addirittura l'antivirus consigliato e lo sostituisco ad Avast.
Poi dato che ha l'ADSL, come protezioni aggiuntive possono bastare Comodo Firewall, SpybotS&D e AdAware o è meglio aggiungere anche PrexX 2.0 con abbonamento annuale?
Lui personalmente naviga solo su siti web di testate giornalistiche online, tipo Corriere o Repubblica o simili...il guaio è nato dal figlio che sabato e domenica ha scorazzato chissàdove utilizzando la per lui pacchia dell'ADSL...e non essendoci altro che Avast come SW di protezione ovviamente è entrato di tutto...

Grazie ancora a tutti...posso offrirvi una cena virtuale??

[Riverside]

Quote:

Originariamente inviato da OliVale

Ho chiesto al mio amico e più che un salvataggio di messaggi di posta mi pare di aver capito che ha salvato dei vecchi files provenienti dal suo vecchio PC, che potevano anche provenire da scambi di email con amici suoi.

Se non sono fondamentali, potrebbe farne a meno? deve avere delle email o qualche allegato infetto.

Quote:

Originariamente inviato da OliVale

Per GMER ho avviato il SW e con tutte le voci selezionate ho fatto Scan, e poi Save log. Come posso fare per avere una scanzione più approfondita?

Allega il log cosi come ti viene salvato.

Quote:

Originariamente inviato da OliVale

Dal mio PC scarico addirittura l'antivirus consigliato e lo sostituisco ad Avast.

Decisione sensata.

Quote:

Originariamente inviato da OliVale

Poi dato che ha l'ADSL, come protezioni aggiuntive possono bastare Comodo Firewall, SpybotS&D e AdAware o è meglio aggiungere anche PrexX 2.0 con abbonamento annuale?

Ok per Comodo e per AdAware

Spybot lo lascierei perdere e punterei, piuttosto su:

SPYWARE TERMINATOR: clicca qui per il download
Questo software, ti consente, inoltre, di eseguire scansioni anche parziali del sistema, di pianificare scansioni automatiche, e cosa più importante, garantisce una protezione in tempo reale.
Altri suggerimenti ed info in relazione a Spyware Terminator li puoi trovare nel Thread ufficiale

aggiungerei, anche:

ASQUARED FREE: clicca qui per il download
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati

PANDA ANTIROOTKIT: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

PrevX con regolare licenza, è un'ottima idea.

Quote:

Originariamente inviato da OliVale

...il guaio è nato dal figlio che sabato e domenica ha scorazzato chissàdove utilizzando la per lui pacchia dell'ADSL...e non essendoci altro che Avast come SW di protezione ovviamente è entrato di tutto.

Per evitare il ripertersi del problema, per figlio ti consiglio di creare un apposito account utente, senza privilegi da Amministatore e farlo navigare con quello (ovviamente, è oppurtuno proteggere, con password, l'account del tuo amico )

Quote:

Originariamente inviato da OliVale

Grazie ancora a tutti...posso offrirvi una cena virtuale??

come no ma direi che è il tuo amico che dovrebbe offrire una sontuosa cena, a te.

[OliVale]

@ Riverside seguirò anche questi tuoi ultimi consigli, grazie. Sto già scaricando tutti i SW che hai consigliato, così li installo dopo il fixaggio finale e le scansioni per i log ma prima della prossima connessione, almeno sarà più protetto...
Ho navigato un po' negli ultimi post di questa sezione e ho visto altri con un problema simile al mio, devo dedurre che Vundo è in giro proprio in questo periodo....
Invece sui files sconosciuti che avevo trovato all'inizio e che mi hanno fatto dare al thread il titolo che ha... mrofinu572.exe.tmp, mrofinu572.exe, mrofinu1000106.exe e 17PHolmes572.exe, voi che siete più esperti, avete notizie in merito? Ho provato a cercare qui sul forum "mrofinu" e "mrofinu572" ma non mi trova nulla.... Tramite Yahoo invece ho visto che la pagina di PrevX è stata aggiornata con il nome Dropper.Payload, e che è proprio nuovo nuovo del 30 ottobre 2007, ma il resto delle pagine trovate non fa rifermiento a nessun altro SW antivirus o antispyware conosciuto...
Vundo è stato il più complicato da eliminare, ma mi pare proprio che dal mio amico ci fosse ben più di una infezione da quanto abbiamo visto con le scansioni varie.
Per la mia cena è già tutto sistemato poverino, ieri è stato vicino al PC con me dalle 18 alle 2 di notte e ha saltato la sua di cena, la moglie ci ha portato cioccolatini e grissini e acqua, e stasera mi hanno anche preparato dei panini e la birra... sono stati molto carini!
Domani pomeriggio ultimo round!
E penso che seguirò anche le indicazioni che ho trovato a proposito di prevenzione: creazione di un account senza privilegi di amministrazione, e applicazione di una sandbox... lo testo prima io per capire se per la poca esperienza informatica del mio amico è adatta più che altro ad un SW tipo sandbox, non l'ho mai utilizzato nemmeno io... proverò!
Buonanotte a tutti e ringraziamenti globali a voi che siete il meglio dei professionisti!

[Chill-Out]

Quote:

Invece sui files sconosciuti che avevo trovato all'inizio e che mi hanno fatto dare al thread il titolo che ha... mrofinu572.exe.tmp, mrofinu572.exe, mrofinu1000106.exe e 17PHolmes572.exe, voi che siete più esperti, avete notizie in merito?

come ti avevo precedentemente detto al post #2, nessuna nuova infezione Kaspersky lo riconosce come: Kaspersky Trojan-Downloader.Win32.Agent.emo

[OliVale]

Rieccomi online, stasera altro giro dal mio amico che mi ha detto di aver visto nel tardo pomeriggio, mentre giocava a Spider in mia attesa, una segnalazione che il Comodo Firewall era disattivato ed è comparsa l'icona della connessione attiva, che lui ha prontamente chiuso dopo aver spento il modem... Infatti stasera sono arrivata da lui armata di tutti i SW suggeriti da Riverside, ho disinstallato Avast e ho messo Avira, e a seguire tutti i SW che ancora non erano stati già installati in questi giorni e per tutti ho effettuato gli aggiornamenti. Ho notato altri files strani in System32: qenwvmrw.dll, fxmahfvd.dll e aqhrribq.dll ma niente più finestre con falsi allarmi né icone ricomparse sul desktop.
Dopo gli aggiornamenti ho fatto lavorare nell'ordine:
Elistarta: nessuna infezione trovata
PandaAntiRootkit: nessuna infezione trovata
CCleaner: pulizia globale
Avira Antivir: ha eliminato ancora delle istanze di Vundo trovate nel Sistem Volume Information, i tre files strani segnalati sopra, di cui uno sicuramente segnalato come TR/Fotomoto.F.1 e i virus messi in quarantena dalle scansioni dei giorni scorsi. Qui il log: avscan-20071115-201415-6c7e1c12.log - 0.02MB
Ho creato un nuovo utente non admin che gli ho detto di usare per navigare sul web con Firefox, e gli ho lasciato il compito un po' stasera e un po' domani di analizzare di nuovo il PC sia con Spyware Terminator che con a2free Deep Scan e poi di nuovo con Avira, senza connettersi al web nel frattempo.
Con HjThis ho fixato due delle tre voci che mi avete segnalato perchè ho avuto il dubbio che
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
fosse legato al funzionamento dell'Alice Gate per la connessione al web. Leggendo nei Servizi di msconfig questo file viene espressamente legato al software di Alice per l'ADSL. Ora non ho sottomano i dati precisi perchè vi sto scrivendo da casa mia... nel dubbio ho preferito attendere a fixare.
Però mi sono accorta ora che non ho copiato i nuovi log di HJTHIS e GMER...mannaggia... vi servono per vedere se tutto è a posto, vero? Domani li recupero...
E' che sono un po' sotto pressione con il lavoro e aggiungendo la stanchezza per le ore dedicate alla caccia di questi virus qui sono alquanto fusa!!!
Stasera ferma in cortile con il motore acceso ho telefonato al mio amico per avvisarlo che stavo andando a casa sua, e finita la telefonata ho spento la macchina ma non il telefono... non ridete troppo però!
Ah ultima cosa strana... ancora poco prima di andare a casa stasera, e dopo gli aggiornamenti e un paio di riavvii del PC rimane nel system tray (si chiama così??) l'icona a scudetto rosso con croce del sistema di sicurezza di Microsoft che segnala il Comodo firewall disattivato, mentre l'icona di Comodo è presente e corretta, e se apro la finestra delle impostazioni, tutti i servizi sono On e uno Learning. Non so se sia il desiderio di Windows di attivare per forza il suo firewall o se ancora ci sia qualcosa di nascosto che rompe le scatole...

Quote:

Originariamente inviato da Chill-Out

come ti avevo precedentemente detto al post #2, nessuna nuova infezione Kaspersky lo riconosce come: Kaspersky Trojan-Downloader.Win32.Agent.emo

Mi ero persa il dettaglio che era Kaspersky a riconoscerlo con questo nome... Non avendo trovato in giro sui motori di ricerca altre info come solitamente avveniva quando ho cercato altri nomi di files sospetti in altre due situazioni di infezione da virus, mi sono lasciata ingannare a ritenerlo un nuovo virus, complice anche il fatto che l'unico riferimento era quello sul sito di PrevX che dava la scoperta dei files infettanti al 30 ottobre 2007...
Ok, resoconto dettagliato e terminato. Se ci fossero novità vi aggiorno, ma sinceramente spero di collegarmi domani o dopo per dirvi che è tutto a posto....
Buonanotte a tutti!!

[Riverside]

Quote:

Originariamente inviato da OliVale

Avira Antivir: ha eliminato ancora delle istanze di Vundo trovate nel Sistem Volume Information, i tre files strani segnalati sopra, di cui uno sicuramente segnalato come TR/Fotomoto.F.1

Ripartiamo da qui, per il momento; fai girare questo:

MSNFIX TOOL: clicca qui per il download (la versione del Tool viene, costantemente, rilasciata, aggiornata)

● scompatta il file Zip che hai, precedentemente posizionato sul Desktop (verrà creata una cartella)
● lancia MSNFix File batch
● digita I per impostare la lingua, e, premi invio
● digita R per cercare il malware
● digita N per eliminare ciò che trova
● digita A per creare il log da pubblicare
● digita R per ripulire il registro ed uscire
● digita Q per terminare MSNFix
Il log che verrà creato, ti confermerà, o meno l'avvenuta rimozione.
MSNFix, creerà, inoltre un file Zip (lo trovi, assieme al log, all'interno della cartella posizionata sul Desktop), contenente i file infetti rimossi: cestina, solo il file Zip (il log serve in seguito), e ripulisci il cestino
Annotazione
MSNFix, rimuove automaticamente i file infetti ma indica, anche, alcuni files (di norma, sono Screensaver non legittimi) alla cui rimozione si deve provvedere, manualmente.

Allega, ovviamente, il log che verrà rilasciato.

[Nuz]

@Olivale: per le infezioni relative al trojan Vundo e a sue varianti è stata stilata una guida:

[GUIDA] Rimuovere trojan vundo

Inoltre credo che ti possa essere utile leggere come è stato risolto qui:

[risolto][WINXP] Virtumonde, non se ne va

[Riverside]

Quote:

Originariamente inviato da Nuz

@Olivale: per le infezioni relative al trojan Vundo e a sue varianti è stata stilata una guida:

Quote:

Originariamente inviato da OliVale

Avira Antivir: ha eliminato ancora delle istanze di Vundo trovate nel Sistem Volume Information, i tre files strani segnalati sopra, di cui uno sicuramente segnalato come TR/Fotomoto.F.1 e i virus messi in quarantena dalle scansioni dei giorni scorsi.

[OliVale]

Nuovo aggiornamento sui SW fatti girare e i loro risultati:
come suggerito da Riverside, ho eseguito MSNFIX che pare abbia trovato e rimosso qualcosa, anche se dopo i primi tre passi I-R-N il SW ha creato lo zip e il lgo e si è chiuso da solo... Zip cancellato, cestino svuotato, il log è insieme agli altri nel file zippato che ho allegato...
Scansione successiva con Avira: nessuna infezionet rovata
Scansione con Elistarta: rilevato e pare eliminato "Spam-MailBot" dopo una nuova scansione in modalità provvisoria F8
Scanzione con VundoFix perchè il mio amico mi ha segnalato che stamattina, facendo girare per un controllo Avira, è stato rilevato ed eliminato ancora un riferimento a TR/Vundo.A5. Questa sansione di VundoFix non ha rilevato nulla.
Allegato anche log di HJthis fatto poco prima di postare.
Nello zip ci sono i log di MSNFIX, AVIRA, ELISTARTA e HJTHIS.
Attendo responso...
Domanda da ingenua: mi sembrava di aver capito leggendo la guida per rimuovere virus da MSN messenger che MSNFIX fosse legato a quel programma...chiedo perche il mio amico non usa MSN messenger, non ne vedo l'icona nel PC... ripeto però, è una domanda ingenua.
Grazie ancora! E buona serata.

[Nuz]

• Il log di hiJackThis non mostra nessuna infezione, quindi direi che sei a posto.
• Anche il log di Avira non riporta nessuna infezione.
• Per quanto riguarda MSNfix, come tu hai notato, è stato inutile, infatti si è limitato a cancellare la cartella C:\Temp, mentre il log dice chiaramente che nessun files sospetto è stato trovato.

[dimoraptor]

Ho lo stesso GRANDE problema di Olivale!
Fatemi sapere se riuscite a risolverlo........ io sto provando altri metodi

Posso dirvi che le modalità con cui ho preso questo virus sono:
- o aprendo la posta di un mio amico (che ha il pc bloccato dai virus)
- o attraverso un file che mi hanno inviato tramite msn....l'ho aperto ma non mi si apriva niente! Era un file .exe

[email protected]

[Nuz]

Quote:

Originariamente inviato da OliVale

Praticamente i sintomi su un WinXP con SP2 e Avast! installato sono i seguenti: poco dopo l'avvio compare una finestra che segnala un Virus Alert Infection e suggerisce di cliccare su Ok per scaricare un virus remover, però non fa riferimento a nessun software antivirus che potrebbe essere l'origine di questa segnalazione.

Poi periodicamente compaiono delle finestrelle gialle simili ai balloons di avviso di WinXP nell'angolo in basso a destra vicino all'ora di sistema, anch'essi che segnalano varie forme di infezione (Trojan-Spy.win32@mx oppure PSW.x_Vir trojan o Spyware.Cyberlog-X), senza però identificare l'origine della segnalazione, sono scritte in inglese, piene di errori di scrittura e tutte invitano a cliccare per scaricare fantomatici anti-malware o malware remover...

Hai anche tu gli stessi sintomi?
Se si allora ti può bastare leggere questa discussione dall'inizio almeno finchè non sarà fatta una sintesi dell'infezione e la guida alla rimozione.
Se, invece, il tuo problema è diverso allora ti invito a seguire la guida:

GUIDA alla DISINFEZIONE per INFETTI - obbligatoria la lettura

In cui trovi anche la guida alla rimozione virus da MSN Messenger che può esserti utile.

[Riverside]

Quote:

Originariamente inviato da OliVale

Domanda da ingenua: mi sembrava di aver capito leggendo la guida per rimuovere virus da MSN messenger che MSNFIX fosse legato a quel programma...chiedo perche il mio amico non usa MSN messenger, non ne vedo l'icona nel PC... ripeto però, è una domanda ingenua.

Ciao Oli, farti eseguire MSNFIX è stata una mia precauzione quando hai segnalato la presenza di questo trojano:

Quote:

Originariamente inviato da OliVale

Avira Antivir: ha eliminato ..... tre files strani segnalati sopra, di cui uno sicuramente segnalato come TR/Fotomoto.F.1

Il fatto è che, controllati i log che hai pubblicato, Eliastarta continua a segnalare alcuni file infetti che non riesce a rimuovere.
Potrebbero essere dei falsi positivi ma, io resto del parere che, tra le email che il tuo amico ha backupato, alcune sono infette.
A questo punto, suggerirei di tenere sotto controllo il P.C. verificando non vengano segnalati, ancora problemi; in caso contrario, è davvero necessario rimuovere, completamente, quel backup.
Una ultima cosa vorrei chiederti: per caso, il tuo amico, utilizza programmi P2P come BitTorrent o BitComet?

[dimoraptor]

il mio problema penso che sia lo stesso: mi compare un punto esclamativo in basso a destra, compaiono finestrelle gialle che mi dicono ke il pc è infetto, si aprono pagine internet di antispyware falsi e le 2 icone sul dekstop.......

Ho trovato una discussione:
http://forum.html.it/forum/showthrea...=&pagenumber=2
loro hanno risolto lo stesso problema a una persona, ma io non capisco come, non sono un mago dei pc, anke se mi serve tutti i giorni........
dateci un'occhiata e dite la vostra.....

[Riverside]

Quote:

Originariamente inviato da dimoraptor

il mio problema penso che sia lo stesso: mi compare un punto esclamativo in basso a destra, compaiono finestrelle gialle che mi dicono ke il pc è infetto, si aprono pagine internet di antispyware falsi e le 2 icone sul dekstop

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
e lo lasci disattivato fino a quando non avremo risolto il problema

Scarica ed installa HIJACKTHIS:clicca qui per il download
● crea una apposta nuova Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona)
● lancialo, clicca su Do a system scan and save a logfile ed una volta che è stata creata la list, clicca su Save Log
Allega, nella discussione, il log di HijackThis per farlo controllare

già che ci sei, pulisci gli ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Per quanto riguarda la pubblicazione dei log e/o report che ti verrano richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, deve essere allegato utlizzando il tag code dall'editor del messaggio;
● in alternativa sempre se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare, pubblicando, nella discussione, il link che verrà rilasciato per il download.