virus che mi crea file .rar

[kidd]

ciao a tutti! l' altro giorno ho scaricato una "cura" da un programma p2p e prima di scompattarlo e prima di aver mandato in esecuzione il file eseguibile, ho fatto la scansione del file con avast home (aggiornato all' ultima versione e con l' ultima lista virus) e non mi ha rilevato niente. il problema è che ogni volta che vado nella cartella download del programma p2p mi compaiono 1400 file con estensione .rar e ognuno di questi files ha il nome dei più popolari giochi e software. i files sono tutti della stessa dimensione (1 mega e mezzo). ho seguito la guida ma non riesco a liberarmi di sta schifezza!!

[deneb87]

quasi sicuramente si tratta di Vundo (thread: http://www.hwupgrade.it/forum/showthread.php?t=1603273)

puoi dirigerti direttamente li e seguire la guida in prima pagina, oppure leggere e seguire tutti i passi delle regole di sezione e della guida alla disinfezione generale che trovi nella mia firma

dovrai salvare i log e pubblicarli
modalità di pubblicazione dei log:
-se in formato txt e di dimensione inferiore a 20k: gestione allegati del forum
-tutto il resto: www.fileup.itadib.com

ciao e buona fortuna

[kidd]

ok domani provo, posto i log e ti faccio sapere
intanto grazie

[Chill-Out]

Quote:

Originariamente inviato da kidd

ok domani provo, posto i log e ti faccio sapere
intanto grazie

Tutti in un unico post, grazie per la collaborazione.

[murack83pa]

scusami, visto che hai seguito la guida, posta tutti i log.....

poichè c'è stato di recente un caso analogo al tuo, forse dai log posso vedere se siamo di fronte allo stesso problema....

[xcdegasp]

Quote:

Originariamente inviato da kidd

ciao a tutti! l' altro giorno ho scaricato una "cura" da un programma p2p e prima di scompattarlo e prima di aver mandato in esecuzione il file eseguibile, ho fatto la scansione del file con avast home (aggiornato all' ultima versione e con l' ultima lista virus) e non mi ha rilevato niente. il problema è che ogni volta che vado nella cartella download del programma p2p mi compaiono 1400 file con estensione .rar e ognuno di questi files ha il nome dei più popolari giochi e software. i files sono tutti della stessa dimensione (1 mega e mezzo). ho seguito la guida ma non riesco a liberarmi di sta schifezza!!

certo che chiamarlo "cura" è quanto meno fuori luogo io userei altri nomi indicanti "warez"
la guide fornisce i log indispensabili per incominciare un'analisi chiaramente quei prohgrammi da soli, senza il contributo del know how, nulla possono e ci danno modo di non compromettere il tuo pc...
cerca di pubblicare i log inviandoli su fileup (non compressi) e inserendo in un messaggio i vari link al download con magari il nome del file che si cela dientro al link..

[kidd]

i log dei programmi li pubblico qui o nel thread della guida?

[Chill-Out]

Qui, grazie.

[xcdegasp]

anche eprchè nell'altro non potresti

[kidd]

perchè nell' altro non potrei ??
cmq ecco i log dei vari programmi:

-awf
-combofix
-fixvundo
-hijackthis
-prevxcsi
-vbg
-virit
-vundofix

[murack83pa]

ma che guida hai sebguito? quella di vundo?

cmq, procedi in questo modo:

1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

2-Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

3-scarica Avenger: DOWNLOAD
lo scompatti in una sua cartella dedicata,
avvia avenger,
seleziona input script manually,
clicca sulla lente d'ingrandimento,
inserisci il seguente script (tutto quello che è compreso nel quote):

Quote:

files to delete:

C:\WINDOWS\system32\WinSecure.exe

Cliccare su done, Cliccare sul semaforo, Rispondere sì 2 volte;il pc dovrebbe riavviarsi, casomai lo riavvii manualmente

posta qui il log di avenger

che antivirus hai? avast? ma ti funziona? dal log di hijackthis sembra che molti servizi risultano disattivati.....

ti consiglio di disinstallarlo e passare ad un altro antivirus, in particolare avira antivir, è free ed il migliore antivirus free in circolazione, si scarica da www.free-av.com

una domanda: il ripristino è disattivato?

[xcdegasp]

riscarica HijackThis perchè quello che hai usato è obsoleto, rinomina il log di PrevxCSI in ".txt" e riuppalo su fileup, fai lascansione anche con a-squared-free e il tool "Dr.Web CureIT".
per scaricare questi 3 programmi puoi usare le indicazioni fornite nella Guida alla Disinfezione per Infetti:
http://www.hwupgrade.it/forum/showthread.php?t=1599737

[kidd]

si ho seguito la guida vundo che mi ha suggerito deneb87. come antivirus ho avast, ho abilitato l' aggiornamento automatico e molti servizi li ho disattivati io per evitare rallentamenti durante la navigazione e per evitare che mi filtrasse troppi file. come da guida, il ripristino l'ho disattivato

[kidd]

-avenger
-hijackthis aggiornato
-prevx csi
-a-suared
-Dr.Web CureIT mi ha dato 0 risultati

ho notato un' altra cosa strana...nei processi in esecuzione c'è questo file "IEXPLORE.EXE" che è presente 3 volte nella lista

[Chill-Out]

Non ho capito cosa c'entrava il Vundo per favore scarica HJT da qui Download: http://www.trendsecure.com/portal/en...HiJackThis.exe
ed allega un nuovo log

[deneb87]

Quote:

Originariamente inviato da kidd

si ho seguito la guida vundo che mi ha suggerito deneb87. come antivirus ho avast, ho abilitato l' aggiornamento automatico e molti servizi li ho disattivati io per evitare rallentamenti durante la navigazione e per evitare che mi filtrasse troppi file. come da guida, il ripristino l'ho disattivato

io ho solo detto che i sintomi erano di Vundo (dato che spesso fa quei giochini) ma di seguirla solo se sapevi di essere infetto da quel trojan, magari mi son espresso male, ti avevo anche scritto in caso contrario di seguire la guida alla disinfezione

[kidd]

ma io ho seguito la guida al trojan vundo perchè leggendo il thread i sintomi mi sembravano quelli. per quanto riguarda hijack this ho scaricato l' ultima versione dal sito ufficiale..

[kidd]

hijackthis versione 2.02

[deneb87]

ciao kidd

1. Disattiva il ripristino di sistema

voci da fixare su HTJ:

Codice:

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
O4 - HKCU\..\Policies\Explorer\Run: [NT Security Service] NTSecurity.exe

scarica avenger, dezippalo, avvialo
clicca su input script manually, inserisci questo:

Codice:

Files to delete:
C:\WINDOWS\system32\NTSpool.exe
C:\WINDOWS\system32\NTSecurity.exe

premi done, premi il semaforo, premi ok, ora il pc si riavvia. Posta il log

al termine nuovo log di HTJ

[Chill-Out]

Quote:

O17 - HKLM\System\CCS\Services\Tcpip\..\{49882DC9-CA44-415C-A849-D9FAD022FDF3}: NameServer = 1.253.128.34,1.253.128.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{D99D2567-9E3C-44FC-9661-A935FC96E246}: NameServer = 1.253.128.34,1.253.128.11

questi cosa sono? Dire che è il caso di fixarli