AIUTO: urgente...100.000 VIRUS sul mio pc!!

[pinky82]

salve,
mi compare da due giorni un icona tonda rossa con una x al centro in basso a destra della barra di windows xp con un avviso in inglese che mi dice che il mio computer è infetto e che devo cliccare sul messaggio x proteggere il mio computer... è ovvio che nn è un messagio di windows xp e che è un finto antivirus che non so chi mi ha istallato.
ad ogni modo ho fatto scansioni con spybot e c'erano un sacco di intrusi beagle ecc ecc.
oggi le applicazioni spybot e spyware blaster sono state disinstallate.(li ho ristallati cmq)
windows defender mi dice che c'è un " trojandownloader:win32/renos"
avast all'avvio di windows mi avverte che c'è un virus win32:tibs-ado (trj) e il file associato è univrs32.dat in sist32
spybot mi dice che c'è un valore modificato nel registro e mi chiede se accettare o meno " sistem start up user entry - valore eliminato- voce: TUCAN c/document and setting/all users/ ducum... ( poi nn si vede +)
mentre scansiono improvvisamente si spegne il computer e si riavvia.
Mi si disattiva il firewall di windows...
Anche se cerco di mettere in quarantena i virus segnalati o di eliminarli al prossimo riavvio si ripresentano....

che devo fare per togliere tutti sti intrusi?? Aiuto!
grazie.

[xcdegasp]

fammi subito una scansione con FindAWS e pubblica il suo log, se trova cartelle bak fertami e attendi istruzioni.

altrimenti prosegui con la Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione

[pinky82]

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

log rimosso, leggere le Regole di Sezione

end of report

questo è il log che mi ha dato il programma...

[pinky82]

ho fatto un controllo anche con hijackthis...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.06.14, on 13/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
log rimosso, leggere le Regole di Sezione
--
End of file - 6126 bytes

[wjmat]

Carica da [ qui ] ogni log che produci.
Una volta sul sito di fileup -> sfoglia -> invia -> copia tutto il contenuto a fianco della della riga [BB CODE] e lo incolli nella risposta della discussione.
Dove c'è scritto "Clicca qui per scaricare" ci metti il nome del log.

[xcdegasp]

log rimossi, leggere le Regole di Sezione

[pinky82]

Allora:

http://www.fileup.itadib.com/downloa...M195SvmyVXUWsV Log AWF...

e

http://www.fileup.itadib.com/downloa...eZQAuGhvN8KqlZ Log hijackthis...

[xcdegasp]

scarica avenger e scompattalo in una cartella esclusiva, poi dagli il seguente script:

Codice:

Files to move:
C:\Programmi\Windows Defender\bak\MSASCui.exe | C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe | C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPLpr.exe | C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\TOSHIBA\TOSCDSPD\bak\toscdspd.exe | C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programmi\TOSHIBA\TOSHIBA Applet\bak\thotkey.exe | C:\Programmi\TOSHIBA\TOSHIBA Applet\thotkey.exe
C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\bak\SmoothView.exe | C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

fatto questo rifammi un nuovo log di FindAWF e HiJackThis

[pinky82]

fatto

http://www.fileup.itadib.com/downloa...C2LCbaydrQATL1

[mattia32]

Non ho ben capito il pc ti si spenge mentre fai la scansione con avast? Seconda cosa hai provato a fare delle scansioni online, come per esempio Panda, Bitdefender, a-squared. Poi altro consiglio togli avast e metti antivir .
Una volta messo antivir ed aggiornato riavvia il pc ed entra in modalità provvisoria, in questo modo solo i programmi che fanno girare il sistema sono attivi quindi nn dovresti avere il problema del riavvio durante la scansione. Dopo la scansione in modalità provvisoria facci sapere. Ciao

[xcdegasp]

Quote:

Originariamente inviato da pinky82

fatto

http://www.fileup.itadib.com/downloa...C2LCbaydrQATL1

rifai la scansione con HiJackThis usando la funzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix This", quindi seleziona le voci di tuo interesse e poi premi tale tasto.

Fixa:

Codice:

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-21-1079165041-1569380026-1727877431-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'angelo')

O4 - HKUS\S-1-5-21-1079165041-1569380026-1727877431-1006\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe (User 'angelo')

O4 - HKUS\S-1-5-21-1079165041-1569380026-1727877431-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'alina')
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197030255734

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O22 - SharedTaskScheduler: important - {9c87cb31-93d0-4f3e-a360-4a91ff77aeb7} - C:\WINDOWS\system32\dcggain.dll (file missing)
O23 - Service: a-squared Free Service (a2free) -  - (no file)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Unknown owner - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe (file missing)

potrebbe darti errore il fix su O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe in tal caso useremo Killbox con l'opzione Delete on Reboot.

devi seriamente aggiornare il tuo pc, vai al link http://secunia.com/software_inspector/ e scansiona online il pc, ti mostrerà una serie di programmi obsoleti.
per la java ricordati di rimuovere l'attuale versione a fine aggiornamento

fatti queste cose procediamo con la procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti rispettando le Regole di Sezione.


ps: a-squared e adaware vanno reinstallati, penserei seriamente a sostituire l'antivirus ampiamente inefficace

[xcdegasp]

lo stesso malware fu analizzato in questo thread:
http://www.hwupgrade.it/forum/showthread.php?t=1669989

[GmG]

Quote:

Originariamente inviato da xcdegasp

lo stesso malware fu analizzato in questo thread:
http://www.hwupgrade.it/forum/showthread.php?t=1669989

Il malware braviax.exe è un rootkit
Crea il driver

x:\WINDOWS\system32\dllcache\figaro.sys

che viene copiato in (sostituisce il beep.sys originale di windows)

x:\WINDOWS\system32\dllcache\beep.sys
x:\WINDOWS\system32\drivers\beep.sys
x:\WINDOWS\system32\drivers\beep.sys

Per eliminare completamente il virus bisogna ripristinare il file beep.sys da un CD di windows.