virus sconosciuto

[aragorn79]

salve ragazzi...come da titolo credo di essere infetto ma non so da cosa. sul mio pc si presenta uno strano problema: in basso a destra rimane sempre il bollino rosso del centro sicurezza pc che mi avvisa che l'antivirus (avast) non è aggiornato (cosa falsa naturalmente). Inoltre quando navigo oltre ad un rallentamento della velocità non riesco ad accedere in quei siti che richiedono l'inserimento di dati tipo user name e password. se li inserisco mi dice che i dati sono sbagliati e addirittura sul sito delle poste mi dice che il mio conto corrente non esiste. ho scansionato il mio pc con superantispyware e hijackthis ma non ho trovato nulla di sospetto e ho ripulito tutto con ccleaner. se conoscete questo tipo di virus (di cui tra l'altro è stato vittima un mio amico pochi giorni fa...lui ha formattato!!!) datemi una mano please.

grazie a tutti

[wjmat]

Ciao benvenuto nel pronto soccorso di HU.
Segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di A-squared scansione deep aggiornato ad oggi
2. log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
3. log di Dr.Web CureIT scaricato ed aggiornato ad oggi
4. log di ESET SysInspector
5. log di HiJackThis
6. log di Gmer
7. log di PrevxCSI

Con la pulizia files inutili, ads e le scansioni lunghe di antispyware (1) ed antivirus (2 e 3) avrai un pc già parzialmente ripulito, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.


Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log
Questo è un esempio preciso ed ordinato di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube

[wizard1993]

segui questa semplice procedura; allegando i log dopo averli caricati su www.wikisend.com
http://www.hwupgrade.it/forum/showthread.php?t=1599737

[aragorn79]

ok...appena finisco di effettuare le scansioni le allego.

grazie per l'aiuto

[aragorn79]

sto effettuando le varie scansioni ma tra i vari log quello del kaspersky virus removal tool supera i 70MB!!! quando allegherò i file questa dimensione potrebbe crearmi problemi?

[Gle89]

Quote:

Originariamente inviato da aragorn79

sto effettuando le varie scansioni ma tra i vari log quello del kaspersky virus removal tool supera i 70MB!!! quando allegherò i file questa dimensione potrebbe crearmi problemi?

Infatti nella guida si dice:

Quote:

sistema alternativo (no Vista-64bit): Kaspersky Virus Removal Tool guida e
per snellire il log usare ParserLog -> info & download

Ragazzi/e leggete bene la guida, non leggete solo le scansioni da fare ma anche le note che ci sono scritte sotto

[aragorn79]

allora ho scaricato parserlog ma quando provo a covertire il log del karspersky mi crea un file di testo con la sola scritta "by wizard1993" stessa cosa se invio il file in upload via ftp.

cmq comincio a postarvi i log degli altri software:

DrWeb CureIT --- http://wikisend.com/download/482164/DrWeb.csv
A-squared --- http://wikisend.com/download/569598/log a-squared.txt
prevxcsi --- http://wikisend.com/download/706986/prevxcsi.log
Gmer --- http://wikisend.com/download/918188/gmer.txt.log
hijackthis --- http://wikisend.com/download/545422/hijackthis.log
sys inspector --- http://www.fileqube.com/shared/lsetgseO71506

grazie

[wjmat]

il parser lo staimo sistemando ancora per i log di kasp
zippalo e caricalo su fileqube

il log di prevx non mi sembra lui...

[aragorn79]

Quote:

Originariamente inviato da wjmat

il parser lo staimo sistemando ancora per i log di kasp
zippalo e caricalo su fileqube

il log di prevx non mi sembra lui...

ecco il log di kaspersky --- http://www.fileqube.com/shared/sxRiLEvB71511
e quello di prevxcsi (per sicurezza riscaricato dal link presente su questo forum reinstallato) --- http://wikisend.com/download/947514/prevxcsi.log

ho notato tra l'altro che nelle connessioni di rete oltre alla mia "Lan" è presente anche una "Connessione Internet" sotto la scritta default gateway che mi sembra prima non ci fosse (ma non ci giurerei).

[wjmat]

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Se hai installato le toolbar di google o yahoo, io le ritengo inutili quindi disinstallale pure.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Guardian Pro II.LNK = C:\Program Files\Guardian Pro\WebCam.exe

come sta il pc ora?

[aragorn79]

Quote:

Originariamente inviato da wjmat

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Se hai installato le toolbar di google o yahoo, io le ritengo inutili quindi disinstallale pure.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Guardian Pro II.LNK = C:\Program Files\Guardian Pro\WebCam.exe

come sta il pc ora?

ok...ora non posso ma domani ci provo e ti faccio sapere

grazie

[aragorn79]

allora ho fatto come mi hai detto:

questo è il log di hijackthis --- http://wikisend.com/download/616896/hijackthis.log

qualcosina è migliorata, nel senso che adesso riesco ad accedere su alcuni siti i quali richiedono user e password (prima non potevo neanche accedere a questo forum) ma non su tutti. rimane ancora il fastidiosissimo bollino rosso che continua a dirmi che l'antivirus non è aggiornato.

cos'altro posso fare?

[aragorn79]

allora...il problema sembra essere risolto...non so perchè ma ho riavviato e mi è riapparso il bollino rosso poi dopo qualche secondo è sparito da solo e l'accesso ai siti sembra ritornato normale...mah...misteri di windows.

cmq grazie a tutti per l'aiuto.

[wjmat]

dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide