AIUTO URGENTE è successo un disastro con drweb

[riccardo6]

salve , oggi ho fatto una scansione con cureit aggiornato alla 4,44 e per qualche strano motivo ha trovato il file ( posto un mini log è un emergenza)

Quote:

dmserver.dll;c:\windows\system32;Trojan.Starter.872;Cancellato.;
dmserver.dl_\dmserver.dll;C:\Documents and Settings\riccardo6\Desktop\Collegamenti desktop inutilizzati\Nuovo vista\WindowsXP-KB936929-SP3-x86-ITA.exe\i3;Trojan.Starter.872;;
i386\dmserver.dl_;C:\Documents and Settings\riccardo6\Desktop\Collegamenti desktop inutilizzati\Nuovo vista\WindowsXP-KB936929-SP3-x86-ITA.exe\i3;l'Archivio contiene oggetti infetti;;
WindowsXP-KB936929-SP3-x86-ITA.exe;C:\Documents and Settings\riccardo6\Desktop\Collegamenti desktop inutilizzati\Nuovo vista;l'Archivio contiene oggetti infetti;Spostato.;
A0003772.dll;C:\System Volume Information\_restore{167B733C-491B-4C49-AACB-C415EA06556B}\RP20;Trojan.Starter.872;Cancellato.;
A0003773.dll;C:\System Volume Information\_restore{167B733C-491B-4C49-AACB-C415EA06556B}\RP20;Trojan.Starter.872;Cancellato.;
A0003774.dll;C:\System Volume Information\_restore{167B733C-491B-4C49-AACB-C415EA06556B}\RP20;Trojan.Starter.872;Cancellato.;
dmserver.dl_\dmserver.dll;C:\System Volume Information\_restore{167B733C-491B-4C49-AACB-C415EA06556B}\RP20\A0003776.exe\i386\dmserver.dl_;Trojan.Starter.872;;
i386\dmserver.dl_;C:\System Volume Information\_restore{167B733C-491B-4C49-AACB-C415EA06556B}\RP20\A0003776.exe\i386;l'Archivio contiene oggetti infetti;;
A0003776.exe;C:\System Volume Information\_restore{167B733C-491B-4C49-AACB-C415EA06556B}\RP20;l'Archivio contiene oggetti infetti;Spostato.;
dmserver.dll;C:\WINDOWS\ServicePackFiles\i386;Trojan.Starter.872;Cancellato.;
dmserver.dll;C:\WINDOWS\system32;Trojan.Starter.872;Cancellato.;
dmserver.dll;C:\WINDOWS\system32\dllcache;Trojan.Starter.872;Cancellato.;

Da quel momento il pc non si connette più a internet e prima andava benissimo , il ripristimo di xp era disattivato , adesso vorrei fare in modo che torni tutto normale , grazie , (comunque credo che sia stato cureit , perchè dopo ciò non si connetteva più) adesso stò unsando un pc del 1997 perciò abbiate pazienza

CAricato anche combofix

[riccardo6]

coreggo ora l'ho disattivato , prima era in monitoraggio , non è che sono TOrnati adesso?

[wjmat]

Ciao

prima puliamo per bene il pc poi pensiamo alla connessione
ad ogni modo i file cancellati da cureit dovrebbero essere in quarantena

Per ripulire completamente il pc segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità .

Leggi bene tutto questo post, e salvo problemi gravi, arriverai in fondo alla guida in perfetta autonomia

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner, vogliamo necessariamente in ordine e anche se non è stato rilevato nulla mettendo il nome della scansione a fianco del link :

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Se il pc dovessse essere molto compromesso (es. riavvii frequenti, schermate blu) oppure hai problemi con internet per aggiornare i programmi leggi qui

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com, imageshack

[riccardo6]

si grazie adesso inizio , ma è conosciuto questo virus? Quindi cureit non ha trovato falsi positivi?

[BlueTTa]

Quote:

Originariamente inviato da riccardo6

si grazie adesso inizio , ma è conosciuto questo virus? Quindi cureit non ha trovato falsi positivi?

curioso ... anche a me Cure.it che ho aggiornato e fatto girare ieri cone scansione compelta ha trovato esattamente le stesse cose che ha trovato a te ... solitamente do' una passata con i vari programmini una volta al mese e non avevo mai trovato nulla
Cmq un po' alla volta sto seguendo la guida alla disinfezione che trovo semplicemente fantastica.

[wjmat]

aspettiamo i log di entrambi per verifica
vi raccomando di caricarli tutti in un unico post per non incrociarvi

[BlueTTa]

Quote:

Originariamente inviato da wjmat

aspettiamo i log di entrambi per verifica
vi raccomando di caricarli tutti in un unico post per non incrociarvi

mi servirà il WE per fare tutte le scansioni del caso ...

cmq Cure.it poi mi dava tutto pulito
Oggi inizierò il processo di scansione per ulteriori verifiche

[riccardo6]

ALlora ho fatto tuee le scansione , tranne kasperskipe e al suo posto ho fatto quella di avira :

Atf pulizia file fatto con disabilitato rispirstino
1. log di Malwarebytes Anti-Malware aggiornato ad oggi mbam-log-2008-12-03 (21-29-57).txt
2. log di A-squared scansione deep aggiornato ad oggi a2scan_081203-213157.txt
3. log di Avira Antivir AVSCAN-20081204-144811-FD4BE87E.LOG
4. log di Dr.Web CureIT scaricato oggi http://www.hwupgrade.helloweb.eu/Par...4334621377.txt
5. log di ESET SysInspector SysInspector-RICCARDO-081204-1510.xml
6. log di HiJackThis
7. log di Gmer Gmerlo.log
8. log di PrevxCSI prevcsx.log

GRazie

[wjmat]

Quote:

Originariamente inviato da riccardo6

ALlora ho fatto tuee le scansione , tranne kasperskipe e al suo posto ho fatto quella di avira :

Atf pulizia file fatto con disabilitato rispirstino
1. log di Malwarebytes Anti-Malware aggiornato ad oggi mbam-log-2008-12-03 (21-29-57).txt
2. log di A-squared scansione deep aggiornato ad oggi a2scan_081203-213157.txt
3. log di Avira Antivir AVSCAN-20081204-144811-FD4BE87E.LOG
4. log di Dr.Web CureIT scaricato oggi http://www.hwupgrade.helloweb.eu/Par...4334621377.txt
5. log di ESET SysInspector SysInspector-RICCARDO-081204-1510.xml
6. log di HiJackThis
7. log di Gmer Gmerlo.log
8. log di PrevxCSI prevcsx.log

GRazie

con asquared mi sembra tu non abbia fatto la deep scan

edit
scarica l'allegato, estrai dmserver.dll e copialo in
C:\WINDOWS\system32\

[riccardo6]

Quote:

Originariamente inviato da wjmat

con asquared mi sembra tu non abbia fatto la deep scan
hai a portata il cd di xp aggiornato al tuo sp? proviamo a ripristinare questo file
C:\WINDOWS\system32\dmserver.dll

un mio amico mi ha passato questo file ed ora sembra che internet abbia ripreso a funzionare , l'ho messo nel tuo percorso va bene?

[riccardo6]

allora il file che mi ha passato il mio amico , uguale al tuo , l'ho fatto scansionare su virus total ed un certo SecureWeb-Gateway l'ha trovato positivo 1/37 , poi ora ho scaricato il tuo zip e fatto analizzare da virus total viene riconosciuto da DrWeb 4.44.0.09170 2008.12.04 Trojan.Starter.872 1/37 . CHe faccio ?

[wjmat]

il mio l'ho estratto 10 minuti fa direttamente dal sp3
quello del tuo amico è relativo a sp3?

[riccardo6]

Quote:

Originariamente inviato da wjmat

il mio l'ho estratto 10 minuti fa direttamente dal sp3
quello del tuo amico è relativo a sp3?

no me la passato da un sito mi sembra ddl dump

[wjmat]

probabile che sia di sp2, tieni il mio

[riccardo6]

Quote:

Originariamente inviato da wjmat

probabile che sia di sp2, tieni il mio

quindi è un problema di drweb , e se lo ritrova devo mettere no giusto? ma che cosa fà di preciso questo file?

[wjmat]

si brutto falso positivo...
che te ne fai di drweb quando hai già antivir?

[riccardo6]

Quote:

Originariamente inviato da wjmat

si brutto falso positivo...
che te ne fai di drweb quando hai già antivir?

ah ok , hai ragione il file che mi ha passato il mio amico è più vecchio nelle proprietà la versione è 2600.2180.503.0 mentre nel tuo è 2600.5512.503.0 perciò ora metto il tuo , ok grazie tante per l'aiuto

[wjmat]

Quote:

Originariamente inviato da riccardo6

ah ok , hai ragione il file che mi ha passato il mio amico è più vecchio nelle proprietà la versione è 2600.2180.503.0 mentre nel tuo è 2600.5512.503.0 perciò ora metto il tuo , ok grazie tante per l'aiuto

dai un occhio al trattamento in firma per rimuovere alcuni tool che ti abbiamo fatto usare e per informazioni utili
ciao

[Chill-Out]

Se hai una copia del file in quarantena saresti cortese da hostarlo su wikisend.com e comunicarmi in PVT il link

[riccardo6]

Quote:

Originariamente inviato da Chill-Out

Se hai una copia del file in quarantena saresti cortese da hostarlo su wikisend.com e comunicarmi in PVT il link

mi dispiace pultroppo quando ho fatto cura me l'ha cancellato , comunque è identico al file postato da wjmat perchè l'ho fatto anche scansionare da virus total e solo dr web lo trova positivo come trojan in quarantena c'è il sp3 di xp formato exe perchè dice che è infetto dal file prima citato