[winxp] Virus che non se ne vuole andare.

[fab77]

ho provato a seguire passo passo la procedura di disinfezione del pc, ma ho alcuni problemi a cui non mi so dare spiegazione e che probabilmente non mi fa avere i risultati aspettati:
1) non mi parte il programma "cureit" appena clicco per far partire la scansione, mi da messaggio d'errore e si chiude.
2) prevxcsifree sembra non riuscire a collegarsi al server e quindi da scansione fallita.

vi riporto qui tutti i log che son riuscito a fare.
Se così non c'è soluzione, visto che anche con una formattazione normale non se ne va, che faccio? butto i due hard disk infetti?

1) log1_malwarebytes_log.txt

2) log2_a2scan_090306-035636.txt

3) cureit non va

4) log4_kasp filtrato.txt

5) log5_SysInspector-CARFA.xml

6) log6_hijackthis.txt

7) log7_gmer.txt

alla fine ne ho fatto uno con nod32 tanto per:
log8_nod32.txt

a voi la sentenza!

[Chill-Out]

1 - Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sotto indicata voce e clicca su Fix cheked

Quote:

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

2 - Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare
Combofix
Nuovo log HJT
Nuovo log SysInspector
Prevx CSI

[fab77]

non vorrei cantar vittoria troppo presto.... però!

combofix:
http://www.fileqube.com/file/cVeqNC177976

HJT:
http://www.fileqube.com/file/qDkpjztH177978

SysInspector:
http://www.fileqube.com/file/AjShTbu177981

Prevx csi:
http://www.fileqube.com/file/YSCnUplsx177983

Ho dovuto usare fileqube perchè wikisend non funzionava.

[fab77]

infatti....
nod32 appena parte in scan mi trova ancora sto mebroot.K ma come cavolo devo fare?

[wjmat]

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Codice:

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programmi\File comuni\TerraTec\Scheduler\TTTimer.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programmi\File comuni\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1219423656889
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muwe b_site.cab?1219424118108
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

• Da modalità normale
• Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
• Apri il Blocco Note e incolla tutto il codice qui sotto

Quote:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

• Salva il file sul Desktop come CFScript.txt
• Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
• al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

carica un log anche di nod

gmer effettivamente segnala mbr rootkit ma anche se lo avevi ripulito in passato il suo log sarà sempre sporco
prevx invece non lo segnala

[fab77]

http://www.hwupgrade.it/forum/showpo...postcount=1087

leggevo questo post riguardante il mio stesso problema:
-sono l'unico account del pc
-in effetti un hard disk esterno non è collegato al pc
-non saprei di una partizione nascosta.

cmq ora faccio come mi hai detto.

[Wizard70]

So che non sarete tutti d'accordo ma per quanto mi riguarda sono ormai 8 anni che compro il Norton Internet Security e, pur lavorandoci tutto il giorno, non ho mai avuto problemi.

Ho ormai imparato a settarlo per "alleggerirlo" un pò ma, ripeto, senza evidentemente pregiudicare la sicurezza del pc.

Per levare files che si ostinano ad essere incollati sull'hard disk ho acquistato East Tec eraser, che funziona a meraviglia.

[xcdegasp]

@ Wizard70:
siamo contenti per te ma qui sei un po' off-topic

[Wizard70]

Lo dicevo per utilizzare il NIS come spazzino del/dei virus...Potrebbe farcela?

[fab77]

ecco i log:

hijackthis:
http://www.fileqube.com/file/osiSksw178130

combofix:
http://www.fileqube.com/file/YkzglQb178132

nod32:
http://www.fileqube.com/file/qXNzFh178133

[Chill-Out]

Quote:

Originariamente inviato da fab77

ecco i log:

hijackthis:
http://www.fileqube.com/file/osiSksw178130

combofix:
http://www.fileqube.com/file/YkzglQb178132

nod32:
http://www.fileqube.com/file/qXNzFh178133

Ciao dovremmo essere OK, rimane da capire il perchè il Nod sfarlocca, mi dici cosa sono C: - D: - E:

[fab77]

Quote:

Originariamente inviato da Chill-Out

Ciao dovremmo essere OK, rimane da capire il perchè il Nod sfarlocca, mi dici cosa sono C: - D: - E:

C: è l'hard disk con il S.O.
D: ed E: due hard disk con solo dati

[Chill-Out]

Quote:

Originariamente inviato da fab77

C: è l'hard disk con il S.O.
D: ed E: due hard disk con solo dati

Sono 2 partizioni non due HDD, dimmi quale versione del Nod usi, la cosa bizzarra è la seguente, SysInspector non rileva nulla mentre Nod si ed entrambi i software sono Eset

[fab77]

Quote:

Originariamente inviato da Chill-Out

Sono 2 partizioni non due HDD, dimmi quale versione del Nod usi, la cosa bizzarra è la seguente, SysInspector non rileva nulla mentre Nod si ed entrambi i software sono Eset

nono, D: ed E: sono proprio 2 dischi fisici.

il nod è versione 4.0.314.0
Virus signature database: 3832 (20090206)
Update module: 1026 (20081114)
Antivirus and antispyware scanner module: 1179 (20090204)
Advanced heuristics module: 1088 (20090205)
Archive support module: 1090 (20090205)
Cleaner module: 1037 (20081209)
Anti-Stealth support module: 1007 (20081107)
System status module: 1206 (20090206)
Self-defense support module : 1005 (20081105)

[Chill-Out]

Quote:

Originariamente inviato da fab77

nono, D: ed E: sono proprio 2 dischi fisici.

il nod è versione 4.0.314.0
Virus signature database: 3832 (20090206)
Update module: 1026 (20081114)
Antivirus and antispyware scanner module: 1179 (20090204)
Advanced heuristics module: 1088 (20090205)
Archive support module: 1090 (20090205)
Cleaner module: 1037 (20081209)
Anti-Stealth support module: 1007 (20081107)
System status module: 1206 (20090206)
Self-defense support module : 1005 (20081105)

Ok due dischi....in definitiva secondo mè il Nod sfarlocca e non è la prima volta, per massimo scrupolo allega un nuovo log di Gmer premurandoti di scaricare la versione aggiornata da qui http://www.gmer.net/files.php

[fab77]

Quote:

Originariamente inviato da Chill-Out

Ok due dischi....in definitiva secondo mè il Nod sfarlocca e non è la prima volta

disinstallo e ne metto un'altro? e vediamo che dice?

[Chill-Out]

Quote:

Originariamente inviato da fab77

disinstallo e ne metto un'altro? e vediamo che dice?

No non ha senso, leggi sopra ho editato il Post

[fab77]

ma se è vero ciò:

Quote:

Originariamente inviato da wjmat

gmer effettivamente segnala mbr rootkit ma anche se lo avevi ripulito in passato il suo log sarà sempre sporco
prevx invece non lo segnala

[Chill-Out]

Quote:

Originariamente inviato da fab77

ma se è vero ciò:

Ciò non è vero in quanto Gmer non segnala la presenza del Rootkit bensì codice appeso in quei settori, produci nuovo log come sopra indicato

[fab77]

ora sto facendo una scansione online con il sito della Mcafee, e mi segnala solo i programmini di scansione tipo combofix


questo è lo striminzito log che sono riuscito ad ottenere:

C:\Documents and Settings\...\Junk-----------------------------Generic Malware.a!zip
C:\Documents and Settings\...\Junk-----------------------------Spy-Agent.cf
C:\Documents and Settings\...\ComboFix.exe--------------------RemAdm-ProcLaunch!171
C:\Qoobox\Quarantine\C\2.bat.vir-------------------------------PWS-Gamania.gen.k
C:\Qoobox\...\system32\nmdfgds0.dll.vir-------------------------PWS-Gamania.gen.k
C:\Qoobox\...\system32\nmdfgds1.dll.vir-------------------------PWS-Gamania.gen.k
C:\Qoobox\...\system32\olhrwef.exe.vir--------------------------PWS-Gamania.gen.k