AIUTO NON RIESCO A RIMUOVERE VIRUS DA CHIAVETTA!!

[viemme52]

Il mio problema è il seguente:
ho preso un virus inserendo una chiavetta USB su un pc infetto, poi l'ho passata sul pc di un amico che con norton me l'ha "pulita"-->CREDEGHE!!
In realtà inserendola sul pc di casa scopro che essa contiene un file nascosto Autorun.inf e Recycler. Formatto la chiavetta ma subito dopo i 2 file ricompaiono!

Il mio antivirus, Antivir, non individua virus nella chiavetta ma i 2 file per me sono comunque sospetti.

Allora lancio una scansione del sistema e antivir trova sui boot sector HD1 e HD2 tracce del BOO\Sinowal.C ma non li elimina, dice di usare l'avira boot sector repair.
Creo un floppy di avvio e lancio la scansione avviando il sistema da floppy, però più di dirmi che ci sono tracce del virus non ripara niente!
Allora cercando su google trovo un'applicazione, la Norman Sinowal Cleaner, lancio una scansione, trova il virus e corregge il boot!
Faccio una scansione con Antivir e non trova niente di sospetto nel boot.

A questo punto inserisco la chiavetta e la formatto subito..ma subito dopo si rigenerano il Recycler e l'Autorun.inf!!
Faccio una scansione del pc e risulta pulito!

Qualcuno sa dirmi come risolvere definitivamente il problema?

Grazie!!!

[wjmat]

Ciao
segui qui la guida per la rimozione di MBR rootkit e posta in quella discussione tutti i log richiesti nella prima fase per verificare che tu sia pulito

segui qui la guida per la rimozione di virus su chiavetta/errore apertura dischi e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità .

[viemme52]

Grazie!

[Chill-Out]

Quote:

Originariamente inviato da viemme52

Grazie!

Ciao segui questa procedura:


1 Disabilita il ripristino configurazione sistema -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

2 Fai pulizia con ATF Cleaner -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737

3 Scarica questo Tool f-downadup sul DeskTop scompattalo direttamente nella Directory C:\
Da Start - Esegui - digita f-downadup.exe --disinfect e clicca su OK
Attendi pazientemente ed al termine riavvia il PC, il log per il controllo lo trovi in C:\Windows\temp

4 Fai girare questo tool -> Download e Info

5 Fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

6 Scansione completa con A-Squared come indicato qui -->> http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 3


NB: è assolutamente consigliato scaricare i tool sopra indicati e seguire la procedura offline

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** --> dove troverai le modalità per allegare i log

[viemme52]

Ho fatto la procedura sopra indicata senza problemi per 2 volte!
Ecco i log:
http://www.fileqube.com/file/DLEPKd194177
Asquared durante la scansione non ha trovato niente.

Alla fine di tutto però Prevx mi ha trovato ancora un malware che prima non c'era..come toglierlo?
http://www.fileqube.com/file/EYQczVRhW194178

[wjmat]

carica se lo trovi il primo log di combofix

• Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
• Apri il Blocco Note e incolla tutto il codice qui sotto

Quote:

Driver::
ejpbjufs

netsvc::
ejpbjufs

• Salva il file sul Desktop come CFScript.txt
• Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
• al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

[viemme52]

Ho trovato il primo log di Combofix

[viemme52]

Quote:

Originariamente inviato da wjmat

[*]al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt[/list]

Ed ecco il log dell'operazione che mi hai fatto fare:

[viemme52]

E alla fine di tutto Prevx mi trova sempre questo malware
Ecco il log http://www.fileqube.com/file/cVbCnp194236

EDIT non è che per caso si tratta di un falso positivo? Perchè ho inserito la chiavetta contente il file Autorun.inf, l'ho formattata e NON si è rigenerato!!

[Chill-Out]

Quote:

Originariamente inviato da viemme52

E alla fine di tutto Prevx mi trova sempre questo malware
Ecco il log http://www.fileqube.com/file/cVbCnp194236

EDIT non è che per caso si tratta di un falso positivo? Perchè ho inserito la chiavetta contente il file Autorun.inf, l'ho formattata e NON si è rigenerato!!

Il log di Prevx è OK, per cortesia allega un log di Gmer -->> Punto 8 http://www.hwupgrade.it/forum/showthread.php?t=1599737

[viemme52]

Quote:

Originariamente inviato da Chill-Out

Il log di Prevx è OK, per cortesia allega un log di Gmer -->> Punto 8 http://www.hwupgrade.it/forum/showthread.php?t=1599737

Scusa per il ritardo..ecco il log!

[Chill-Out]

Quote:

Originariamente inviato da viemme52

Scusa per il ritardo..ecco il log!

Dovremmo essere Ok, produci un log di HJT -->> Punto 7 http://www.hwupgrade.it/forum/showthread.php?t=1599737

[viemme52]

Quote:

Originariamente inviato da Chill-Out

Dovremmo essere Ok, produci un log di HJT -->> Punto 7 http://www.hwupgrade.it/forum/showthread.php?t=1599737

Ecco qui! L'ho passato sul sito ufficiale di HJT e lì non mi da nessuna chiave sospetta..

[wjmat]

puoi fixare queste, poi vedi tu se lasciare le o4 dei programmi p2p

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programmi\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

[Chill-Out]

Dopo il fix allega nuovo log, grazie.

[viemme52]

Ho fixato e questo è il log

[wjmat]

Quote:

Originariamente inviato da viemme52

Ho fixato e questo è il log

rifallo anche con l'ultima versione di hjt, grazie
http://www.trendsecure.com/portal/en...HJTInstall.exe

[viemme52]

Quote:

Originariamente inviato da wjmat

rifallo anche con l'ultima versione di hjt, grazie
http://www.trendsecure.com/portal/en...HJTInstall.exe

Eccolo

[Chill-Out]

Quote:

Originariamente inviato da viemme52

Eccolo

A posto ti suggerisco di leggere questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

[viemme52]

Grazie a tutti per l'aiuto!!