Delself.bat

[nellif]

Ciao a tutti,

sono nuovo del forum ma spero che possiate darmi una mano perchè sto davvero impazzendo. Ieri sera mi sono trovato una bella sorpresa sul desktop, il delsef.bat e, intuendo il pericolo, mi sono subito messo alla ricerca di soluzioni per rimuoverlo.

Tra le tante penso che la più consona (perchè più simile alla mia situazione) lho trovata proprio in un thread aperto qui, di cui allego il link,

http://forum.wininizio.it/index.php?showtopic=98932

dunque, armato di pazienza e impostata la modalità provvisoria, mi sono messo a fare tutte le scansioni così come suggerito dal thread di cui sopra.

Di seguito riporto i log di hijackthis, malwarebytes e combofix. Spero che qualcuno possa aiutarmi a sistemare definitivamente la cosa.

La cosa strana che ho notato è che quando avvio (o riavvio) WinXp in modalità normale, dopo averlo avviato in mod provvisoria, mi dice che non è stato in grado di riconoscere la mia registrazione e ogni volta mi chiede di rifare l'attivazione da capo tramite connessione automatica al server Microsoft (spero).

Grazie anticipato per l'aiuto, spero davvero che mi possiate aiutare a risolvere!

hijackthis.log

ComboFix.txt

mbam_log_2009_07_17__11_30_35_.txt

[Duca Bianco]

Ciao

salva il documento che ti allego CFScript.txt

apri il blocco note copia e salva questo testo,chiamandolo CFScript

col mouse trascina il file CFScript.txt sull'icona rossa di combofix

lascia lavorare il programma

finito verrà creato un nuovo log combofix.txt, postalo

Allega un nuovo log di hijackthis eseguito con la versione 2.02

Esegui una scansione online con Kaspersky (su "my computer")ed allega il report

http://www.wininizio.it/forum/index.php?showtopic=99707

[nellif]

ecco i log di combofix e hijack.

Per quanto riguarda Kaspersky invece, mi fallisce sempre il tentativo di avvio della applet java perciò non ho potuto farlo...qualche alternativa?

ComboFix.txt

hijackthis.log

[Duca Bianco]

Fixamo alcune voci per rendere più veloce l'avvio del pc, i programmi continueranno a funzionare.

Con tutte le applicazioni chiuse e disconnesso da internet

Avvia Hijackthis e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun

O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: Gestione servizi.lnk = C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

Aggiorna Java

Esegui una scansione online QUI e QUI usando Internet Explorer.

Ti consiglio di cambiare AVG8 con AntivirPe.

[nellif]

Dopo quasi 7 ore di scansione, sono in grado di postare il report di kaspersky...sto comunque procedendo anche con gli altri due per completezza, tanto ormai la giornata mi è partita .

Kaspersky Mi ha rilevato quattro minacce, una delle quali è un file messo in quarantena da combofix...cosa faccio??

Gli stessi risultati li ho ottenuti anche con eset e con windows live care, ho aggiunto anche il report di eset.

kasp.html

eset.txt

Modificato July 18, 2009 da nellif

[Duca Bianco]

ciao, Qoobox è la cartella della quarantena di combofix, puoi eliminarla dopo aver disinstallato il programma

Start > Esegui > nella casella di dialogo, digita (oppure, copia ed incolla) questo comando: combofix /u

premi invio

Per eliminare gli altri virus, anche se in quella posizione sono innocui

Disabilita il Ripristino di configurazione su tutte le unità

http://support.microsoft.com/kb/310405/it

riavvia e poi crei un nuovo punto pulito

(nota che questo eliminerà tutti i punti di ripristino, ed eventuali virus in esso contenuti)

[nellif]

Grazie mille duca!

Ho ripulito la directory della quarantina disinstallando combofix. Con un po' + di calma mi vedrò anche quelle notizie circa i punti di ripristino.

Per la cronaca il PC oltre ad essere pulito ora va molto + veloce

[Duca Bianco]

Per la cronaca il PC oltre ad essere pulito ora va molto + veloce

ottimo lavoro!

[nellif]

scusami se rompo ancora, ma nonostante tutta la pulizia fatta continuo ad avere dentro C:/Windows/system32 due file quanto meno sospetti

un certo wpa.dbl e un wpa.bak.

Inoltre rifacendo la scansione con Malware Bytes mi trova altri 5 elementi potenzialmente pericolosi. Posto il log magari mi puoi ancora aiutare.

mbam_log_2009_07_24__09_40_17_.txt

[$angelique!?]

Ciao nellif,

esegui Smitfraudfix come indicato QUI

allega il report

[nellif]

ecco il report. Spero sia tutto in ordine!

Grazie ancora.

rapport.txt

[$angelique!?]

Smitfraudfix non ha trovato nulla, ci sono ancora problemi?

Allega un nuovo report di Combofix