Infezione Incontrollabile!

[BK89]

Ciao ragazzi!

Premetto, se può servire, che il mio è un notebook TOSHIBA acquistato a giugno con sistema operativo Windows 7.

Da qualche giorno AVIRA rileva un virus chiamato TR/dropper.gen, lo elimino ma quello ricompare inesorabilmente! E' pericoloso? Come posso fare?

Ho fatto un sacco di scansioni con programmi diversi ma non riesco proprio a venirne fuori!

Ah aggiungo che non sono molto pratica quindi abbiate pazienza..

P.S.: Ne approfitto per esporvi un altro problemino: alcune cartelle del menù Start sono diventate in lingua inglese! A cosa è dovuto? Come posso ripristinare le impostazioni originali?

Grazie per eventuali risposte!

[FDAC]

- Scarica ed installa Hijackthis dal link sottostante:

http://www.hijackthis.de/downloads/HJTInstall.exe

- lancia Hijackthis

- clicca su Do a system scan and save a logfile

- al termine della scansione verrà rilasciato un file di testo: salvalo sul Desktop perché lo dovrai inviare qui

[BK89]

Ciao, grazie mille per la risposta!

Ora provvedo ad eseguire quanto mi hai suggerito!

Devo fare qualcosa di particolare prima di lanciare Hijackthis (disabilitare l'antivirus, ecc..)?

Grazie mille ancora!

[BK89]

Ecco qui il log, spero di aver fatto giusto:

hijackthis.log

[FDAC]

Procediamo cosi:

Scarica ed installa MalwareBytes:

http://www.aiutamici.com/software?id=80346

Prima di fare la scansione aggiornalo -clicca su Aggiornamento in alto-

Esegui una scansione completa del sistema.

Elimina tutto ciò che trova.

Invia il log.

[BK89]

Ecco qui, ha trovato 2 infezioni prontamente messe in quarantena ed eliminate!

Posto il log:

MalwareBytesLog.txt

Modificato October 16, 2010 da CloserToTheEDGE_

[FDAC]

Scarica ComboFix da qui:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Quando lo salvi hai la possibilità di rinominare il file: rinomina l’exe in pippo.exe

● posiziona pippo.exe sul Desktop

● disconnettiti da Internet

● sconnetti, fisicamente, il modem dal computer

● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore

● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione

● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log

● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contrario, riavvialo tu)

Note - durante la scansione:

● verranno creati alcuni file sul desktop e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop

● potrebbe venire rilasciato un messaggio in relazione all' antivirus in uso: prosegui ignorando il messaggio

● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consenti pure)

Verrà creato un log in Disco Locale C: dal nome combofix.txt che dovrai inviare qui.

Conclusa la scansione:

● riavvia il sistema in modalità normale

● ricollega, fisicamente, il modem al computer

● connettiti a Internet e invia il file di testo

N.B. Se non riuscissi in alcun modo ad utilizzare Combofix, segui questi semplici passi:

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\pippo.exe" /killall

Premi OK, si dovrebbe avviare la scansione.

[BK89]

Cio, ho provato con Combofix ma non lo fa partire! Dice che l'OS è incompatibile...come faccio?

Ah, di preciso qual'è la situazione del mio computer arrivati a questo punto?

Cioè stiamo solamente facendo le ultime analisi per vedere se è ancora in circolo in virus o è più "critica" la cosa?

Modificato October 17, 2010 da CloserToTheEDGE_

[pike]

Credo che tu abbia Win7 a 64 bit, e Combofix su quell'os non è utilizzabile.

[BK89]

Credo che tu abbia Win7 a 64 bit, e Combofix su quell'os non è utilizzabile.

Esatto.

C'è qualche programma che posso usare in sostituzione?

[pike]

@FDAC, non intendo invadere una discussione aperta da te. Sto dando un suggerimento, ma se intendi seguire una strada diversa, criticami pure. Sai mai che imparo ancora nuove cose

@CloserToTheEdge_ (fan dei 30Second, eh? : ): purtroppo sostituire il maggico combofix non è facile, ma tentiamo con CureIT di capire qualcosa meglio.

Ti linko ad un articolo di Michele Nasi su IlSoftware.it; leggilo, segui le indicazioni e posta il log secondo quanto indicato nell'articolo.

[BK89]

@FDAC, non intendo invadere una discussione aperta da te. Sto dando un suggerimento, ma se intendi seguire una strada diversa, criticami pure. Sai mai che imparo ancora nuove cose

@CloserToTheEdge_ (fan dei 30Second, eh? : ): purtroppo sostituire il maggico combofix non è facile, ma tentiamo con CureIT di capire qualcosa meglio.

Ti linko ad un articolo di Michele Nasi su IlSoftware.it; leggilo, segui le indicazioni e posta il log secondo quanto indicato nell'articolo.

Lo sto scaricando, grazie mille!

Sono abbastanza una capra in materia quindi mi fido dei vostri consigli (ne avrei a miliardi da chiedervi ma non credo sia il caso! )

Appena finisce di scaricare e fare la scansione posto il log!

P.S.: Si, fan dei 30Seconds!

[BK89]

Hey amico non parte il programma! Lo scarica, chiede l'ok per lanciarlo ma non si avvia.

[FDAC]

Ciao Pike, no problem

Scusa, provo a dare ulteriori suggerimenti

Esegui questi passaggi alla lettera, senza saltarne alcuno.

Disattiva il Ripristino Configurazione Di Sistema:

- Start

- Tasto destro del mouse sull'icona Risorse del Computer

- Seleziona la voce Proprietà

- Apri la scheda Ripristino configurazione di sistema

- Spunta la voce Disattiva Ripristino configurazione di sistema

- Conferma, la modifica, con Applica e, poi OK

Scarica ATF Cleaner da qui:

http://www.atribune..../click.php?id=1

Avvia ATF Cleaner con un doppio click

1) seleziona la casella Select All

2) clicca sul pulsante Empty selected

3) aspetta l'avviso Done Cleaning

(se usi Opera o Firefox, spunta anche le loro sezioni)

* Scarica Glary Utilities: http://download.cnet...j=dl&tag=button

* Installa Glary Utilities

In fase di installazione ti chiederà di installare anche la Ask Toolbar, togli la Spunta

* Avvia Glary Utilities

* Menu - Settings - Language - Italian

* Manutenzione 1 Click

--- Controlla che tutte queste voci siano spuntate:

--- Pulizia registro

--- Riparazione collegamenti

--- Gestione esecuzioni automatiche

--- Pulizia File Temporanei

--- Eliminazione Tracce

--- Rimozione Spyware

Nel riquadro Eliminazione Tracce clicca con il tasto destro su Opzioni - Selezionale le tracce da eliminare e selezionale tutte

Nel riquadro Eliminazione Tracce clicca con il tasto destro su Opzioni - Opzioni - Elimina i cookie non contrassegnati

Infine, clicca su Ricerca Errori

*Attendi la scansione - puo' durare 3-4 minuti al massimo -

*A scansione finita, clicca su Ripara Errori

*Ripeti questa operazione più volte, in quanto Glary Utilities, come tanti altri Software di pulizia del Registro di Windows, non riesce a far fuori tutte le schifezze al primo colpo.

Scarica Findykill:

http://pagesperso-or...ine29/Setup.exe

installa FindyKill

chiudi tutte le eventuali applicazioni aperte (antivirus, firewall e programmi "residenti")

disconnettiti da Internet

sconnetti, fisicamente, il modem dal computer.

avvia il tool e digita F per impostare la lingua;

clicca su 2 - Suppression des fichiers infectieux (Eliminazione dei file infetti)

al termine dell'operazione verrà rilasciato un log: salvalo sul Desktop, e postalo qui.(se non lo trovi sul desktop, lo trovi in C:\FindyKill.txt)

P.S:

Potranno esserci dei riavvii, non preoccuparti, è il programma che sta lavorando.

- Scarica Bootkit Remover sul Desktop dal link sottostante:

http://www.esagelab....kit_remover.rar

- Estrai la cartella e posiziona il file remover.exe sul Desktop (è necessario che il file "remover" sia sul Desktop)

- Doppio click su Remover.

- Ti appare una finestra tipo DOS.

- Copia qui, quello che c'è scritto sotto: MBR Status.

Scarica FindAWF:

http://noahdfear.gee...com/FindAWF.exe

Esegui FindAWF.

Premi un tasto qualsiasi ,poi premi il tasto 1 e INVIO, aspetti il log che FindAWF stamperà su un file di testo alla fine della ricerca.

Il filelog lo posti in questa discussione .

Scarica ed installa HitmanPro (scegli la versione adatta al tuo Sistema Operativo - 32Bit o 64Bit):

http://www.surfright.nl/en/downloads

- lancia HitmanPro

- clicca Impostazioni

- clicca su Licenza ed attivala

- esegui la scansione (lascia le impostazioni di default);

- al termine della scansione ti verrà mostrato un riepilogo: nella finestra di riepilogo, in basso a sinistra, avrai modo di salvare il Report: salvalo sul Desktop perché lo dovrai allegare

scarica Kaspersky Virus Removal Tool

http://support.kaspe...ool2010?level=2

1> al termine della installazione verrà mostrata la schermata principale del tool

2> verrà creata una cartella sul Desktop dal nome Virus Removal Tool

3> seleziona la partizione da scansionare e clicca su Scan per avviare la scansione

4> terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all

5> si apriranno dei popup dove potrai scegliere se Cancellare o Disinfettare l'oggetto

6> metti la spunta su Apply to all e clicca su Quarantine

Scarica mbr.exe e salvalo direttamente nella Directory C:\

http://www2.gmer.net/mbr/mbr.exe

Riavvia il PC e avvialo in modalità provvisoria, premendo ripetutamente F8 subito dopo l'accensione del PC finchè non compare una schermata in nero con delle opzioni in bianco.

Da Start/Esegui e digita

C:\mbr.exe -f

e clicca su OK

NB - C'è uno spazio vuoto tra "C:\mbr.exe" e "-f"

La scansione durerà pochi secondi.

Posta il log situato in C:\ come mbr.log

7> per salvare il Report che verrà rilasciato, clicca sul tasto Reports: salvalo sul Desktop poi allegalo sul forum.

Scarica Vundofix sul desktop:

http://www.atribune..../click.php?id=4

- Esegui VundoFix.exe

- Clicca Scan for Vundo.

- al termine della scansione, clicca su Fix Vundo.

- ti chiede se vuoi eliminare i files infetti, clicca YES

- il tuo video diventerà nero durante la rimozione di Vundo.

- al termine ti chiederà di riavviare il pc, clicca OK.

- Copia qui il contenuto del log C:\vundofix.txt.

Nota: VundoFix potrebbe non riuscire ad eliminare qualche file. In questo caso, VundoFix si avvierà automaticamente al riavvio del pc, ripeti le operazioni indicate sopra partendo da "Clicca Scan for Vundo" quando VundoFix apparirà al riavvio.

Alla fine dei lavori, posta TUTTI i Logs.

Buon lavoro, saluti

Modificato October 17, 2010 da FDAC

[BK89]

Hey ho fatto tutto!

Qualche programma non funzionava, posto i log che sono riuscita ad ottenere.

Come siamo presi?

Bootkit Remover.txt

FindyKill.txt

Hitman Pro.xml

mbr.log

[pike]

Ho la stramaledetta impressione che molti dei tool non abbiano girato correttamente, ma è FDAC che sui log si deve pronunciare, visto che conosce gli strumenti meglio di me.

Direi che ci rimane da tentare la combinazione Rkill + MBAM

Sai mai che combiniamo qualcosa...

Leggi questo e questo post di Angelique.

Esegui una scansione completa con MBAM, dopo averlo installato ed aggiornato, e postane il log.

[Luke57]

Ciao, il buon Fdac ci mancava che gli avesse suggerito di provare una scarica di mitragliatrice e un colpo di bazooka, magari insieme. Penso che utilizzare malwarebytes sia una buona idea.

[FDAC]

Avevi il Bagle di sicuro.

Supprimé ! C:\windows\prefetch\WINUPGRO.EXE-C12B80B5.pf

E malwarebytes, caro Luke, in questi casi fa ben poco.

Fortuna che ci ha pensato FindyKill.

Hai l'MBR NON a posto, da quanto vedo.

Start/Esegui e digita:

C:\mbr.exe

Posta il Log.

[Luke57]

@FDAC

Mi inchino alla tua sapienza

[BK89]

Mbr non parte amico..ah intanto GRAZIE per il mega lavoro che stai facendo!

[FDAC]

Luke, sei ironico o cosa?

Amico, prova in modalità provvisoria con MBR.EXE. Sicuro che non funzioni? Da qualche messaggio di errore?

Ciao

[pike]

Io ci ho letto sincera stima... Per quel che può valere.

[FDAC]

OT: No perchè di solito Luke mi snobba sempre

Fine OT

Guarda Pike che io ne so quanto, e forse di meno, di te.

Ciao

[pike]

E con questo con gli OT concludo: l'obiettivo della squadra è arrivare al risultato. E per farlo, serve sempre l'aiuto di tutti

[Luke57]

@FDAC

Ciao, questa volta il mio era un complimento , nel post precedente non avevo resistito a fare una battuta sull'armamentario terapeutico che avevi utilizzato, però giustificato dal fatto che molti programmi antivirus non funzionano in quel sistema operativo.

@closertheedge

Ciao, ormai l'hai provate tante, scarica systemscan da qui:

http://www.suspectfile.com/upload/files/tools/sys36982.exe

aprilo edassicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Allega il file con estensione report.txt nella tua prossima risposta.

Ricordati d'effettuare la scansione senza connessione attiva. Se il file fosse troppo grande per il forum inseriscilo qui e fornisci il link perpoterlo vedere:

http://wikisend.com/