Mrtstub.exe

[Mr 4011]

Ti ripeto quanto ti ho gia' detto:

Avvia hijackthis

clic su "open the misc tool section"

clic su "Delete an NT service" ed immetti il percorso:

Service: Boonty Games - BOONTY - C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe

poi cancella anche l'eseguibile:

clic su "delete file on reboot ed immetti il percorso:

C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe

Aggiorna explorer all'ultima versione

Il log nel suo insieme e' pulito

[fragola]

Ti ripeto quanto ti ho gia' detto:

Avvia hijackthis

clic su "open the misc tool section"

clic su "Delete an NT service" ed immetti il percorso:

Service: Boonty Games - BOONTY - C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe "questo mi dice che non lo trova nel registro"

poi cancella anche l'eseguibile:

clic su "delete file on reboot ed immetti il percorso:

C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe

Aggiorna explorer all'ultima versione "explorer non posso aggiornarlo"

Il log nel suo insieme e' pulito

[pike]

Che intendi dire con "non posso aggiornarlo"?

[FDAC]

Ciao Pike, mi inchino alla tua sapienza

Se avessi il tempo che hai tu per scrivere quello che scrivi.. Cosi devo essere conciso, e poco chiaro..

Poco male, se riesco ad aiutare gli utenti

Il sistema sembra essere infetto da Koobface, il virus di FaceBook.

Scarica, preferibilmente con Internet Explorer, ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Posiziona ComboFix sul Desktop ed esegui queste operazioni preliminari:

● disconnettiti da Internet

● sconnetti, fisicamente, il modem/router dal Computer

E' assolutamente necessario, se attivo:

● disattivare l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

● disattivare il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:

● lancia ComboFix: per lanciare ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di ComboFix e, dal menù contestuale, scegli la voce Esegui come Amministratore

● segui le istruzioni che verranno rilasciate per eseguire la scansione

● verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare

● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:

● verranno creati alcuni file sul Desktop e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop

● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio

● il firewall, se attivo, potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti

● potrebbe apparire sul Desktop l'icona di Internet Explorer, qualora già non fosse presente

Quando ComboFix avrà concluso l'operazione di scansione:

● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu

● ricollega, fisicamente, il modem/router al Computer

● connettiti a Internet

● vai in Disco Locale C:, cerca il file di testo dal nome combofix.txt ed allegalo

Modificato February 14, 2011 da FDAC

[pike]

Ciao Pike, mi inchino alla tua sapienza

Se avessi il tempo che hai tu per scrivere quello che scrivi.. Cosi devo essere conciso, e poco chiaro..

Poco male, se riesco ad aiutare gli utenti

Non raccontiamo sciocchezze, FDAC, non sono affatto sapiente.

Ad essere troppo sintetici, più che aiutare, tendiamo a dare una indicazione poco chiara, che genera ulteriore confusione.

Fare un post in meno, e magari farlo meglio. Questo è aiutare tanto gli utenti.

[fragola]

Combofix: errore installazione non riuscita....Ho anche provato a scaricarlo da un altro sito ma nulla...Senza combofix come si fa???

Oh cavolo che pazienza...

[FDAC]

Elimina il file ComboFix posizionato sul Desktop.

Poi:

Disattiva la protezione in tempo reale del tuo Antivirus e:

● scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

● salvalo sul Desktop

Clicca sul pulsante Start

● scegli la voce Esegui

● nello spazio bianco, copia ed incolla questa riga:

"%userprofile%\desktop\comboFix.exe" /killall

● premi OK

● dovrebbe partire la scansione di ComboFix

● durante la scansione non fare assolutamente alcuna operazione con il PC

● il programma farà riavviare il sistema: successivamente, allega il log situato qui:

C:\combofix.txt

[fragola]

Mi dà lo stesso messaggio!Cavoli, ieri a un certo punto mi ha fatto riferimento a un file mancante...oggi non è più uscito.

Tra l'altro adesso succedono cose strane con firefox...da un pò si aprono più schede uguali, stasera stavo mettendo nickname e password in un sito e nella finestrella mi ha suggerito anche quelle di facebook!Poi mi hachiesto se doveva memorizzarle in firefox....ma veramente rano già memeorizzate....poi magari non dipende dal virus.....

Mannaggia...speriamo di trovare una soluzione!

[FDAC]

ComboFix non funziona.

Proviamo cosi:

Scarica ed installa Vir.IT eXplorer Lite: http://www.tgsoft.it/italy/download.htm

● aggiorna il programma, cliccando in alto su Tools e successivamente su Aggiornamenti OnLine: controlla che sia spuntata la voce Aggiorna con il modo servizio, e clicca su Aggiorna

● esegui una scansione completa, cliccando in alto su Scan e successivamente su Ricerca

● clicca su Scan e successivamente su Visualizza file Log: in questo modo potrai allegare il file di testo per un controllo

Un ulteriore controllo, per vedere se ci sono Drivers infetti e infezioni a livello di MBR:

Scarica TDSSKiller: http://support.kaspersky.com/downloads/utils/tdsskiller.zip

● estrai il contenuto del file zippato sul Desktop

● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan

Giunti a questo punto, inizia la scansione del tuo sistema alla ricerca di software malevolo:

● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua

● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà una di queste due opzioni:

● non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo

● è necessario riavviare il sistema: clicca su Riavvia ora

● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:

TDSSKiller.[Version]_[Date]_[Time]_log.txt

[fragola]

Prima di fare le scansioni complete vi posto questo log che ho avuto all'avvio di Vir.IT

VirIT eXplorer Lite Log

[sCANSIONE DELLA MEMORIA]

[Hidden Services]

avgntflt - avgntflt - system32\DRIVERS\avgntflt.sys

avipbb - avipbb - system32\DRIVERS\avipbb.sys

BITS - Servizio trasferimento intelligente in background - %SystemRoot%\system32\svchost.exe -k netsvcs (C:\WINDOWS\system32\qmgr.dll)

OK

Adesso vado a fare le scansioni...sperando non ci voglia molto altrimenti devo per forza mettervele domani....

[FDAC]

Ci sono dei servizi nascosti legati a dei RootKit. Quello che mi preme, è che Virit e TDSS Killer facciano il proprio lavoro. Altrimenti, dovremo provare ad agire con ComboFix in modalità provvisoria. Aspetto i Log, ciao fragola

[Amuk]

Ci sono dei servizi nascosti legati a dei RootKit. Quello che mi preme, è che Virit e TDSS Killer facciano il proprio lavoro. Altrimenti, dovremo provare ad agire con ComboFix in modalità provvisoria. Aspetto i Log, ciao fragola

Ciao... sei sicuro???

avgntflt - avgntflt - system32\DRIVERS\avgntflt.sys

avipbb - avipbb - system32\DRIVERS\avipbb.sys

i file rilevati in memoria sono di Avira, però non voglio mettere in discussione le parole di un esperto

[FDAC]

Amuk, ma quale esperto! Sono solamente un ragazzino

Si, quei 2 sono di Avira, ma io alludevo a questo:

BITS - Servizio trasferimento intelligente in background - %SystemRoot%\system32\svchost.exe -k netsvcs (C:\WINDOWS\system32\qmgr.dll)

Ciao

[Amuk]

Amuk, ma quale esperto! Sono solamente un ragazzino

Si, quei 2 sono di Avira, ma io alludevo a questo:

BITS - Servizio trasferimento intelligente in background - %SystemRoot%\system32\svchost.exe -k netsvcs (C:\WINDOWS\system32\qmgr.dll)

Ciao

Ma quello non lo avevo considerato io

qmgr.dll è un modulo connesso con Background Intelligent Transfer Service da Microsoft Corporation. Questo archivio fa parte del sistema operativo; se lo rimuovi non saremo più in grado di effettuare gli update di Windows.

Modificato February 16, 2011 da Amuk

[FDAC]

Devo avere preso un granchio; si sa, l'età che avanza

Aspettiamo la scansione, ciao!

[fragola]

Devo avere preso un granchio; si sa, l'età che avanza

Aspettiamo la scansione, ciao!

Parto ora con la scansione...però intanto vi segnalo che all'avvio di virit i messaggi son diversi da quelli di ieri...non c'è più servizio trasferimento intelligente ecc....ma c'è hidden services....ora vado a fare la scansione!

[Amuk]

Devo avere preso un granchio; si sa, l'età che avanza

Aspettiamo la scansione, ciao!

ahahahah "l'età che avanza..." ma se mi hai appena detto di essere un ragazzino .... che doveri dire io allora

Comunque capita a tutti di prendere un granchio, sopratutto in questo campo in continua evoluzione

Modificato February 17, 2011 da Amuk

[FDAC]

Grazie amuk, del sostegno.

Fragola, procedi con le scansioni, e posta i report.

[fragola]

Ecco le scansioni....

scansione virit.rtf

TDSSKiller.2.4.17.0_18.02.2011_23.03.24_log.txt

[Mr 4011]

Va benissimo fragola, esegui nuovamente un nuovo log di combofix e malwarebytes

[fragola]

Ecco il log di Combofix.

Adesso inizio anche l'altro...

logcombofix.txt

[Mr 4011]

Ok fragola,

prima di ogni cosa colloca combofix sul desktop

(non dovrà essere avviato da una periferica)

salva il documento che ti allego

apri il blocco note copia e salva questo testo, chiamandolo CFScript

col mouse trascina il file CFScript.txt sull'icona rossa di combofix

lascia lavorare il programma

finito verrà creato un nuovo log combofix.txt, postalo

Esegui come ti ho indicato malwarebytes

CFScript.txt

[fragola]

Ecco il log di Malware....

Ora faccio l'altro...

mbam-log-2011-02-19 (16-00-06).txt

[fragola]

Ecco l'altro...

log.txt

[Mr 4011]

Ok fragola lo script e' andato a buon fine non noto piu' niente di strano

Scarica TFC by OldTimer sul desktop

http://oldtimer.geekstogo.com/TFC.exe

chiudi tutti i programmi

avvia TFC, clicca su "star"

al termine della scansione ti chiederà il riavvio, dai ok.

Scarica OTC by OldTimer sul desktop

http://oldtimer.geekstogo.com/OTC.exe

doppio clic per eseguirlo

clicca su "CleanUP" > "Yes" > "Yes"

riavvia.

Scarica ed installa CCleaner: clicca qui per il download

Una volta installato configuralo in questo modo:

lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:

Impostazioni, e spunta la voce Cancellazione sicura (lenta) e nel menu a tendina seleziona la voce DOD 520.22-M (3 passaggi)

poi clicca su:

Avanzate togli la spunta alla voce Cancella solo file più vecchi di 48 ore

alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate

nel menu a sinistra, clicca sulla voce Pulizia e clicca su tasto Avvia pulizia per eseguire la scansione

finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce Estensioni file non usate clicca sul tasto Trova problemi ed avvia una scansione

al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Scarica ATF cleaner

http://www.atribune..../click.php?id=1

Tenendo i Browser chiusi, Avvia ATF Cleaner

(se usi Firefox o Opera, selezionali dal menu in alto)

metti la spunta su "Select All" per ogni browser

e clicca su "Empty Select"

Scarica Eusing Free Registry Cleaner http://www.snapfiles...ngregistry.html ed esegui la pulizia del registro

Per finire esegui uno scandisk ed una deframmentazione.