Infezione Virus

[Rinaldo3000]

Salve a tutti , ho un problema col mio pc e riguarda un infezione da parte da virus:

avira mi rileva da qualche giorno 2 worm conficker schiaccio su elimina ma dopo poco me li rileva;

ho cercato guide su internet come eliminarli e ci sono riuscito solo che dopo poco

mi ha rilevato un trojan.gen e dopo altri rilevamenti mi sono usciti di nuovo i worm conficker

anche se elimino i worm si rifanno non so proprio come fare, i file infetti sono posti in sistem32 nella cartella windows e un altro nei file temporanei di internet (se questo può servirvi) poi ho notato che i virus vengono rilevati solo di sera di giorno è tutto perfetto ma di sera me li rileva come mai?

Spero che qualcuno sappia come eliminarli e mi dia una mano perchè di virus non ne posso più .

Grazie per la lettura e per l'aiuto che spero di avere

Modificato February 18, 2011 da Rino96

[Mr 4011]

Ciao rino96 innanzitutto ho spostato la discussione

esegui un log di hijack this e uno di combofix e postali.

Dalla mia firma puoi vedere le relative guide per eseguire i tool e postare i report

[Rinaldo3000]

okkei proveddero grazie per la risposta

[Amuk]

Ciao,

mentre Mr 4011 aspetta i logs, posso farti un paio di domande?

1. ma non hai un sistema aggiornato? il conficker è un worm del 2009 che attacca le macchine che non dispongono della patch Microsoft MS08-067

2. con Avira hai tentato una scansione in modalità provvisoria?

3. hai provato ad usare i tool di rimozione specifici? ESET Conficker Removal Tool, Downadup di F-Secure o KidoKiller di Kaspersky.

Con AVIRA, comincia a bloccare gli "autorun.inf"

(i log postali comunque anche se decidi di usare i tools)

(per Mr 4011) clicca

Modificato February 18, 2011 da Amuk

[Rinaldo3000]

AMUK HO PROVATO A USARE UN TOOL PER RIMUOVERE IL WORM ,SOLO CHE NON SO COME RIESCIE SI RI CREA I FILE, SECONDO ME C'è QUALCUN ALTRO VIRUS CHE LO LASCIA PASSARE .

POI CON AVIRA NON HO PROVATO A FARE LA SCANSIONE IN MODALITà PROVVISORIA

CMQ PER TOOL HO USATO DOWNADUP BITDIFENDER

ADESSO VOGLIO PROVARE IL METODO DATO DAL MODERATORE COMUNQUE I TUOI SONO OTTIMI CONSIGLI CHE SPERIMENTERO SENZ ALTRO GRAZIE MILLE PER L'AIUTO

ps : PERCHè L'AVIRA MI RILEVA I FILE INFETTATI SOLO DI SERA DI GIORNO NON MI ESCE NULLA O_O .......

[Rinaldo3000]

AMUK IN che SENSO COMINCIA A BLOCCARE gli '' autorun.inf'' ?????

[Rinaldo3000]

SCUSATE LA MIA IGNORANZA COME DEVO FARE PER POSTARE I FILE DEL BLOCK NOTES DI HIJACKTHIS E DI COMBOFIX????

[Mr 4011]

Rino e' tutto spiegato nelle guide non e' difficile.

Posta prima quello di hijack, per quello di combofix e' la stessa procedura

@Amuk; ricambio ( Ho visto )

[Rinaldo3000]

mi sa che ho sbagliato a mettere il posto potrebbe eliminarlo gentilmente ora lo posto meglio

[Rinaldo3000]

Rino e' tutto spiegato nelle guide non e' difficile.

Posta prima quello di hijack, per quello di combofix e' la stessa procedura

@Amuk; ricambio ( Ho visto )

ECCO IL POSTO DI HIJACKTHIS (SCUSI PER I PASTRIOCCHI COMBINATI)

hijackthis.log

[Rinaldo3000]

ADESSO USO COMBIFIX

[Amuk]

AMUK IN che SENSO COMINCIA A BLOCCARE gli '' autorun.inf'' ?????

Non so se la versione free dispone di questa opzione...

Se usi la versione pro, abilitala

Modificato February 18, 2011 da Amuk

[Rinaldo3000]

USO LA FREE ADESSO VEDO

[Rinaldo3000]

USO LA FREE ADESSO VEDO

NULLA NON SI PUO

[Rinaldo3000]

ANZI LO TROVATO

[Rinaldo3000]

ANZI LO TROVATO

MA A COSA SERVE??????

[pike]

@Amuk e e Mr 4011: Microsoft nell'ultimo Patch Tuesday ha incluso un fix che gestisce questa cosa in maniera analoga.

Tuttavia, nonostante una ricerca, non ho trovato il preciso riferimento KB di questo aggiornamento opzionale che disattiva Autorun per i device USB ma non per le unità ottiche.

[Amuk]

Non fa nulla, adesso lo eliminiamo, combofix ce la dovrebbe fare, poi toglieremo i rimasugli (anzi te li toglierà Mr 4011 ) altrimenti in due facciamo una confusione da matti

SOLO CHE NON SO COME RIESCIE SI RI CREA I FILE,

copia se stesso in una o più delle seguenti posizioni: (e si replica da qui)

* %Program Files%\Internet Explorer\[Random Name].dll *%% Programmi \ Internet Explorer Files \ [nome casuale]. Dll

* %Program Files%\Movie Maker\[Random Name].dll *%% Programmi \ Movie Maker Files \ [nome casuale]. Dll

* %Documents and Settings%\All Users\Application Data\[Random Name].dll Documents and Settings% *% \ All Users \ Dati applicazioni \ [nome casuale]. Dll

* %Temp%\[Random Name].dll *% Temp% \ [nome casuale]. Dll

* %System32%\[Random Name].dll *% System32% \ [nome casuale]. Dll

[Rinaldo3000]

FORTE ANCHE SE MI STA DANNEGGIANDO IL PC è DAVVERO FURBO

[Rinaldo3000]

ADESSO FACCIO PARTIRE COMBIFIX

[Amuk]

MA A COSA SERVE??????

Un computer può essere infettato da possibili tre modi:

* se non si ha la patch (in questo caso la MS08-67 ), da un computer già infetto nella rete locale

* Se l'account di amministratore del computer ha una password debole (attacco di forza bruta - raro se usi un firewall)

* se il computer ha la funzione di riproduzione automatica (autorun) abilitata e un drive infetto (USB) viene collegato

___

@Amuk e e Mr 4011: Microsoft nell'ultimo Patch Tuesday ha incluso un fix che gestisce questa cosa in maniera analoga.

Tuttavia, nonostante una ricerca, non ho trovato il preciso riferimento KB di questo aggiornamento opzionale che disattiva Autorun per i device USB ma non per le unità ottiche.

Avira , volendo blocca anche le unità ottiche

Modificato February 18, 2011 da Amuk

[Rinaldo3000]

cavolo usavo combifix mi ha segnalato il virus avira mi ha bloccato tutto, combifix dice di disattivarlo ho rpovato ma rimaneva ancora qualcosa attiva ...

poi i virus hanno approfittato che ho disattivato avira e si so attivati solo che poi avira è riuscita a bloccarlo SOLO CHE STAVO PER PARTIRE COMBIFIX E MI è SUCCESSO UN MACELLO XD

PS: è NORMALE CHE FACCIA DEGLI STRANI SUONI COMBIFIX??? (SCUSATE LA MIA ENORME IGNORANZA NON HO MAI USATO QUESTI PROGRAMMI E SONO CURIOSO )

[Mr 4011]

Nell'attesa del report di combofix rilancia hijack e clicca su do a system scan only e spunta le seguenti voci dopo di che clicca su fix cecked

R3 - URLSearchHook: (no name) - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?185b0370005d4f6a96be0bfed8c1ac6c

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000

O17 - HKLM\System\CCS\Services\Tcpip\..\{65829904-5044-46D6-930A-E2AF92E61301}: NameServer = 193.70.152.15 193.70.152.25

[Mr 4011]

Rino ma la segui la guida ?

Ti dice chiaramente che quando esegui combofix tu non devi neanche muovere il mouse e devi eseguirlo con antivirus e firewall disattivati.

gli antivirus e i firewall rilevano le zioni di combofix come azioni di virus

PS ricordati inoltre di staccare il modem

[Rinaldo3000]

ALLORA COMBO FIX LO FACCIO DOMANI RIGUARDANTE A HIJACKTHIS HO FATTO QUELLO CHE MI HAI DETTO