Aiutatemi Vi Prego

[simoneraul]

Vi prego ragazzi, vi spiego cos'è successo in ordine di apparizione (e chissà che altro m'è successo e devo ancora accorgermi):

SpyBot mi è sparito nel nulla e se lo reinstallo mi sparisce immediatamente dopo l'installazione

Avast: idem come sopra

Non riesco più a fare l'upload dei siti web sia con filezilla che con CuteFTP

Ora non mi va èiù nemmeno Firefox, fortunatamente sembra che (PER ORA!!!) almeno Internet Explorer mi va.

Sono riuscito a fare andare avast in modalità provvisoria e mi è uscito:

... ma poi c'era scritto impossibilitato a spostare nel cestino o qualcosa del genere (tra l'altro sti 2 files non li trovo più e nemmeno la cartella System Volume Information).

Ho letto sul vostro forum di Hijack così ho fatto la scansione, vi posto il log:

Logfile of HijackThis v1.99.1

Scan saved at 10.32.33, on 03/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\crypserv.exe

C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programmi\Raxco\PerfectDisk\PDAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Programmi\Raxco\PerfectDisk\PDEngine.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\File comuni\Real\Update_OB\realsched.exe

C:\Programmi\Labtec\Keyboard\V5.1\kbdap32a.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\carpserv.exe

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe

C:\Programmi\Skype\Phone\Skype.exe

C:\Programmi\Drive\Drive.Exe

C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programmi\UberIcon\UberIcon Manager.exe

C:\Programmi\MSN Messenger\msnmsgr.exe

C:\Programmi\PeerGuardian2\pg2.exe

C:\Programmi\eMule\emule.exe

C:\Programmi\Philips\SPC 200NC PC Camera\TrayMin200.exe

C:\Programmi\Rainmeter\Rainmeter.exe

C:\Programmi\Skype\Plugin Manager\SkypePM.exe

C:\Programmi\MSN Messenger\usnsvc.exe

C:\Programmi\MSN Messenger\livecall.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\Mozilla Firefox\firefox.exe

C:\Programmi\IrfanView\I_VIEW32.EXE

C:\Programmi\JGsoft\EditPadLite\EditPad.exe

C:\cartella normale (DEL)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = SimoneRaul

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 8\SnagItIEAddin.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [OFFICEKB] C:\Programmi\Labtec\Keyboard\V5.1\kbdap32a.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [pdfSaver3] "C:\Programmi\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"

O4 - HKCU\..\Run: [skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Drive] C:\Programmi\Drive\Drive.Exe

O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [uberIcon] "C:\Programmi\UberIcon\UberIcon Manager.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart

O4 - HKCU\..\Run: [uniblue RegistryBooster 2] C:\Programmi\Uniblue\RegistryBooster 2\RegistryBooster.exe /S

O4 - Startup: Rainmeter.lnk = C:\Programmi\Rainmeter\Rainmeter.exe

O4 - Startup: SCAD_WIN.EXE.lnk = C:\Documents and Settings\Admin\Documenti\PROGRAMMI\_UTILITIES\scadenze\scad_51\SCAD_WIN.EXE

O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?

O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: TrayMin300.exe.lnk = ?

O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra button: Umail - {4B7DAD53-CC6D-4BAB-A968-0A9AE9089364} - http://www.umail.it (file missing) (HKCU)

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/zuma/sis/...ploader_v10.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...150/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C40EED53-E44C-4720-8474-4BD45AEBBA2E}: NameServer = 213.205.32.70,213.205.36.70

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: ldr64 - C:\WINDOWS\

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe (file missing)

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: DirectX Service (DirectJycv) - Unknown owner - c:\windows\system32\directx.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe

Spero che possiate aiutarmi prima che debba formattare l'hard disc con mio sommo dispiacere!!!

Se risolverò il problema grazie a voi non finirò mai di ringraziarvi, perfavore, fate prima che potete, prima che succeda qualcos'altro di irreversibile (tipo che non posso nemmeno più usare explorer per leggere questo forum), comincio a sentirmi ansioso e in panico!!!

Grazie ancora, confido in voi.

Simone.

PS: magari la soluzione la potevo trovare da solo spulciando il vostro forum, ma sento di non avere tempo: perfavore ditemi dettagliatamente che devo fare anche se magari l'avete già detto altre volte, di solito cerco di cavarmela da solo ma qui la situazione è grave!!!

hijackthis.log

[$angelique!?]

[ben]SimoneRaul[/ben]

Ciao SimoneRaul,

esegui questi tool di rimozione:

1.Scarica il file - combofix.exe

Doppio click su combofix.exe & e segui le istruzioni

Quando avrà finito, creerà log ....

Postare il log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt

Note:

--- Durante la scansione verranno creati alcuni file sul desktop e poi eliminati

--- Durante la scansione spariranno tutte le icone del desktop

--- Durante la scansione il vostro firewall potrebbe avvisarvi che verranno rimossi alcuni driver (consentire)

2 ELIBAGLA (il download è in fondo alla pagina)

Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata.

3 Ripulire tutti i files TEMP con ATF cleaner

http://www.atribune.org/ccount/click.php?id=1

Avvia ATF Cleaner (con i browser e le altre applicazioni chiuse)

(se usi Firefox o Opera, selezionali dal menu in alto)

metti la spunta su "Select All" per ogni browser

e clicca su "Empty Select"

4 Esegui anche una scansione online (usando IE)con Nod32 (elimina ciò che trova)

http://www.eset.com/onlinescan/

spunta le caselle:

-Remove found threats

-Scan unwanted applications

Spunta la casella e clicca su start

Installa il controllo ActiveX

Installa il software

clicca su start e attendi il completamento delle firme antivirali

spunta le due caselle e clicca su scan

al termine posta il log generato da combofix, da elibable, dalla scansione online ed un log aggiornato di Hijackthis per le ultime pulizie.

[Vituzzobello]

... Tempo fa mi accadde lo stesso o quasi....

Vi riporto la mia esperienza e quello che ho fatto x debbellare tutto....

Nuovo Virus in giro

Si tratta dell'ennesima variante dell'ormai famoso worm Win32\Bagle questa volta l'ultima versione è JS. Ancora oggi non conosco gli effetti complessivi di questo virus. Tuttavia vi riporto la mia esperienza e quello che ho fatto per ripulire il sistema.

Il worm si presenta in archivi zippati che incorporano un file eseguibile. I nomi del file contenuto dentro lo zip, possono essere i più svariati. A me ne sn stati recapitati 3 campioni, che avrebbero dovuto contenere delle mappe x un famoso gioco di strategia.

Fidandomi ciecamente del mio antivirus aggiornato fino al 11/09/2007 provo ad avviare il file eseguibile. Voi direte che avrei potuto controllarlo prima. Tuttavia anche se lo avessi fatto il mio antinirus nn se ne sarebbe accorto ugualmente!

Risultato, dopo pochi secondi il pc comincia a terminare una serie di processi ed a fare chissa cos'altro prima di mandare in blocco l'intero sistema (BLUESCREEN ).

Al riavvio comincio a notare e ad analizzare le stranezze.

1) Messaggio di errore di Microsoft Windows Defender che mi avvisa del mancato avvio per disattivazione del servizio di sistema.

2) L'antivirus nn è in esecuzione, e controllando la cartella vedo mancare anche i file principali necessari al corretto avvio.

3) Windows Firewall e NVidia ForceWaveFirewall disattivati e anche a loro è toccato lo stesso trattamento dell'antivirus. Cancellazione di file critici per il corretto avvio.

4) I servizi di Aggiornamenti automatici e Centro sicurezza PC disattivati

5) Il processo winlogon.exe di windows tiene impegnato il mio processore al 50% e la memoria utilizzata è in costante aumento.

6) Non riesco a reinstallare l'antivirus e il firewall nvidia.

A questo punto, riavvio il sistema. Avendo 2 installazioni (perché bisogna aspettarsi sempre di tutto!!) sulla stessa macchina avvio l'altra . All'accesso mi connetto ad internet e scarico le ultime definizioni antivirus dopo di che provo a trascinare uno degli zip incriminati eeee.... bingo!!!

L'antivirus se ne accorge e mi da il nome WIN32\BAGLE JS, mi metto subito alla ricerca di informazioni su internet, ma nn trovo nulla di specifico, solo notizie sommarie ed è proprio x questo che sto scrivendo questo post. Magari torna utile.

Quindi decido di far controllare tutto il pc al mio antivirus e dopo un'oretta circa trova 4 file con nomi diversi contenenti il virus. 2 di questi si chiamano HIDR.EXE e srosa.sys localizzati nella cartella system\drivers, ma altre copie di questi file è possibile trovarli in altre posizioni della cartella document & settings\USER\Dati applicazioni o document & settings\USER\Impostazioni Locali.

A questo punto comincio a dare un'occhiata ai registri di windows, prima cerco di seguire le guide trovate su internet che descrivono l'attività delle precedenti varianti. Ma la ricerca non da esiti positivi, quindi decido + semplicemente di cercare quelle chiavi che possono ricondurre ai file trovati dall'antivirus.

Avvio l'utilità regedit e dal menu modifica clicco su trova, scrivo hidr.exe e cancello ogni chiave trovata, successivamente passo all'altro file srosa.sys e ripeto l'operazione di prima. A questo punto decido di riavviare il sistema e di entrare nell'installazione precedentemente infettata. All'avvio tutto è ancora esattamenteo come prima o quasi... il Windows Defender mi avvisa che il servizio è ancora disattivato, sono ancora senza antivirus, firewall ecc... tuttavia il processo winlogon.exe adesso sembra essere tornato a funzionare regolarmente, anche l'installazione dell'antivirus adesso è ritornata a funzionare.. quindi procedo subito all'aggiornamento delle definizioni antivirus (ma non da internet, semplicemente li prendo dall'altra installazione). Subito dopo utilizzo uno dei tanti programmi per pulire i registri da errori di vario tipo (personalmente mi piace usare ACE Utilities) ed effettuata questa pulizia, riattivo i servizi Aggiornamenti automatici, Centro sicurezza PC, Windows Defender, Windows Firewall (tramite tasto destro del mouse su Risorse del computer -> Gestione -> Servizi applicazioni -> Servizi).

Riavvio il sistema e tutto è tornato come prima. Tutto questo è successo un po' per essere incauto, un po' per sfortuna... le definizioni dell'antivirus che avrebbero riconosciuto il worm portano la data del 12/09/2007.

NOD32 v.2524 - (12 Settembre 2007)

Win32/Bagle.JS (2), Win32/Prorat, Win32/TrojanDownloader.Agent.DEU (4)

Ad ogni modo, spero che tutto questo possa tornarvi utile.

Ulteriori link per approfondimento...

http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=39846 ps. ancora oggi non sono riuscito a trovare un sito che parli esattamente degli effetti di questa nuova variante, ma credo che alcuni comportamenti rifletteranno le precedenti versioni dello stesso Worm.

Spero ti sia di aiuto.... ciao

[simoneraul]

Porcocane che casino!! Va beh, appena posso cercherò di fare quel che mi avete detto, ora sono al lavoro, stanotte o domani mi metto all'opera. Spero di riuscirci, non sono esperto come voi...

[Kuma]

Porcocane che casino!! Va beh, appena posso cercherò di fare quel che mi avete detto, ora sono al lavoro, stanotte o domani mi metto all'opera. Spero di riuscirci, non sono esperto come voi...

Fai come dice Angelique (usa i tool indicati e posta i log) che probabilmente risolvi tutto ;-)

La notizia riportata da Vituzzobello è del Settembre 2007, menre il tool (ElibaglA) è in costante aggiornamento per tutte le nuove versioni e rimuove i file indicati nel post (di Vito)

[simoneraul]

Ciao.

Allora, combofix al link segnalato non l'ho trovato, l'ho trovato da un'altra parte (non ricordo dove) ma eseguendolo esce una finestra con lo sfondo blu senza scritte, quindi ho lasciato perdere. Ho proceduto con tutto il resto, vi allego i log, tranne quella della scansione online perchè non mi ha salvato il log o non so come si salva o non so dove l'ha salvato.

Sembra che ora funzioni tutto ciò che non funzionava, se avrò sorprese ve lo segnalerò, però quando eseguo gli aggiornamenti automatici non mi installa questi, potete risolvermi questo problema?

Vi ringrazio tanto, spero di non aver più bisogno di voi, nel caso sarete la mia prima risorsa contro i virus, siete stati impeccabili.

Simone.

InfoSat.txt

hijackthis.log

[simoneraul]

PS: ho rifatto gli aggiornamenti automatici ed ora non mi aggiorna solamente Microsoft Windows Installer 3.1

..........

[Kuma]

Passa nuovamente COMBOFIX e attendi un attimo (ci vuole un po')

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

- Una volta scaricato,avvialo con un doppio click.

- Si aprirà una finestra blu ...Attendere (ci vuole qualche secondo)....

- Dopo qualche attimo apparirà un avviso che declina l'autore da ogni responsabilità.

(digita 1 [invio] per accettare e far partire la scans)

- Attendere.....

Il tool ti avviserà una volta lo scan finito e in qualche attimo visualizzerà il rapporto con i dettagli. (C:\ComboFix.txt)

Postare il log C:\combofix.txt

intanto controllo gli altri logs

[Kuma]

Elibagla ha fatto quello che doveva (eliminato il virus e il rootkit)

Il log di Hijack

Prova a fissare questa voce per il momento:

O4 - HKCU\..\Run: [Drive] C:\Programmi\Drive\Drive.Exe

Poi fai analizzare il file su VIRUS TOTAL (nella mia firma)

Scarica PSERV.CPL

http://p-nand-q.com/download/pserv_cpl/pserv-2.6.exe

Clicca con il tasto destro sul nome del servizio e seleziona "Delete"

il servizio da eliminare è: DirectX Service (DirectJycv)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva "nascondi file protetti di sistema"

e Togli la spunta da: "Nascondi le estensioni dei file per i tipi di file conosciuti"(Pannello di controllo > Opzioni Cartella > Visualizzazione)

e se lo trovi elimina questo file:

c:\windows\system32\directx.exe

[simoneraul]

• Drive.exe è una utility che mi è utile, anche se con VIRUS TOTAL mi segnalano:
  

1. eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm
   
2. Ikarus T3.1.1.12 2007.11.04 Trojan.Win32.VB.azd
   
3. Sophos 4.23.0 2007.11.04 Mal/Emogen-G
   

(e basta)

• c:\windows\system32\directx.exe non ce l'avevo
  

• 
  
• ho rifatto di nuovo gli aggiornamenti automatici e non mi aggiorna solamente Microsoft Windows Installer 3.1
  

• 
  
• allego ComboFix.txt
  

GRAZIE

ComboFix.txt

Modificato November 4, 2007 da SimoneRaul

[Kuma]

* Drive.exe è una utility che mi è utile, anche se con VIRUS TOTAL mi segnalano:

1. eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm

2. Ikarus T3.1.1.12 2007.11.04 Trojan.Win32.VB.azd

3. Sophos 4.23.0 2007.11.04 Mal/Emogen-G

Il file è quantomeno sospetto... prova solo a disabiltarlo dall'avvio automatico, altrimenti non sapremo mai se è lui che causa problemi...

invia il file direttamente alla SOPHOS per un'analisi approfondita che ti diranno se è infetto o no:

http://www.sophos.com/support/samples

Oltre a questo, il log di Combofix visualizza questi files sospetti:

(fai analizzare anche questi su VIRUS TOTAL)

C:\WINDOWS\system32\d3d9caps.dat

C:\WINDOWS\system32\d3d8caps.dat

C:\WINDOWS\is-OCVL2.exe

C:\WINDOWS\is-7EVMU.exe

C:\WINDOWS\is-T63D1.exe

Il file DIRECTX.EXE è presente anche su questo log... (probabilmente è occultato ed è lui la causa di tutto)

Prova a vedere se questo lo riesce a individuare:

Agent VP

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

avvia il programma,clicca su Start

attendi e che si apra una finestra

Clicca sul disco C:\

Scorri l'albero fino al percorso

dei file da eliminare :

c:\windows\system32\directx.exeUna volta selezionato darà questo messaggio

"Nome file selected for cleaning."

Do you want to continue?"

Clicca su Yes

Una finestra ti avviserà dell'operazione conclusa

___

Nella stessa cartella (system32) se i sono elimina anche questi:

tz2L7ah3Pa.ini

del32.bat

wsock32.sys

ckl009.dat

Nella cartella C:\Windows\System32\Drivers:

oreans32.sys

Apri il registro e controllami se hai il la chiave in rosso:

HKLM\Software\Microsoft\DirectVott (ha come valori "gosan" e "pyro").

[simoneraul]

Drive.exe:

Il file è quantomeno sospetto... prova solo a disabiltarlo dall'avvio automatico, altrimenti non sapremo mai se è lui che causa problemi...

invia il file direttamente alla SOPHOS per un'analisi approfondita che ti diranno se è infetto o no:

http://www.sophos.com/support/samples

Drive è una utility che uso da anni e non mi ha mai causato problemi (l'ho scaricata da qua: http://www.maurorossi.net/pagine/utility.htm o più precisamente da http://www.maurorossi.net/utility/Drive.exe), trovo molto improbabile che dia danni, cmnq dalla SOPHOS mi hanno risposto così:

Hi

thank you for your email. The file that you sent to us for analysis was producing a false-positive report which has now been corrected. Please do not hesitate to contact me if I can be of any further assistance.

Regards,

Martin Elliott

Sophos Technical Support

Oltre a questo, il log di Combofix visualizza questi files sospetti:

(fai analizzare anche questi su VIRUS TOTAL)

C:\WINDOWS\system32\d3d9caps.dat

C:\WINDOWS\system32\d3d8caps.dat

C:\WINDOWS\is-OCVL2.exe

C:\WINDOWS\is-7EVMU.exe

C:\WINDOWS\is-T63D1.exe

Analizzati tutti e tutti senza virus!

Il file DIRECTX.EXE è presente anche su questo log... (probabilmente è occultato ed è lui la causa di tutto)

Prova a vedere se questo lo riesce a individuare:

Agent VP

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

avvia il programma,clicca su Start

attendi e che si apra una finestra

Clicca sul disco C:\

Scorri l'albero fino al percorso

dei file da eliminare :

c:\windows\system32\directx.exeUna volta selezionato darà questo messaggio

"Nome file selected for cleaning."

Do you want to continue?"

Clicca su Yes

Una finestra ti avviserà dell'operazione conclusa

___

Nella stessa cartella (system32) se i sono elimina anche questi:

tz2L7ah3Pa.ini

del32.bat

wsock32.sys

ckl009.dat

Nella cartella C:\Windows\System32\Drivers:

oreans32.sys

Apri il registro e controllami se hai il la chiave in rosso:

HKLM\Software\Microsoft\DirectVott (ha come valori "gosan" e "pyro").

agent VP non mi trova nessuno dei files segnalati (nemmeno c:\windows\system32\directx.exe) e la chiave HKLM\Software\Microsoft\DirectVott non esiste.

Problema: persiste il fatto che gli aggiornamenti automatici non mi aggiornano Microsoft Windows Installer 3.1.

Allego il nuovo hijackthis.log

GRAZIE

hijackthis.log

Modificato November 5, 2007 da SimoneRaul

[$angelique!?]

Ciao SimoneRaul,

il log è pulito.

Per il problema dell'aggiornamento, prova a reinstallare Microsoft Windows Installer 3.1

fai cosi:

segui le istruzioni in questa pagina, per il tuo sistema operativo. http://service1.symantec.com/SUPPORT/INTER...v=&osv_lvl=

[simoneraul]

Ciao SimoneRaul,

il log è pulito.

Per il problema dell'aggiornamento, prova a reinstallare Microsoft Windows Installer 3.1

fai cosi:

segui le istruzioni in questa pagina, per il tuo sistema operativo. http://service1.symantec.com/SUPPORT/INTER...v=&osv_lvl=

Scusami angelique se ti rompo l'anima, ma fnchè non risolvo tutto mi sa che mi devi sopportare.

Ho fatto quel che mi hai detto, ora quando aggiorno mi escono un sacco di aggiornamenti impossibili, ad esempio l'ultima volta mi sono usciti:

Aggiornamento della protezione per Windows XP (KB928843)

Aggiornamento della protezione per Windows Media Player 10 per Windows XP (KB936782)

Aggiornamento della protezione per Windows XP (KB890859)

Aggiornamento della protezione per Windows XP (KB914389)

Aggiornamento della protezione per Windows XP (KB920683)

Aggiornamento della protezione per Windows XP (KB908519)

Aggiornamento per Windows XP (KB894391)

Aggiornamento della protezione per Windows XP (KB935839)

Aggiornamento della protezione per Windows XP (KB896428)

Aggiornamento della protezione per Windows XP (KB913580)

Aggiornamento della protezione per Windows XP (KB923689)

Aggiornamento della protezione per Windows XP (KB905749)

Aggiornamento della protezione per Windows XP (KB908531)

Aggiornamento della protezione per Windows XP (KB904706)

Aggiornamento critico per Office XP in Windows XP Service Pack 2 (KB885884)

Aggiornamento per Windows XP (KB930916)

Aggiornamento per Windows XP (KB916595)

Aggiornamento critico per Windows XP (KB886185)

Aggiornamento della protezione per Windows XP (KB935840)

Aggiornamento per Windows XP (KB933360)

Aggiornamento della protezione per Windows XP (KB920213)

Aggiornamento della protezione per Windows XP (KB938127)

Aggiornamento della protezione per Windows XP (KB900725)

Aggiornamento della protezione per Windows XP (KB888302)

Aggiornamento della protezione per Windows XP (KB926255)

Aggiornamento della protezione per Windows XP (KB918118)

Aggiornamento della protezione per Outlook Express per Windows XP (KB941202)

Aggiornamento della protezione per Windows XP (KB922582)

Aggiornamento della protezione per Windows XP (KB923191)

Aggiornamento della protezione per Windows XP (KB901214)

Aggiornamento della protezione per Windows XP (KB932168)

Aggiornamento della protezione per Windows XP (KB905414)

Aggiornamento della protezione per Windows XP (KB917344)

Aggiornamento della protezione per Windows XP (KB914388)

Aggiornamento della protezione per Windows XP (KB919007)

Aggiornamento della protezione per Windows XP (KB930178)

Aggiornamento per Windows XP (KB920872)

Aggiornamento della protezione per Windows XP (KB926436)

Aggiornamento della protezione per Windows XP (KB890046)

Aggiornamento della protezione per Windows XP (KB902400)

Aggiornamento della protezione per Windows XP (KB918439)

Aggiornamento della protezione per Windows XP (KB891781)

Aggiornamento della protezione per Windows XP (KB920670)

Pacchetto cumulativo di aggiornamenti della protezione per Outlook Express per Windows XP (KB929123)

Aggiornamento della protezione per Windows XP (KB925902)

Aggiornamento della protezione per il plug-in di Windows Media Player (KB911564)

Aggiornamento per Windows XP (KB910437)

Aggiornamento della protezione per Windows Media Player 6.4 (KB925398)

Aggiornamento della protezione per Windows XP (KB896358)

Aggiornamento della protezione per Windows XP (KB938829)

Aggiornamento della protezione per Windows XP (KB921503)

Aggiornamento per Windows XP (KB927891)

Aggiornamento della protezione per Windows XP (KB924496)

Aggiornamento della protezione per Windows XP (KB873339)

Aggiornamento della protezione per Windows XP (KB931261)

Aggiornamento della protezione per Windows XP (KB924270)

Aggiornamento per Windows XP (KB900485)

Aggiornamento della protezione per Windows XP (KB896423)

Aggiornamento della protezione per Windows XP (KB924667)

Pacchetto cumulativo di aggiornamenti della protezione per Internet Explorer 6 in Windows XP (KB939653)

Aggiornamento per Windows XP (KB938828)

Aggiornamento della protezione per Windows XP (KB911562)

Aggiornamento della protezione per Windows XP (KB936021)

Aggiornamento della protezione per Windows XP (KB923980)

Aggiornamento della protezione per Windows XP (KB893756)

Aggiornamento della protezione per Windows XP (KB920685)

Aggiornamento della protezione per Windows XP (KB933729)

Aggiornamento della protezione per Windows XP (KB899591)

Aggiornamento della protezione per Windows XP (KB901017)

Aggiornamento della protezione per Windows XP (KB911927)

Aggiornamento della protezione per Windows XP (KB931784)

Aggiornamento della protezione per Windows XP (KB928255)

Aggiornamento della protezione per Windows XP (KB923414)

Aggiornamento della protezione per Windows XP (KB885836)

Aggiornamento della protezione per Windows XP (KB885835)

Aggiornamento della protezione per Windows XP (KB922819)

Aggiornamento della protezione per Windows XP (KB927802)

Aggiornamento della protezione per Windows XP (KB927779)

Aggiornamento della protezione per Windows XP (KB899587)

Grazie...

[$angelique!?]

Ho fatto quel che mi hai detto, ora quando aggiorno mi escono un sacco di aggiornamenti impossibili, ad esempio l'ultima volta mi sono usciti:

Non capisco... il giorno prima era solo un aggiornamento...e dopo cosi tanti?

Hai seguito le istruzioni per Xp sulla pagina che ti ho linkato?

Proviamo in questo modo:

Scarica WindowsUpdateAgent30-x86 da questo collegamento e salvalo in una cartella del disco fisso (esempio C:\WUA).

Clicca su Start -> Esegui e apri il Prompt dei comandi scrivendo cmd (poi premi OK).

Scrivi quanto segue premendo ogni volta INVIO:

CD\WUA

WindowsUpdateAgent30-x86.exe /wuforce

Attenzione

WUA è il nome della cartella (creata su C: ) dove ti ho consigliato di salvare il file scaricato, è ovvio che se salvi il file da un'altra parte dovrai scrivere nome e percorso diverso.

La stringa /wuforce serve a sovrascrivere i file necessari, altrimenti compare l'avviso "Installazione dell'agente di Windows Update non necessaria. L'agente è già installato.

[simoneraul]

Mah, sembra che ora vada tutto alla perfezione! :-P

Se avrò altri problemi farò sapere, comunque per ora grazie!

[$angelique!?]

Bene, speriamo il problema sia risolto definitivamente...se cosi non fosse, sai dove trovarci ;-)