Problema Con Antivir

[andrea7]

salve a tutti!!sono ritornato perchè il mio computer dopo un lungo periodo di pace ha deciso dicominciare a dare problemi.due cose volevo chiedervi,la prima:ho come antivirus antivir,la cui licenza è scaduta il 31 novembre.ora volevo chiedervi se posso prolungare la mia licenza freeware oppure devo installare un altro antivirus(in tal caso potreste consigliarmi quale,grazie).la seconda è piu che altro una cosa strana che mi è successa ieri,all'avvio del computer ho visto che si era tolta la protezione del firewall(pc tools) equella dell'antivirus(antivir),e infine nn mi funziona piu ccleaner.se potete potreste togliermi questa curiosità?grazie ,come sempre aspetto vostri consigli preziosi.

[Kuma]

Ciao...

La licenza si aggiorna automaticamente... da quello che scrivi sembra piuttosto essere un'infezione da Bagla o qualcosa di simile...

prova a passare questo tool:

http://www.zonavirus.com/datos/descargas/95/elibagla.asp

Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata

Posta il log che trovi in: C:\InfoSat.txt

Il download e a fondo pagina:

---

posta anche un log fatto con COMBOFIX

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

- Una volta scaricato,avvialo con un doppio click.

- Si aprirà una finestra blu ...Attendere (ci vuole qualche secondo)....

- Dopo qualche attimo apparirà un avviso che declina l'autore da ogni responsabilità.

(digita 1 [invio] per accettare e far partire la scans)

- Attendere.....

Il tool ti avviserà una volta lo scan finito e in qualche attimo visualizzerà il rapporto con i dettagli. (C:\ComboFix.txt)

Postare il log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt

_________________

Istruzioni e Download Hijack

posta un log di Hijack

[andrea7]

questi sono tutti i file log da te richiesti

InfoSat.txt

ComboFix.txt

ComboFix_quarantined_files.txt

hijackthis.log

Modificato December 10, 2007 da andrea7

[Kuma]

ciao...

Sei infetto da INSTAN ACCESS (istruzioni più sotto)

il Bagle pare non ci sia, ma combofix ti ha rimosso un altro trojan (knight.exe)

questo virus, purtroppo, infetta il Pc e tutti i drive portatili (penne USB) anzi, è probabile che ti sei infettato proprio tramite una penna USB... Adesso ogni volta che inserirai la penna infetta, rischi di reinfettarti (se la apri)... il virus ha anche un meccanismo inverso, cioè il file eliminato da combofix, si autocopia in ogni drive portatile inserito nelle prese USB per infettarle

Per prima cosa cerca sul pc i files chiamati "autorun.inf" ed eliminali (è probabile che sia nella cartella: C:\WINDOWS)

1. Aprire il Task Manager e forzare la terminazione, nel caso fosse attivo, del processo knight.exe.
   
2. Inserire la pendrive infetta nel pc ed aprirne il contenuto.
   
3. Impostare sulle opzioni di visualizzazione delle cartelle la possibilità di mostrare i file nascosti e i file di sistema.
   
4. Eliminare dalla pendrive i file knight.exe e autorun.inf.
   
5. Eliminare dalla cartella C:\WINDOWS il file knight.exe.
   
6. Cercare ed eliminare dal registro di Windows ogni occorrenza del termine "knight".
   
7. Qui ti metto quelle rilevate, ma potrebbero essercene altre..[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1568509c-8a41-11dc-b036-000000000000}]
   \Shell\auto\command - G:\Knight.exe open
   \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
   \Shell\explore\command - G:\Knight.exe open
   \Shell\find\command - G:\Knight.exe open
   \Shell\install\command - G:\Knight.exe open
   \Shell\open\command - G:\Knight.exe open
   

_________

INSTANT ACCESS:

DISINSTALLA QUICK TIME (lo reistallerai in seguito) e poi elimina la cartella in

C:\Programmi\QuickTime

Avvia in MODALITà PROVVISORIA e

Taglia il file indicato ed Incollalo sovrascrivendo l'originale:

(in pratica il file buono è quello all'interno della cartella BAK)

C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe <-- TAGLIA

C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe <-- INCOLLA

C:\Programmi\Alice ti aiuta\SmartBridge\bak\MotiveSB.exe <-- TAGLIA

C:\Programmi\Alice ti aiuta\SmartBridge\MotiveSB.exe <-- INCOLLA

C:\Programmi\CCleaner\bak\ccleaner.exe <-- TAGLIA

C:\Programmi\CCleaner\ccleaner.exe <-- INCOLLA

C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe <-- TAGLIA

C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe <-- INCOLLA

C:\Programmi\OLYMPUS\OLYMPUS Master\bak\Monitor.exe <-- TAGLIA

C:\Programmi\OLYMPUS\OLYMPUS Master\Monitor.exe <-- INCOLLA

C:\Programmi\PC Tools Firewall Plus\bak\FirewallGUI.exe <-- TAGLIA

C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe<-- INCOLLA

C:\Programmi\Spyware Terminator\bak\SpywareTerminatorShield.exe <-- TAGLIA

C:\Programmi\Spyware Terminator\Spywareterminatorshield.Exe <-- INCOLLA

C:\WINDOWS\system32\bak\ctfmon.exe <-- TAGLIA

C:\WINDOWS\system32\ctfmon.exe<-- INCOLLA

Il log di Hijack non evidenzia nulla, ma ci sono dei file sospetti creati di recente (visualizzati da combofix)

Fai una scansione Avanzata come descritto qui ed allega il log in formato HTML

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Vediamo se Kaspersky li rileva come infetti...

se non li rileva, per avere un maggior riscontro, falli analizzare su VIRUS TOTAL (nella mia firma)

C:\Documents and Settings\andrea\bhkbgail.exe

C:\Documents and Settings\andrea\zieggcmh.exe

[andrea7]

ciao kuma il processo knight l'ho trovato in una pen drive,ora nn ho capito bene come faccio ad eliminarlo definitivamente dal computer.grazieora procedo per quanto riguarda l'eliminazione di instant access

[Steve75]

ciao

per knight fai cosi;

* Scaricate questo tool (spagnolo)

http://www.plusexpert.cl/download/AntiKnight.rar

- estrai tutti i file in una cartella

- inserisci la pendrive nel pc

- apri il file AntiKnight

- clicca su "buscar y reparar"

- Alla fine togli la pendrive e riavvia il sistema

[andrea7]

grazie steve la nna è tutto ok.adesso vi mando il log di kaspersky e il risultato sull'analisi di quei due files sospetti(molto molto sospetti)i link sono questi:

http://www.virustotal.com/resultado.html?0...07ee55fb4fd5ec0

http://www.virustotal.com/it/resultado.htm...beac0e8bf7bf090

attendo vostre direttive grazie

kasperky.html

[Steve75]

i due file comprimili cosi diventano innoqui e lasciali compressi per qualche giorno.... se non risocntri problemi li elimini definitavamente

per il resto disattiva il ripristino configurazione di sistema, poi riattivalo e crea un punto pulito

[andrea7]

ok penso di aver risolto tutto,grazie come sempre!!!un'ultima cosa volevo chiedervi ,antivir nn ha rilevato quei due file infetti.mi drvo fidare di questo antivirus?grazie

Modificato December 11, 2007 da andrea7

[Steve75]

si vai tranquillo , dei free é il migliore.....

[andrea7]

ok grazie di tutto,a presto ciaooo

[Steve75]

di niente figurati...........