FakeAntiSpy e Agent.RXE

[Riverside]

Ripeti avenger (mi era scappato qualche info in piu, nello script):

files to delete:
c:\windows\TEMP\HTT7D49.tmp
c:\windows\TEMP\HTT7D4A.tmp

Allega il log

[markmoon]

avenger.txt
non trova i file

[Uomo_senza_sonno]

Scusate se mi intrometto, sono un nuovo utente.

Riguardo questa infezione, si potrebbe impiegare una soluzione differente da quanto già provato finora.

Ossia: scarica mbr.exe e salvalo in C:\, poi da esegui digita cmd per aprire il prompt dos e da qui digita prima cd C:\ e poi start mbr.exe -f. Verrà generato, sempre in C:\, un log chiamato mbr.log che fornirà le informazioni utili per rimuovere sul serio l'infezione da rootkit, se è presente.

[markmoon]

Ripeti avenger (mi era scappato qualche info in piu, nello script):

files to delete:
c:\windows\TEMP\HTT7D49.tmp
c:\windows\TEMP\HTT7D4A.tmp

Allega il log

non ci sono questi file nella cartella specifica,neanche nascosti!

[Luke57]

Ciao, prova la soluzione di Uomo_senza_sonno e posta il risultato.

[markmoon]

questo il log di mbr:


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[Luke57]

Ciao, non ho visto il report di combofix, ma stai utilizzando qualche software per l'emulazione di unità CD/DVD (es. Daemon Tools)?

[markmoon]

Ciao, non ho visto il report di combofix, ma stai utilizzando qualche software per l'emulazione di unità CD/DVD (es. Daemon Tools)?

no perchè?

[Luke57]

Ciao, scaricati Dr.Web Cure it:
http://www.freedrweb.com/download+cureit/gr/?lng=en
Esegui Dr.Web Cureit (dalla modalità provvisoria) facendogli risolvere tutte le minacce rilevate (all'avvio, alla comparsa della finestra "Enhanced Protection Mode" premi il pulsante OK). Posta il report generato

[Uomo_senza_sonno]

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

è appurato che non sono presenti infezioni nell'mbr, quindi almeno nell'mbr si è tranquilli.

[markmoon]

Ciao, scaricati Dr.Web Cure it:
http://www.freedrweb.com/download+cureit/gr/?lng=en
Esegui Dr.Web Cureit (dalla modalità provvisoria) facendogli risolvere tutte le minacce rilevate (all'avvio, alla comparsa della finestra "Enhanced Protection Mode" premi il pulsante OK). Posta il report generato

Non sono stati trovati virus mi dice.

[markmoon]

ecco il log di DoctorWeb CureIt.log

[Riverside]

Qualcosa non quadra vediamo un nuovo log di combofix:

disinstalla Combofix: scarica sul desktp OTC by OldTimer clicca qui per il download
● doppio clic sulla icona per lanciarlo
● clicca su CleanUP

riscarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, il tool che hai scaricato

● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer

● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● verrà richiesta la installazione della Console di ripristino di emergenza: non la installare
● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log
● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contraio, riavvialo tu)

Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● protrebbe venire rilasciato un messaggio in relazione all'antivirus in uso: prosegui ingnorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)

Verrà creato un log in Disco Locale C: dal nome combofix.txt che dovrai allegare

Conclusi questi passaggi:

● riavvia il sistema in modalità normale
● ricollega, fisicamente, il modem al computer
● connettiti a Internet

allega, il log di Combofix

[markmoon]

ComboFix.txt
non ci sono più quei file nascosti!

[Riverside]

E che diamine, ora ci siamo.
Adesso, riprova ad installare Malwarebytes:

● disinstalla Malwarebytes
● riavvia il computer
● scarica ed esegui mbam-clean: clicca qui per il download
● riavvia nuovamente nuovamente il computer
● scarica ed installa Malwarebytes: [url=http://www.malwarebytes.org[/url]
● se funziona, esegui una scansione completa del sistema ed allega il report che verrà rilasciato al termine della scansione

Se lo avevi già disinstallato fai girare mbam-clean e segui la procedura.

[markmoon]

mbam-log-2010-09-22 (12-10-25).txt
Penso che ora il pc possa ritenersi posto...grazie del vostro tempo e di avermi scongiurato una formattazione!

ah,un'ultima cosa ,la pendrive con che software mi consigliate di scansionarla?

[Riverside]

[quote="markmoonPenso che ora il pc possa ritenersi posto...[/quote]
Fermo li .... dove vai .... sei di fretta? non abbiamo ancora finito.

Cestina Avenger, CureIT, tutti i log eventualmente salvati

Disinstalla Combofix: scarica sul desktp OTC by OldTimer clicca qui per il download
● doppio clic sulla icona per lanciarlo
● clicca su CleanUP
● quando ha terminato, riavvia il computer e cestina OTC by OldTimer

un'ultima cosa ,la pendrive con che software mi consigliate di scansionarla?

inserisci la pendrive, poi Risorse del Computer ----> tasto destro del mouse sulla icona della Pendrive - dal menu contestuale scegli scansiona con MalwareBytes (di certo avrai l'opzione per scansionarla anche con il tuo antivirus)
Fammi sapere se vengono rilevati problemi.

Allega un nuovo log di hijackthis.

[markmoon]

Disinstallato Combo,questo il log di hijackthis hijackthis.log
Sto facendo la scansione della chiavetta con Malewarebytes che mi ha già trovato qualcosa di infetto,bene!

[Riverside]

Sto facendo la scansione della chiavetta con Malewarebytes che mi ha già trovato qualcosa di infetto,bene!

Bene .... porcaccia la miseria allega il log, intanto.
E poi riscansiona l'intero sistema con HitmanPro, Malwarebytes e Superantispyare (non vorrei ti fossi di nuovo incasinato il computer grazie ad una chiavetta infetta).
Ovviamente allega i log.

[markmoon]

Sto facendo la scansione della chiavetta con Malewarebytes che mi ha già trovato qualcosa di infetto,bene!

Bene .... porcaccia la miseria allega il log, intanto.
E poi riscansiona l'intero sistema con HitmanPro, Malwarebytes e Superantispyare (non vorrei ti fossi di nuovo incasinato il computer grazie ad una chiavetta infetta).
Ovviamente allega i log.

no fortunatamente la scansione l'ho effettuata su un'altro pc ,di scorta e ho fatto prima a formattare la chiavetta.Quel pc quando avrò tempo lo controllerò,ma è in disuso,è un notebook con lo schermo parzialmente rotto!