Log Hija

[Riverside]

ha cancellato tutto tranne il "file del mistero" IH7.tmp che nel frattempo è diventato di 179 Giga

A questo punto siamo nella m**** più totale e temo il peggio, quell'aumentare di quel file non è normale.
Procedi in questo modo:

Scarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, il tool che hai scaricato

● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer

● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log
● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contraio, riavvialo tu)

Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● protrebbe venire rilasciato un messaggio in relazione all'antivirus in uso: prosegui ingnorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)

Verrà creato un log in Disco Locale C: dal nome combofix.txt che dovrai allegare

Conclusi questi passaggi:

● riavvia il sistema in modalità normale
● ricollega, fisicamente, il modem al computer
● connettiti a Internet

allega, il log di Combofix

Per allegare il log utilizza questo servizio di upload: clicca qui per wikisend
pubblicando, nella discussione, il link che verrà rilasciato dopo il caricamento di ogni singolo file.

[FDAC]

sarà quasi di certo una infezione, degna davvero di tal nome.
Segui i consigli di Riverside, saluti.

[Tex2010]

Caro River non vorrei peccare d'ottimismo ma credo che ce l'abbiamo fatta, il files misterioso non figura tra i files temporanei, inoltre ho appena fatto una scansione con Cclearn e non l'ha trovato.
Ovviamente senza i tuoi consigli questo non sarebbe successo,quindi inutile dire che ti ringrazio.
Rimane il problema di autorun nell' HD esterno, ma non credo sia un problema particolarmente grave.
A dire il vero, considerato che la peculiarità di questo virus è quella di ....copiare se stesso, avevo pensato che il file misterioso HI7 fosse una sua creatura, ma visto che autorun è rimasto ed il file misterioso è stato cancellato sicuramente mi sbaglio.

Ecco il log di combofix e, di seguito, anche quello di Hijack (ho voluto abbondare)

log.txt

La cartella combofix era vuota ma ....nelle vicinanze ho trovato anche questi file credo che facciano parte della stessa famiglia, dimmi se posso cancellarli per favore

Add-Remove Programs.txt

ComboFix-quarantined-files.txt

catchme.log

P.S. mentre era in esecuzione Combo sono comparsi questi due avvisi
1. si è verificato un errore in PEV.Cfxxe. L'applicazione verrà chiusa

2. exception processing message c00000a3 parametres 75b1bf7c 475b1bf7c 75b1bf7c


Grazie di cuore per il tempo che mi hai dedicato

[Tex2010]

Caro River non vorrei peccare d'ottimismo ma credo che ce l'abbiamo fatta, il files misterioso non figura tra i files temporanei, inoltre ho appena fatto una scansione con Cclearn e non l'ha trovato.
Ovviamente senza i tuoi consigli questo non sarebbe successo,quindi inutile dire che ti ringrazio.
Rimane il problema di autorun nell' HD esterno, ma non credo sia un problema particolarmente grave.
A dire il vero, considerato che la peculiarità di questo virus è quella di ....copiare se stesso, avevo pensato che il file misterioso HI7 fosse una sua creatura, ma visto che autorun è rimasto ed il file misterioso è stato cancellato sicuramente mi sbaglio.

Ecco il log di combofix e, di seguito, anche quello di Hijack (ho voluto abbondare)

log.txt

La cartella combofix era vuota ma ....nelle vicinanze ho trovato anche questi file credo che facciano parte della stessa famiglia, dimmi se posso cancellarli per favore

Add-Remove Programs.txt

ComboFix-quarantined-files.txt

catchme.log

P.S. mentre era in esecuzione Combo sono comparsi questi due avvisi
1. si è verificato un errore in PEV.Cfxxe. L'applicazione verrà chiusa

2. exception processing message c00000a3 parametres 75b1bf7c 475b1bf7c 75b1bf7c


Avevo dimenticato i log di HiT fatto dopo la scansione e l'uccisione del mostro

hijackthis LOG.txt


e quello di system fatto prima

11_09_2010_01_48_report.zip


Grazie di cuore per il tempo che mi hai dedicato

[Tex2010]

Avevo dimenticato i log di HiT fatto dopo la scansione e l'uccisione del mostro

hijackthis LOG.txt


e quello di system fatto prima

11_09_2010_01_48_report.zip


Grazie di cuore per il tempo che mi hai dedicato[/quote][/quote]

[Riverside]

[quote="Tex2010"]Rimane il problema di autorun nell' HD esterno, ma non credo sia un problema particolarmente grave.
[/url]
Che problema di autorun Tex?

Comunque ora prosegui in questo modo:

Disattiva il Ripristino configurazione di sistema:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK

Riavvia il sistema, esegui nuovamente il passaggio indicato sopra e riattiva il Ripristino configurazione di sistema

Poi vediamo di scansionare anche l'HD esterno, quindi:

Scarica ed installla Panda Research USB Vaccine: clicca qui per il download
● una volta installato il tool, inserisci l'HD esterno in una qualsia porta USB
● il tool andrà in esecuzione e vaccinerà automaticamente l'HD esterno oppure proprorrà una finestra di dialogo e ti darà la possibilità di vaccinare l'HD
(in pratica viene disattivato l'autorun sulle periferiche esterne)

A questo punto riesegui le scansioni complete con HitmanPro, Superantisypware e Malwarebytes (dopo averli aggiornati) avendo cura di scansionare anche l'HD esterno.
Al termine allega i tre log con le solite modalità.

[Tex2010]

Ciao River,
ecco i log

log.xml

SUPERAntiSpyware Scan Log - 09-15-2010 - 00-19-51.log
hijackthis.log
mbam-log-2010-09-14 (23-44-58).txt

Per quanto riguarda Anti malware mi è comparso l'avviso " Si è verificato un errore: MBAM_ERROR_CHECK_INFECTED (0.9)
Ho riavviato il programma e rifatto la scansione

Per quanto riguarda il virus Autorun. inf, nonostante abbia vaccinato l HD esterno mi è stato rilevato da panda online come puoi vedere dal relativo log

ActiveScan.txt

[Riverside]

Tex, per favore, lascia perdere le scansioni online: non mi serve il report di quella roba.
Oltretutto c'è qualcosa che non mi convince, quindi cambiamo totalmente approccio e ripatiamo dall'inizio.

Da Installazione Applcazioni disinstalla:
1) Adobe Flash Player;
2) Adobe Reader;
3) tutte le versioni di javasun che trovi installate;
4) tutte le toolbar installate.

Poi si riparte da qui:

Disinstalla Combofix: scarica sul desktp OTC by OldTimer clicca qui per il download
doppio clic sulla icona per lanciarlo - clicca su CleanUP
quando ha terminato, riavvia il computer.

Riscarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, il tool che hai scaricato

● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer

● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log
● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contraio, riavvialo tu)

Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● protrebbe venire rilasciato un messaggio in relazione all'antivirus in uso: prosegui ingnorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)

Verrà creato un log in Disco Locale C: dal nome combofix.txt : allegalo (solo quello e nessun altro).

[Tex2010]

Perdona l'ignoranza ma javasun dove lo trovo?

[Riverside]

E dove vuoi trovarlo? in Installazione Applicazioni (controlla non sia Macromedia).

[Tex2010]

Ecco il log di Combo
ComboFix.txt

Ho seguito la procedura che mi hai indicato

Autorun è sempre lì, combo non è riuscito ad eliminarlo, ma non credo sia un problema.
Ti volevo chiedere se puoi postare qualche link per scaricare in maniera sicura i programmi che ho disistallato e se gli aggiornamenti automatici di Java sono sicuri.
Ti ringrazio

[Riverside]

Disinstalla Combofix: scarica sul desktp OTC by OldTimer clicca qui per il download
● doppio clic sulla icona per lanciarlo - clicca su CleanUP;
● quando ha terminato, riavvia il computer;
● dopo il riavvio, cestina OTC e tutti i log che hai eventualmente salvato

scarica ed installa le versioni aggiornate:

● Adobe Reader: clicca qui per il download
● Adobe Flash Player: clicca qui per il download
● JavaSun: clicca qui per il download

Al termine allega un nuovo log di Hijackthis.

[Tex2010]

ecco il log

hijackthis.log

Scaricando java mi è comparso questo messaggio

F\Dati\applicazioni\sun\java\jre1.6.0_21\ jre1.6.0_21\-c.msi is corrupt

Per il futuro posso scaricare gli aggiornamenti java che mi vengono segnalati automaticamente o è meglio evitare?

[Riverside]

Scaricando java mi è comparso questo messaggio:
F\Dati\applicazioni\sun\java\jre1.6.0_21\ jre1.6.0_21\-c.msi is corrupt

F\Dati ......? scusa mi fai capire come e dove installi i programmi tu?
Intanto non vedo Java installato, quindi ripeti la procedura ed installalo (non mi sembra cosi complicato):
vai a questa pagina
clicchi su quel grosso tasto rosso che vedi il alto, aspetti due sencondi che parta l'indirizzamento, clicchi di nuovo sul tasto rosso e installi Javasun ......

Quando hai installato Java, allega l'ennesimo log di hijckthis.

[Tex2010]

River ti chiedo di avere un pò di pazienza.
Quando faccio la procedura del dowload, senza che vi sia la possibilità di salvare il file ma soltanto di eseguirlo, mi compare il seguente avviso
C\Documente and setting\salvo F\inpostazioni locali\Temporary internet\Content.IE5\L8QK1XEW\javasetup6u21[3].exe non è un'applicazione di Win32 valida

[Riverside]

Scarica Windows Installer CleanUp Utility: clicca qui per il download
salvarlo sul desktop
Fare doppio clic sul file eseguibile.
Viene avviato il processo di installazione.
Seguire le istruzioni
Una volta terminato il processo di installazione, fare clic su Start -> Tutti i programmi -> ed eseguire l'utilità Windows Installer CleanUp
Verrà aperta la finestra di dialogo dell'utilità Windows Installer CleanUp
cerca le voci di riferimento a Java, le selezioni, fai clic su Rimuovi e Esci

Dimmi quando hai fatto.

[Tex2010]

Non riesco a scaricarlo, mi compare una finestra bianca

[FDAC]

Prova da qui.
Scusate l'intromissione, saluti.

http://download.microsoft.com/download/ ... sicuu2.exe

[Riverside]

Non riesco a scaricarlo, mi compare una finestra bianca

Ma scusa, lo hai installato Adobe Flash Player come ti avevo detto prima?
Io davvero non riesco a capire se segui i suggerimenti o fai di testa tua
Scaricalo dal ink che ti ha indicato FDAC.

[Tex2010]

Certo che ho installato Adobe F.
Anzi, nel dubbio ho provato anche a reistallarlo ma mi ha dato errore.

Ho provato anche a scaricare il programma dal sito che mi ha indicato FDAC ma ..nada mi è comparso il seguente avviso Sito non disponibile o non trovato riprovare in un secondo momento

Ho riprovato anche a scaricare Windows Installer Cleanup dal link che hai postato ma Avira mi dice che c'è un virus e sinceramente non me la sono sentita di procedere senza prima consultarvi
Ecco il report

Esporta eventi:

17/09/2010 1.15 [Guard] Trovato malware
Nel file 'C:\Documents and Settings\Salvo F\Impostazioni locali\Temporary
Internet Files\Content.IE5\E1XUF0WP\msicuu2[1].exe'
è stato rilevato un virus o programma indesiderato 'APPL/Agent.3432' [program].
Azione eseguita: Nega accesso

P.S. per la buona volontà dimostrata credo di meritare una domanda stupida: considerato che non sono un appassionato di videogiochi, non chatto e non faccio grafica, potrei soppravvivere senza installare Java?