MegaLab.it

Inviato: **mer gen 13, 2010 1:33 pm**

Ciao a tutti, sono nuovo ed ho letto con attenzione la discussione.
Anch'io ho l'antivirus bloccato (Avira) ed il tentativo con "Spybot Search & Destroy" è stato vano(l'ho installato ma non parte).
Ma devo dire che a parte questo non ho notato alcun file sospetto in task manager ed a parte l'antivirus che non va,
gli altri programmi pare che funzionino regolarmente, forse solo un po' più lentamente.
Ho letto le istruzioni del link indicato da ste_95 (http://www.MegaLab.it/3724/il-worm-bagl ... -rimozione), ho installato Findy_Kill ed ho fatto una scansione del tipo 1 (ovvero la sola identificazione dei virus), ma non sono in grado di capire quale sia lo stato del pc a causa della mia ignoranza in materia. Per paura che il bagle o altri virus siano "in incubazione", vorrei passare alla scansione di tipo 2 (ovvero identificazione e rimozione), ma ho paura che i sistema poi non si riavvi (il che sarebbe un dramma visto che sto lavorando per alcuni progetti da consegnare in tempi brevissimi).
Riporto di seguito i risultati della scansione (Findy_Kill.txt), nella speranza che qualcuno sappia darmi un consiglio. Grazie

############################## | FindyKill V5.021 |

# User : User (Administrators) # USER-2E1322D0B5
# Update on 10/12/2009 by Chiquitine29
# Start at: 13.08.45 | 13/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 Processor 3400+
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]
# AV : Sistema Antivirus NOD32 2.70 2.70 [ Enabled | Updated ]

# A:\ # Disco floppy, 3,5 pollici
# C:\ # Disco rigido locale # 58,92 Go (23,19 Go free) # NTFS
# D:\ # Disco rigido locale # 93,75 Go (93,67 Go free) # NTFS
# E:\ # Disco rigido locale # 233,75 Go (217,08 Go free) # NTFS
# G:\ # Disco rimovibile
# H:\ # Disco rimovibile
# I:\ # Disco CD-ROM
# J:\ # Disco rimovibile
# K:\ # Disco rimovibile

############################## | Active Processes |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\documents and settings\user\impostazioni locali\dati applicazioni\jfacitxa.exe
C:\DOCUME~1\User\IMPOST~1\Temp\twunk_32x.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrobat.exe
C:\Programmi\File comuni\Adobe\Updater5\AdobeUpdater.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\FREEDO~1\FDM.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |

################## | C:\WINDOWS |

Found ! C:\WINDOWS\Prefetch\4867.EXE-2759691D.pf

################## | C:\WINDOWS\system32 |

################## | C:\WINDOWS\system32\drivers |

################## | C:\Documents and Settings\User\Dati applicazioni |

################## | Temporary Internet Files |

################## | Registry / Infected keys |

Found ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Found ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Found ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Found ! [HKLM\software\microsoft\security center] "FirewallOverride"
Found ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | State / Service / Information |

# Showing of hidden files : OK

# Safe boot mode : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |

################## | End of Report # FindyKill V5.021 ! |

Inviato: **mer gen 13, 2010 1:45 pm**

Intanto non è bagle.
Prova con tdskiller che trovi qui e segui il resto delle istruzioni.
http://www.MegaLab.it/5573/3/attenti-a- ... suoi-cloni
A seguire una scansione con combofix e posta il suo log.
Dopo combofix vedi se l'antivirus si risveglia.

Inviato: **mer gen 13, 2010 2:09 pm**

Prima di tutto GRAZIE!
Ho installato TDSSKiller che ha individuato files infetti chiedendomi di riavviare il pc.
Una volta riavviato è ripartito anche Avira,che mi indica (aprendo una finestra al secondo) la presenza di un virus
(cavallo di troia - TR/PCK.Tdss.AA.3330).
Mi consigli di andare avanti con la procedura del link che mi hai inviato(Avenger e così via) o faccio una scansione con Avira?
Grazie ancora!

Inviato: **mer gen 13, 2010 2:16 pm**

Scansione con avira prima, poi anche combofix visto che nel tuo log vedevo una cosa particolare che rimuove combofix.

Inviato: **mer gen 13, 2010 4:14 pm**

Ho fatto una scansione con Avira riscontrando la presenza di quel virus che prima avevo citato.
Ora ho scaricato combofix e prima di farlo partire ho chiuso tutti i programmi e disabilitato AntivirGuard,
tuttavia lanciando combofix mi appare una finestra che riporta questa dicitura:

ATTENZIONE, combofix ha rilevato che il seguente scanner(s) in real time è attivo:
antivirus: Antivir Desktop
antivirus: Antivir Desktop
antivirus: Sitema Antivirus NOD32 2.70
E' risaputo che gli antivirus e i sotware Hips interferiscono con ComboFix's seè in esecuzione.Questo potrebbe portare risultati impevedibili o a machine danni.Per favore disabilitate gli scanner e cliccate su 'OK'.

Ora non so come disabilitare Antivir Desktop(ho disattivato il controllo e gli aggiornamenti) e soprattutto NOD32, che è un antivirus che usavo molto tempo fa, ma che ho cancellato dal pc (con lo strumento cerca, così come nell'installazione applicazioni non se ne trova traccia).
Non vorrei creare danni con la mia incompetenza...abbi pazienza e scusami se approfitto della tua disponibilità

Inviato: **mer gen 13, 2010 5:12 pm**

drug0 ha scritto:Ora non so come disabilitare Antivir Desktop(ho disattivato il controllo e gli aggiornamenti) e soprattutto NOD32, che è un antivirus che usavo molto tempo fa, ma che ho cancellato dal pc (con lo strumento cerca, così come nell'installazione applicazioni non se ne trova traccia).
Non vorrei creare danni con la mia incompetenza...abbi pazienza e scusami se approfitto della tua disponibilità

Utilizza navilog tanto lo toglie pure lui.
http://www.MegaLab.it/4612/3/favorit-ne ... i-gratuiti

Inviato: **gio gen 14, 2010 10:11 am**

Grazie molte crazy.cat, la tua consulenza mi è stata molto preziosa e credo (mi auguro) di aver risolto il problema.
Complimenti per il sito e soprattutto per la rapidità con cui mi avete dato una mano.

MegaLab.it

antivirus bloccato

antivirus bloccato

Re: antivirus bloccato

Re: antivirus bloccato

Re: antivirus bloccato

Re: antivirus bloccato

Re: antivirus bloccato

Re: antivirus bloccato