www.MegaLab.it

[valerioz]

Ciao a tutti,
da qualche giorno ho problemi a connettermi in internet con il mio portatile. Premetto che non è un problema di linea in quanto con un altro computer e stesso modem, la cosa non succede.
Ho notato nella task bar alcuni processi che sembrerebbero sospetti, e per sicurezza (visto che non me ne intendo molto) vi inoltro il log di Hijack in modo che qualcuno possa capire se ho effettivamente qualche cosa strana nel computer...

Vi ringrazio da subito

Valerio

[ste_95]

La prossima volta segui queste regole per postare il log.

In Hijackthis seleziona queste voci e premi Fix Checked in basso:

O4 - HKLM\..\Run: [MDM Rock 4] C:\WINDOWS\system32\stzbtokuu.exe

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\stzbtokuu.exe

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

[valerioz]

Ciao,
ho fatto quello che mi hai detto, ecco il log di avenger:



[color=blue]//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Apr 14 10:55:51 2008

10:55:51: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "c:\windows\system32\stzbtokuu.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.[/color]

Rifacendo poi lo scan con Hijack, si presenta un'altro processo chiamato "ewooanbwa.exe" che si attiva quando tento di connettermi a internet, facendomi saltare la connessione.
Deduco che sia lo stesso virus che ha creato un nuovo file...

Ti do il link per poter vedere il nuovo log di Hijack : http://www.sendspace.com/file/dxe73c


Ciao, Valerio

[ste_95]

Ci dev'essere qualcosa che lo ricrea, da connesso a Internet, segui questi passaggi:

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

[valerioz]

Caio,
ecco i due log di GMER che mi hai chiesto:

[url="http://www.freefilehosting.net/files/3ffl3"]gmer-log1-autostart.txt[/url]

[url="http://www.freefilehosting.net/files/3ffl5"]gmer-log2-rootkit1.txt[/url]

grazie 1000!
valerio

[ste_95]

Esegui la scansione on-line estesa con Kaspersky come descritto qui e postane il log seguendo queste indicazioni.

[valerioz]

E' proprio qui il problema, non riesco a connettermi a internet, appena tento la connessione prima va lentissima, poi salta e vedo che il processo sospetto comincia a lavorare...

Che faccio? [cry+]

[ste_95]

Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Programmi -> Antivirus -> Avira Antivir.

Scansiona con Antivir tutto il computer, e vedi se trovi malware.

[valerioz]

Ciao,
ho un problema con la creazione del CD MegaLab: utilizzando PE builder e andando nei plugin, non è possibile attivare gli antivirus e altri plugin della lista in quanto quando tento di attivarli compare un messaggio di errore tipo file inesistente...

Non ne uscirò maiiii

[crazy.cat]

Prima scaricati gli aggiornamenti del antivirus con get_update.cmd e poi li abiliti.

[valerioz]

Ciao,
sono riuscito a fare la scansione con kaspersky on line, vi giro il report in modo che possiate spiegarmi cosa fare... da quel che ho capito dovrei utilizzare avenger e inserire lo script per eliminare i files infetti e le voci di registro sospette.... ma cosa fare esattamente?

http://www.sendspace.com/file/jgq1xf

Grazie
Valerio

[ste_95]

Installa la trial di Kaspersky ed elimina quello che rileva, eliminare 300+ file a mano è un suicidio!

[valerioz]

Ok, fatto!
ho rifatto il log con hijack e sembrerebbe non esserci più nulla, spero... te lo invio per sicurezza.
Su molti files non è stato possibile togliere il virus ma ho dovuto eliminarli.

http://www.sendspace.com/file/qmtrd8

Avevo un Backdoor rbot e un Worm allaple.a

Ora vedo in questi giorni se va tutto bene!

Scusate se ho rotto un po' ma visto che l'ultima volta per errore ho cancellato un file di sistema e ho dovuto riformattare tutto, non volevo incappare nella stessa ca...ta

grazie!!!
Valerio

[ste_95]

Il log è pulito, se non riscontri più problemi, dovresti essere a posto.

[valerioz]

Grazie 10000000000!!!!