www.MegaLab.it

[Ransie]

Salve a tutti,

penso di avere un virus sul pc.
Dal sito ufficiale di una fiction mediaset mi si era installato un dialer,o almeno credo che tale fosse. Ho eliminato all'istante il problema ed anche sinceramente segnalato l'accaduto alla polizia postale (poichè ho poi letto di tanti altri utenti colpiti che lo avevano segnalato per tutelare i navigatori sulla 56k). Avendo l'adsl e il blocco chiamate a numeri speciali insomma ero tranquilla. Per sicurezza ho anche chiamato il mio gestore che mi ha rassicurato e inoltre controllato nei giorni successivi il recente tabulato dei consumi su mia richiesta. E come previsto è tutto ok.
Il dubbio mi è sorto con la comparsa di messaggi di riconnessione o altro strani. In realtà ieri ho fatto un log con hijackthis e controllato in rete e nn mi segnalava nulla di pericoloso. Oggi con una scansione online con Kaspersky mi ha rilevato questo trojan e una serie di virus infetti.
Cosa devo fare?
Vi posto il log di Hijackthis che ho fatto ieri e poi quello di kaspersky.

Logfile of HijackThis v1.99.1
Scan saved at 16.43.01, on 28/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

[ste_95]

La prossima volta segui queste regole per postare il log.

Disabilita il ripristino configurazione di sistema.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\Documents and Settings\Nancy\Impostazioni locali\Temporary Internet Files\Content.IE5\3FXJ7XWW\FFLoader[1].exe
C:\Documents and Settings\Nancy\Impostazioni locali\Temporary Internet Files\Content.IE5\W3BJM8P9\FFLoader[1].exe
C:\Documents and Settings\Nancy\Impostazioni locali\Temporary Internet Files\Content.IE5\M5JS94ZM\FFLoader[1].exe
C:\Documents and Settings\Nancy\Impostazioni locali\Temporary Internet Files\Content.IE5\QDER0DMB\FFLoader[1].exe
C:\Documents and Settings\Nancy\Impostazioni locali\Temporary Internet Files\Content.IE5\3MCJC8UM\FFLoader[1].exe
C:\Documents and Settings\Nancy\blortyyp.exe
C:\Documents and Settings\Nancy\wltyiprs.exe
C:\Documents and Settings\Nancy\focbcmgz.exe

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti. Se il problema persiste prova con la vecchia versione di Avenger.

[Ransie]

Ok.Scusa non sapevo di questa regola.
Dato che il log con Avenger è più breve spero di non aver commesso un errore copiandolo direttamente sotto.
Ah e grazie per l'aiuto.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Error: file "C:\Documents and Settings\Nancy\Impostazioni locali\Temporary Internet Files\Content.IE5\3FXJ7XWW\FFLoader[1].exe" not found!
Deletion of file "C:\Documents and Settings\Nancy\Impostazioni locali\Temporary Internet Files\Content.IE5\3FXJ7XWW\FFLoader[1].exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

File "C:\Documents and Settings\Nancy\Impostazioni locali\Temporary Internet Files\Content.IE5\W3BJM8P9\FFLoader[1].exe" deleted successfully.

Error: could not open file "C:\Documents and Settings\Nancy\Impostazioni locali\Temporary Internet Files\Content.IE5\M5JS94ZM\FFLoader[1].exe"
Deletion of file "C:\Documents and Settings\Nancy\Impostazioni locali\Temporary Internet Files\Content.IE5\M5JS94ZM\FFLoader[1].exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: file "C:\Documents and Settings\Nancy\Impostazioni locali\Temporary Internet Files\Content.IE5\QDER0DMB\FFLoader[1].exe" not found!
Deletion of file "C:\Documents and Settings\Nancy\Impostazioni locali\Temporary Internet Files\Content.IE5\QDER0DMB\FFLoader[1].exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

File "C:\Documents and Settings\Nancy\Impostazioni locali\Temporary Internet Files\Content.IE5\3MCJC8UM\FFLoader[1].exe" deleted successfully.
File "C:\Documents and Settings\Nancy\blortyyp.exe" deleted successfully.
File "C:\Documents and Settings\Nancy\wltyiprs.exe" deleted successfully.
File "C:\Documents and Settings\Nancy\focbcmgz.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[Ransie]

comunque il mio problema nn si è risolto. Ho appena effettuato una nuova scansione con Kspersky e mi ritrova i virus e anche VirusScan me li segnala.
Uffa! Ma poi queste cose mi capitano sempre quando sto per trasferirmi e nn ho il tempo di portarlo da nessuno per una sana formattazione!
MacAfee mi rileva (aprendomi ogni 30 sec la finestra, aiuto) PWS-Wow.dll come trojan nella destinazione:
C:WINDOWS\system32\fsmgmt.dll

Please, help me!

[ste_95]

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:WINDOWS\system32\fsmgmt.dll

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti. Se il problema persiste prova con la vecchia versione di Avenger.

[Ransie]

Ci avevo già provato:

Error: could not open file "C:WINDOWS\system32\fsmgmt.dll"
Deletion of file "C:WINDOWS\system32\fsmgmt.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist

Rifaccio una scansione in Kaspersky e riprovo a cancellare le voci segnalate con Avenger?
Ma nn risolvo il problema come stamattina!
Se creo un punto di ripristino sul pc? ma nn penso che servirebbe a qualcosa.
Non so proprio cosa fare.

[ste_95]

Prova a fare una nuova scansione online con Kaspersky, vediamo se salta fuori altro.

[H.J]

Scaricati Combofix
http://www.techsupportforum.com/sectool ... mboFix.exe
http://download.bleepingcomputer.com/sU ... mboFix.exe
Salvalo sul desktop.
(se il file salvato dal primo link non dovesse funzionare, scaricalo dal secondo link)

1. Doppio click su combofix.exe, comparirà la seguente videata:
http://img293.imageshack.us/img293/8500 ... fn6zj1.jpg

2. Digita 1, premi Invio e segui le indicazioni.
3. Al termine, verrà creato un file log chiamato C:\ComboFix.txt.
4. Posta il log creato

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Posta anche un nuovo log di Hijackthis con la versione 2.0.2

[Ransie]

Il secondo link mi dice Oggetto non trovato.
Dal primo l'ho scaricato e messo sul desktop ma nn funziona, diche ce Combofix nn è un'applicazione di Win32.
Riprovo con Hijackthis e Kaspersky.

Scaricati Combofix
http://www.techsupportforum.com/sectool ... mboFix.exe
http://download.bleepingcomputer.com/sU ... mboFix.exe
Salvalo sul desktop.
(se il file salvato dal primo link non dovesse funzionare, scaricalo dal secondo link)

1. Doppio click su combofix.exe, comparirà la seguente videata:
http://img293.imageshack.us/img293/8500 ... fn6zj1.jpg

2. Digita 1, premi Invio e segui le indicazioni.
3. Al termine, verrà creato un file log chiamato C:\ComboFix.txt.
4. Posta il log creato

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Posta anche un nuovo log di Hijackthis

[H.J]

Scaricalo da qui:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
durante lo scan con combofix disabilita il tuo antivirus

[Ransie]

Questo il link con il log di hijackthis.

http://www.mediafire.com/?cmapyjvgh11

Dopo aver fatto il log con hijackthis ho usato Combofix, di seguito il link con il report finale ( ha comunque cancellato dei file, almeno così mi smebra di aver letto durante l'esecuzione):
http://www.mediafire.com/?mivyb4mmsuj

Rifaccio una scansione con kaspersky per controllare se mi rileva ancora qualcosa?

[H.J]

Esegui Avenger inserendo questo script;

Codice: Seleziona tutto

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fsmgmt

posta il log C:\Avenger.txt

[Ransie]

ok ci provo!
Ma nn capisco più nulla!
A parte il seguente messaggio di errore di windows:

OS: Windows XP Home Edition, SP2
CPU: GenuineIntel, Intel P6 (Model 13), MMX @ 1500 MHz

Module name: C:\DOCUME~1\Nancy\IMPOST~1\Temp\LongX911.Exe

Application data:
VmVyc2lvbjogV2xodGQxTnhhMkJ3Wm5KSVptcHRWU1VwVVRzbE96eFJ
JUzBEQkZRK1BpTWtNWEJuZW45d05DVWpPQ1FoTjBwOWRYeDdhWDVHTU
R4R2JuWnhjSEJQTFN0SlZsWlRHUXNMVWxKUkNGSkpXRWxLUWdSSlJYW
UMNCkltYWdlQmFzZTogMDA0MDAwMDANCkVpcDogOEM2M0E0DQpFYXg6
IDc3QUZDMjQ4DQpFY3g6IDc3QUZDMjQ4DQpFZHg6IDc5RTcyOEVCDQp
FYng6IDc3MjE3MzcwDQpFc2k6IDhFMDNDQw0KRWRpOiA4QjAwMDANCk
VicDogMTJGRjRDDQpFc3A6IDEyRkYzQw0KRXJyb3JDb2RlOiANCjhCL
DEwLDNCLDE1LDE4LDY0LDhELDAsNzQsMTIsM0IsNTUsQyw3NSw1LDg5
LDQ1LEZDLEVCLDEwLDhCLDU4LDQsODMsQzMsOCwzLENCLDNCLDE1LDE
4LDY0LDhELDAsNzUsREEsOEIsNDUsRkMsNUYsNUUsNUIsNTksNUQsQz
IsOCwwLDkwLDY4LEU4LDAsMC4uLg0KQ29kZSA9IFsyMDJdDQotIDANC
i0gMA0KLSAwDQotIDANCi0gW10NCj4gQzpcRE9DVU1FfjFcTmFuY3lc
SU1QT1NUfjFcVGVtcFxMb25nWDkxMS5FeGUNCj4gQzpcV0lORE9XU1x
zeXN0ZW0zMlxudGRsbC5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMl
xrZXJuZWwzMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxhZHZhc
GkzMi5kbGwNCj4gQzpcV0lORE9XU1xzeXN0ZW0zMlxSUENSVDQuZGxs
DQo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcU2VjdXIzMi5kbGwNCj4gQzp
cV0lORE9XU1xzeXN0ZW0zMlxnZGkzMi5kbGwNCj4gQzpcV0lORE9XU1
xzeXN0ZW0zMlxVU0VSMzIuZGxsDQo+IEM6XFdJTkRPV1Ncc3lzdGVtM
zJcb2xlMzIuZGxsDQo+IEM6XFdJTkRPV1Ncc3lzdGVtMzJcbXN2Y3J0
LmRsbA0KPiBDOlxXSU5ET1dTXHN5c3RlbTMyXG9sZWF1dDMyLmRsbA0
KPiBDOlxXSU5ET1dTXHN5c3RlbTMyXHZlcnNpb24uZGxsDQo+IEM6XF
dJTkRPV1Ncc3lzdGVtMzJcd3NvY2szMi5kbGwNCj4gQzpcV0lORE9XU
1xzeXN0ZW0zMlxXUzJfMzIuZGxsDQo+IEM6XFdJTkRPV1Ncc3lzdGVt
MzJcV1MySEVMUC5kbGwNCj4gQzpcRE9DVU1FfjFcTmFuY3lcSU1QT1N
UfjFcVGVtcFxJYWRIaWRlNS5kbGwNCg0KQmFja1dlYg0KSUFkSGlkZQ
0KVmVyc2lvbiA2LjMuMiAoQnVpbGQgNjJSKQ0KSUFkSGlkZQ0KqSAyM
DAzIEJhY2tXZWIgVGVjaG5vbG9naWVzIEx0ZC4gQWxsIHJpZ2h0cyBy
ZXNlcnZlZC4NCklBZEhpZGUuZGxsDQpWZXJzaW9uIDYuMy4yIChCdWl
sZCA2MlIpDQpCYWNrV2ViIElBZEhpZGUNCjUNCg0KPiBDOlxXSU5ET1
dTXHN5c3RlbTMyXFN5blRQRmNzLmRsbA0KDQpTeW5hcHRpY3MsIEluY
y4NClN5blRQRmNzDQo3LjEwLjMgMThNYXIwNA0KU3luVFBGY3MNCkNv
cHlyaWdodCAoQykgU3luYXB0aWNzLCBJbmMuIDE5OTYtMjAwNA0KU3l
uVFBGY3MuZGxsDQo3LjEwLjMgMThNYXIwNA0KUHJvZ3Jlc3NpdmUgVG
91Y2gNCg==


Poi Virusscan mi segnala sempre che ha cancellato alcuni file ed altri no!

[Ransie]

Questo il log di Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Error: registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fsmgmt" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fsmgmt" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist


Completed script processing.

*******************

Finished! Terminate.