www.MegaLab.it

[kandiska]

Salve ragazzi...dopo circa un anno dal mio ultimo "combattmento" serrato con un virus (bagle.32)...ieri il mio pc è stato infettato da un virus che è recentissimo chiamato appunto worm.win32.autorun.dwi. Kaspersky non riesce ne a disinfettarlo ne ad eliminarlo dicendomi che il virus sarà eliminato al prossimo avvio di xp...ma questo non succede.
Spero nel vostro prezioso aiuto e ringrazio sin da ora chi si presterà nel darmelo.

[ste_95]

Dai una passata con il Perlovga Removal Tool e il problema dovrebbe risolversi.

[kandiska]

Ok...Ste_95..proverò subito....Grazie x la dritta...

[kandiska]

Allora...ti faccio il resoconto della situazione...Ho scaricato Perlovga Removal Tool..L'ho aperto,ho cliccato su remove,senza avviare nessuna scansione mi è uscita questa scritta "Congratulations!Your Computer inow clean!Please note that if your floppy/flash disks where write protected during the scan then you must run this removal tool again whit your floppy/flash disks write enabled."...Clicco su ok ..."You're highly advised no restart your system immediately!"....Ho riavviato...ma nulla...cm era ipotizzabile(visto che non ha fatto nessuno scansione),il virus è ancora presente.
Qualche altra soluzione Ste??? PS Non posso neanche avviare il pc in modaltà provvisoria e non mi permette di fare nessun ripristino.

[ste_95]

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Posta sul forum il risultato facendo attenzione a queste regole.

[kandiska]

Ok..Provo..Ti faccio avere il log appena finito...

[kandiska]

Ste...allora...ho fatto tt quello che c'è scritto nelle regole per postare un file log,ma ho un piccolo problema ..Quando viene visualizzata la pagina con i link del download,non c'è il link ma c'è solo un indirizzo ed è quello dello sharing url...Prendo quello?

[ste_95]

Prendo quello?

Sì.

[kandiska]

Ste...Lo so che ti sti scocciando ma devo chiederti un'altra cosa...Il log Basta caricarlo solo su mediafire o anche su Mytempdir?Te lo chiedo perché non riesco a fare su Mytempdir quello che ho fatto su Mediafire poichè su Mytempdir non riesco ad entrarci.

[kandiska]

Comunque il link da Mediafire è questo : http://www.mediafire.com/?d2mdcgbay1y. Aspetto tue notizie

[ste_95]

Si vedono tracce di Vundo, segui le istruzioni di questo articolo:

http://www.MegaLab.it/2785

[kandiska]

In C:\Windows\system32\urqNGayV.dll...Questo sarebbe il file infetto che non riesco ad eliminare ne a disinfettare.

[ste_95]

Hai letto l'articolo?

[kandiska]

Sei sicuro che si tratti di un trojan? Da quasi incompetente del settore sicurezza mi chiedo allora perché kaspersky me lo vede e trova cm worm??comunque sto facendo la scansione con Vundofix...speriamo bene

[kandiska]

Ste Nulla...ti spiego...Il primo tool (VundoFix) nn mi trova nulla,Il secondo (VirtumundoBeGone) appena cominciata la scansione ha fatto sì che il mio pc andasse in crash con un errore irrevrsibile,dopo questo il pc si è riavviato da solo,il terzo (ComboFix) mi dice che non è un'applicazione di win32 valida....Ora??...Dimmi te...Cosa possiamo fare?

[ste_95]

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\ljJDVmli.dll
C:\WINDOWS\system32\urqNGayV.dll

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti. Se il problema persiste prova con la vecchia versione di Avenger.

[kandiska]

Sembra che non ci sia più,almeno questo è quello che mi fa notare Kaspersky dandomi il virus come eliminato..comunque...
Questo è lo script di Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cscqopha

*******************

Script file located at: \??\C:\WINDOWS\wqstrjih.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\drivers\hidr.exe not found!
Deletion of file C:\WINDOWS\system32\drivers\hidr.exe failed!

Could not process line:
C:\WINDOWS\system32\drivers\hidr.exe
Status: 0xc0000034

File C:\WINDOWS\system32\drivers\srosa.sys deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.


File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



File C:\WINDOWS\system32\trusted.exe not found!
Deletion of file C:\WINDOWS\system32\trusted.exe failed!

Could not process line:
C:\WINDOWS\system32\trusted.exe
Status: 0xc0000034



File C:\WINDOWS\system32\drivers\pci32.sys not found!
Deletion of file C:\WINDOWS\system32\drivers\pci32.sys failed!

Could not process line:
C:\WINDOWS\system32\drivers\pci32.sys
Status: 0xc0000034

File C:\windows\system32\drivers\hldrrr.exe deleted successfully.


File C:\WINDOWS\system32\drivers\hldrrr.ex_ not found!
Deletion of file C:\WINDOWS\system32\drivers\hldrrr.ex_ failed!

Could not process line:
C:\WINDOWS\system32\drivers\hldrrr.ex_
Status: 0xc0000034

File C:\WINDOWS\system32\mdelk.exe deleted successfully.


Error: C:\Documents and Settings\Melvin\Impostazioni locali\Temporary Internet Files\Content.IE5\43QX65TH is a folder, not a file!
Deletion of file C:\Documents and Settings\Melvin\Impostazioni locali\Temporary Internet Files\Content.IE5\43QX65TH failed!

Could not process line:
C:\Documents and Settings\Melvin\Impostazioni locali\Temporary Internet Files\Content.IE5\43QX65TH
Status: 0xc00000ba



Error: C:\Documents and Settings\Melvin\Impostazioni locali\Temporary Internet Files\Content.IE5\H7DQ1G6R is a folder, not a file!
Deletion of file C:\Documents and Settings\Melvin\Impostazioni locali\Temporary Internet Files\Content.IE5\H7DQ1G6R failed!

Could not process line:
C:\Documents and Settings\Melvin\Impostazioni locali\Temporary Internet Files\Content.IE5\H7DQ1G6R
Status: 0xc00000ba



Error: C:\Documents and Settings\Melvin\Impostazioni locali\Temporary Internet Files\Content.IE5\N8KZBWPN is a folder, not a file!
Deletion of file C:\Documents and Settings\Melvin\Impostazioni locali\Temporary Internet Files\Content.IE5\N8KZBWPN failed!

Could not process line:
C:\Documents and Settings\Melvin\Impostazioni locali\Temporary Internet Files\Content.IE5\N8KZBWPN
Status: 0xc00000ba



Error: C:\Documents and Settings\Melvin\Impostazioni locali\Temporary Internet Files\Content.IE5\Z3P2I9X5 is a folder, not a file!
Deletion of file C:\Documents and Settings\Melvin\Impostazioni locali\Temporary Internet Files\Content.IE5\Z3P2I9X5 failed!

Could not process line:
C:\Documents and Settings\Melvin\Impostazioni locali\Temporary Internet Files\Content.IE5\Z3P2I9X5
Status: 0xc00000ba

File C:\Programmi\Realtek\InstallShield\AzMixerSel.exe deleted successfully.
File C:\Programmi\Acer\OrbiCam\CameraAssistant.exe deleted successfully.


Folder C:\WINDOWS\exefnd not found!
Deletion of folder C:\WINDOWS\exefnd failed!

Could not process line:
C:\WINDOWS\exefnd
Status: 0xc0000034



Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!

Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034

Folder C:\WINDOWS\system32\drivers\down deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\srosa deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\pci32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\pci32
Status: 0xc0000034



Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32 failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "C:\WINDOWS\system32\ljJDVmli.dll" deleted successfully.
File "C:\WINDOWS\system32\urqNGayV.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[kandiska]

Te che ne dici...?...E' Ok?

[kandiska]

Non vorrei cantare vittoria troppo presto,ma sembra che l'intruso non ci sia...Quindi a meno che non ci siano evoluzioni negative nelle prossime ore(Spero di no!)..ti ringrazio vivamente per il tuo aiuto.
Ps..Per i ragazzi che leggeranno questa conversazione...Il mio pc è stato infettato da questo virus tramite la versione prova del programma DebellaWorm2008 quindi consiglio di stare attenti...

[ste_95]

Sembra tutto a posto, non dovresti più avere problemi.