www.MegaLab.it

[luposolitario38]

----------------- FindyKill V4.712 ------------------

* User: LuPo - ICE
* Executed from : C:\Programmi\FindyKill
* Update on 14/01/09 by Chiquitine29
* Start at 18:00:42 the 15/01/2009
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Searching *** ))))))))))))))))))


--------------- [ Active Processes ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programmi\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programmi\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\WINDOWS\services.exe
C:\Programmi\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Documents and Settings\LuPo\Desktop\HiJackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe

--------------- [ Infected files / folders ] ----------------


»»»» Presence Files in C:


»»»» Presence Files in C:\WINDOWS


»»»» Presence Files in C:\WINDOWS\Prefetch

Found ! - C:\WINDOWS\prefetch\1.EXE-123305E2.pf

»»»» Presence Files in C:\WINDOWS\system32


»»»» Presence Files in C:\WINDOWS\system32\drivers


»»»» Presence Files in C:\Documents and Settings\LuPo\Dati applicazioni


»»»» Presence Files in C:\DOCUME~1\LuPo\IMPOST~1\Temp


--------------- [ Registry / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
Sidebar=C:\Programmi\Windows Sidebar\sidebar.exe /autoRun

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
Win32 SDK=C:\WINDOWS\system32\lzadovaje.exe
C-Media Mixer=Mixer.exe /startup
avgnt="C:\Programmi\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
services=C:\WINDOWS\services.exe

[HKEY_CURRENT_USER\software\local appwizard-generated applications\Mixer]

--------------- [ Registry / Infected keys ] ----------------




--------------- [ States / Services ] ----------------



+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 3

Ip6Fw - Type of startup = 3

/!\ SharedAccess - Type of startup = 4

wuauserv - Type of startup = 2

/!\ wscsvc - Type of startup = 4


--------------- [ Searching in removable drives ] ----------------


+- Informations :

C: - Unit… fissa

D: - Unit… CD-ROM

E: - Unit… rimovibile


+- Contents of autorun : C:\autorun.inf

[AutoRun]
open=unlducgit.exe
shellexecute=unlducgit.exe
shell\Auto\command=unlducgit.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1


+- Contents of autorun : D:\autorun.inf

[autorun]
open = setup.exe
icon = Autorun.ico

+- Contents of autorun : E:\autorun.inf

[AutoRun]
open=unlducgit.exe
shellexecute=unlducgit.exe
shell\Auto\command=unlducgit.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1


+- Presence of files :

Found ! [15/01/2009 17.11][--ah-----] - C:\autorun.inf
Found ! [01/11/2008 00.52][-r-h-----] - D:\autorun.inf
Found ! [15/01/2009 17.11][--ah-----] - E:\autorun.inf


--------------- [ Registry / Mountpoint2 ] ----------------


-> Not found !


------------------- ! End of report ! --------------------

Questo è il log di findykill... tra questo log e quello di prima di hijackthis cosa trovate.?

[ste_95]

Niente, Bagle non è presente sul tuo computer, altrimenti neanche l'antivirus funzionerebbe più. Segui piuttosto le istruzioni del mio ultimo post.

[luposolitario38]

si ma il pc continua ad essere infettato.. e l'antivirus nel pc precedente ha smesso di funzionare ecco perché ho cambiato pc adesso vedo se riesco a dirti qualche nome di virus trovato da avira

[ste_95]

si ma il pc continua ad essere infettato.. e l'antivirus nel pc precedente ha smesso di funzionare

Cosa significa?

[luposolitario38]

Allora ci sono molti file infettati da:

WINDOWS W32/Virut.s
TR/Agent.uym
TR/Buzus.iij
TR/Dropper.gen
TR/Downloader.gen
BDS/Agent.YVS
TR/CryptXPACK.gen

[ste_95]

Allora ci sono molti file infettati da:
[cut]

Ti ripeto che se l'antivirus funziona, bagle non può essere presente sul tuo sistema.

Attento! Inserisci le chiavette infette tenendo premuto Shift (O ribeccherai Bagle) e segui le istruzioni di questo articolo.

[luposolitario38]

Dunque, Ste, ricapitolo un po' la situazione visto che forse ho creato un po' di confusione.
Allora, tutto inizia dal pc che mia cognata mi ha dato da controllare. Il pc all'accensione arrivava alla schermata di login, cliccavo sul nome dell'account partiva il pc, visualizzava per un decimo di secondo il desktop e ritornava chiudendo la sessione alla schermata di login. Su un secondo disco ho installato una nuova copia di win xp pulito, installando solo Avira, faccio la scansione del disco incriminato e comincia a trovarmi file infetti. li faccio mettere in qurantena e comincio ad esplorare il disco infetto alla ricerca dei file da salvare. Noto che le cartelle hanno il nome azzurro e che in alcune non mi fa entrare, dandomi messaggi tipo accesso negato o che non ho i dirirtti per entrarci. ( tieni conto che non esisteva nessuna password sul pc, che proteggesse cartelle o file, ne tantomeno l'account ) a quel punto inserisco una chiavetta usb per copiarci il copiabile e dopo qualche ora senza che toccassi nulla, ha cominciato a darmi dei segnali Avira con messaggi di infezione. La schermata di avira mi dava le opzioni di cosa fare e su molti file l'accesso era negato. Da quel momento cliccando per esempio sull'icona di explorer mi diceva che non trovava l'eseguibile, il notepad stessa cosa. Insomma si è mangiato i programmi prendendone possesso, come anche di Avira. A questo punto ho preso un altro disco.. installato xp pulito, inserita la chiavetta usb per vedere i dati raccolti facendo prima la scansione mi ha riportato i dati che ho trasmesso nei log precedenti con hijacjthis e findykiller..

Quindi che mi consigliate di fare..? Devo assolutamente recuperare i dati del disco infetto.

[luposolitario38]

Son stato abbandonato.?

[ste_95]

Son stato abbandonato.?

No, ma purtroppo ogni tanto devo anche andare a scuola.

Quindi che mi consigliate di fare..? Devo assolutamente recuperare i dati del disco infetto.

Se i dati sono criptati/danneggiati, non si può fare molto... Puoi provare con un software di recupero dati, e vedere se ti aiuta:
http://www.MegaLab.it/3916/testa-a-test ... upero-dati