www.MegaLab.it

da **Giodisan** » lun feb 21, 2011 12:56 pm

Salve a tutti.
Sono nuovo del forum e alquanto inesperto, quindi chiedo scusa per le cavolate che scriverò.

Ho istallato sul mio pc Avast free tramite Google pack e da qualche giorno mi sta dicendo che il periodo di prova è quasi finito e devo chiedere la registrazione per continuare ad usarlo.

Ho provato ad accedere al sito Avast, ma niente da fare.

Ho provato a digitare sul web per eventuali soluzioni e ho scoperto l'esistenza di Bagle che gira in rete.

Premetto che Avast funziona sul pc e effettuando la scansione non mi segnala niente, ma non riesco ad accedere al sito Avast e neanche al sito Microsoft.

Sul pc girano solo programmi originali e non mi collego (almeno con questo) ai siti P2P.

Come da voi consigliato ho effettuato una scansione con GMER e come risultato ho avuto come unico segnalato in rosso questo:

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) .

Sono alla presenza di Bagle o è qualcos'altro?

Grazie a tutti.

Giorgio

da **farbix89** » lun feb 21, 2011 12:59 pm

Fai una scansione con HijackThis e Combofix,dopo posta i log ottenuti

da **Giodisan** » lun feb 21, 2011 1:07 pm

Purtroppo non mi fa accedere alla pagina web per scaricare i programmi!!!

da **farbix89** » lun feb 21, 2011 1:15 pm

Proviamo alcuni link alternativi:

Hijackthis

Combofix l'ho caricato io sui siti di hosting [;)]

Combofix(link alternativo)

Ti consiglio di agire solo in modalità provvisoria,o il virus attivo bloccherà l'esecuzione dei tools.

Segui queste istruzioni

topic65911.html

http://www.MegaLab.it/6303/pc-infetto-d ... ntervenire

da **Giodisan** » lun feb 21, 2011 1:27 pm

Questo e quello che dice Hijackthis:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13.30.51, on 21/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Alwil Software\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\File comuni\Panasonic\PHOTOfunSTUDIO AutoStart\AutoStartupService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.6.5825.1100\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programmi\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB002" /M "Stylus C42"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] C:\Programmi\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [avast5] "C:\Programmi\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus SX400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE /FU "C:\WINDOWS\TEMP\E_S63.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: PHOTOfunSTUDIO 5.1 HD Edition.lnk = C:\Programmi\File comuni\Panasonic\PHOTOfunSTUDIO AutoStart\AutoStartupService.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9036372937
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6387 bytes

da **Giodisan** » lun feb 21, 2011 1:43 pm

Questo è Combofix:
Eseguito da: c:\documents and settings\Giorgio\Documenti\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2011-01-21 al 2011-02-21 )))))))))))))))))))))))))))))))))))
.

2011-02-19 17:41 . 2011-02-19 17:41 -------- d-----w- c:\documents and settings\Giorgio\Impostazioni locali\Dati applicazioni\Ahead
2011-01-31 08:17 . 2011-01-13 08:41 294608 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-01-31 08:17 . 2010-09-07 15:47 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-01-31 08:17 . 2011-01-13 08:37 23632 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-01-31 08:17 . 2011-01-13 08:40 47440 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-01-31 08:17 . 2011-01-13 08:40 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-01-31 08:17 . 2011-01-13 08:39 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-01-31 08:17 . 2011-01-13 08:37 29392 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-01-31 08:17 . 2011-01-13 08:47 38848 ----a-w- c:\windows\avastSS.scr
2011-01-31 08:17 . 2011-01-13 08:47 188216 ----a-w- c:\windows\system32\aswBoot.exe
2011-01-31 08:17 . 2011-01-31 08:17 -------- d-----w- c:\programmi\Alwil Software
2011-01-31 08:17 . 2011-01-31 08:17 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Alwil Software
2011-01-31 08:16 . 2011-01-31 08:16 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Google Updater
2011-01-31 08:16 . 2011-01-31 08:16 -------- d-----w- c:\programmi\Google

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-01-31 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\programmi\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-08-28 33673216]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"EPSON Stylus C42 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2002-07-01 74752]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2009-11-10 417792]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"nwiz"="c:\programmi\NVIDIA Corporation\nView\nwiz.exe" [2010-08-25 1753192]
"avast5"="c:\programmi\Alwil Software\Avast5\avastUI.exe" [2011-01-13 3396624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
PHOTOfunSTUDIO 5.1 HD Edition.lnk - c:\programmi\File comuni\Panasonic\PHOTOfunSTUDIO AutoStart\AutoStartupService.exe [2010-7-27 172544]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7338:TCP"= 7338:TCP:iksplshh

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [31/01/2011 9.17.47 294608]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [26/10/2010 13.32.58 100712]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [13/07/2010 16.48.58 1390976]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [31/01/2011 9.17.47 17744]
S2 mxissnjhq;Helper Time;c:\windows\system32\svchost.exe -k netsvcs [13/04/2008 18.14.22 14336]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - KWNIQAOB
*Deregistered* - kwniqaob

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
mxissnjhq
.
Contenuto della cartella 'Scheduled Tasks'

2011-02-21 c:\windows\Tasks\Google Software Updater.job
- c:\programmi\Google\Common\Google Updater\GoogleUpdaterService.exe [2011-01-31 08:16]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-21 13:41
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\programmi\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mxissnjhq]
"ServiceDll"="c:\windows\system32\boaie.dll"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(2676)
c:\windows\system32\WININET.dll
c:\programmi\NVIDIA Corporation\nView\nview.dll
c:\programmi\NVIDIA Corporation\nView\NVWRSIT.DLL
c:\windows\system32\webcheck.dll
.
Ora fine scansione: 2011-02-21 13:41:46
ComboFix-quarantined-files.txt 2011-02-21 12:41

Pre-Run: 448.236.974.080 byte disponibili
Post-Run: 448.950.853.632 byte disponibili

- - End Of File - - 3AA5191D0778E4976BFC4A933824E48B

da **hashcat** » lun feb 21, 2011 1:50 pm

Nel frattempo esegui questi passi:

Fai una scansione completa con superantispyware portable (non necessita di aggiornamenti), al termine rimuovi tutte le minacce rilevate e posta il log qui.
Scarica Emsisoft Emergency kit estrailo, avvia Emsisoft Emergency Kit Scanner (non necessita di aggiornamenti), esegui una scansione completa, rimuovi tutte le minacce rilevate e posta il log qui.
Scarica vipre rescue e segui questa procedura:
Se è possibile, scaricare il programma di salvataggio per il computer infetto, altrimenti scarica il programma VIPRE salvataggio su un drive USB o un altro supporto rimovibile.
Inserire il supporto nel computer infetto.
Passare alla directory che contiene il programma VIPRE Rescue.
Fare doppio clic su VIPRERescue8491.exe
Al prompt, "Vuoi per estrarre il salvataggio VIPRE scanner al computer?" fare clic su Sì.
Ti verrà richiesto di indicare una cartella di destinazione per decomprimere al. Mantenere l'impostazione predefinita (C: \ VIPRERESCUE) o entrare in una nuova cartella, quindi fare clic su Unzip. Assicurarsi che la casella "Una volta fatto unzipping aperto:. \ Deep_scan.bat" sia selezionata.
Il programma Rescue VIPRE verrà scaricato il file nella cartella di destinazione. Fare clic su OK al prompt.
Il programma Rescue VIPRE si aprirà una finestra della riga di comando ed eseguirà una scansione completa.
Scarica e installa Comodo Antivirus, aggiornalo, esegui una scansione completa, rimuovi tutte le minacce, riavvia il computer e posta qui il log.
Scarica ed esegui una scansione con hitman pro, rimuovi tutte le minacce rilevate e posta qui il log.

Nel frattempo analizzo i log di hijackthis e combofix [^]

da **hashcat** » lun feb 21, 2011 2:16 pm

Mi sembra abbastanza strana questa voce:

Codice: Seleziona tutto: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs mxissnjhq

Ti consiglio di caricare e far analizzare su virustotal i seguenti file:

Codice: Seleziona tutto: c:\windows\system32\boaie.dll c:\windows\system32\svchost.exe

Dopo aver eseguito la procedura che ti ho indicato nel messaggio precedente potresti scaricare e fare una scansione con Prevx se vengono rilevate delle minacce fai uno screenshot (premi il tasto Stamp | R Sist, apri Paint e fai incolla) salvi il file, lo carichi su imageshack e lo inserisci nel tuo prossimo messaggio.

N.B.: Installa Prevx selezionando l'opzione evidenziata nell'immagine:

da **Giodisan** » lun feb 21, 2011 3:20 pm

Riepilogo:
Superantispyware ha trovato solo cookies
Emisoft, Vipre rescue e Comodo non è possibile accedere ai siti.
Hitman pro ha scovato un trojan: Boaie.dll
I problemi con i siti Microsoft e Avast sussistono.
Anche Virustotal e Prevx non è possibile accedere al sito.

da **hashcat** » lun feb 21, 2011 3:45 pm

Giodisan ha scritto:Riepilogo:
Superantispyware ha trovato solo cookies
Emisoft, Vipre rescue e Comodo non è possibile accedere ai siti.
Hitman pro ha scovato un trojan: Boaie.dll
I problemi con i siti Microsoft e Avast sussistono.
Anche Virustotal e Prevx non è possibile accedere al sito.

Ok ora provvedo cercando di fornirti link alternativi

da **hashcat** » lun feb 21, 2011 4:05 pm

Ecco qui:

N.B.: 1. Esegui per prima cosa Analyze Restore Center e clicca su "Ripristino" poi riavvia il computer, al termine usa i programmi qui elencati
2. Se non riesci a scaricare i file dal computer infetto prova da un altro computer e rinominali in modo strano

da **Giodisan** » lun feb 21, 2011 4:32 pm

Avast mi segnala Analyze Restore Center come malware e non lo fa eseguire!!!

da **hashcat** » lun feb 21, 2011 4:49 pm

disattiva temporaneamente l'antivirus (é un falso positivo)

da **Giodisan** » mar feb 22, 2011 8:35 am

Dopo una nottata passata davanti allo schermo ecco i risultati:

- tutti i programmi da voi consigliati sono stati istallati e fatti girare.

- Emsisoft ha rilevato un trojan o un malware, non ricordo e purtroppo avento chiesto al programma di eseguire ma non di salvare sul pc, li avevo messi in quarantena e al termine quando ho tentato di postarli non li ho più trovati [acc2]

(avevo avvertito che ero scarso [B)]

)

- VIPRERESCUE ha trovato un po di roba anche lui ( se volete ve li posto)

- al termine di tutte le altre scansioni non ha rilevato praticamente niente ( alcuni cookies)

- stanotte finito tutto sembrava funzionare tutto bene [:)]

.

- stamani non mi faceva aprire internete explorer e dopo vari tentativi ho visto che comodo si stava aggiornando, nonstante che dopo l'istallazione lo avessi già fatto, e poi è andato un paio di volte il pc in crash.

- al terzo riavvio ho provato a togliere il firewall do comodo e a settarlo in policy personalizzata: adesso sto scrivendo a voi.

Spero sia stato un episodio, ma non sono molto tranquillo... [V]

Temo che sia rimasta qualche bestiaccia dentro oppure a forza di scansioni ho tolto qualcosa che, segnalata come falso positivo, poverina faceva il suo lavoro...

da **Giodisan** » mar feb 22, 2011 8:57 am

Ennesimo crash mentre scrivevo a voi.

Ho provato a disabilitare Comodo e Prevx, lasciando solo Avast a fare da guardia.

Mi è venuto il sospetto che troppi galli nel pollaio litighino [B)]

: speravo che avendo attive più protezioni fossi più difeso [weponed]

oppure non vanno daccordo tra loro e devo sceglire cosa lasciare attivo?

da **farbix89** » mar feb 22, 2011 9:46 am

Giodisan ha scritto:Mi è venuto il sospetto che troppi galli nel pollaio litighino : speravo che avendo attive più protezioni fossi più difeso oppure non vanno daccordo tra loro e devo sceglire cosa lasciare attivo?

Credo proprio di sì.

AV=tieni solo uno,scegli tra Avast,Avira e COMODO(se scegli la suite)

Firewall=tieni COMODO

Controllo on demand senza protezione real-time= Malwarebytes

Togli tutto il resto,in particolare se attivi in real time

da **Giodisan** » mar feb 22, 2011 10:09 am

Dimenticavo: adesso all'avvio non si sente più il suono di Windows...

da **Uomo_Senza_Sonno** » mar feb 22, 2011 11:11 am

Giodisan ha scritto:Dimenticavo: adesso all'avvio non si sente più il suono di Windows...

GMER ha trovato un hook sfruttato da una componente rootkit, ma è più probabile a questo punto, e visti i malfunzionamenti anche audio, crash improvvisi ecc ecc, che si tratti di questo, anche se non ci sono tutti i sintomi.

Prima di usare il tool indicato nell'articolo, esegui un controllo con Stealth Rootkit Detector: lo salvi in C:\ e da Esegui digita C:\mbr.exe; in C:\ troverai un file di testo chiamato mbr.log, posta il risultato per cortesia.

Sempre per cortesia, utilizza il tasto MEMO per inserire il log, in questo modo:

Codice: Seleziona tutto: [MEMO]inserisci qui il testo[/MEMO]

per avere questo risultato

inserisci qui il testo

da **Giodisan** » mar feb 22, 2011 2:18 pm

Chiedo scusa ancora per la mia incompetenza.

Il risultato di Stealth è questo

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3500418AS rev.CC44 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Adesso cerco un altro pc per poter seguire la guida passo passo per la risoluzione.

Grazie Uomo_Senza_Sonno

da **Giodisan** » mar feb 22, 2011 3:02 pm

Scusa Uomo_Senza_Sonno, ma se non ho capito male l'articolo in link, il test che ho postato sembra escludere quel tipo di infezione o sbaglio? (assai probabile...)

www.MegaLab.it

Bagle?

Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Re: Bagle?

Chi c’è in linea