www.MegaLab.it

[inesperto]

Ciao ho fatto una scansione con avira e mi ha dato 3 rilevamenti ora vi posto il log:

Avira AntiVir Personal
Data del file di report: martedì 10 gennaio 2012 18:22

Ricerca di 3054522 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - Free Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows 7 x64
Versione di Windows : (Service Pack 1) [6.1.7601]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : HP-HP

Informazioni sulla versione:
BUILD.DAT : 10.2.0.100 35934 Bytes 03/11/2011 18:09:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 21/07/2011 11:24:39
AVSCAN.DLL : 10.0.5.0 55144 Bytes 21/07/2011 11:26:15
LUKE.DLL : 10.3.0.5 45416 Bytes 21/07/2011 11:25:43
LUKERES.DLL : 10.0.0.0 13160 Bytes 16/02/2010 09:15:20
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21/07/2011 11:24:39
AVREG.DLL : 10.3.0.9 90472 Bytes 21/07/2011 11:24:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 06:56:40
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 18:29:27
VBASE003.VDF : 7.11.19.171 2048 Bytes 20/12/2011 18:29:31
VBASE004.VDF : 7.11.19.172 2048 Bytes 20/12/2011 18:29:31
VBASE005.VDF : 7.11.19.173 2048 Bytes 20/12/2011 18:29:31
VBASE006.VDF : 7.11.19.174 2048 Bytes 20/12/2011 18:29:31
VBASE007.VDF : 7.11.19.175 2048 Bytes 20/12/2011 18:29:31
VBASE008.VDF : 7.11.19.176 2048 Bytes 20/12/2011 18:29:31
VBASE009.VDF : 7.11.19.177 2048 Bytes 20/12/2011 18:29:31
VBASE010.VDF : 7.11.19.178 2048 Bytes 20/12/2011 18:29:31
VBASE011.VDF : 7.11.19.179 2048 Bytes 20/12/2011 18:29:32
VBASE012.VDF : 7.11.19.180 2048 Bytes 20/12/2011 18:29:32
VBASE013.VDF : 7.11.19.217 182784 Bytes 22/12/2011 18:29:49
VBASE014.VDF : 7.11.19.255 148480 Bytes 24/12/2011 18:30:06
VBASE015.VDF : 7.11.20.29 164352 Bytes 27/12/2011 18:30:25
VBASE016.VDF : 7.11.20.70 180224 Bytes 29/12/2011 18:30:30
VBASE017.VDF : 7.11.20.102 240640 Bytes 02/01/2012 18:39:52
VBASE018.VDF : 7.11.20.139 164864 Bytes 04/01/2012 00:20:41
VBASE019.VDF : 7.11.20.178 167424 Bytes 06/01/2012 12:33:41
VBASE020.VDF : 7.11.20.207 230400 Bytes 10/01/2012 17:21:07
VBASE021.VDF : 7.11.20.208 2048 Bytes 10/01/2012 17:21:07
VBASE022.VDF : 7.11.20.209 2048 Bytes 10/01/2012 17:21:07
VBASE023.VDF : 7.11.20.210 2048 Bytes 10/01/2012 17:21:08
VBASE024.VDF : 7.11.20.211 2048 Bytes 10/01/2012 17:21:08
VBASE025.VDF : 7.11.20.212 2048 Bytes 10/01/2012 17:21:08
VBASE026.VDF : 7.11.20.213 2048 Bytes 10/01/2012 17:21:09
VBASE027.VDF : 7.11.20.214 2048 Bytes 10/01/2012 17:21:09
VBASE028.VDF : 7.11.20.215 2048 Bytes 10/01/2012 17:21:09
VBASE029.VDF : 7.11.20.216 2048 Bytes 10/01/2012 17:21:09
VBASE030.VDF : 7.11.20.217 2048 Bytes 10/01/2012 17:21:10
VBASE031.VDF : 7.11.20.226 78336 Bytes 10/01/2012 17:21:13
Motore : 8.2.8.22
AEVDF.DLL : 8.1.2.2 106868 Bytes 30/12/2011 18:33:07
AESCRIPT.DLL : 8.1.3.96 434554 Bytes 09/01/2012 12:35:27
AESCN.DLL : 8.1.7.2 127349 Bytes 21/04/2011 06:56:08
AESBX.DLL : 8.2.4.5 434549 Bytes 30/12/2011 18:33:19
AERDL.DLL : 8.1.9.15 639348 Bytes 30/12/2011 18:32:52
AEPACK.DLL : 8.2.15.1 770423 Bytes 30/12/2011 18:32:38
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30/12/2011 18:32:20
AEHEUR.DLL : 8.1.3.15 4264310 Bytes 09/01/2012 12:35:22
AEHELP.DLL : 8.1.18.0 254327 Bytes 30/12/2011 18:31:03
AEGEN.DLL : 8.1.5.17 405877 Bytes 30/12/2011 18:30:58
AEEMU.DLL : 8.1.3.0 393589 Bytes 21/04/2011 06:55:57
AECORE.DLL : 8.1.24.3 201079 Bytes 30/12/2011 18:30:48
AEBB.DLL : 8.1.1.0 53618 Bytes 21/04/2011 06:55:57
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21/04/2011 06:56:18
AVPREF.DLL : 10.0.3.2 44904 Bytes 21/07/2011 11:24:28
AVREP.DLL : 10.0.0.10 174120 Bytes 21/07/2011 11:24:31
AVARKT.DLL : 10.0.26.1 255336 Bytes 21/07/2011 11:24:06
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21/07/2011 11:24:23
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21/07/2011 14:12:33
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21/04/2011 06:56:17
NETNT.DLL : 10.0.0.0 11624 Bytes 21/04/2011 06:56:31
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21/07/2011 11:26:21
RCTEXT.DLL : 10.0.64.0 99176 Bytes 21/07/2011 11:26:21

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Report......................................: standard
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, D:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: avanzato

Avvio della scansione: martedì 10 gennaio 2012 18:22

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Errore nella ARK Library

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '77' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '32' modulo(i) scansionato(i)
Scansione processo 'iexplore.exe' - '108' modulo(i) scansionato(i)
Scansione processo 'iexplore.exe' - '133' modulo(i) scansionato(i)
Scansione processo 'UNS.exe' - '43' modulo(i) scansionato(i)
Scansione processo 'LMS.exe' - '32' modulo(i) scansionato(i)
Scansione processo 'IAStorDataMgrSvc.exe' - '52' modulo(i) scansionato(i)
Scansione processo 'hpCMSrv.exe' - '46' modulo(i) scansionato(i)
Scansione processo 'FlashUtil11e_ActiveX.exe' - '37' modulo(i) scansionato(i)
Scansione processo 'iexplore.exe' - '97' modulo(i) scansionato(i)
Scansione processo 'YCMMirage.exe' - '39' modulo(i) scansionato(i)
Scansione processo 'hpqWmiEx.exe' - '46' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '60' modulo(i) scansionato(i)
Scansione processo 'jusched.exe' - '28' modulo(i) scansionato(i)
Scansione processo 'HPOSD.exe' - '51' modulo(i) scansionato(i)
Scansione processo 'HPMSGSVC.exe' - '49' modulo(i) scansionato(i)
Scansione processo 'IAStorIcon.exe' - '55' modulo(i) scansionato(i)
Scansione processo 'SeaPort.EXE' - '55' modulo(i) scansionato(i)
Scansione processo 'HPWMISVC.exe' - '35' modulo(i) scansionato(i)
Scansione processo 'HPDrvMntSvc.exe' - '22' modulo(i) scansionato(i)
Scansione processo 'ezSharedSvcHost.exe' - '51' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '69' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '52' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 160 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\Users\hp\AppData\Local\tfg.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Fake.Rean.6956
C:\Users\hp\AppData\Local\wtc.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Fake.Rean.6956
C:\Users\hp\AppData\Local\Temp\amrconexsw.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Fake.Rean.6956
Inizia con la scansione di 'D:\' <RECOVERY>

Avvio della disinfezione:
C:\Users\hp\AppData\Local\Temp\amrconexsw.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Fake.Rean.6956
[NOTA] Impossibile spostare il file in quarantena!
[NOTA] Il file non esiste!
C:\Users\hp\AppData\Local\wtc.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Fake.Rean.6956
[NOTA] Il file è stato spostato in quarantena con il nome '51a2f2fa.qua'!
C:\Users\hp\AppData\Local\tfg.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Fake.Rean.6956
[NOTA] Impossibile spostare il file in quarantena!
[NOTA] Il file non esiste!


Fine della scansione: martedì 10 gennaio 2012 19:01
Tempo impiegato: 38:43 Minuto(i)

La scansione è stata completamente eseguita.

26620 Directory scansionate
814496 I file sono stati scansionati
3 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
814493 File non infetti
3066 Archivi scansionati
0 Avvisi
3 Note
75 Oggetti scansionati durante la scansione dei rootkit
0 Sono stati rilevati oggetti nascosti

Cosa mi consigliate di fare?

[crazy.cat]

Sembra che di file ne abbia trovato uno solo e lo abbia messo in quarantena, gli altri due sono scomparsi da soli??????
Controlla che non ci siano effettivamente e rifai una scansione completa per sicurezza.

[VincenzoGTA]

Consiglio una scansione completa con Malwarebytes Anti-Malware
Fallo aggiornare prima di analizzare il pc.
Posta il log sul forum

[inesperto]

Ho rifatto la scansione con antivir e non mi ha trovato nulla però fece la stessa cosa ieri dopo che eliminai i file infetti e oggi me l'ha rifatto cosa mi consigli ora crazy?

Per quanto riguarda malware bytes sul link che mi hai dato mi fa scaricare quello a pagamento cm devo fare? Ciao e grazie

[VincenzoGTA]

Scarica la versione sul pulsante verde
http://download.cnet.com/Malwarebytes-A ... tag=button

[inesperto]

Ti ringrazio.... ecco il log:

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Versione database: v2012.01.10.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
hp :: HP-HP [amministratore]

10/01/2012 23:10:53
mbam-log-2012-01-10 (23-10-53).txt

Tipo di scansione: Scansione completa
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 322138
Tempo impiegato: 42 minuti, 7 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)

[crazy.cat]

Ho rifatto la scansione con antivir e non mi ha trovato nulla però fece la stessa cosa ieri dopo che eliminai i file infetti e oggi me l'ha rifatto cosa mi consigli ora crazy?

Intanto scansione con combofix e posta il suo log, se i vermicelli ricompaiono fai una scansione con hijackthis presa nel momento in cui ti accorgi dei virus.

[VincenzoGTA]

Combofix lo consiglio solo per casi "critici"
Comunque ecco i passaggi per usarlo correttamente

Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
scaricalo con (Internet Explorer)
salvalo sul Desktop è Obbligatorio
prima di salvarlo rinominalo in abc.exe

Disattivare Antivirus, Antispyware e Firewall le protezioni in tempo reale in quanto potrebbero interferire con il corretto funzionamento di ComboFix.
Chiudere tutte le finestre aperte Browser compreso
Lancia combofix in questo Modo:
start > esegui
(se si ha windows vista o windows 7 > Start-tutti i programmi accessori > Esegui)
nel box bianco copia e incolla questo comando
"%userprofile%\desktop\abc.exe" /killall
Premi OK
Accettare le condizioni

ComboFix sta preparando la scansione
Attendere Senza toccare nulla sul pc - Altimenti potrebbe bloccarsi

ComboFix sta creando il backup del Registro di Windows

verrà richiesta l'installazione della Console di ripristino di emergenza: Rifiuta Clicca su No

senza eseguire nessuna altra operazione sul pc, lascia che completi la scansione non usare ne anche il mouse
se viene rilasciato un messaggio del tipo Combofix cannot run when tuo Antivirus is installed..ecc
prosegui ignorando il messaggio
Quando ComboFix avrà concluso la scansione inizia a preparare il Log

Quando avrà terminato il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
il log si trova in: Disco Locale C:, nome ComboFix.txt

[inesperto]

Non c'è qualche altro programma mi sembra un po' troppo complicato per me....

Per quanto riguarda hajacktis provai a farla ieri la scansione ma non mi visualizzava il log e appariva un avviso che il mio pc non era in grado di riprodurlo che ne pensate?

E comunque dal log di malware mi pare che sia tutto ok o no?

[hashcat]

Combofix
scaricalo con (Internet Explorer)

@VincenzoGTA

Potresti spiegarmi perché bisogna scaricare
questo strumento (specificamente) da Internet Explorer?

[VincenzoGTA]

Non dovresti chiederlo a me, io con i virus e strumenti di rimozione sto a scuola

Combofix se eseguito in maniera non corretta, porta alla formattazione (imparato a spese mie)
quindi mi sono sentito di postare quella procedura insegnatami da un amico conosciuto su altri forum (purtroppo ho perso il contatto e non lo vedo più per i forum )
Lui i virus se li mangiava a colazione (come persona però aveva qualche difetto... ma nessuno è perfetto )

Riguardo la domanda specifica, non lo sò, ma se mi hanno consigliato di fare così, ci sarà un motivo più che valido suppongo

Ciao!!!

[Ale2695]

Combofix se eseguito in maniera non corretta, porta alla formattazione (imparato a spese mie)

Cosa tecnicamente impossibile, visto che non va ad agire sulle partizioni e quindi non può formattare proprio nulla.

Riguardo la domanda specifica, non lo sò, ma se mi hanno consigliato di fare così, ci sarà un motivo più che valido suppongo

In molti consigliano di fare così (anzi, più che consigliare, impongono, visto che quasi tutti sono "santoni della sicurezza") perché, essendoci scritto sulla guida ufficiale di Combofix che l'operazione veniva illustrata usando Internet Explorer per la prova, allora per forza bisogna usare quest'ultimo. In realtà, è del tutto falso, visto che il browser da cui viene scaricato non conta, non va minimamente influire sulle funzionalità del programma. L'unica cosa che può andare ad influire è il nome dell'eseguibile, visto che molti malware lo riconoscono e lo bloccano, e quindi è meglio rinominarlo con un nome di fantasia, come pippo.exe.

[VincenzoGTA]

Non c'è qualche altro programma mi sembra un po' troppo complicato per me....

Per quanto riguarda hajacktis provai a farla ieri la scansione ma non mi visualizzava il log e appariva un avviso che il mio pc non era in grado di riprodurlo che ne pensate?

E comunque dal log di malware mi pare che sia tutto ok o no?

Noti problemi o anomalie nell' uso del pc??

Per postare un log di hijackthis segui questi passaggi
apri HiJackThis
Se utilizzi Windows Vista / 7, tasto destro del mouse sull' eseguibile e scegli
Esegui come amministratore
Clicca sul pulsante Do a system scan and save a logfile

alla fine ti apparirà un log in formato documento di testo salvalo sul desktop
Chiudi HijackThis

[VincenzoGTA]

Cosa tecnicamente impossibile, visto che non va ad agire sulle partizioni e quindi non può formattare proprio nulla.

MMMMMMMM ho detto che mi ha portato alla formattazione, non che ha formattato lui

In molti consigliano di fare così (anzi, più che consigliare, impongono, visto che quasi tutti sono "santoni della sicurezza") perché, essendoci scritto sulla guida ufficiale di Combofix che l'operazione veniva illustrata usando Internet Explorer per la prova, allora per forza bisogna usare quest'ultimo. In realtà, è del tutto falso, visto che il browser da cui viene scaricato non conta, non va minimamente influire sulle funzionalità del programma. L'unica cosa che può andare ad influire è il nome dell'eseguibile, visto che molti malware lo riconoscono e lo bloccano, e quindi è meglio rinominarlo con un nome di fantasia, come pippo.exe.

Non essendo esperto, riporto la procedura che mi hanno insegnato, poi se non c' è differenza ad usare questo o quel browse, meglio così.

Io continuo a suggerire IE per scaricarlo

[inesperto]

Niente da fare hajacktis mi fa fare solo la scansione e dopo che è finita mi appare un avviso che dice che è impossibile trovare il file.log

No non noto anomalie nell'utilizzo del pc

[VincenzoGTA]

crea una nuova cartella, spostaci l' eseguibile di hijackthis dentro e riprova a fare la scansione per avere il log.

[VincenzoGTA]

In alternativa prova questo comando da "Esegui" (Ripristinare il comando "Esegui" in Windows Vista e Windows 7)

Copia e incolla il comando, comprese le virgolette
"C:\Program Files (x86)\Trend Micro\HiJackThis\hijackthis.exe"

[inesperto]

Niente da fare mi da sempre lo stesso problema... comunque ho rifatto le scansioni con avira e non mi ha dato nessun file sospetto che mi consigli mi fgermo qua?

[VincenzoGTA]

Se hijackthis non salva il log, c' è qualcosa che non va
Quello che ha trovato avira è un Rogue, ecco il file analizzato su Virus total
http://www.virustotal.com/file-scan/rep ... 1285939772

Proverei a fare una disinfezione con:

Trend Micro Fake Antivirus Removal Tool
http://solutionfile.trendmicro.com/solutionfile/EN-1056510/EN/svchost.exe
salvalo sul desktop

Remove Fake Antivirus
http://olzen.info/RemoveFakeAntivirus.exe
salvalo sul desktop

Inizia con il disattivare il ripristino di configurazione di sistema
Fai clic con il pulsante destro del mouse sull'icona computer e quindi su Proprietà.
Clicca su Protezione sistema
Seleziona la scheda "Ripristino configurazione di sistema".
Selezionare la voce "Disattiva ripristino configurazione di sistema"
Premi OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Conferma premendo SI.

Lancia Trend Micro Fake Antivirus Removal Tool
Esegui il file svchost.exe".
Su Seven, tasto destro del mouse sullo strumento e scegli Esegui come amministratore
Vai alla scheda Settings
Fai clic su Update Now per un aggiornamento delle firme antivirali.
Completato l'aggiornamento, esegui una scansione facendo clic su Scan e
Scan All Processes.

Chiudi Trend Micro Fake Antivirus Removal Tool

Lancia Remove Fake Antivirus
Su Seven, tasto destro del mouse sullo strumento e scegli Esegui come amministratore
Appena avviato basta cliccare su Yes alla domanda che ci viene fatta

e quindi viene avviata la scansione.
Chiudi Remove Fake Antivirus

Riattiva il Ripristino di configurazione di sistema
facendo la procedura inversa alla disattivazione

Facci sapere se viene rilevato qualcosa

[inesperto]

fatto il primo tool dopo la scansione mi segnala 16 cose ma cosa devo fare mettere la spunta ed eliminarle?