Ragazzi cerco aiuto.. non riesco a staccarmi da un virus che mi sta massacrando! Da premettere che io ho spostato la cartella documenti in un altra partizione creata sullo stesso hard disk principale e qui, nella cartella documenti si vengono a creare dei file dai nomi strani tipo rzsese.exe o gytonr.exe e affianco a questi dei file di sistema da 0kb dal nome khv, kht...

Proliferano in maniera pazzesca e non so come debellarli.. Ho provato con nod32 che non li rileva, Avg li rileva come SPR/Autoit.gen ma alcuni li lascia...

Vi prego aiutatemi xke sto uscendo pazzo..

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

Ok lo sto facendo.. ma nn hai nemmeno la pallida idea di cosa possa essere?

molti virus creano file dal nome random e altri creano file dal nome simile ad altri virus.. il nome file da solo dice poco :)

mah se cmque ti puo' essere utile l'infezione si propaga solo nella cartella Documenti e solo nelle cartelle dove sono dei file.. ed inoltre ci sono sempre dei file di sistema da 0kb dal nome khv, kht...

Mi è stato segnalato un file sospetto dal nome reboot.exe in system32...

Incomincio ad inviare il log di Malwarebytes e di Asquared free.. Inoltre ti allego un'immagine dei 2 file che si creano... li avevo cancellati, si sono ricreati con nomi diversi, unica cosa uguale i file di sistema hkv...

Immagine della cartella cn file infetti
17-08-2009 17.42.jpg (http://wikisend.com/download/916308/17-08-2009 17.42.jpg)

Malwarebytes:
mbam-log-2009-08-17 (14-10-00).txt (http://wikisend.com/download/511042/mbam-log-2009-08-17 (14-10-00).txt)


ASquaredFree
a2scan_090817-142011.txt (http://wikisend.com/download/556006/a2scan_090817-142011.txt)

FSecure
report_fsols_4_0.html (http://wikisend.com/download/913502/report_fsols_4_0.html)

Dr.Web
cureit filtrato.txt (http://wikisend.com/download/486380/cureit filtrato.txt)

SysInspector
SysInspector-MULETTOEEEBOX-090817-2113.xml (http://wikisend.com/download/963820/SysInspector-MULETTOEEEBOX-090817-2113.xml)

HJT
hijackthis.log (http://wikisend.com/download/931164/hijackthis.log)

Gmer
mi crasha...


PrevX
17-08-2009 21.34.jpg (http://wikisend.com/download/460038/17-08-2009 21.34.jpg)

con malwarebytes non hai eseguito nessun'azione sugli oggetti trovati infetti, con a-squared non hai messo in quarantena nulla, f-secure ha trovato vundo, Dr.WEb CureIT ha trovato 18 files ma per un qualche motivo il log filtrato non riporta gli oggetti individuati ma in ogni caso ness'azione presa su tali oggetti..

materiale più che sufficente per dirti di rifare le scansioni oper poi intraprendere l'azione di quarantena/delete :)

eppure ho fatto tutto come detto nel post... comunque adesso ricomincio..
Dr. Web nn ha fatto niente xke ha trovato il virus win32.gael.3666 ma x qualke strano motivo quando trovava il file se lo "condividevano" Dr.Web e l'antivirus e non lo cancellavano nessuno dei due!

pubblica allora subito il nuovo log di malwarebytes e vediamo cosa trova... ovviamente aggiornalo prima :)
poi fai a-squared e fermati con le scansioni :)

adesso sto rifacendo tutto.. tra un po i risultati! Cmque grazie di cuore!

Ecco i risultati....

Logs Scansione (http://wikisend.com/download/437706/Logs Scansione.zip)

chi è che gentilmente mi controlla i logs? Penso che adesso dovrebbe essere tutto pulito...

Modalità di pubblicazione dei log:


Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

Logs:

Malwarebytes (http://wikisend.com/download/509842/mbam-log-2009-08-18 (07-53-38).txt)
ASquaredFree (http://wikisend.com/download/965994/a2scan_090818-080427.txt)
FSecure (http://wikisend.com/download/529728/report_fsols_4_0.html)
DrWeb (http://wikisend.com/download/948718/DrWeb.jpg)
SysInspector (http://wikisend.com/download/607352/SysInspector-MULETTOEEEBOX-090818-1202.xml)
HJT (http://wikisend.com/download/438024/hijackthis.log)
Gmer (http://wikisend.com/download/964808/Gmer.log)
PrevX (http://wikisend.com/download/969164/PrevX.jpg)

Logs:

Malwarebytes (http://wikisend.com/download/509842/mbam-log-2009-08-18 (07-53-38).txt)
ASquaredFree (http://wikisend.com/download/965994/a2scan_090818-080427.txt)
FSecure (http://wikisend.com/download/529728/report_fsols_4_0.html)
DrWeb (http://wikisend.com/download/948718/DrWeb.jpg)
SysInspector (http://wikisend.com/download/607352/SysInspector-MULETTOEEEBOX-090818-1202.xml)
HJT (http://wikisend.com/download/438024/hijackthis.log)
Gmer (http://wikisend.com/download/964808/Gmer.log)
PrevX (http://wikisend.com/download/969164/PrevX.jpg)

fixa:

tutte le O16
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe (file missing)

per prevx devi pubblicare il log così poi ti chiediamo di far analizzare quei due files su virscan.org e virustotal.com :)

fixa:

tutte le O16
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe (file missing)

per prevx devi pubblicare il log così poi ti chiediamo di far analizzare quei due files su virscan.org e virustotal.com :)

Ecco:

Prevx (http://wikisend.com/download/497760/Prevx.log)

[BP] h:\masterizzare\nero.l.926.b2.1\keymaker betamaster v.2\keymaker.exe [PX5: BE9EC5E200CCE988AAC82EA227877C000BA6FB60] Malware Group: Medium Risk Malware
[BP] c:\programmi\eset\nodenable.exe [PX5: 53F03E00A7802078FC0D0421104A1200840AD87F] Malware Group: High Risk Worm
[BP] c:\programmi\dvdfab 6\dvdfab.exe [PX5: 211AE4F500C2537CF0375F0AF7C2A400885DE6DD] Malware Group: Medium Risk Malware


il primo va eliminato senza scuse e senza ripensamenti, le infezioni si diffondono proprio per questo e ci sono validissimi programmi free che non fanno rimpiangere l'abbandono di nero, il thread dedicato qui:
http://www.hwupgrade.it/forum/showthread.php?t=1940232

fai scansionare su virscan.org e virustotal.com i seguenti files:
c:\programmi\eset\nodenable.exe
c:\programmi\dvdfab 6\dvdfab.exe

e pubblica qui i risultati per farlo basterà copiare l'indirizzo mostrato nel browser a fine scansione :)

VirSCAN.org Scanned Report :
Scanned time : 2009/08/20 08:49:54 (CEST)
Scanner results: 32% Scanner(12/37) found malware!
File Name : nodenable.exe
File Size : 326823 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 6d7c3926218e6804589b500ab630cc66
SHA1 : d737c7c046f53165b109a601f09e2ea26b3e7d8a
Online report : http://virscan.org/report/2c592d87541a5ee9a92e9c1385d5b8a0.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.5.0.8 20090819200242 2009-08-19 1.31 Trojan.Generic!IK
AhnLab V3 2009.08.20.02 2009.08.20 2009-08-20 1.18 -
AntiVir 8.2.1.3 7.1.5.138 2009-08-19 0.32 TR/Spy.326823
Antiy 2.0.18 20090819.2718903 2009-08-19 0.02 -
Arcavir 2009 200908191609 2009-08-19 0.01 -
Authentium 5.1.1 200908191809 2009-08-19 2.63 -
AVAST! 4.7.4 090819-0 2009-08-19 0.02 Win32:Trojan-gen {Other}
AVG 8.5.288 270.13.61/2314 2009-08-20 0.31 Worm/Autoit.JCL
BitDefender 7.81008.3910886 7.27243 2009-08-20 3.52 -
CA (VET) 9.0.0.143 31.6.6687 2009-08-20 11.84 -
ClamAV 0.95.2 9721 2009-08-20 0.23 -
Comodo 3.10 2031 2009-08-20 1.62 UnclassifiedMalware
CP Secure 1.1.0.715 2009.08.19 2009-08-19 12.43 Troj.Spy.W32.Small.bzn
Dr.Web 4.44.0.9170 2009.08.19 2009-08-19 5.91 -
F-Prot 4.4.4.56 20090819 2009-08-19 1.60 -
F-Secure 7.02.73807 2009.08.19.15 2009-08-19 0.46 -
Fortinet 2.81-3.120 10.735 2009-08-19 1.15 -
GData 19.7260/19.445 20090820 2009-08-20 8.45 Win32:Trojan-gen {Other} [Engine:B]
ViRobot 20090819 2009.08.19 2009-08-19 0.64 -
Ikarus T3.1.01.68 2009.08.20.73317 2009-08-20 4.71 Trojan.Generic
JiangMin 11.0.800 2009.08.20 2009-08-20 7.03 -
Kaspersky 5.5.10 2009.08.20 2009-08-20 0.41 -
KingSoft 2009.2.5.15 2009.8.20.14 2009-08-20 1.74 -
McAfee 5.3.00 5714 2009-08-19 3.48 Generic.dx
Microsoft 1.4903 2009.08.19 2009-08-19 8.32 -
Norman 6.01.09 6.01.00 2009-08-17 2.01 AutoRun.OBB
Panda 9.05.01 2009.08.19 2009-08-19 2.89 -
Trend Micro 8.700-1004 6.380.02 2009-08-19 0.08 -
Quick Heal 10.00 2009.08.19 2009-08-19 1.45 -
Rising 20.0 21.43.30.00 2009-08-20 1.59 -
Sophos 2.89.1 4.44 2009-08-20 5.07 Mal/Generic-A
Sunbelt 5345 5345 2009-08-19 2.59 -
Symantec 1.3.0.24 20090818.003 2009-08-18 0.27 -
nProtect 20090818.01 5093763 2009-08-18 12.35 -
The Hacker 6.3.4.3 v00383 2009-08-12 1.34 -
VBA32 3.12.10.9 20090818.1432 2009-08-18 3.83 Trojan-Downloader.Autoit.gen
VirusBuster 4.5.11.10 10.112.10/1800822 2009-08-19 4.12 -


VirSCAN.org Scanned Report :
Scanned time : 2009/08/18 05:06:35 (CEST)
Scanner results: 5% Scanner(2/37) found malware!
File Name : DVDFab.exe
File Size : 6287360 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 433352f66b0617d3a13c6db7c5ae9c93
SHA1 : 5cc7f7d3f528895522dacf914bc2082080e8d566
Online report : http://virscan.org/report/f35d5c1a058137c3710f2eb665ed54a9.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.5.0.3 20090816200136 2009-08-16 0.54 -
AhnLab V3 2009.08.18.00 2009.08.18 2009-08-18 0.84 -
AntiVir 8.2.1.1 7.1.5.125 2009-08-17 0.18 -
Antiy 2.0.18 20090817.2716355 2009-08-17 0.13 -
Arcavir 2009 200908171743 2009-08-17 0.14 Heur.W32
Authentium 5.1.1 200908171729 2009-08-17 1.80 -
AVAST! 4.7.4 090817-0 2009-08-17 0.23 -
AVG 8.5.288 270.13.59/2310 2009-08-18 3.89 -
BitDefender 7.81008.3910010 7.27210 2009-08-18 4.47 -
CA (VET) 9.0.0.143 31.6.6681 2009-08-18 4.44 -
ClamAV 0.95.2 9706 2009-08-18 0.98 -
Comodo 3.10 2005 2009-08-17 1.42 -
CP Secure 1.1.0.715 2009.08.17 2009-08-17 12.58 Generic.W32
Dr.Web 4.44.0.9170 2009.08.17 2009-08-17 5.63 -
F-Prot 4.4.4.56 20090817 2009-08-17 1.68 -
F-Secure 7.02.73807 2009.08.17.13 2009-08-17 0.22 -
Fortinet 2.81-3.120 10.729 2009-08-17 0.74 -
GData 19.7205/19.443 20090818 2009-08-18 7.40 -
ViRobot 20090814 2009.08.14 2009-08-14 1.63 -
Ikarus T3.1.01.68 2009.08.18.73274 2009-08-18 3.50 -
JiangMin 11.0.800 2009.08.17 2009-08-17 12.17 -
Kaspersky 5.5.10 2009.08.18 2009-08-18 0.06 -
KingSoft 2009.2.5.15 2009.8.17.18 2009-08-17 0.89 -
McAfee 5.3.00 5712 2009-08-17 4.22 -
Microsoft 1.4903 2009.08.18 2009-08-18 14.71 -
Norman 6.01.09 6.01.00 2009-08-17 4.02 -
Panda 9.05.01 2009.08.17 2009-08-17 1.90 -
Trend Micro 8.700-1004 6.370.03 2009-08-17 0.14 -
Quick Heal 10.00 2009.08.17 2009-08-17 2.43 -
Rising 20.0 21.43.04.00 2009-08-17 2.51 -
Sophos 2.89.1 4.44 2009-08-18 3.19 -
Sunbelt 5337 5337 2009-08-16 1.90 -
Symantec 1.3.0.24 20090817.002 2009-08-17 0.22 -
nProtect 20090817.01 5085429 2009-08-17 6.67 -
The Hacker 6.3.4.3 v00383 2009-08-12 1.06 -
VBA32 3.12.10.9 20090817.1519 2009-08-17 2.97 -
VirusBuster 4.5.11.10 10.112.8/1792993 2009-08-17 4.39 -

disinstalla nod32 e installa un antivirus realmente free come Avira Antivir Personal

poi impostalo come descritto in questa guida: http://www.hwupgrade.it/forum/showthread.php?t=1514684


fatto questo fai scansionare DVDFab.exe su www.virustotal.com , ti chiesi di farlo su entrambi perchè usano prodotti difefrenti tra cui virustotal usa prevx :)

Antivirus Versione Ultimo aggiornamento Risultato
a-squared 4.5.0.24 2009.08.20 -
AhnLab-V3 5.0.0.2 2009.08.20 -
AntiVir 7.9.1.3 2009.08.20 -
Antiy-AVL 2.0.3.7 2009.08.20 -
Authentium 5.1.2.4 2009.08.19 -
Avast 4.8.1335.0 2009.08.20 -
AVG 8.5.0.406 2009.08.20 -
BitDefender 7.2 2009.08.20 -
CAT-QuickHeal 10.00 2009.08.20 -
ClamAV 0.94.1 2009.08.20 -
Comodo 2036 2009.08.20 -
DrWeb 5.0.0.12182 2009.08.20 -
eSafe 7.0.17.0 2009.08.20 -
eTrust-Vet 31.6.6691 2009.08.20 -
F-Prot 4.4.4.56 2009.08.19 -
F-Secure 8.0.14470.0 2009.08.20 -
Fortinet 3.120.0.0 2009.08.20 -
GData 19 2009.08.20 -
Ikarus T3.1.1.68.0 2009.08.20 -
Jiangmin 11.0.800 2009.08.20 -
K7AntiVirus 7.10.823 2009.08.20 -
Kaspersky 7.0.0.125 2009.08.20 -
McAfee 5715 2009.08.20 -
McAfee+Artemis 5715 2009.08.20 -
McAfee-GW-Edition 6.8.5 2009.08.20 -
Microsoft 1.4903 2009.08.20 -
NOD32 4353 2009.08.20 -
Norman 6.01.09 2009.08.20 -
nProtect 2009.1.8.0 2009.08.20 -
Panda 10.0.0.14 2009.08.20 -
PCTools 4.4.2.0 2009.08.20 -
Prevx 3.0 2009.08.20 -
Rising 21.43.34.00 2009.08.20 -
Sophos 4.44.0 2009.08.20 -
Sunbelt 3.2.1858.2 2009.08.20 -
Symantec 1.4.4.12 2009.08.20 -
TheHacker 6.3.4.3.384 2009.08.20 -
TrendMicro 8.950.0.1094 2009.08.20 -
VBA32 3.12.10.9 2009.08.20 -
ViRobot 2009.8.20.1893 2009.08.20 -
VirusBuster 4.6.5.0 2009.08.19 -
Informazioni addizionali
File size: 4218408 bytes
MD5...: 1bf6daddf6a5ec3c0acd3f12c810c843
SHA1..: 2a087242846d948abcc60e0da18bf98601ac3295
SHA256: fc252f4db2dfeb184f582a7b261379c5853c4281cff751aaa29212925ed5e52a
ssdeep: 98304:O9aBclzGXPizmJtVsz7K2rC4yZCg3vZgJ9x/w+:+ayl6azEVsz7P6Zxyxw
+
PEiD..: ASProtect 1.33 - 2.1 Registered -> Alexey Solodovnikov
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4a687f07 (Thu Jul 23 15:17:27 2009)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x4b1000 0x1b1c00 8.00 82c4bd790e4c87ff4754b7b85c17f716
0x4b2000 0xff000 0x62800 8.00 ead6e48a45a9a9044e6ac3cbf2bc5d3d
0x5b1000 0x7b1000 0x11a00 8.00 e0c8d9126e8f35b77dd48b6b14567ed8
0xd62000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
0xd63000 0x1000 0x200 7.57 97667bb13febddfcc19bf51609ec8afc
.rsrc 0xd64000 0x910000 0x1a9c00 8.00 71679e9d2462f4f968b48d1fb55f55ee
0x1674000 0x1000 0x400 7.83 16961f037e0bd699e97a39cecfa8f300
.data 0x1675000 0x6c000 0x35000 7.77 602887d62b5bbfdeb920413b03e8810b
.adata 0x16e1000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 26 imports )
> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA
> winmm.dll: timeGetTime
> ole32.dll: CoInitializeEx
> crashrpt.dll: BT_InstallSehFilter
> user32.dll: MapVirtualKeyA
> gdi32.dll: SetStretchBltMode
> msimg32.dll: AlphaBlend
> comdlg32.dll: GetFileTitleA
> winspool.drv: DocumentPropertiesA
> advapi32.dll: CryptReleaseContext
> shell32.dll: DragQueryFileA
> comctl32.dll: -
> shlwapi.dll: PathRemoveFileSpecW
> oledlg.dll: -
> oleaut32.dll: -
> avcodec.dll: -
> avformat.dll: -
> avutil.dll: -
> version.dll: VerQueryValueA
> msvfw32.dll: ICSendMessage
> ws2_32.dll: -
> zlibwapi.dll: -
> ddraw.dll: DirectDrawCreate
> avifil32.dll: AVIFileInit
> oleaut32.dll: VariantChangeTypeEx
> kernel32.dll: RaiseException

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch
packers (F-Prot): Aspack

non facevi prima a copia e incollare l'indirizzo che compare nel browser a fine scansione?
e comunque hai fatto scansionare un file differente da prima :)

Eccolo...

Dvdfab.exe (http://www.virustotal.com/it/analisis/95eae658100ca36798b91c8d41d0070cd75130897fb231dd140379788043ec01-1250836851)

Eccolo...

Dvdfab.exe (http://www.virustotal.com/it/analisis/95eae658100ca36798b91c8d41d0070cd75130897fb231dd140379788043ec01-1250836851)

ottimo, potresti zipparlo e pubblicarlo su mediafire.com o wikisend.com e mandarmi in pvt il link per scaricarlo?

Devo rifare tutte le scansioni xke il virus si è ricreato...
Cortesemente mi controlli questo log di hjt, tutto il resto è pulito..

hijackthis.log (http://wikisend.com/download/461282/hijackthis.log)

disinstalla nod32 e installa un antivirus realmente free come Avira Antivir Personal


Ma com'è avira personal come antivirus? Sono abbastanza protetto? Pare che nod sia un colabrodo.. sono 2 volte che lo stesso virus si ricrea...
Che mi consigli?

Ecco i logs aggiornati..

MalwareBytes Antispyware (http://wikisend.com/download/941432/mbam-log-2009-08-21 (11-54-57).txt)
ASquaredFree (http://wikisend.com/download/543736/a2scan_090821-120220.txt)
Fsecue Online (http://wikisend.com/download/514762/report_fsols_4_0.html)
Dr.Web Cureit (http://wikisend.com/download/603636/cureit filtrato.txt)
SysInspector (http://wikisend.com/download/544280/SysInspector-MULETTOEEEBOX-090821-1649.xml)
HJT (http://wikisend.com/download/595988/hijackthis.log)
GMER (http://wikisend.com/download/566688/GMER.TXT)
PrevX (http://wikisend.com/download/584978/PrevX.log)

I presunti file che si moltiplicano sono quelli evidenziati da Dr.Web e uno evidenziato da Malwarebyte se nn ricordo male.. hanno dei nomi strani ed estensioni .exe. Nn so xke ma i programmi hanno messo tutti questi files in quarantena e nn li hanno curati...

Adesso ti chiedo cortesemente di illustrarmi tutte le cose da fare.. se la prima volta il virus è tornato vorrei che nn succedesse piu!! ;( Solo che purtroppo non mi sono mai capitati questi problemi e nn so come affrontarli!

Grazie xcdegasp!

ma se gentilmente tu seguissi le indicazioni... ti avevo chiesto lo zip mica di rifare le scansioni...

malwarebytes non lo avevi aggiornato prima di scansionare..

disinstalla nod32, installa avira, impostalo come da guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 ,scansiona il pc, poi aggiornalo, esegui scansione completa del pc

come antivirus è al vertice ossia tra i migliori e quella versione che ti ho consigliato è gratuita

lo so scusa, ma ho rifattto le scansioni xke il virus si è ripresentato... e adesso ho tutti i file in quarantena...
Cmque i file che si creano da soli sono quelli che risultano dal log di ASquared..

si può avere il log di avira? grazie :)

ehm.... come faccio? Faccio una scansione e poi?

ehm.... come faccio? Faccio una scansione e poi?

dopo averlo installato e aggiornato, fai la scansione completa e poi dal suo pannello di controllo vai in "reports" e salvi questo log per poi pubblicarlo

ti avevo messo il link alal guida per avira quindi è il caso che cominci a studiartela ;)

Eccolo:

AVSCAN-20090823-084643-2026EAB8.LOG (http://wikisend.com/download/441830/AVSCAN-20090823-084643-2026EAB8.LOG)

Ore 20:00.. Il problema si è verificato di nuovo....

Ecco il log di avira....

Log Avira (http://www.mediafire.com/?djt0gl1gozl)

ora parresti disinfettato ma se continui a scaricare file appositamente infetti non ce ne caviamo più e se non sei te a farlo è perchè non stai usando i dns di www.opendns.com e nbemmeno un firewall software..
la prima scansione:

C:\Programmi\Windows Sidebar\wlsrvc.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Patched.GY.12
[NOTA] È stato creato un backup con nome '4b03e9df.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.

questa la successiva scansione
C:\Documents and Settings\All Users\Documenti\rlccjy.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/AutoIt.Gen
[NOTA] È stato creato un backup con nome '4af485af.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.

D:\Documents and Settings\Daniele\Documenti\Backup\rlccjy.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/AutoIt.Gen
[NOTA] È stato creato un backup con nome '4af489c3.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
D:\Documents and Settings\Daniele\Documenti\Converted\rlccjy.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/AutoIt.Gen
[NOTA] È stato creato un backup con nome '4af489c4.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
ecc..[/quote]

Beh ho comunque gli ip dell'opendns.. e a scaricare roba nn sto scaricando... Il fatto che i file si ricreano dal nulla e che poi il virus sia proprio lo stesso mi da un po da pensare..

ma in questo periodo stai navigando ed eventualmente con cosa oppure continui a usare supporti removibili come chiavette usb?

Si navigo con Firefox e Noscript installato... inoltre l'unico supporto usb che uso è quello dei file che installo quando formatto il pc.. A tal proposito, ho formattato il pc ma pare che i file si riformino lo stesso... davvero nn so piu' che fare..adesso sto rifacendo tutte le scansioni x vedere un po cosa possa essere.

Una cortsia, mi controlli questo log di hjt, tutto il resto è pulito..

hijackthis.log (http://wikisend.com/download/461282/hijackthis.log)

Xcdegasp mi dai una mano x cortesia... nn so come uscire da questo fosso...

è una crack?
O4 - HKLM\..\Run: [NodEnabler] C:\Programmi\ESET\NodEnabler\NodEnabler.exe /s

no è un generatore di codici di nod32.. ma il problema è che i file si ricreano e nn si capisce da cosa deriva questo problema...

a che serve il generatore di codici?:rolleyes:

non so.. mi hanno detto che serve x mettere le licenze trial a nod32...

a me non sembra tanto normale la cosa
antivir dov'è finito?

a me non sembra tanto normale la cosa
antivir dov'è finito?

l'ho levato in quanto anche con antivir mi da lo stesso problema.. il virus mi viene rilevato da entrambi gli antivirus... solo che il problema è che si continua a creare continuamente e non si capisce il xke.. da quale file parte la propagazione..

l'ho levato in quanto anche con antivir mi da lo stesso problema.. il virus mi viene rilevato da entrambi gli antivirus... solo che il problema è che si continua a creare continuamente e non si capisce il xke.. da quale file parte la propagazione..

rimuovi nod e lascia antivir

ok adesso lo faccio....

fai pulizia di file inutili, attivatori e cazzate varie
antivir configurato e aggiornato
nuova scansione completa e nuovo log

ok lo faccio al piu' presto.. il problema grosso è che il file non spunta a comando... e non lo so quando viene fuori...dai logs adesso non spuntera' nulla..

ho beccato lo stesso problema

si presenta sto hkv (file di sistema, nascosto) che si replica di continuo, spesso accompagnato da qualche file eseguibile...

non appena inserisco una periferica usb si infetta dello stesso malware

se lo cancello (insieme agli eseguibili) si ricrea (credo all'inserimento di periferiche usb)...

avg non li vede come virus!

fra le altre cose non mi permette di vedere i file nascosti e di sistema...devo reimpostare i valori per rivederli....

trovo pochissime tracce di questo replicante sul web...

sarebbe facile e rapido formattare tutto...ma vorrei evitare

ciao

segui quanto già consigliato qui
http://www.hwupgrade.it/forum/showpost.php?p=28547047&postcount=2