Ciao a tutti!

Vi leggo da molto ma per la prima volta urge un vostro aiuto :)
Sono disperato: sul pc del lavoro si è installato un virus. Qualsiasi browser si chiude se cerco di accedere a siti che parlano di antivirus & co. Ho provato a fare varie scansioni con Adware, asquared, avast, avg, f-secure.
Purtroppo non posso formattare perche il pc contiene tutti i software dell'azienda... Cosa posso fare??

Ho seguito l'ottima guida alla disinfezione ma a parte mbam (che ha trovato un adware cinmus e security hijack) tutti gli altri non hanno rilevato nulla e il problema persiste... Ecco i link a tutti i log (tranne sysinspector che cmq non ha rilevato nulla di anomalo)...

mbam http://www.fileqube.com/file/BhqxQjNbN144803

asquare http://www.fileqube.com/file/jxiXnvGh144804

fsecure http://www.fileqube.com/file/UPlpbQ144805

cureit http://www.fileqube.com/file/BGaRwtb144806

hijackthis http://www.fileqube.com/file/SYdLQs144807

gmer http://www.fileqube.com/file/FHFfnWO144808

previx http://www.fileqube.com/file/XvkRmNtUt144813

Ho appena verificato che anche ccleaner viene chiuso da questo maledetto virus/trojan! Assurdo... Cmq chi ha creato qst virus e' davvero un genio del male :)

Ciao e benvenuto segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube (http://fileqube.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Ciao e benvenuto segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube (http://fileqube.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Ho modificato secondo le regole... Torna tutto? :)

non possiamo capire che hai fatto con le infezioni trovate da Malwarebytes' Anti-Malware
se li hai eliminati dopo aver salvato il log fai
Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)
e carica l'ultimo log in ordine di tempo

altrimenti riesegui la scansione completa, elimina tutto e carica il nuovo log




Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10587&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10587&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=10587&gct=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\zzppapa\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 4.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O16 - tutte le voci

Grazie per la risposta tempestiva. Allora allego i file richiesti

La nuova scansione di MBAM al termine della quale ho scelto "Remove Selected" http://www.fileqube.com/file/NVldqY144855
Il nuovo log di HiJackThis, dopo la rimozione delle voci indicate http://www.fileqube.com/file/hoIyTW144856


Grazie per la collaborazione ragazzi :)

fixa anche questa che mi ero perso... e nuovo log
poi dimmi se riscontri ancora problemi

F2 - REG:system.ini: Shell=C:\WINNT\Explorer.Exe

fixa anche questa che mi ero perso... e nuovo log
poi dimmi se riscontri ancora problemi

F2 - REG:system.ini: Shell=C:\WINNT\Explorer.Exe

Ho fixato anche quella voce, riavviato e fatto una nuova scansione: ecco il nuovo log (rinominato .txt per poterlo uploadare direttamente qui).

Il problema purtroppo permane :( si chiudono i browser e anche l'installazione di ccleaner
Ho letto un post di un altro utente che nel log di MBAM ha una chiave di registro infetta che ho anche io: Security.HiJack puo' essere d'aiuto questa info?

comincia a rimuovere f-secure hai già antivir che è ottimo
anche ad-aware rimuovilo pure, ora userai mbam e asquared

prova a fare un'altra scansione con mbam da modalità provvisoria

come da trattamento in firma comincia ad aggiornare IE alla versione 7

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
c:\winnt\system32\xmfhvcmb.bmp

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

Successivamanete ripeti la scansione con MBAM come indicato da WJ

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco



clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

Successivamanete ripeti la scansione con MBAM come indicato da WJ

Avenger viene killato ancor prima di poter essere copiato sul pc! Posso fare qualcosa manualmente?

fai la scansione con mbam da mod. provvisoria e poi riprova con avenger

anche da modalita provvisoria mbam mi rileva come unico file infetto un certo Security.Hijack e poi anche se faccio Remove cmq il problema persiste. Anche avenger purtroppo non funziona nemmeno da modalita provvisoria!

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

Avenger viene killato ancor prima di poter essere copiato sul pc! Posso fare qualcosa manualmente?

Disabilita momentaneamente l'Antivirus :)

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

Ecco qui... Spero sia utile perche inizio davvero a farmela sotto...

Forse ci siamo: ho chiuso a mano da task manager explorer.exe e ho avviato Avenger. Miracolo: ha retto e non ha crashato!!

Ora provo a vedere se tramite MBAM mi rileva qualche altra voce strana...

Ecco qui... Spero sia utile perche inizio davvero a farmela sotto...

Forse ci siamo: ho chiuso a mano da task manager explorer.exe e ho avviato Avenger. Miracolo: ha retto e non ha crashato!!

Ora provo a vedere se tramite MBAM mi rileva qualche altra voce strana...
hai lanciato 2 volte combo? carica anche l'altro log, please

hai lanciato 2 volte combo? carica anche l'altro log, please

Ho fatto male? Una volta l'ho dovuto riavviare perche l'ha bloccato l'antivirus!
Purtroppo non ho piu il log :(

Cmq ragazzi per il momento sembra funzionare tutto di nuovo: navigo nei siti (soprattutto questo che e' il piu importante>) e riparte anche ccleaner e avenger... sembra che per me ci sia un lieto fine!!

Ringrazio entrambi per la vostra collaborazione siete stati grandi e preziosissimi!!!
Ringrazio anche gli autori delle guide! davvero ottime!

carica sia il log di avenger che mbam per verifica

Ho fatto male? Una volta l'ho dovuto riavviare perche l'ha bloccato l'antivirus!
Purtroppo non ho piu il log :(

Cmq ragazzi per il momento sembra funzionare tutto di nuovo: navigo nei siti (soprattutto questo che e' il piu importante>) e riparte anche ccleaner e avenger... sembra che per me ci sia un lieto fine!!

Ringrazio entrambi per la vostra collaborazione siete stati grandi e preziosissimi!!!
Ringrazio anche gli autori delle guide! davvero ottime!

Noi ringraziamo te se gentilmente ci alleghi i log, utili e preziosi per eventuali utenti con il medesimo problema, grazie.

carica sia il log di avenger che mbam per verifica

Ecco i log delle ultime scansioni. Si trova ancora qualche infezione, ma inezie rispetto a prima!

Ecco i log
MBAM 1 http://www.fileqube.com/file/CpvgrF145052
MBAM 2 http://www.fileqube.com/file/kYLrcnFh145053
Avenger http://www.fileqube.com/file/FwxcFq145051
Asquared http://www.fileqube.com/file/guTAwbvU145050

Spero di eliminare al piu presto anche questi. Per ora cmq il browser avenger e ccleaner tornano a funzionare!

grazie ancora a tutti!

avenger l'hai lanciato dopo di mbam?

Ma se lo Script da inserire in Avenger era questo

Files to delete:
c:\winnt\system32\xmfhvcmb.bmp

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Questo Scirpt è stato inserito dopo la scansione con MBAB

Beginning to process script file:


Error: file "C:\WINNT\system32\drivers\ictcojxl.sys" not found!
Deletion of file "C:\WINNT\system32\drivers\ictcojxl.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

il risultato è ovvio, inoltre è iniziativa dell'utente

Ma se lo Script da inserire in Avenger era questo



Questo Scirpt è stato inserito dopo la scansione con MBAB



il risultato è ovvio, inoltre è iniziativa dell'utente

Dopo MBAM ho fatto partire avenger
Avenger non ha trovato quei file perhc MBAM aveva gia fatto piazza pulita.
Purtroppo avendo fatto mille scansioni qualche log si e' perso per strada. Cmq i passi per la mia disinfezione sono stati:

1. Kill del processo explorer.exe (evidentemente infetto e che mi uccideva l'avvio di avenger)
2. Scansione con avenger + lo script che mi avete passato

Dopo questi due passi il problema delle applicazioni killate e' scomparso. Poi ho fatto
2 scansioni con MBAM che ha trovato ancora qualcosa e ho prontamente rimosso (cfr log del mio post precedente)
1 scansione con avenger senza alcuno script

fai un ultimo giro con mbam (completa) e prevx