non trovo unlocker, quando lo scarico nod mi dice che è infetto, avete un link sicuro da cui scaricarlo?

Allega il log del Nod

Allega il log del Nod

allora non riesco a trovare il log e nemmeno copiare il messaggio della finestra del nod, lo scrivo a mano..

File:
C:\..... unlocker1.8.8[1].exe
Virus:
Win32/Adware.ADON applicazione
Commento:
Evento occorso su un file modificato dall'applicazione: C:\Programmi\internet explorer\iexplore.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.

se poi provo a far partire comunque unlocker mi viene un messaggio di errore di windows che mi dice che non è un applicazione Win32 valida (ho windows XP in caso serva saperlo)

allora non riesco a trovare il log e nemmeno copiare il messaggio della finestra del nod, lo scrivo a mano..

File:
C:\..... unlocker1.8.8[1].exe
Virus:
Win32/Adware.ADON applicazione
Commento:
Evento occorso su un file modificato dall'applicazione: C:\Programmi\internet explorer\iexplore.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.

se poi provo a far partire comunque unlocker mi viene un messaggio di errore di windows che mi dice che non è un applicazione Win32 valida (ho windows XP in caso serva saperlo)

Mi riferivo al log del Nod che rileva il virus sul supporto removibile USB :)

Mi riferivo al log del Nod che rileva il virus sul supporto removibile USB :)

il log del nod è già nel mio primo post... l'ho messo visto che gli altri programmi non mi segnalavano nulla. eccolo qui:


...cut...
aggiungo anche il log del nod e di hijackthis

nod: nod.txt (http://wikisend.com/download/456944/nod.txt)
hijackthis: hijackthis.log (http://wikisend.com/download/578922/hijackthis.log)

il log del nod è già nel mio primo post... l'ho messo visto che gli altri programmi non mi segnalavano nulla. eccolo qui:

Disattivare il Ripristino Configurazione Sistema:

Windows XP

* tasto destro del mouse sull'icona Risorse del Computer
* seleziona la voce Proprietà
* apri la scheda Ripristino configurazione di Sistema
* spunta la voce Disattiva ripristino configurazione di sistema
* conferma, la modifica, con Applica e, poi Ok


Windows Vista

* Start
* Pannello di controllo
* seleziona Sistema e manutenzione
* seleziona l’icona Sistema
* nel menu a sinistra clicca su Protezione sistema
* togli la spunta alle voci che fanno riferimento ai dischi ai quali disattivare il Ripristino configurazione di sistema
* Confermare come da richiesta

Riattivate il Ripristino Configurazione Sistema solo a disinfezione terminata

fatta questa operazione, ripeti scansione col tuo AV (usi una version obsoleta del Nod è necessario aggiornarlo)

Si :)

Allego il file della scansione di a-squared free.
grazie.

http://wikisend.com/download/606484/A-Squared.txt

Allego il file della scansione di a-squared free.
grazie.

http://wikisend.com/download/606484/A-Squared.txt

Direi che siamo ok, ma che te ne fai di tutti quei cookies?

vi espongo la mia situazione...win7 e nod32 entrambi a 64
nod32 che ad ogni riavvio lo blocca e cancella ma lui puntualmente rispunta.
è presente solo nelle cartelle recycled e root di 4 partizioni di un hd esterno...

devo ricorrere a tutto l'iter esposto in prima pagina oppure posso usare qualche asso nella manica?

vi espongo la mia situazione...win7 e nod32 entrambi a 64
nod32 che ad ogni riavvio lo blocca e cancella ma lui puntualmente rispunta.
è presente solo nelle cartelle recycled e root di 4 partizioni di un hd esterno...

devo ricorrere a tutto l'iter esposto in prima pagina oppure posso usare qualche asso nella manica?

Io seguirei la Guida in prima pagina, ovviamente l'HDD esterno lascialo collegato.

Io seguirei la Guida in prima pagina, ovviamente l'HDD esterno lascialo collegato.

mi consigli di lasciarlo collegato via usb o esata? magari cambia qualcosa.

mi consigli di lasciarlo collegato via usb o esata? magari cambia qualcosa.

La seconda

Vi rimando alla mia precedente discussione (postata nel posto sbagliato).
http://www.hwupgrade.it/forum/showthread.php?t=2129361
Premetto che il mio amico ha come s.o windows xp home edition service pack 1 (magari è questo il motivo per cui ogni volta dopo la formattazione, appena entro sul web, mi trova mille virus!)
Allego i log delle scansioni come da guida per eliminare il conficker (ma qui altro che confickers, magari fossero solo quelli...). Ho messo anche malwarebytes e a-squared giusto per farvi vedere che il problema non sono solo conficker...


MALWAREBYTES:
http://www.mediafire.com/?zzowzoyjzub

A-SQUARED:
http://www.mediafire.com/?jmjnzddzxun

AVIRA ANTIVIR:
http://www.mediafire.com/?rdduinwt3fm

COMBOFIX:
http://www.mediafire.com/?glvjjzyjiz0

GMER:
http://www.mediafire.com/?yjfymykkztd


GRAZIE MILLE

Vi rimando alla mia precedente discussione (postata nel posto sbagliato).
http://www.hwupgrade.it/forum/showthread.php?t=2129361
Premetto che il mio amico ha come s.o windows xp home edition service pack 1 (magari è questo il motivo per cui ogni volta dopo la formattazione, appena entro sul web, mi trova mille virus!)
Allego i log delle scansioni come da guida per eliminare il conficker (ma qui altro che confickers, magari fossero solo quelli...). Ho messo anche malwarebytes e a-squared giusto per farvi vedere che il problema non sono solo conficker...


MALWAREBYTES:
http://www.mediafire.com/?zzowzoyjzub

A-SQUARED:
http://www.mediafire.com/?jmjnzddzxun

AVIRA ANTIVIR:
http://www.mediafire.com/?rdduinwt3fm

COMBOFIX:
http://www.mediafire.com/?glvjjzyjiz0

GMER:
http://www.mediafire.com/?yjfymykkztd


GRAZIE MILLE

purtroppo oltre a conficker c'è anche virut... molto più facile formattare che toglierselo di mezzo purtroppo...

facciamo un tentativo e poi vediamo come va



Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Driver::
iammdnnr

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iammdnnr]

File::
C:\WINDOWS\system32\ezkgyhq.exe

Netsvc::
iammdnnr



Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt


avira non è configurato bene, configuralo come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684), fai una scansione completa e carichi il log/report secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

di malwarebytes non si capisce se hai eliminato le infezioni trovate

Ti ringrazio innanzitutto per la disponibilità e per la soluzione!
Ok, tra una mezz'oretta ritorno dal mio amico... adesso devo scrivermi tutto o meglio ho una chiavetta usb di poco valore che utilizzo solo per file di testo o immagini) perchè sul pc di questo ragazzo adesso sono pure impossibilitata ad andare su internet, di conseguenza, ogni volta devo ritornare al mio pc e postare i logs. Che casino! :cry:
Su Malwarebytes non ho eliminato le infezioni per paura che mi crollasse il sistema, non conoscendole.
Comunque non riesco ancora a capacitarmi sul fatto che dopo una (ormai ne avrò fatte anche 4) formattazione, ci sia la possibilità di essere infetti da 300000000 virus... sob!
Presto posterò i log!!! GRAZIE ANCORA

Questa volta spero di aver configurato bene avira!

COMBOFIX
http://www.mediafire.com/?mgzwgwwgfnh

AVIRA
http://www.mediafire.com/?mgizktzqeqm

La prima scansione di avira non mi ha trovato niente, poi tutto d'un tratto mi arrivano delle notifiche su dei HIDDENTEXT/Crypted che io ho cancellato perchè molti di questi rilevamenti si trovavano su Internet Temporary Files (e uno o più di loro non mi permettevano di entrare nel web. Adesso invece ce l'ho fatta, non si sa per quale arcano motivo...)

PS. dopo 2 riavvii del pc il sistema adesso sembra stabile... sembra :D

Questa volta spero di aver configurato bene avira!

COMBOFIX
http://www.mediafire.com/?mgzwgwwgfnh

AVIRA
http://www.mediafire.com/?mgizktzqeqm

La prima scansione di avira non mi ha trovato niente, poi tutto d'un tratto mi arrivano delle notifiche su dei HIDDENTEXT/Crypted che io ho cancellato perchè molti di questi rilevamenti si trovavano su Internet Temporary Files (e uno o più di loro non mi permettevano di entrare nel web. Adesso invece ce l'ho fatta, non si sa per quale arcano motivo...)

PS. dopo 2 riavvii del pc il sistema adesso sembra stabile... sembra :D
procedi con la scansione di controllo

Scusami, ma qui avira mi sta segnalando tremila cose... è invivibile e tra l'altro internet dopo 15 minuti se ne va.. e finchè non riavvio il sistema il web non funziona!!! cavalli di troia, confickers, virus batch, worms tutti nella cartella WINDOWS\System32 e tutti .exe, secondo me è inutile continuare con le scansioni, se ogni volta che mi collego ad internet mi deve succedere una cosa così, dopo la 5a volta di formattazione direi anche basta. Per caso sai se può essere una soluzione installare un s.o alternativo? Che so... ubuntu per esempio? Qui davvero è invivibile!!! GRAZIE!

Scusami, ma qui avira mi sta segnalando tremila cose... è invivibile e tra l'altro internet dopo 15 minuti se ne va.. e finchè non riavvio il sistema il web non funziona!!! cavalli di troia, confickers, virus batch, worms tutti nella cartella WINDOWS\System32 e tutti .exe, secondo me è inutile continuare con le scansioni, se ogni volta che mi collego ad internet mi deve succedere una cosa così, dopo la 5a volta di formattazione direi anche basta. Per caso sai se può essere una soluzione installare un s.o alternativo? Che so... ubuntu per esempio? Qui davvero è invivibile!!! GRAZIE!

perchè dal log di avira non era emerso nulla prima?
ora sei infetta da virus che si propaga in tutti gli exe, il forma ora diventa quasi necessario come usare cautamente tutte le periferiche rimovibili che hai in giro

perchè dal log di avira non era emerso nulla prima?
ora sei infetta da virus che si propaga in tutti gli exe, il forma ora diventa quasi necessario come usare cautamente tutte le periferiche rimovibili che hai in giro
Mah guarda... questo pc è del 2002 (vecchissimo) probabile che sia quello il problema... poi con tutti questi virus secondo me è meglio fomattare... però rinstallare xp home edition pack 1, ma una versione nuova...
Ma sistemi operativi alternativi??? potrebbe essere una soluzione? :rolleyes:

Mah guarda... questo pc è del 2002 (vecchissimo) probabile che sia quello il problema... poi con tutti questi virus secondo me è meglio fomattare... però rinstallare xp home edition pack 1, ma una versione nuova...
Ma sistemi operativi alternativi??? potrebbe essere una soluzione? :rolleyes:

se formatti non vedo perchè cambiare s.o. quando puoi invece proteggere meglio quello che hai sempre utilizzato
se poi hai voglia di cambiare è un altro discorso

No è che ogni volta che formatto ho questo problema, poi è risaputo che windows non è il massimo, pieno di virus (se non stai particolarmente attento). Perciò informandomi da amici e sul sito web di ubuntu ho scoperto che lì virus non ne trovi neanche a pagarli oro. (non ne posso più di sentir parlare di virus, conficker, worm ecc ecc :cry: ) Inoltre il mio amico, del pc, non ne deve fare uso professionale, scrive, stampa, studia (quindi ha bisogno di internet e di un so abbastanza efficiente, niente più), non usa programmi particolari come gli adobe per esempio (che uso io per grafica), quindi un so come ubuntu credo sia una delle migliori soluzioni... tu che mi dici?(scusami magari per averti fatto perdere tempo a cercare soluzioni, che magari poi si sono rivelate inutili!)

No è che ogni volta che formatto ho questo problema, poi è risaputo che windows non è il massimo, pieno di virus (se non stai particolarmente attento). Perciò informandomi da amici e sul sito web di ubuntu ho scoperto che lì virus non ne trovi neanche a pagarli oro. (non ne posso più di sentir parlare di virus, conficker, worm ecc ecc :cry: ) Inoltre il mio amico, del pc, non ne deve fare uso professionale, scrive, stampa, studia (quindi ha bisogno di internet e di un so abbastanza efficiente, niente più), non usa programmi particolari come gli adobe per esempio (che uso io per grafica), quindi un so come ubuntu credo sia una delle migliori soluzioni... tu che mi dici?(scusami magari per averti fatto perdere tempo a cercare soluzioni, che magari poi si sono rivelate inutili!)


La sezione dedicata è la seguente

Linux, Unix, OS alternativi (http://www.hwupgrade.it/forum/forumdisplay.php?f=34)

Ciao a tutti,
non riesco ad accedere ad internet, tranne che al vostro portale e alla mia e mail.
Se provo a fare una ricerca su google, mi fa vedere solo i risultati e non prosegue alla visualizzazione delle sucessive pagine..
Inoltre i processi del mio portatile si sono rallentati molto.
Deduco che ci sia un virus.. :cry:
Come posso procedere?
Grazie

Cristina

N.b. Allego i log

Ciao a tutti,
non riesco ad accedere ad internet, tranne che al vostro portale e alla mia e mail.
Se provo a fare una ricerca su google, mi fa vedere solo i risultati e non prosegue alla visualizzazione delle sucessive pagine..
Inoltre i processi del mio portatile si sono rallentati molto.
Deduco che ci sia un virus.. :cry:
Come posso procedere?
Grazie

Cristina

N.b. Allego i log
ciao

i log non zippati, grazie
vedi regole di sezione

che responso hai dai test del 1° post?

Ciao wjmat!
grazie per avermi risposto!!
Si scusa per lo zip.. è che mi dice numero max da allegare 1..

Per il test 1: Conficker A/B variant
per il test 2: non trova virus (in verde)

allego il primo log

allego 2° log :)

allego 3° log combofix

Ormai che lo ho carico il log "hijackthis"

Ciao wjmat!
grazie per avermi risposto!!
Si scusa per lo zip.. è che mi dice numero max da allegare 1..

Per il test 1: Conficker A/B variant
per il test 2: non trova virus (in verde)

allego il primo log
se i log sono diversi, li carichi sui serve remoti indicando i vari link per scaricarli

disinstalla virit
malwarebytes da dove lo avevi scaricato?
fai la scansione di controllo con asquared e carica il log

Ormai che lo ho carico il log "hijackthis"

Il Kido non c'entra nulla, segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446 naturalmente i log per il controllo andranno allegati dove appena indicato, secondo le Regole di sezione.

se i log sono diversi, li carichi sui serve remoti indicando i vari link per scaricarli

disinstalla virit
malwarebytes da dove lo avevi scaricato?
fai la scansione di controllo con asquared e carica il log

TDSSserv.sys -->> Rootkit

TDSSserv.sys -->> Rootkit

l'avevo intravisto ma volevo finire la guida di qui per completezza
tdss viene riconosciuto comunque come variante di conficker a quanto pare..

l'avevo intravisto ma volevo finire la guida di qui per completezza
tdss viene riconosciuto comunque come variante di conficker a quanto pare..

Ti riferisci all'analizzatore?

Ti riferisci all'analizzatore?

si, è da prendere con le pinze probabilmente :)

Grazie!
Allora seguirò la guida ROUGE!

P.s. grazie ancora wjmat :) a proposito, i programmi li avevo scaricati da un'altra guida sempre interna al portale.

P.P.s Quando provo (dal portatile infetto) a collegarmi ai download non carica la pagina, normale perchè ho il virus suppongo.. :eh:

Mi sono persa qualcosa? ihhi :D
Cri

Mi sono persa qualcosa? ihhi :D
Cri

http://www.hwupgrade.it/forum/showpost.php?p=30663449&postcount=280 :read:

li scarichi da un PC sano e li porti sul PC infetto tramite CD/DVD o supporto removibile USB.

l'avevo intravisto ma volevo finire la guida di qui per completezza
tdss viene riconosciuto comunque come variante di conficker a quanto pare..

Il Test possiamo definirlo "empirico" in quanto il non caricamento delle immagini sta a significare che siamo in presenza di Kido o anche di un alltro virus.

Ciao :)
da un secondo pc non infetto, ho scaricato i programmi per la Guida Rouge..
però dal mio pc (infetto) non riesco a fare gli aggiornamenti..:mc:
come posso procedere?

Ps. Non riesco a far funzionare firefox pur avendolo re-installato.. il messaggio che esce è:
"Firefox è già avviato, ma non risponde. Per aprire una finestra si deve prima chiudere il processo esistente di Firefox o riavviare il sistema"
Ho fatto ma non funziona...

grazie

Cri

Ciao :)
da un secondo pc non infetto, ho scaricato i programmi per la Guida Rouge..
però dal mio pc (infetto) non riesco a fare gli aggiornamenti..:mc:
come posso procedere?

Non devi aggiornarli dal pc infetto, bensì scaricare i file di aggiornamento sul pc non infetto e poi trasportarli, nello stesso modo, su quello infetto ed installarli

Ps. Non riesco a far funzionare firefox pur avendolo re-installato.. il messaggio che esce è:
"Firefox è già avviato, ma non risponde. Per aprire una finestra si deve prima chiudere il processo esistente di Firefox o riavviare il sistema"
Ho fatto ma non funziona...

grazie

Cri

Procedi così: premi ctrl+alt+canc, apparirà il task manager, clicca sulla scheda Processi, trova il processo firefox.exe che sarà ancora presente nella lista, tasto destro, termina processo. Dopodiché puoi provare a riaprirlo.

Non devi aggiornarli dal pc infetto, bensì scaricare i file di aggiornamento sul pc non infetto e poi trasportarli, nello stesso modo, su quello infetto ed installarli



Procedi così: premi ctrl+alt+canc, apparirà il task manager, clicca sulla scheda Processi, trova il processo firefox.exe che sarà ancora presente nella lista, tasto destro, termina processo. Dopodiché puoi provare a riaprirlo.

Ho provato ma da lo stesso errore... :mbe:
(vedi allegato)
ps. su una delle scansioni precedenti a questo errore, mi avevano fatto cancellare un file nella cartella diretta di Firefox... ma non ricordo il nome...:cry:

Ho provato ma da lo stesso errore... :mbe:
(vedi allegato)
ps. su una delle scansioni precedenti a questo errore, mi avevano fatto cancellare un file nella cartella diretta di Firefox... ma non ricordo il nome...:cry:

Come detto in precedenza il 3D dedicato è il seguente devi postare qui http://www.hwupgrade.it/forum/showthread.php?t=1789446 altrimenti sei OT

una domanda in merito alla rimozione del suddetto virus.

Una volta rimosso seguendo la guida il sistema diventa 'immune'? Oppure può esserci il rischio di ricadere vittime dell'attacco?

grazie :)

una domanda in merito alla rimozione del suddetto virus.

Una volta rimosso seguendo la guida il sistema diventa 'immune'? Oppure può esserci il rischio di ricadere vittime dell'attacco?

grazie :)

ciao

a fine guida vedi il trattamento post infezione

ciao

a fine guida vedi il trattamento post infezione

patch ms quindi :)

grazie e scusa per la sbadataggine :\

lunedì prossimo metterò in pratica la guida, speriamo bene :))

patch ms quindi :)

grazie e scusa per la sbadataggine :\

lunedì prossimo metterò in pratica la guida, speriamo bene :))

di nulla
ciao

ciao a tutti..allora o segito la guida,mi è possibile allegare solamente il log di BDTOOLS REMOVE poichè combofix é incompatibile con windows 7 64 bit,gmer dà questo risultato: c:Windows\system32\config\system impossibile accedere al file,il file è utilizzato da un'altro processo.Do ok e parte ugualmente la scansione ma alla fine il file log e vuoto.Qui di seguito il primo log citato [CODE]
Ok Loading BitDefender Engines
State 0 of m :
Sleeping 3 seconds...
Found so far : 0x0 files/regs
Searching for Downadup file ....
- System folder
- Temporary folder
- Program Files
- Application Data
Found so far : 0x0 files/regs
No Traces of Downadup Worm were found
/CODE]
Spero nel vostro aiuto

ciao a tutti..allora o segito la guida,mi è possibile allegare solamente il log di BDTOOLS REMOVE poichè combofix é incompatibile con windows 7 64 bit,gmer dà questo risultato: c:Windows\system32\config\system impossibile accedere al file,il file è utilizzato da un'altro processo.Do ok e parte ugualmente la scansione ma alla fine il file log e vuoto.Qui di seguito il primo log citato [CODE]
Ok Loading BitDefender Engines
State 0 of m :
Sleeping 3 seconds...
Found so far : 0x0 files/regs
Searching for Downadup file ....
- System folder
- Temporary folder
- Program Files
- Application Data
Found so far : 0x0 files/regs
No Traces of Downadup Worm were found
/CODE]
Spero nel vostro aiuto

Allega il log di a-squared secondo le modalità indicate in Guida, esiste anche la versione USB

http://www.emsisoft.com/en/software/stick/

http://www.emsisoft.com/en/software/download/

ecco il log di a-squared...

ecco il log di a-squared...

Non hai aggiornato il database delle firme virali, aggiornalo, ripeti scansione completa e passa in quarantena tutti gli elementi infetti.

e lo so..il punto è proprio quello..che la connessione ad internet è bloccata da stò virus....c'è un modo per sbloccarla?

Allega il log di a-squared secondo le modalità indicate in Guida, esiste anche la versione USB

http://www.emsisoft.com/en/software/stick/

http://www.emsisoft.com/en/software/download/

e lo so..il punto è proprio quello..che la connessione ad internet è bloccata da stò virus....c'è un modo per sbloccarla?

Non per nulla ti ho consigliato la versione USB Stick comprensiva delle signature :)

patch ms quindi :)

grazie e scusa per la sbadataggine :\

lunedì prossimo metterò in pratica la guida, speriamo bene :))

dunque dunque,

ho seguito tutti i passi della guida, compreso combofix, e concluso con l'installazione della patch microsoft. Faccio il test su confickerworgroup e risulta pulito.

Dopo qualche minuto allora riconnetto il pc alla lan (rete piatta di una decina di pc), faccio il test e tadààà, Infetto (prima prova variante C poi alla seconda A/b).
Mi pare di capire quindi che la patch ms risove ben poco viste le innumerevoli varianti di conficker.

Bella grana oh.. :\

dunque dunque,

ho seguito tutti i passi della guida, compreso combofix, e concluso con l'installazione della patch microsoft. Faccio il test su confickerworgroup e risulta pulito.

Dopo qualche minuto allora riconnetto il pc alla lan (rete piatta di una decina di pc), faccio il test e tadààà, Infetto (prima prova variante C poi alla seconda A/b).
Mi pare di capire quindi che la patch ms risove ben poco viste le innumerevoli varianti di conficker.

Bella grana oh.. :\

Come indicato in Guida:

IMPORTANTE: a questo punto allegate i log nella sequenza indicata

BDTOOLS REMOVE Downadup
ComboFix
Gmer

ed attendete una risposta da chi presta assistenza

Non per nulla ti ho consigliato la versione USB Stick comprensiva delle signature :)

Dunque la verisone ke scaricato io é quella usb per la precisione la seguente "a-squared Emergency USB Stick files" ed ha fatto la scansione da quella. Sono state trovate ben 23 minacce però erroneamente ho eliminato i virus anzichè metterli in quarantena. Puo darsi che sia per questo ke non ti convince il file di log?
Spero di non aver fatto qualche pasticcio.
PS: se puo essere utile sullo stesso computer c'è installato kubuntu 9.10 da cui scrivo(magari su può fare qualcosa da qui)

Dunque la verisone ke scaricato io é quella usb per la precisione la seguente "a-squared Emergency USB Stick files" ed ha fatto la scansione da quella. Sono state trovate ben 23 minacce però erroneamente ho eliminato i virus anzichè metterli in quarantena. Puo darsi che sia per questo ke non ti convince il file di log?
Spero di non aver fatto qualche pasticcio.
PS: se puo essere utile sullo stesso computer c'è installato kubuntu 9.10 da cui scrivo(magari su può fare qualcosa da qui)
aggiorna asquared e riscansiona
nel log si vede che non l'hai aggiornato
Ultimo aggiornamento: N/A

Dunque la verisone ke scaricato io é quella usb per la precisione la seguente "a-squared Emergency USB Stick files" ed ha fatto la scansione da quella. Sono state trovate ben 23 minacce però erroneamente ho eliminato i virus anzichè metterli in quarantena. Puo darsi che sia per questo ke non ti convince il file di log?
Spero di non aver fatto qualche pasticcio.
PS: se puo essere utile sullo stesso computer c'è installato kubuntu 9.10 da cui scrivo(magari su può fare qualcosa da qui)

This file is kept always up to date with the latest program and signature files

la tua versione non è aggiornata.

la tua versione non è aggiornata.

Allora.....scusate la mia nubbità ma credo ke ci sia proprio qualcosa ke mi sfugge. Come detto da voi,dato che ho la connessione ad internet bloccata dal virus, devo scaricare la versione usb di a-squared ke dovrebbe essere aggiornata,ma appena avvio l'applicazione (precisamente a2free.exe) mi dice ke è consigliato un aggiornamento ke ovviamente non posso fare(ma nn doveva essere già aggiornata la verisone?bha),quindi ho fatto partire ugualmete la scansione. Adesso dal log risulta chiaramente il N/A. Comunque sia oggi ond'evitare confusione ho installato a-squared in un altro pc,ho fatto l'aggiornamento da li e poi copiato la cartella signatures nel mio.A questo punto credo ke a-sqred sia aggiornato al 100%. Faccio ripartire la scansione(ke non trova nessun virus perhè li ho già cancellati nella precedente versione) ed ecco allegato il file di log. Ora penso ke l' N/A ke ricompare sia dovuto a fatto ke il progaramma non riconosce l'aggiornamentoto ke è stato fatto manulamente copiando la cartella e non automaticamente come richesto da lui. Che fare quindi adesso? Spero possiate aiutarmi in questo dilemma

qui il log http://wikisend.com/download/891286/a2scan_100217-115154.txt

Scarica questo tool http://support.kaspersky.com/downloads/utils/kk.zip scompatta l'archivio compresso e fai girare KK.exe

ciao a tutti,scusate ma sono stato di esami e non ho avuto modo di dedicarmi al pc...cmq ora ho fatto il test facendo girare più volte KK.exe ed il risultato e sempre tutti zeri. A questo punto(dopo tutte le prove fatte) sembra proprio che sul pc non ci sia traccia di virus,ma l'audio,la connessione internet e i driver video(impossibile mettere il tema aereo) sono ancora bloccati. Come procedere? Ci tenenvo cmq a ringraziarvi per l'assistenza data, noto ke siete veramente molto disponibili

ciao a tutti,scusate ma sono stato di esami e non ho avuto modo di dedicarmi al pc...cmq ora ho fatto il test facendo girare più volte KK.exe ed il risultato e sempre tutti zeri. A questo punto(dopo tutte le prove fatte) sembra proprio che sul pc non ci sia traccia di virus,ma l'audio,la connessione internet e i driver video(impossibile mettere il tema aereo) sono ancora bloccati. Come procedere? Ci tenenvo cmq a ringraziarvi per l'assistenza data, noto ke siete veramente molto disponibili

Mi sembra una cosa strana, comunque segui questa Guida per creare e disinfettare il PC con il Kaspersky Rescue http://www.hwupgrade.it/forum/showthread.php?t=1878747

Ho seguito la guida ma c'è un problema ,avvio kaspersky e noto subito ke non carica i driver di rete(tutte le spie spente, premetto ke posseggo sia connessione wifi ke ethernet) e mi dice ke il database e obsoleto. Provo ad aggiornare ma ovviamente non fa niente,seleziono tutto e faccio partire ugualmente la scansione e dopo + di due ore di scansione il risultato è: 0 malware. Ho scaricato il file sia da kaspersky- labs che da softpedia ma entrambi risulatano aggiornati al 5/13/09.Non ci sarebbe un modo per scaricare la versione già aggiornata?
PS: la guida http://agnipulse.com/2009/12/kaspersky-rescue-disk-to-clean-virus/ linkata in guida non spiega affatto come aggiornare prima di masterizzare o mettere su chiavetta :P

Ho seguito la guida ma c'è un problema ,avvio kaspersky e noto subito ke non carica i driver di rete(tutte le spie spente, premetto ke posseggo sia connessione wifi ke ethernet) e mi dice ke il database e obsoleto. Provo ad aggiornare ma ovviamente non fa niente,seleziono tutto e faccio partire ugualmente la scansione e dopo + di due ore di scansione il risultato è: 0 malware. Ho scaricato il file sia da kaspersky- labs che da softpedia ma entrambi risulatano aggiornati al 5/13/09.Non ci sarebbe un modo per scaricare la versione già aggiornata?
PS: la guida http://agnipulse.com/2009/12/kaspersky-rescue-disk-to-clean-virus/ linkata in guida non spiega affatto come aggiornare prima di masterizzare o mettere su chiavetta :P

http://agnipulse.com/2009/12/kaspersky-rescue-disk-updater/
corretto il link :)

regazzi...credo che di virus ne abbia piu di uno...:(...aiutatemi vi prego ho un pc nuovissimo...
questo è il file di log di hijackthis

http://agnipulse.com/2009/12/kaspersky-rescue-disk-updater/
corretto il link :)

ok,ho seguito la nuova guida,crato il file kav_rescue_2009 e fatto la scansione. Il risultato è analogo,nessun malware rilevato e windows ancora con tutto bloccato. Sembra proprio ke non abbia alcuna schans se non la formattazione. Il fatto e ke non volevo farlo perhè due settimane prima di aver riscontrato questo virus avevo già formattato perché ero inceppato in un bagle,ke in quel caso aveva anche disabilitato la modalità provvisoria, quindi adesso eccomi qua punto e capo. Confido nel vostro aiuto! :cry:

ok,ho seguito la nuova guida,crato il file kav_rescue_2009 e fatto la scansione. Il risultato è analogo,nessun malware rilevato e windows ancora con tutto bloccato. Sembra proprio ke non abbia alcuna schans se non la formattazione. Il fatto e ke non volevo farlo perhè due settimane prima di aver riscontrato questo virus avevo già formattato perché ero inceppato in un bagle,ke in quel caso aveva anche disabilitato la modalità provvisoria, quindi adesso eccomi qua punto e capo. Confido nel vostro aiuto! :cry:
se i test di conficker li superi correttamente direi che puoi rivolgerti nella sezione win per i problemi rimasti

se i test di conficker li superi correttamente direi che puoi rivolgerti nella sezione win per i problemi rimasti
OK ti ringrazio,ma potresti linkarmi qualche guida della sezione win a qui fare riferimento?

OK ti ringrazio,ma potresti linkarmi qualche guida della sezione win a qui fare riferimento?

http://www.hwupgrade.it/forum/forumdisplay.php?s=&daysprune=-1&f=126

ragazzi scusate davvero se ho postato il mio problema piu volte...
cmq questo è il log di gmer
premetto che kaspersky non è attivo poiche non riesco ad attivarlo poiche il virus me lo blocca


attendo aiuti ragazzi...grazie mille

ps: tutti i programmi che scaricherò non potranno essere aggiornati su questo pc poiche sempre per il virus non posso aggiornarli

ragazzi scusate davvero se ho postato il mio problema piu volte...
cmq questo è il log di gmer
premetto che kaspersky non è attivo poiche non riesco ad attivarlo poiche il virus me lo blocca


attendo aiuti ragazzi...grazie mille

ps: tutti i programmi che scaricherò non potranno essere aggiornati su questo pc poiche sempre per il virus non posso aggiornarli

dal log non si vede conficker
tu fai girare comun que tutti i tool previsti
l'unico che necessita di aggiornamento è asquared che scaricherai in versione stick usb

OK ragazzi, finalmente dopo una lunga agonia ho risolto tutto,il virus è stato rimosso e gli altri problemi erano dovuti ad alcuni servizi ke il vurus aveva disattivato ed erano rimasti tali dopo la rimozione. Ora tutto funziona al 100%. Non so veramente come ringraziarvi, siete stati di immenso aiuto con le vostre guide e con la vostra assistenza,ormai non ci speravo più e invece ecco fatto. Veramete grandiosi, continuate così!!! ... grazie ancora :)

OK ragazzi, finalmente dopo una lunga agonia ho risolto tutto,il virus è stato rimosso e gli altri problemi erano dovuti ad alcuni servizi ke il vurus aveva disattivato ed erano rimasti tali dopo la rimozione. Ora tutto funziona al 100%. Non so veramente come ringraziarvi, siete stati di immenso aiuto con le vostre guide e con la vostra assistenza,ormai non ci speravo più e invece ecco fatto. Veramete grandiosi, continuate così!!! ... grazie ancora :)

ottimo!
di nulla :)
ciao

Espongo qua il mio problema.. Ho prestato un disco esterno con dentro tutti i miei dati, file audio, video e altro ad un mio amico per passargli un antivirus visto che il suo pc era stato infettato.. Mi son proprio dimenticato che ci poteva essere il rischio di infettare il mio disco esterno e cosi è stato.. in pratica una volta collegato al mio pc Kis2010 mi ha rilevato sto virus (Kido.ir o simile) cosi ho fatto disinfetta tutto solo che nella cronologia istantanea mi erano venuti fuori dei mess tipo:

Impossibile eliminare il virus (o disinfettare non ricordo) e dopo qualche secondo un altro mess con scritto disinfestazione avvenuta.. Lo dico con parole mie ma penso che avete capito che messaggi mi sono venuti fuori..

Poi mi ha avvisato di riavviare il pc per completare la disinfestazione solo che dopo aver premuto ok mi son venute fuori un po di finestre di errore (impossibile avviare xxx.dll ecc ecc )e da li si è bloccato il pc cosi ho resettato.. All'avvio la barra objeckdock che avevo era diciamo sparita ma in basso ne era apparsa un altra vuota.....

Ora vabbè dopo svariate scansioni sembrava che non ci fosse piu nessun virus.. Però per sicurezza ho formattato e morta li....

Il mio dubbio rimane pero sul disco esterno, anche li ho fatto diverse scansioni e sembra che del virus non ci sia traccia.. Ho collegato il disco esterno sull'altro pc che ho ed ho fatto diverse scansione approfondite con Kis2010, Kk.exe e SuperAntispayware non rilevando piu nulla..

Però io non sono sicuro che sia tutto pulito.. Ho paura che ci sia ancora qualcosa nei file o documenti..

Cosa potrei fare? Mi tocca riscaricare tutto quello che avevo sopra? Perchè avevo driver e programmi che mi servono per il pc.. Poi documenti e altro ancora.. Questo virus cosa colpisce (file audio, video, documenti, programmi o altro)? E come posso essere sicuro di avere il disco esterno pulito?

Grazie in anticipo

Il mio dubbio rimane pero sul disco esterno, anche li ho fatto diverse scansioni e sembra che del virus non ci sia traccia.. Ho collegato il disco esterno sull'altro pc che ho ed ho fatto diverse scansione approfondite con Kis2010, Kk.exe e SuperAntispayware non rilevando piu nulla..

Però io non sono sicuro che sia tutto pulito.. Ho paura che ci sia ancora qualcosa nei file o documenti..

Cosa potrei fare? Mi tocca riscaricare tutto quello che avevo sopra? Perchè avevo driver e programmi che mi servono per il pc.. Poi documenti e altro ancora.. Questo virus cosa colpisce (file audio, video, documenti, programmi o altro)? E come posso essere sicuro di avere il disco esterno pulito?

Grazie in anticipo

Se hai scansionato l'HDD esterno con tutti i programmi sopra citati e nessuno ha rilevato nulla direi che si può stare tranquilli.

Se hai scansionato l'HDD esterno con tutti i programmi sopra citati e nessuno ha rilevato nulla direi che si può stare tranquilli.Però non sono sicuro di niente.. Ho sempre il terrore di avere file infetti.. Lo so ho fatto una cazzata perchè dovevo portargli l'antivirus in un altra chiavetta a parte ma mi è sfuggito di mente anche perchè torno a casa da lavoro distrutto e non ho avuto voglia di copiare l'antivirus da dargli al mio amico in una chiavetta..

Che test posso fare per verificare meglio? Poi questo virus può infettare i file o crea solo un file autorun.inf o qualcosa di simile?

Però non sono sicuro di niente.. Ho sempre il terrore di avere file infetti.. Lo so ho fatto una cazzata perchè dovevo portargli l'antivirus in un altra chiavetta a parte ma mi è sfuggito di mente anche perchè torno a casa da lavoro distrutto e non ho avuto voglia di copiare l'antivirus da dargli al mio amico in una chiavetta..

Che test posso fare per verificare meglio? Poi questo virus può infettare i file o crea solo un file autorun.inf o qualcosa di simile?

Collega l'HDD e fai girare Combofix + DrWeb CureIt esattamente come indicato in Guida.

Collega l'HDD e fai girare Combofix + DrWeb CureIt esattamente come indicato in Guida.
Ok grazie pero non vedo il programma DrWeb.. Devo scaricarlo e avviarlo dopo aver fatto partire combofix?

Ok grazie pero non vedo il programma DrWeb.. Devo scaricarlo e avviarlo dopo aver fatto partire combofix?

Si certo, una cosa per volta.

Si certo, una cosa per volta.Una cosa a riguardo di questo virus net-worm.win32.kido.ir:
Io dentro al disco esterno avevo dei dati anche privati, tipo password ecc.. Quando ho collegato il disco esterno a casa del mio amico ho copiato l'antivirus che voleva lui e dopo ho staccato subito il disco.. Non è che questo virus ha copiato tutti i miei dati?

Una cosa a riguardo di questo virus net-worm.win32.kido.ir:
Io dentro al disco esterno avevo dei dati anche privati, tipo password ecc.. Quando ho collegato il disco esterno a casa del mio amico ho copiato l'antivirus che voleva lui e dopo ho staccato subito il disco.. Non è che questo virus ha copiato tutti i miei dati?

No :)

No :)
Sicuro sicuro sicuro??? xD Ho una paura tremenda.. Non so se formattare il disco esterno e riscaricarmi tutti i programmi che avevo.. :muro:

Una cosa a riguardo di questo virus net-worm.win32.kido.ir:
Io dentro al disco esterno avevo dei dati anche privati, tipo password ecc.. Quando ho collegato il disco esterno a casa del mio amico ho copiato l'antivirus che voleva lui e dopo ho staccato subito il disco.. Non è che questo virus ha copiato tutti i miei dati?

Sicuro sicuro sicuro??? xD Ho una paura tremenda.. Non so se formattare il disco esterno e riscaricarmi tutti i programmi che avevo.. :muro:

Si, ma un conto sono i dati personali ed un conto sono i vari programmi che di personale non hanno nulla :)

Si, ma un conto sono i dati personali ed un conto sono i vari programmi che di personale non hanno nulla :)
Si ma dentro ho anche le password.. Quelle dei siti fortunatamente sono protetti da ulteriore password in excel.. Ma quindi posso evitare di riscaricare tutto? Ho provato a informarmi su questo virus ma non dicono niente se infetta file o no... Quello che vorrei capire è se questo virus infetta file o dati oppure serve solo a impedire gli aggiornamenti o a rallentare il pc.. Ho dei dati importanti nel disco esterno come file di salvataggio di giochi e altro ancora non voglio perderli :( non so piu cosa fare, anche se faccio scansioni e non rileva nulla ho sempre la paura.. Chiedo aiuto a voi esperti..

Salve, ebbene sì: anche io sono stata colpita da questa disgrazia, mi ritrovo a dover lavorare su pc altrui e non ho modo di formattarlo (anche perchè m'è parso di capire che sia abbastanza inutile farlo).

Secondo i due test risultavo infettata.
il primo: Possibly Infected by Conficker A/B variant
Il secondo: Status: System is possibly infected with Conficker.B

Ecco a voi i log allegati, sperando l'assistenza sia ancora valida...

http://wikisend.com/download/560004/Win32.Worm.Downladup.Gen.log
http://wikisend.com/download/582840/ComboFix.txt
http://wikisend.com/download/542650/gmer log.txt

Grazie per l'attenzione.

Salve, ebbene sì: anche io sono stata colpita da questa disgrazia, mi ritrovo a dover lavorare su pc altrui e non ho modo di formattarlo (anche perchè m'è parso di capire che sia abbastanza inutile farlo).

Secondo i due test risultavo infettata.
il primo: Possibly Infected by Conficker A/B variant
Il secondo: Status: System is possibly infected with Conficker.B

Ecco a voi i log allegati, sperando l'assistenza sia ancora valida...

http://wikisend.com/download/560004/Win32.Worm.Downladup.Gen.log
http://wikisend.com/download/582840/ComboFix.txt
http://wikisend.com/download/542650/gmer log.txt

Grazie per l'attenzione.

Ciao, apri il Blocco note e copia ed incolla questa righe:

Driver::
oyvhblq

Netsvc::
oyvhblq

File::
c:\windows\System32\wgteko.dll

Registry::
[-[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\oyvhblq]
[-HKLM\SYSTEM\CurrentControlSet\Services\oyvhblq]
[-HKLM\SYSTEM\ControlSet002\Services\oyvhblq]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Salve, ebbene sì: anche io sono stata colpita da questa disgrazia, mi ritrovo a dover lavorare su pc altrui e non ho modo di formattarlo (anche perchè m'è parso di capire che sia abbastanza inutile farlo).

Secondo i due test risultavo infettata.
il primo: Possibly Infected by Conficker A/B variant
Il secondo: Status: System is possibly infected with Conficker.B

Ecco a voi i log allegati, sperando l'assistenza sia ancora valida...

http://wikisend.com/download/560004/Win32.Worm.Downladup.Gen.log
http://wikisend.com/download/582840/ComboFix.txt
http://wikisend.com/download/542650/gmer log.txt

Grazie per l'attenzione.
Con il format sicuro che elimini tutto.. Ma devi fare un format completo, non quello di windows che dura qualche secondo.. Scaricati MaxBlast5 e fai il format con quello, dura 3 ore fidati che elimina tutto quello che c'è :D perchè azzera tutto il disco..

Con il format sicuro che elimini tutto.. Ma devi fare un format completo, non quello di windows che dura qualche secondo.. Scaricati MaxBlast5 e fai il format con quello, dura 3 ore fidati che elimina tutto quello che c'è :D perchè azzera tutto il disco..

Per quale motivo formattare quando esiste la soluzione al problema? http://www.hwupgrade.it/forum/showpost.php?p=31431026&postcount=335 Se si risolvesse tutto con un semplice format mi domando per quale motivo perdiamo tempo a scrivere Guide dedicate e a prestare assistenza.

Ciao, apri il Blocco note e copia ed incolla questa righe:



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Per quale motivo formattare quando esiste la soluzione al problema? http://www.hwupgrade.it/forum/showpost.php?p=31431026&postcount=335 Se si risolvesse tutto con un semplice format mi domando per quale motivo perdiamo tempo a scrivere Guide dedicate e a prestare assistenza.
Beh ho solo detto all'utente che il format invece serve ed da la sicurezza di eliminare tutto quello che di male c'è sul pc.. Tanto non costa nulla formattare e una volta reinstallato tutto si è più sicuri di avere il sistema pulito.. Tutto li.. Comunque si ci sono altre soluzioni, le ho usate pure io per questo problema ;)

Beh ho solo detto all'utente che il format invece serve ed da la sicurezza di eliminare tutto quello che di male c'è sul pc..

Considero il format l'extrema ratio

Tanto non costa nulla formattare e una volta reinstallato tutto si è più sicuri di avere il sistema pulito..

Costa tempo ed il tempo costa

Tutto li.. Comunque si ci sono altre soluzioni, le ho usate pure io per questo problema ;)

Concordo

combofix: http://wikisend.com/download/610540/log.txt
a-squared: http://wikisend.com/download/497280/a2scan_100329-190945.txt

Che dite?

Comunque come ho già detto non ho la possibilità di formattare, e in ogni caso, è collegato in rete con altri, mi serve purificarlo e proteggerlo, anche vista la recidività della cosa... l'ho già debellato più volte, e si ripresenta sistematicamente. Mi era stato chiesto di non fare gli aggiornamenti di windows per questo pc ma mi pare evidente che invece è necessario.

Considero il format l'extrema ratio



Costa tempo ed il tempo costa



Concordo
Si vero il tempo costa xD infatti tutte le volte che dovevo formattare mi mettevo le mani nei capelli.. è davvero un lavoraccio..

combofix: http://wikisend.com/download/610540/log.txt
a-squared: http://wikisend.com/download/497280/a2scan_100329-190945.txt

Che dite?

Comunque come ho già detto non ho la possibilità di formattare, e in ogni caso, è collegato in rete con altri, mi serve purificarlo e proteggerlo, anche vista la recidività della cosa... l'ho già debellato più volte, e si ripresenta sistematicamente. Mi era stato chiesto di non fare gli aggiornamenti di windows per questo pc ma mi pare evidente che invece è necessario.

Devi necessariamente fare gli aggiornamenti tanto è vero che ti sei reinfettato, allega nuovo log di Gmer.

una collega ha preso il conficker
ho provveduto a eliminarlo con i tool, disattivare ripristino configurazione sistema, aggiornare il SO (Win xp pro sp3 originale), l'antivirus è aggiornato (mcafee total protection service originale)
eppure ogni tot gli fa questa schermata:

http://img339.imageshack.us/img339/9013/virusm.jpg
adesso l'antivirus si aggiorna, il sistema operativo si aggiorna, ma questo avviso se la ritrova una volta ogni 30/40 minuti

una collega ha preso il conficker
ho provveduto a eliminarlo con i tool, disattivare ripristino configurazione sistema, aggiornare il SO (Win xp pro sp3 originale), l'antivirus è aggiornato (mcafee total protection service originale)
eppure ogni tot gli fa questa schermata:

http://img339.imageshack.us/img339/9013/virusm.jpg
adesso l'antivirus si aggiorna, il sistema operativo si aggiorna, ma questo avviso se la ritrova una volta ogni 30/40 minuti

ciao

segui tutta la guida del primo post

Anche io ho questo virus worm purtroppo...

Ecco i tre log...

http://download697.mediafire.com/vx2ocyyz2cxg/t5o4dumjzkr/logs.zip

Sto gia eseguendo la scansione con asquared free...

Spero di non doverla rifare nuovamente visto che non ho postato prima i log...

Dimenticavo di dire che sono su win xp pro sp 2 (non orig)

Buongiorno, ecco i log del mio computer

http://wikisend.com/download/554892/Win32.Worm.Downladup.Gen.log
http://wikisend.com/download/228112/ComboFix.txt
http://wikisend.com/download/439742/Gmer.txt

Per info, il computer si è bloccato, ha chiesto il cd di ripristino del sistema (XP SP1) e poi non sono mai riuscita a fare gli aggiornamenti perché non mi potevo connettere a nessun sito windows/update => cercando su internet ho trovato il vostro bel forum e penso di avere il virus conficker

Spero aver eseguito tutti i passi correttamente

Grazie mille

Anche io ho questo virus worm purtroppo...

Ecco i tre log...

http://download697.mediafire.com/vx2ocyyz2cxg/t5o4dumjzkr/logs.zip

Sto gia eseguendo la scansione con asquared free...

Spero di non doverla rifare nuovamente visto che non ho postato prima i log...

Dimenticavo di dire che sono su win xp pro sp 2 (non orig)

ciao

i log non zippati, grazie

Buongiorno, ecco i log del mio computer

http://wikisend.com/download/554892/Win32.Worm.Downladup.Gen.log
http://wikisend.com/download/228112/ComboFix.txt
http://wikisend.com/download/439742/Gmer.txt

Per info, il computer si è bloccato, ha chiesto il cd di ripristino del sistema (XP SP1) e poi non sono mai riuscita a fare gli aggiornamenti perché non mi potevo connettere a nessun sito windows/update => cercando su internet ho trovato il vostro bel forum e penso di avere il virus conficker

Spero aver eseguito tutti i passi correttamente

Grazie mille
ciao



Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Driver::
rwmddl

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rwmddl]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rwmddl]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rwmddl]

File::
C:\WINDOWS\System32\yzbsw.dll

Netsvc::
rwmddl




Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

Fatto. In realtà su C c'è tutto un dossier ComboFix e all'interno il log.txt

http://wikisend.com/download/520928/ComboFix.txt

Grazie!

Fatto. In realtà su C c'è tutto un dossier ComboFix e all'interno il log.txt

http://wikisend.com/download/520928/ComboFix.txt

Grazie!

procedi con le restanti operazioni

Questa mattina ho eseguito a-squared, ecco il log di controllo

http://wikisend.com/download/754806/a2scan_100417-083227.txt

Per ora non ho ancora riprovato ad aggiornare windows, che dici? Ora posso procedere? In ogni modo ti ringrazio per questa assistenza guidata, è la prima volta che mi prendo un virus ed è stata l'occasione per scoprire tutti i consigli importanti che ci sono sul vostro sito oltre che la vostra generosità!

V.

Questa mattina ho eseguito a-squared, ecco il log di controllo

http://wikisend.com/download/754806/a2scan_100417-083227.txt

Per ora non ho ancora riprovato ad aggiornare windows, che dici? Ora posso procedere? In ogni modo ti ringrazio per questa assistenza guidata, è la prima volta che mi prendo un virus ed è stata l'occasione per scoprire tutti i consigli importanti che ci sono sul vostro sito oltre che la vostra generosità!

V.
bene, disattiva il ripristino configurazione di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23) e poi vedi tu se riattivarlo tanto è inutile
poi procedi con il trattamento post

Grazie molte, windows update ora funziona correttamente. Sto seguendo passo a passo le istruzioni del Trattamento post infezione!

Grazie molte, windows update ora funziona correttamente. Sto seguendo passo a passo le istruzioni del Trattamento post infezione!

di nulla :)

in questa sezione:

http://www.hwupgrade.it/forum/showthread.php?t=2154026

mi hanno detto di seguire la seguente guida.
Vi posto i log delle scansioni effettuate:

http://wikisend.com/download/443100/BitDefender.txt
http://wikisend.com/download/479664/NFix_2010-04-19_13-02-44.log
http://wikisend.com/download/471816/GMER%20log%2026-04-2010.log

resto in attesa di vostri consigli.
grazie

in questa sezione:

http://www.hwupgrade.it/forum/showthread.php?t=2154026

mi hanno detto di seguire la seguente guida.
Vi posto i log delle scansioni effettuate:

http://wikisend.com/download/443100/BitDefender.txt
http://wikisend.com/download/479664/NFix_2010-04-19_13-02-44.log
http://wikisend.com/download/471816/GMER%20log%2026-04-2010.log

resto in attesa di vostri consigli.
grazie

Il Norman SinowalMBR Cleaner non è previsto nella Guida in prima pagina, manca il log di Combofix.

Il Norman SinowalMBR Cleaner non è previsto nella Guida in prima pagina, manca il log di Combofix.

vero

http://wikisend.com/download/451862/ComboFix.txt

vero

http://wikisend.com/download/451862/ComboFix.txt

Ciao, apri il Blocco note e copia ed incolla questa righe:


Driver::
xxlzzyvmw
ihbnzmyk

Netsvc::
xxlzzyvmw

File::
c:\windows\system32\jdxxwxb.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet017\Services\ihbnzmyk]
[-HKLM\SYSTEM\ControlSet001\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet003\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet004\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet005\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet006\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet007\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet008\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet009\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet010\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet011\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet012\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet013\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet014\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet015\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet016\Services\xxlzzyvmw]
[-HKLM\SYSTEM\ControlSet018\Services\ihbnzmyk]
[-HKLM\SYSTEM\CurrentControlSet\Services\ihbnzmyk]
[-HKLM\SYSTEM\CurrentControlSet\Services\xxlzzyvmw]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared (dopo averlo aggiornato, visto che l'hai già installato)

Ciao, apri il Blocco note e copia ed incolla questa righe:




Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared (dopo averlo aggiornato, visto che l'hai già installato)

ecco qui

http://wikisend.com/download/457606/ComboFix.txt

aggiorno e faccio la scansione con a-squared

ecco il risultato

http://wikisend.com/download/951504/a2scan_100426-114852.txt

ciao a tutti non capisco se ho beccato questo malware...

non riesco a visitare la maggior parte dei siti ....google invece va ...

se provo il primo test mi si presenta il 3 caso (= Possibly Infected by Conficker A/B variant)
nel secondo test invece tutto ok

ecco i log dei programmi ma mi sembrano puliti

gmer (http://wikisend.com/download/612000/gmer.txt)

combofix (http://wikisend.com/download/583506/log.txt)

BDTOOLS REMOVE
(http://wikisend.com/download/347558/Win32.Worm.Downladup.Gen.log)
avete qualche idea? può non esserci nessun malware? anche Malwarebytes' Anti-Malware mi da il pc pulito

allego anche hijackthis (http://wikisend.com/download/531784/hijackthis.log)

nada niente non c'è niente ..bel mistero

ecco qui

http://wikisend.com/download/457606/ComboFix.txt

aggiorno e faccio la scansione con a-squared

ecco il risultato

http://wikisend.com/download/951504/a2scan_100426-114852.txt

Dal log di A2 si evince che non hai messo in quarantena gli oggetti ifetti, aggiorna il rpogramma, ripeti scansione completa e quarantena tutto.

ciao a tutti non capisco se ho beccato questo malware...

non riesco a visitare la maggior parte dei siti ....google invece va ...

se provo il primo test mi si presenta il 3 caso (= Possibly Infected by Conficker A/B variant)
nel secondo test invece tutto ok


Cioa potresti spiegare più dettagliatamente il problema, inoltre ripeti scansione con Gmer seguendo esattamente le istruzioni in prima pagina.

a-squared mi ha trovato qualcosa ma mi sembra innocuo....

http://wikisend.com/download/869122/a2scan_100504-085601.txt

Cioa potresti spiegare più dettagliatamente il problema, inoltre ripeti scansione con Gmer seguendo esattamente le istruzioni in prima pagina.

ok ..grazie
praticamente la connessione funziona ma siti tipo microsoft, repubblica, corriere, ecc ecc ...non mi vanno oddio non tutti....google mi va ....

e per esempio il sito di microsoft update lento ma mi va solo che quando mi chiede di installare le active x microsoft update me lo installa si....ma subito dopo mi si freeza la pagina e rimane tutto bloccato...andando su strumenti---opzioni---avanzate e reimpostando sui valori predefinita mi torna come prima..ma se reinstallo solito problema...va beh questo è un problema acessorio

provando il primo test

mi si visualizza così

http://www.confickerworkinggroup.org/infection_test/chartinfected-ab.jpg

adesso riprovo gmer anche se mprima non riusciva a finirlo riprovo...

p.s. ovviamente ora sto utilizando un pc a fianco

niente da fare ho lasciato perdere e installato sopra windows 7 ora è tutto ok

Raga, provengo da qui (http://www.hwupgrade.it/forum/showthread.php?p=32122526)

per trovare le macchine infette usa questo
http://www.mcafee.com/us/enterprise/confickertest.html
Ok mi accingo...


per ripulire la rete da un pc ci sarebbe questo ma a me non era piaciuto molto
Network Removal Tool Bitdefender (http://www.disinfecttools.com)
L'ho usato ma non serve a nulla! :(

Raga, provengo da qui (http://www.hwupgrade.it/forum/showthread.php?p=32122526)


Ok mi accingo...


L'ho usato ma non serve a nulla! :(

se non va quello, come nel mio caso, non ti resta che far girare i tool della guida su ogni pc

altrimenti prova anche kidokiller che ha un'opzione per la pulizia in rete
http://support.kaspersky.com/faq/?qid=208279973

se non va quello, come nel mio caso, non ti resta che far girare i tool della guida su ogni pc

altrimenti prova anche kidokiller che ha un'opzione per la pulizia in rete
http://support.kaspersky.com/faq/?qid=208279973

Sto procedendo a far pulizia postazione per postazione alla ricerca di chi è infetto...i tool di rete (tipo BDTOOLS REMOVE Downadup che ne aveva trovato uno - adesso ripulito ;) ) non individuano più alcun pc infetto, però il Symantec sì! :(
Mi sto concentrando su questi client...
a-squared su tutti a volte trova files sospetti e li elimino.
gmer è "richioso"...tempo fa avevo preso un rootkit potente e dopo aver passato gmer non vi era più verso di avviare Windows..ho dovuto formattare :(
Anche combofix mi sembra valido!
kidokiller via rete necessita di un prodotto Karspersky installato? :(
In locale l'ho provato su un client...veloce!
Tnx!

Sto procedendo a far pulizia postazione per postazione alla ricerca di chi è infetto...i tool di rete (tipo BDTOOLS REMOVE Downadup che ne aveva trovato uno - adesso ripulito ;) ) non individuano più alcun pc infetto, però il Symantec sì! :(
Mi sto concentrando su questi client...
a-squared su tutti a volte trova files sospetti e li elimino.
gmer è "richioso"...tempo fa avevo preso un rootkit potente e dopo aver passato gmer non vi era più verso di avviare Windows..ho dovuto formattare :(
Anche combofix mi sembra valido!
kidokiller via rete necessita di un prodotto Karspersky installato? :(
In locale l'ho provato su un client...veloce!
Tnx!

Se stai procedendo postazione per postazione è opportuno seguire la Guida in prima pagina, esattamente come indicato.

Sebbene il primo test abbia un esito positivo
http://img808.imageshack.us/img808/5551/immaginevm.jpg (http://img808.imageshack.us/i/immaginevm.jpg/)
avira detecta 'sto maledetto Conficker che dovrebbe aver rimosso dopo aver aggiornato il db di Avira e dopo aver eseguito la scansione che ha individuato due file messi in quarantena.
A dire il vero io ho dato poi "delete".

WindowsXP originale con SP3.

Comunque i log che mi escono son questi:
BDtools.txt (http://wikisend.com/download/922170/BDtools.txt)
Combofix.txt (http://wikisend.com/download/519248/Combofix.txt)
Gmer.log (http://wikisend.com/download/467506/Gmer.log)

Gmer poi è dannatamente preoccupante perchè mi rileva questo
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] walgvx <-- ROOTKIT !!!

Non fate poi caso alle ultimi linee in basso relative a "Disk sectors" quei warning appartengono ad un dannato MasterBoot rootkit che presi a PC praticamente nuovo e l'ho rimosso seguendo le indicazioni sempre sul forum, sebbene sia rimasta quella sporcizia tutto questo tempo :mad:

Opinioni?

EDIT: Comunque qualcosa in effetti è cambiato.
Dopo molto tempo, sono tornato in possesso dell'opzione "Mostra file nascosti" dal menu' a tendina di Windows, anzichè dover passare per il fastidiosissimo registro di Windows.

EDIT2: Ripassando Avira mi spunta fuori questo
http://img683.imageshack.us/img683/7906/ark9.jpg (http://img683.imageshack.us/i/ark9.jpg/)

Uploaded with ImageShack.us (http://imageshack.us) Quindi il dannato Conficker sembra essere stato depurato?

Ciao hai allegato il log di Stealth MBR rootkit/Mebroot/Sinowal al posto di quello di BDTOOLS REMOVE

Apri il Blocco note e copia ed incolla questa righe:


Driver::
walgvx

Netsvc::
walgvx

File::
C:\WINDOWS\system32\lhibvahu.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\walgvx]
[-HKLM\SYSTEM\CurrentControlSet\Services\walgvx]
[-HKLM\SYSTEM\ControlSet004\Services\walgvx]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Ciao Chill, si' scusami per l'errore con tutta probabilita' ieri sera ero gia cotto.
Allora ho seguito alla lettera le tue istruzioni e il report di Combo, al termine dell'analisi e successivo riavvio - che ha gestito da solo senza che dovessi riavviare io il PC - è il seguente:
ComboFix.txt (http://wikisend.com/download/476288/ComboFix.txt)

Per quanto riguarda a-square se provo a lanciarlo mi dice di scaricare Emisoft!
Lo tiro giu'?

Ho ri-eseguito invece la scansione con Avira e mi trova sempre 'sto ARK ora passato alla denominazione "ARKA" quando ieri sera lo trovava come "ARK9" :asd:

Comunque l'ho messo in quarantena.

EDIT: Tra l'altro, dannazione non capisco perchè da pochi giorni a questa parte mi crasha l'audio di Windows, il servizio per intenderci tant'è che se lancio un mp3 o vado su yt non sento piu' l'audio ma la cosa assurda è che se invece apro il pannello della Realtek e lancio la simulazione audio quella la sento.
Se provo ad aprire la periferica audio dal system tray, l'icona con il cono audio per intenderci mi dice che la periferica mixer non è installata.
Per il momento risolvo tutto lanciando services.msc e riavviando il servizio audio di Windows ma non riesco a trovare un modo per fixare.
Che sia collegato sempre a 'sto schifo che mi son preso?

Ciao Chill, si' scusami per l'errore con tutta probabilita' ieri sera ero gia cotto.
Allora ho seguito alla lettera le tue istruzioni e il report di Combo, al termine dell'analisi e successivo riavvio - che ha gestito da solo senza che dovessi riavviare io il PC - è il seguente:
ComboFix.txt (http://wikisend.com/download/476288/ComboFix.txt)

Per quanto riguarda a-square se provo a lanciarlo mi dice di scaricare Emisoft!
Lo tiro giu'?

Ho ri-eseguito invece la scansione con Avira e mi trova sempre 'sto ARK ora passato alla denominazione "ARKA" quando ieri sera lo trovava come "ARK9" :asd:

Comunque l'ho messo in quarantena.

EDIT: Tra l'altro, dannazione non capisco perchè da pochi giorni a questa parte mi crasha l'audio di Windows, il servizio per intenderci tant'è che se lancio un mp3 o vado su yt non sento piu' l'audio ma la cosa assurda è che se invece apro il pannello della Realtek e lancio la simulazione audio quella la sento.
Se provo ad aprire la periferica audio dal system tray, l'icona con il cono audio per intenderci mi dice che la periferica mixer non è installata.
Per il momento risolvo tutto lanciando services.msc e riavviando il servizio audio di Windows ma non riesco a trovare un modo per fixare.
Che sia collegato sempre a 'sto schifo che mi son preso?

Ciao, il log di Combo è ok, scarica tranquillamenti Emsi Antimalware trattasi della versione aggiornata di a-squred, attendo log della scansione completa + un log di Avira.

Ciao Chill,
allora per il momento allego il log di Emisoft (a-squared). A parte dei cookie abbastanza vecchi, ha beccato un trojan che ho provveduto a mettere in quarantena come da tue istruzioni.

a2scan_100801-104756.txt (http://wikisend.com/download/470766/a2scan_100801-104756.txt)

Pero' inspiegabilmente l'update di Emisoft non va e non capisco il perchè. Non riesce a connettersi al serve, sebbene io abbia disabilitato Comodo per scrupolo e abbia riprovato per ben due volte - con annessi riavvii del PC - ad effettuare il download degli update.

Adesso lancio avira...

EDIT: E segue quello di Avira. L'ho troncato perchè immenso ma credo che la parte significativa sia quella finale d'altronde :asd:
Se poi serve ho conservato comunque la versione integrale.
AVSCAN.LOG (http://wikisend.com/download/467698/AVSCAN.LOG)

Continua a trovarmi 'sto benedetto trojan TR/Dropper.Gen che pero' metto sempre in quarantena.
Il delete non va mai sfortunatamente.

Ciao Chill,
allora per il momento allego il log di Emisoft (a-squared). A parte dei cookie abbastanza vecchi, ha beccato un trojan che ho provveduto a mettere in quarantena come da tue istruzioni.

a2scan_100801-104756.txt (http://wikisend.com/download/470766/a2scan_100801-104756.txt)

Pero' inspiegabilmente l'update di Emisoft non va e non capisco il perchè. Non riesce a connettersi al serve, sebbene io abbia disabilitato Comodo per scrupolo e abbia riprovato per ben due volte - con annessi riavvii del PC - ad effettuare il download degli update.

Adesso lancio avira...

EDIT: E segue quello di Avira. L'ho troncato perchè immenso ma credo che la parte significativa sia quella finale d'altronde :asd:
Se poi serve ho conservato comunque la versione integrale.
AVSCAN.LOG (http://wikisend.com/download/467698/AVSCAN.LOG)

Continua a trovarmi 'sto benedetto trojan TR/Dropper.Gen che pero' metto sempre in quarantena.
Il delete non va mai sfortunatamente.

Di Avira mi serve un log completo, sicuro che le definizioni siano aggiornate?

Allega anche un nuovo log di Gmer + il famoso log di BDTOOLS REMOVE

http://www.filedropper.com/win32wormdownladupgen
http://www.filedropper.com/combofix_2
http://www.filedropper.com/gmer_1

ecco i 3 file log nell'ordine
grazie a tutti di nuovo

http://www.filedropper.com/win32wormdownladupgen
http://www.filedropper.com/combofix_2
http://www.filedropper.com/gmer_1

ecco i 3 file log nell'ordine
grazie a tutti di nuovo

Il log di gmer è incompleto, comunque ho recuperato il precedente che avevi allegato nel 3D dedicato al MBR Rootkit, procedi così:

Apri il Blocco note e copia ed incolla questa righe:


Driver::
ndjstyqo

Netsvc::
ndjstyqo

File::
c:\windows\system32\gbjdc.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ndjstyqo]
[-HKLM\SYSTEM\CurrentControlSet\Services\ndjstyqo]
[-HKLM\SYSTEM\ControlSet003\Services\ndjstyqo]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

grazie mille

come si disabilitano i realtime dei software di sicurezza?

il tutto devo farlo disconnesso dalla rete?

ecco il nuovo log di combofix
http://www.filedropper.com/combofix_3
sperando di aver disattivato correttamente gli antivirus

ecco il nuovo log di combofix
http://www.filedropper.com/combofix_3
sperando di aver disattivato correttamente gli antivirus

Ok, attendo log di a-squared/Emsisoft Antimalware + nuovo log di Prevx.

Ok, attendo log di a-squared/Emsisoft Antimalware + nuovo log di Prevx.

http://www.filedropper.com/a2scan100813-150309_1
http://www.filedropper.com/prevx_1

sempre grazie

http://www.filedropper.com/a2scan100813-150309_1
http://www.filedropper.com/prevx_1

sempre grazie

Direi che siamo a posto :)

Direi che siamo a posto :)

grazie mille

qualche domanda per imparare

ho una rete casalinga wirwlwss senza alcuna condivisione
con 3 pc che si sono infettati
i virus si diffondono attraverso la rete o
hanno infettato singolarmente i pc

per gli altri due pc da disinfettare seguo le tue dritte che mi hai dato o devo ogni volta postare i log

grazie mille

qualche domanda per imparare

ho una rete casalinga wirwlwss senza alcuna condivisione
con 3 pc che si sono infettati
i virus si diffondono attraverso la rete o
hanno infettato singolarmente i pc

per gli altri due pc da disinfettare seguo le tue dritte che mi hai dato o devo ogni volta postare i log

Il Virus si diffonde attraverso la rete nel qualcaso le macchine non siano aggiornate (vedi Guida), ma nel tuo caso presumo che a veicolare l'infezione sia stato un supporto removibile USB.

Segui le stesse istruzioni se si tratta del medesimo Virus, se alleghi i log di AVG è meglio.

PS: visto che ero sicuro :)

come faccio a estrarre il log di avg
inoltre non sono sicuro di quale virus ho sul pc fisso
va lentissimo e ogni tanto va in freez
prevx non ha rilevato niente

grazie

non sono sicuro di quale virus ho sul pc fisso
va lentissimo e ogni tanto va in freez
prevx non ha rilevato niente
avg non ha rilevato niente
gmer mi impalla il pc
ecco il logfile di prevx
http://www.filedropper.com/prevx1
come faccio a estrarre il log di avg ?
come devo procedere ?
grazie

non sono sicuro di quale virus ho sul pc fisso
va lentissimo e ogni tanto va in freez
prevx non ha rilevato niente
avg non ha rilevato niente
gmer mi impalla il pc
ecco il logfile di prevx
http://www.filedropper.com/prevx1
come faccio a estrarre il log di avg ?
come devo procedere ?
grazie

Se AVG non segnala nulla non ha senso allegare il log, se il PC freeza i motivi possone essere tanti.

Fai pulizia dei file Temp con ATF Cleaner --->> qui trovi le istruzuioni http://www.hwupgrade.it/forum/showthread.php?t=1599737

successivamente se desideri fare un controllo approfondito segui la Guida che ti ho linkato ed allega i log per il controllo in 1 nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

Salve a tutti.
Avrei un problema.
Una settimana fa sono stato infettato dal famigerato Conficker, cosi' ho portato il PC a formattare.
Oggi mi è arrivato il PC formattato, e non riesco nè ad attivare XP via Internet, ne ad accedere a siti antivirus e Microsoft, ed inoltre utilizzando i vostri test mi è stato detto che potrei essere infettato da un Conficker B.
Come antivirus il NOD32 non mi rileva niente.
Potreste dirmi come fare per rimovere questo infame di Conficker?Devo scaricare tutti i programmi presenti in prima pagina per la rimozione o ne basta solo uno?
Grazie

Devo scaricare tutti i programmi presenti in prima pagina per la rimozione o ne basta solo uno?
Grazie

Ciao e benvenuto, la Guida è stata appositamente redatta per la rimozione del virus in oggetto, quindi sono necessari tutti gli strumenti indicati :)

Ciao e benvenuto, la Guida è stata appositamente redatta per la rimozione del virus in oggetto, quindi sono necessari tutti gli strumenti indicati :)

Benissimo! Ho stampato la guida ed eseguiro' le operazione indicate, dopodichè allegherò i file.
Grazie per la disponibilita'.

Benissimo! Ho stampato la guida ed eseguiro' le operazione indicate, dopodichè allegherò i file.
Grazie per la disponibilita'.

Prego

Fatto!
Ecco i file:
http://www.mediafire.com/?ef2fed58dkdp2h9
http://www.mediafire.com/?ef2fed58dkdp2h9
http://www.mediafire.com/?ef2fed58dkdp2h9


EDIT: Ora posso comunque accedere a siti antivirus

Fatto!
Ecco i file:
http://www.mediafire.com/?ef2fed58dkdp2h9
http://www.mediafire.com/?ef2fed58dkdp2h9
http://www.mediafire.com/?ef2fed58dkdp2h9


EDIT: Ora posso comunque accedere a siti antivirus

Hai allegato per 3 volte il medesimo log, ovvero BDTOOLS REMOVE Downadup :)

Ragazzi, sto provando, su consiglio di chill-out la guida completa postata in prima pagina...

Sono arrivato allo step 2...ma dopo la richiesta di eseguire ComboFix, il sw non parte!!!

aiuto!:help:

Allora, allego i log dei 2 sw che son riuscito ad eseguire...

come dicevo sopra, per Combofix niente da fare!

Altro log...

Ho installato Virtual rescu disk della Avira...un cd che parte dal boot...

mi ha trovato 2/3 files rootkit.3 ma non aveva nessua funzione per eliminarli!!!

al riavvio, ovviamente, non ricordavo + dove erano posizionati i files da eliminare!!!:doh:

Ho installato Virtual rescu disk della Avira...un cd che parte dal boot...

mi ha trovato 2/3 files rootkit.3 ma non aveva nessua funzione per eliminarli!!!

al riavvio, ovviamente, non ricordavo + dove erano posizionati i files da eliminare!!!:doh:

Ripeti scansione con Gmer prestando attenzione alle istruzioni in prima pagina, dimmi inoltre quali problemi hai con Combofix.

Ripeti scansione con Gmer prestando attenzione alle istruzioni in prima pagina, dimmi inoltre quali problemi hai con Combofix.

Eccoti la nuova scansione con Gmer...

Combofix semplicemente non parte...

Eccoti la nuova scansione con Gmer...

Combofix semplicemente non parte...

Il log è troppo corto,sicuro di aver spuntato tutte le caselle nel pannelo di dx?

Combo hai provato a riscaricarlo?

Ecco il nuovo allegato...

Ecco il nuovo allegato...

Log pulito

Log pulito

Sarà ma Avira rescue disk indica come rootkit 3 i seguenti files:

/MEDIA/DEVICES/SDA3/WINDOWS/SYSTEM32/DRIVERS/PDPCDD.SYS

e

/MEDIA/DEVICES/SDA3/WINDOWS/WINXS/X86_MICROSOFT-WINDOWS-T..NIPORTDISPLAYDRIVER_31BF3856AD364E35_6.001.18000_NONE_D4DB241B3E3EF7E4/RDPCDD.SYS

:help:

Log pulito

Sarà ma Avira rescue disk indica come rootkit 3 i seguenti files:

/MEDIA/DEVICES/SDA3/WINDOWS/SYSTEM32/DRIVERS/PDPCDD.SYS

e

/MEDIA/DEVICES/SDA3/WINDOWS/WINXS/X86_MICROSOFT-WINDOWS-T..NIPORTDISPLAYDRIVER_31BF3856AD364E35_6.001.18000_NONE_D4DB241B3E3EF7E4/RDPCDD.SYS

:help:

salve come mi hai detto ho postato qui,
spero di non avere sbagliato di nuovo

ho fatto le scansioni come da guida,allego i log

log BDTOOLS REMOVE http://www.mediafire.com/?ad2eeibao2nj61g

log ComboFix http://www.mediafire.com/?45d3luqeerc43yj

log gmer http://www.mediafire.com/?6c7ih7lqfotc199

ciao

salve come mi hai detto ho postato qui,
spero di non avere sbagliato di nuovo

ho fatto le scansioni come da guida,allego i log

log BDTOOLS REMOVE http://www.mediafire.com/?ad2eeibao2nj61g

log ComboFix http://www.mediafire.com/?45d3luqeerc43yj

log gmer http://www.mediafire.com/?6c7ih7lqfotc199

ciao

Apri il Blocco note e copia ed incolla questa righe:


Driver::
ohcxsrr
ywigx
mknry
vfxsmi
sujwsxve
ennjo
vmpybuqgj

Netsvc::
ohcxsrr
ywigx
mknry
vfxsmi
sujwsxve
ennjo
vmpybuqgj

File::
c:\windows\system32\ugkpjal.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet020\Services\ennjo]
[-HKEY_LOCAL_MACHINE\System\ControlSet020\Services\mknry]
[-HKEY_LOCAL_MACHINE\System\ControlSet020\Services\ohcxsrr]
[-HKEY_LOCAL_MACHINE\System\ControlSet020\Services\sujwsxve]
[-HKEY_LOCAL_MACHINE\System\ControlSet020\Services\vfxsmi]
[-HKEY_LOCAL_MACHINE\System\ControlSet020\Services\vmpybuqgj]
[-HKEY_LOCAL_MACHINE\System\ControlSet020\Services\ywigx]



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt.

Successivamente produci i seguenti log:

Emsi Anti Malware --->>> Info http://www.hwupgrade.it/forum/showthread.php?t=1984665

DrWeb CureIt --->>> http://www.hwupgrade.it/forum/showthread.php?t=1715546

NB: allega i log in questo 3D

Apri il Blocco note e copia ed incolla questa righe:





Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt.

Successivamente produci i seguenti log:

Emsi Anti Malware --->>> Info http://www.hwupgrade.it/forum/showthread.php?t=1984665

DrWeb CureIt --->>> http://www.hwupgrade.it/forum/showthread.php?t=1715546

NB: allega i log in questo 3D


salveallego i log dopo le scansioni


log ComboFix http://www.filedropper.com/combofix_3

log Emsisoft http://www.filedropper.com/a2scan101007-151326

log CureIt http://www.filedropper.com/cureit_1

p.s....log CureIt è abbastanza grande....

ciao

salveallego i log dopo le scansioni


log ComboFix http://www.filedropper.com/combofix_3

log Emsisoft http://www.filedropper.com/a2scan101007-151326

log CureIt http://www.filedropper.com/cureit_1

p.s....log CureIt è abbastanza grande....

ciao

Ciao, il log di Emsi Anti Malware ti dovrebbe far capire da dove si prendono i virus, comunque siamo a posto, aggiorna immediatamente il SO al SP3 e e leggi attentamente questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao, il log di Emsi Anti Malware ti dovrebbe far capire da dove si prendono i virus, comunque siamo a posto, aggiorna immediatamente il SO al SP3 e e leggi attentamente questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

ciao..intanto grazie per il tempo dedicatomi e per la rimozioni di molti virus
oltre alla riparazione di alcuni file di sistema,
però rifacendo un controllo che avevo fatto inizialmente seguendo la guida sul mbr rootkit,cioè C:\mbr.exe -f da modalità provvisoria
penso mi segna qualcosa che non và,inoltre con fixmbr da consolle di ripristino mi segnala:

Record di avvio principale non valido o non standard
Prodecedendo le tabelle di partizione potrebbero essere danneggiate
ciò potrebbe provocare l'inaccessibilità di tutte le partizioni del disco rigido corrente,
Se non si hanno problemi nell'accesso al disco si consiglia di non proseguire

non dico che è infetto magari sono i danni subiti questi,
cosa ne pensi?
che mi consigli.

allego log di Stealth MBR rootkit detector

http://www.filedropper.com/mbr_1

ciao

aggiornerò subito a sp3 oppure alla versione 8, non so di explorer anche se cerco di usare di piu mozilla firefox

Ho installato XP su un PC di "riserva" e prima di fare i dovuti aggiornamenti e installare l'antivirus mi sono ritrovato nella situazione di tanti altri.

Log rimossi

Grazie in anticipo

Ciao

Ho installato XP su un PC di "riserva" e prima di fare i dovuti aggiornamenti e installare l'antivirus mi sono ritrovato nella situazione di tanti altri.

Log rimossi

Grazie in anticipo

Ciao

Ciao e benvenuto! I log su uno dei server remoti indicati nella Guida in prima pagina, grazie.

ciao..intanto grazie per il tempo dedicatomi e per la rimozioni di molti virus
oltre alla riparazione di alcuni file di sistema,
però rifacendo un controllo che avevo fatto inizialmente seguendo la guida sul mbr rootkit,cioè C:\mbr.exe -f da modalità provvisoria
penso mi segna qualcosa che non và,inoltre con fixmbr da consolle di ripristino mi segnala:

Record di avvio principale non valido o non standard
Prodecedendo le tabelle di partizione potrebbero essere danneggiate
ciò potrebbe provocare l'inaccessibilità di tutte le partizioni del disco rigido corrente,
Se non si hanno problemi nell'accesso al disco si consiglia di non proseguire

non dico che è infetto magari sono i danni subiti questi,
cosa ne pensi?
che mi consigli.

allego log di Stealth MBR rootkit detector

http://www.filedropper.com/mbr_1

ciao

aggiornerò subito a sp3 oppure alla versione 8, non so di explorer anche se cerco di usare di piu mozilla firefox

ok..grazie cmq

ok..grazie cmq

Prego, il log può rimanere "sporco".

Ciao a tutti.
credo di essere infetto anche io dal virus conficker, anche se in modo un po inusuale.

infatti i test che avete indicato mi dicono che non sono infetto e riesco ad andare sui siti mircosoft e su alcuni siti antivirus.
però ho fatto una scansione con Panda e mi dice che sono infetto dal conficker.c (precisamente il file C:\WINDOWS\system32\tsgil.dll), la connessione è lentissima, i punti di ripristino del sistema sono spariti, gli antivirus non funzionano (quasi tutti) e firefox non funziona piu...

detto questo incollo i log:
bdtools
http://www.filedropper.com/win32wormdownladupgen

combofix non mi parte, o meglio mostra una barra di scorrimento larga circa 5cm. dopo il completamento di tale barra non accade più nulla....

gmer
http://www.filedropper.com/gmer
tale log l'ho creato io manualmente perchè anche gmer pare non funzionare correttamente.


grazie in anticipo
giovanni

Salve.
Presumibilmente sono stato infettato da Conficker; me ne sono accorto perché MSE non si aggiorna da una settimana e pur volendolo fare manualmente, mi dà errore. Ho provato i test linkati nel primo post e il responso è stato che sono infetto probabilmente dalla variante B.
Ho provato a fare una scansione con Malwarebytes' Anti-Malware ma non mi ha segnalato nulla, ho provato con Emsisoft e mi ha trovato Bredolab e un altro paio di infezioni, ma non Conficker. Oltretutto, a PC riavviato mi ha dato errore e una scritta mi ha informato che una delle infezioni non era stata rimossa.
Ho provato alcuni removal di Conficker: bdremtool e EConfickerRemoval non hanno trovato nulla, mentre S.T.I.N.G.E.R ha individuato come file infetto da Conficker il file svchost.exe, che effettivamente da qualche giorno mi segnalava strani comportamenti fra i processi (praticamente mi succhiava un sacco di CPU), ma non è riuscito a ripararlo.
Cosa faccio ora?
Grazie dell'attenzione.

Ecco i log delle scansioni:

BDTOOLS REMOVE Downadup: http://www.mediafire.com/?c02jaekqeth353r
ComboFix: http://wikisend.com/download/884496/ComboFix.txt
Gmer: http://www.mediafire.com/?nk6ee03zrlh7v6f

Ciao a tutti.
credo di essere infetto anche io dal virus conficker, anche se in modo un po inusuale.

infatti i test che avete indicato mi dicono che non sono infetto e riesco ad andare sui siti mircosoft e su alcuni siti antivirus.
però ho fatto una scansione con Panda e mi dice che sono infetto dal conficker.c (precisamente il file C:\WINDOWS\system32\tsgil.dll), la connessione è lentissima, i punti di ripristino del sistema sono spariti, gli antivirus non funzionano (quasi tutti) e firefox non funziona piu...

detto questo incollo i log:
bdtools
http://www.filedropper.com/win32wormdownladupgen

combofix non mi parte, o meglio mostra una barra di scorrimento larga circa 5cm. dopo il completamento di tale barra non accade più nulla....

gmer
http://www.filedropper.com/gmer
tale log l'ho creato io manualmente perchè anche gmer pare non funzionare correttamente.


grazie in anticipo
giovanni

Ciao e benvenuto, purtroppo i log che hai allegato non sono più reperibili, se desideri puoi riallegarli.

Salve.
Presumibilmente sono stato infettato da Conficker; me ne sono accorto perché MSE non si aggiorna da una settimana e pur volendolo fare manualmente, mi dà errore. Ho provato i test linkati nel primo post e il responso è stato che sono infetto probabilmente dalla variante B.
Ho provato a fare una scansione con Malwarebytes' Anti-Malware ma non mi ha segnalato nulla, ho provato con Emsisoft e mi ha trovato Bredolab e un altro paio di infezioni, ma non Conficker. Oltretutto, a PC riavviato mi ha dato errore e una scritta mi ha informato che una delle infezioni non era stata rimossa.
Ho provato alcuni removal di Conficker: bdremtool e EConfickerRemoval non hanno trovato nulla, mentre S.T.I.N.G.E.R ha individuato come file infetto da Conficker il file svchost.exe, che effettivamente da qualche giorno mi segnalava strani comportamenti fra i processi (praticamente mi succhiava un sacco di CPU), ma non è riuscito a ripararlo.
Cosa faccio ora?
Grazie dell'attenzione.

Ecco i log delle scansioni:

BDTOOLS REMOVE Downadup: http://www.mediafire.com/?c02jaekqeth353r
ComboFix: http://wikisend.com/download/884496/ComboFix.txt
Gmer: http://www.mediafire.com/?nk6ee03zrlh7v6f

Ciao e benvenuto, apri il Blocco note e copia ed incolla questa righe:


Driver::
ebniyohnq

Netsvc::
ebniyohnq

File::
C:\WINDOWS\system32\hxqvlx.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ebniyohnq]
[-HKLM\SYSTEM\ControlSet003\Services\ebniyohnq]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt + scansione di controllo con Emsi Anti Malware come indicato in guida.

Ciao e benvenuto, apri il Blocco note e copia ed incolla questa righe:



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt + scansione di controllo con Emsi Anti Malware come indicato in guida.

Ciao, grazie mille del benvenuto e della risposta.
Ecco i log:

ComboFix http://www.mediafire.com/?q2ap91ndrblcjwr
Emsisoft http://www.mediafire.com/?31tb9uc979eikdn

Ti allego anche il log della precedente scansione di Emsisoft, nel caso ti possa essere d'aiuto: http://www.mediafire.com/?ybu7f82n7h6bzs6

È tutto in quarantena, ma della robaccia che mi aveva trovato oggi e che dopo il riavvio non ha eliminato non c'è traccia, quindi non so che fine abbia fatto. Potrebbe darsi che si tratti degli stessi file che ha trovato con la seconda scansione, cioè SpyEyes, ma non ne sono sicuro.
Dimmi come proseguire e grazie ancora.

EDIT: sono riuscito ad aggiornare MSE e ho rifatto i test nel primo post, Conficker dovrebbe essere stato eliminato! Ora che ne faccio della roba in quarantena? Cancello? Inoltre, quali dei programmi utilizzati per la rimozione è bene tenere e quali è bene cancellare?

Ciao, grazie mille del benvenuto e della risposta.
Ecco i log:

ComboFix http://www.mediafire.com/?q2ap91ndrblcjwr
Emsisoft http://www.mediafire.com/?31tb9uc979eikdn

Ti allego anche il log della precedente scansione di Emsisoft, nel caso ti possa essere d'aiuto: http://www.mediafire.com/?ybu7f82n7h6bzs6

È tutto in quarantena, ma della robaccia che mi aveva trovato oggi e che dopo il riavvio non ha eliminato non c'è traccia, quindi non so che fine abbia fatto. Potrebbe darsi che si tratti degli stessi file che ha trovato con la seconda scansione, cioè SpyEyes, ma non ne sono sicuro.
Dimmi come proseguire e grazie ancora.

EDIT: sono riuscito ad aggiornare MSE e ho rifatto i test nel primo post, Conficker dovrebbe essere stato eliminato! Ora che ne faccio della roba in quarantena? Cancello? Inoltre, quali dei programmi utilizzati per la rimozione è bene tenere e quali è bene cancellare?

Dire che siamo ok, dopo aver aggiornato MSE dovresti aver provveduto a fare scansione completa del sistema, diversamente procedi.

Per quanto concerne i files in quarantena eliminali solo dopo un uso massivo del PC, considera che in quella posizione non possono nuocere quindi nessun problema, per il resto leggi la Guida in prima pagina alla voce ● Trattamento post infezione

Dire che siamo ok, dopo aver aggiornato MSE dovresti aver provveduto a fare scansione completa del sistema, diversamente procedi.

Per quanto concerne i files in quarantena eliminali solo dopo un uso massivo del PC, considera che in quella posizione non possono nuocere quindi nessun problema, per il resto leggi la Guida in prima pagina alla voce ● Trattamento post infezione

Fatto, tutto lindo e profumato.
Grazie ancora!

Fatto, tutto lindo e profumato.
Grazie ancora!

Prego

Ciao e benvenuto, purtroppo i log che hai allegato non sono più reperibili, se desideri puoi riallegarli.

ok ci riprovo cambiando sito

bdtools
http://www.mediafire.com/?qe7416ld238xcuy

gmer
http://www.mediafire.com/?l6hisgw4ipdy3ix

grazie!!!

ok ci riprovo cambiando sito

bdtools
http://www.mediafire.com/?qe7416ld238xcuy

gmer
http://www.mediafire.com/?l6hisgw4ipdy3ix

grazie!!!

Ciao, sicuro di aver fatto girare Gmer spuntando tuute le caselle nel pannello di dx, come indicato in Guida?

Ciao, sicuro di aver fatto girare Gmer spuntando tuute le caselle nel pannello di dx, come indicato in Guida?

ciao
come dicevo prima, gmer pare non funzionare correttamente.

Più precisamente, se non ricordo male, quando lo aprivo partiva in automatico a farmi una scansione (che ha prodotto il log che io ho copiato ed incollato nel notepad che ho linkato).
dopo aver completato questa scansione, ho spuntato le caselle nel pannello di destra, ma al momento di farlo partire gmer mi da errore e si chiude.
dopo che si chiude, ogni volta che provo a riaprilro mi da errore e non me lo fa partire.

avevo provato 2-3 volte reinstallandolo nuovamente e funzionava sempre allo stesso modo.

magari stasera quando torno dal lavoro riprovo perchè sono passati un po di giorni e non mi ricordo di preciso che errore dava....

ciao
come dicevo prima, gmer pare non funzionare correttamente.

Più precisamente, se non ricordo male, quando lo aprivo partiva in automatico a farmi una scansione (che ha prodotto il log che io ho copiato ed incollato nel notepad che ho linkato).
dopo aver completato questa scansione, ho spuntato le caselle nel pannello di destra, ma al momento di farlo partire gmer mi da errore e si chiude.
dopo che si chiude, ogni volta che provo a riaprilro mi da errore e non me lo fa partire.

avevo provato 2-3 volte reinstallandolo nuovamente e funzionava sempre allo stesso modo.

magari stasera quando torno dal lavoro riprovo perchè sono passati un po di giorni e non mi ricordo di preciso che errore dava....

Senza avere un log di Gmer completo e senza il log di Combo diventa più complicato, proviamo così:

- scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
C:\WINDOWS\system32\tsgil.dll

Drivers to delete:
ctxbn
irjistzn
lrataezhj
pglim
uubxjrqw
vbmabdbc

clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

Senza avere un log di Gmer completo e senza il log di Combo diventa più complicato, proviamo così:

- scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco



clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

ho rifatto tutti i passaggi indicati in prima pagina.
ti confermo che non appena apro gmer mi fa la scansione in automatico e subito dopo mi appare la schermata che ho stampato ed incollato sul file word che linko.

http://www.mediafire.com/?ma21jc0502p431d

se rispondo si alla domanda che esce, il programma si chiude.
ho reinstallato tutto e risposto no, ma appena clicco poi su scan il programma si chiude.
se provo a farlo partire di nuovo , mi da errore e non parte.

a breve scarico avenger e incollo il log.
grazie di tutto
ciao

ho rifatto tutti i passaggi indicati in prima pagina.
ti confermo che non appena apro gmer mi fa la scansione in automatico e subito dopo mi appare la schermata che ho stampato ed incollato sul file word che linko.

http://www.mediafire.com/?ma21jc0502p431d

se rispondo si alla domanda che esce, il programma si chiude.
ho reinstallato tutto e risposto no, ma appena clicco poi su scan il programma si chiude.
se provo a farlo partire di nuovo , mi da errore e non parte.

a breve scarico avenger e incollo il log.
grazie di tutto
ciao


ecco il log avenger
http://www.mediafire.com/?17b1bdlwt0g36gt

ecco il log avenger
http://www.mediafire.com/?17b1bdlwt0g36gt

Adesso dovresti essere in grado di far girare Emsi Anti Malware come indicato in guida.

Adesso dovresti essere in grado di far girare Emsi Anti Malware come indicato in guida.

Ecco il log anti malware
http://www.mediafire.com/?5xk6bieh1m75fzp

Grazie di tutto

Ecco il log anti malware
http://www.mediafire.com/?5xk6bieh1m75fzp

Grazie di tutto

Ok, allegami un log di HiJackThis -->> info al Punto 7 http://www.hwupgrade.it/forum/showthread.php?t=1599737

Ok, allegami un log di HiJackThis -->> info al Punto 7 http://www.hwupgrade.it/forum/showthread.php?t=1599737

eccolo
http://www.mediafire.com/?nrwfw0sfwx77rnc

eccolo
http://www.mediafire.com/?nrwfw0sfwx77rnc

Disinstalla la Ask Toolbar, successivamente con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

O2 - BHO: Internet Explorer Plugin - {49E3C2EA-6F56-410C-B2AB-3C869D756D91} - xcefuq1.dll (file missing)
O4 - HKCU\..\Run: [android 1] C:\WINDOWS\TEMP\~TMF.tmp
O23 - Service: Antivirus 2010 (userinit) - Unknown owner - \.globalrootC:WINDOWSsystem32us?rinit.exe (file missing)

aggiorna Avira e produci il log di una scansione completa.

Disinstalla la Ask Toolbar, successivamente con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked



aggiorna Avira e produci il log di una scansione completa.


fatto.
ed ecco il log della scansione completa di Avira.

http://www.mediafire.com/?w93cgnvahr48shg
cmq adesso il sistema pare essere molto più veloce di prima.
grazie mille

fatto.
ed ecco il log della scansione completa di Avira.

http://www.mediafire.com/?w93cgnvahr48shg
cmq adesso il sistema pare essere molto più veloce di prima.
grazie mille

Siamo in dirittura di arrivo, pertanto è necessario:

- configurare Avira come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

- aggiornare IE alla versione 8 + i vari software complementari, per farlo segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Siamo in dirittura di arrivo, pertanto è necessario:

- configurare Avira come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

- aggiornare IE alla versione 8 + i vari software complementari, per farlo segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

ok ho seguito tutti i punti della guida.
ho solo trovato difficoltà nelll'installazione del firewall online armor.

ho infatti prima disinstallato quello vecchio che utilizzavo io (norton) e poi installato e settato online armor free.
tuttavia ad ogni riavvio del pc, questo si bloccava non facendomi fare nient'altro che un riavvio manuale dal tasto di accensione.
ho risolto entrando in modalità provvisoria e disinstallando online armor.

probabilmente mi andava in conflitto con qualche altro programma....
mi consigli un altro firewall free? o reinstallo norton (che non mi pare eccezionale)

grazie di tutto!
ciao

ok ho seguito tutti i punti della guida.
ho solo trovato difficoltà nelll'installazione del firewall online armor.

ho infatti prima disinstallato quello vecchio che utilizzavo io (norton) e poi installato e settato online armor free.
tuttavia ad ogni riavvio del pc, questo si bloccava non facendomi fare nient'altro che un riavvio manuale dal tasto di accensione.
ho risolto entrando in modalità provvisoria e disinstallando online armor.

probabilmente mi andava in conflitto con qualche altro programma....
mi consigli un altro firewall free? o reinstallo norton (che non mi pare eccezionale)

grazie di tutto!
ciao

PC Tool Firewall plus -->> http://www.hwupgrade.it/forum/showthread.php?t=2046365

Per consigli, valutazioni, suggerimenti http://www.hwupgrade.it/forum/showthread.php?t=2011681

Ho letto il regolamento e che non si aiuta chi non posta log ma prima di fare scansioni con i programmi consigliati volevo chiedere info per evitare di doverlo rifare dopo :D
Per spiegare la situazione, il computer di una mia amica è infettato da Conficker (in particolare Conficker.Z.59). Purtroppo il pc non è connesso a internet e non viene aggiornato tant'è che l'os è windows xp home edition con il service pack 2, non aveva nessun antivirus nè firewall, e lavorava usando l'amministratore e non un utente con privilegi limitati. (la mia amica è un po' negata con il pc XD). Inoltre è imposibilitata alla formattazione perchè non è in possesso del cd di windows, perchè il pc gli è stato venduto senza ma confermo che la licenza è originale. (Spero che i dati siano sufficienti XD)
Comunque mi sono accorta dell'infezione perchè mi ha passato una chiavetta infetta, che il mio antivirus (avira) ha individuato e bloccato. Ora il problema è il seguente: io sò che per fare una scansione in caso di infezione si deve disattivare il ripristino di sistema e farla in modalità provvisioria ma non essendo espertissima e sopratutto non trovandomi spesso in queste situazioni (preferisco prevenire proteggendo il pc XD) non sò se si debba fare anche con i software da voi suggeriti per i log. Cioè cosa devo fare prima di fare la scansione con i software? Se qualcuno mi spiegasse le azioni da compiere passo passo vi ringrazierei.
Inoltre vorrei chiedere se mi potete dire quali tra i software che consigliate è possibile utilizzare senza aggiornamento via internet o aggiornare manualmente o se ci sono rischi nell'utilizzare qualcuno di questi perchè non avendo il cd non posso formattarle il pc.
Inoltre ho notato che entrando in modalità provvisioria mi prospetta 2 account: uno administrator e l'altro utente. Con quale devo entrare?

PS chiedo quì perchè magari qualcuno tra quelli che noterà il messaggio mi dirà dove è meglio scrivere o chiedere oppure mi risponderà diversamente XD
Premetto che il mio pc personale è aggiornato sia per i software sia per gli aggiornamenti di sistema e ha antivirus, antimalware, firewall ecc... Per qualche oscuro motivo il mio pc si rifiuta di aggiornare internet explorer dalla versione 7 alla 8. Cioè mi fà tutto il processo, controlla con lo strumento di rimozione malware e poi mi fallisce l'installazione. Ho provato di tutto. Ho disattivato temporaneamente gli antivirus e il firewall, annullato le impostazioni di internet explorer riportandole a quelle di default ma non ne vuole sapere. Qualche suggerimento?

Ho letto il regolamento e che non si aiuta chi non posta log ma prima di fare scansioni con i programmi consigliati volevo chiedere info per evitare di doverlo rifare dopo :D
Per spiegare la situazione, il computer di una mia amica è infettato da Conficker (in particolare Conficker.Z.59). Purtroppo il pc non è connesso a internet e non viene aggiornato tant'è che l'os è windows xp home edition con il service pack 2, non aveva nessun antivirus nè firewall, e lavorava usando l'amministratore e non un utente con privilegi limitati. (la mia amica è un po' negata con il pc XD). Inoltre è imposibilitata alla formattazione perchè non è in possesso del cd di windows, perchè il pc gli è stato venduto senza ma confermo che la licenza è originale. (Spero che i dati siano sufficienti XD)
Comunque mi sono accorta dell'infezione perchè mi ha passato una chiavetta infetta, che il mio antivirus (avira) ha individuato e bloccato. Ora il problema è il seguente: io sò che per fare una scansione in caso di infezione si deve disattivare il ripristino di sistema e farla in modalità provvisioria ma non essendo espertissima e sopratutto non trovandomi spesso in queste situazioni (preferisco prevenire proteggendo il pc XD) non sò se si debba fare anche con i software da voi suggeriti per i log. Cioè cosa devo fare prima di fare la scansione con i software? Se qualcuno mi spiegasse le azioni da compiere passo passo vi ringrazierei.
Inoltre vorrei chiedere se mi potete dire quali tra i software che consigliate è possibile utilizzare senza aggiornamento via internet o aggiornare manualmente o se ci sono rischi nell'utilizzare qualcuno di questi perchè non avendo il cd non posso formattarle il pc.
Inoltre ho notato che entrando in modalità provvisioria mi prospetta 2 account: uno administrator e l'altro utente. Con quale devo entrare?

Ciao, le azioni da compiere passo passo sono espressamente indicate nella Guida in prima pagina, tutti i tool indicati al Paragrafo ● Rilevazione e rimozione possono essere scaricati e masterizzati su un CD/DVD da utilizzare sul PC infetto con Account Admin.


PS chiedo quì perchè magari qualcuno tra quelli che noterà il messaggio mi dirà dove è meglio scrivere o chiedere oppure mi risponderà diversamente XD
Premetto che il mio pc personale è aggiornato sia per i software sia per gli aggiornamenti di sistema e ha antivirus, antimalware, firewall ecc... Per qualche oscuro motivo il mio pc si rifiuta di aggiornare internet explorer dalla versione 7 alla 8. Cioè mi fà tutto il processo, controlla con lo strumento di rimozione malware e poi mi fallisce l'installazione. Ho provato di tutto. Ho disattivato temporaneamente gli antivirus e il firewall, annullato le impostazioni di internet explorer riportandole a quelle di default ma non ne vuole sapere. Qualche suggerimento?

Un problema per volta, tra l'altro non è inerente alla Sezione ed al 3D, grazie per la collaborazione.

Ciao, le azioni da compiere passo passo sono espressamente indicate nella Guida in prima pagina, tutti i tool indicati al Paragrafo ● Rilevazione e rimozione possono essere scaricati e masterizzati su un CD/DVD da utilizzare sul PC infetto con Account Admin.

Innanzitutto grazie per la risposta.
La guida me l'ero persa XD Comunque sulla guida non c'è scritto che la scansione con i software consigliati bisogna farla in modalità provvisoria quindi suppongo di doverla fare con l'account Admin normale. Intanto inizio le scansioni, se per caso mi fossi sbagliata fatemelo sapere XD
Ah dimenticavo il link di "2. BDTOOLS REMOVE Downadup - Download" non funziona

Ok ho fatto le scansioni con combofix e gmer nell'account Admin (non in modalità provvisioria) nell'ordine in cui sono indicati nella guida ma non ho potuto farlo con 2. BDTOOLS REMOVE Downadup perchè il link non funziona e non sono riuscita a trovarlo da altre parti.

Questi sono i log:
Combofix (http://www.mediafire.com/?ymn44531tb3ffjf)
Gmer 1 (http://www.mediafire.com/?o7b6k7rorakix36)
Gmer 2 (http://www.mediafire.com/?d5fi26tiu1g8d1p)

I log di Gmer sono 2 perchè appena avviato gmer mi ha indicato che c'era un rootkit e stupidamente ho accettato la scansione senza accorgermi che non era spuntata la partizione D del disco in cui si trova il backup del sistema. Quindi ho aspettato che terminasse la prima e ho ripetuto la scansione comprendendo tutto.
Spero possano essere sufficienti come info, nel caso fatemi sapere se serve altro e grazie in anticipo per l'aiuto

Ok ho fatto le scansioni con combofix e gmer nell'account Admin (non in modalità provvisioria) nell'ordine in cui sono indicati nella guida ma non ho potuto farlo con 2. BDTOOLS REMOVE Downadup perchè il link non funziona e non sono riuscita a trovarlo da altre parti.

Questi sono i log:
Combofix (http://www.mediafire.com/?ymn44531tb3ffjf)
Gmer 1 (http://www.mediafire.com/?o7b6k7rorakix36)
Gmer 2 (http://www.mediafire.com/?d5fi26tiu1g8d1p)

I log di Gmer sono 2 perchè appena avviato gmer mi ha indicato che c'era un rootkit e stupidamente ho accettato la scansione senza accorgermi che non era spuntata la partizione D del disco in cui si trova il backup del sistema. Quindi ho aspettato che terminasse la prima e ho ripetuto la scansione comprendendo tutto.
Spero possano essere sufficienti come info, nel caso fatemi sapere se serve altro e grazie in anticipo per l'aiuto


Apri il Blocco note e copia ed incolla questa righe:


Driver::
mqykdwr

Netsvc::
mqykdwr

File::
C:\WINDOWS\system32\heygjd.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mqykdwr]
[-HKLM\SYSTEM\CurrentControlSet\Services\mqykdwr]
[-HKLM\SYSTEM\ControlSet002\Services\mqykdwr]



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt.

PS:

Ho letto il regolamento e che non si aiuta chi non posta log ma prima di fare scansioni con i programmi consigliati volevo chiedere info per evitare di doverlo rifare dopo :D
Per spiegare la situazione, il computer di una mia amica è infettato da Conficker (in particolare Conficker.Z.59). Purtroppo il pc non è connesso a internet e non viene aggiornato tant'è che l'os è windows xp home edition con il service pack 2, non aveva nessun antivirus nè firewall, e lavorava usando l'amministratore e non un utente con privilegi limitati. (la mia amica è un po' negata con il pc XD).

Come no, è Avira Antivir :D

Apri il Blocco note e copia ed incolla questa righe:

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt.

PS:



Come no, è Avira Antivir :D

E' andato tutto bene, compreso il riavvio.
Ecco il log:
ComboFix (http://www.mediafire.com/?f7bd7vm0g188vo4)

PS: Avira l'ho installato io 2-3 giorni fà e ho aggiornato manualmente il database dopo che mi ha dato in mano il pc perchè credevo di poter risolvere in quel modo XD Scusa se non ho specificato ma credevo fossero interessanti le condizioni in cui mi è stato consegnato non quelle dopo che ci avevo messo mano io :P (comunque l'istallazione e l'aggiornamento di avira è l'unica modifica che ho fatto oltre all'installazione di ccleaner)

E' andato tutto bene, compreso il riavvio.
Ecco il log:
ComboFix (http://www.mediafire.com/?f7bd7vm0g188vo4)

PS: Avira l'ho installato io 2-3 giorni fà e ho aggiornato manualmente il database dopo che mi ha dato in mano il pc perchè credevo di poter risolvere in quel modo XD Scusa se non ho specificato ma credevo fossero interessanti le condizioni in cui mi è stato consegnato non quelle dopo che ci avevo messo mano io :P (comunque l'istallazione e l'aggiornamento di avira è l'unica modifica che ho fatto oltre all'installazione di ccleaner)

Il link al log non è corretto, ricontrollalo.

Il link al log non è corretto, ricontrollalo.

Già fatto subito dopo averlo inserito me ne sono accorta che avevo copiato il link dalla pagina del browser sbagliata XD sorry

Già fatto subito dopo averlo inserito me ne sono accorta che avevo copiato il link dalla pagina del browser sbagliata XD sorry

A posto.

A posto.

A posto cosa? il link del log o il pc? XD

A posto cosa? il link del log o il pc? XD

La seconda.

La seconda.

Ok ma senza dover finire la procedura? Ovvero scansione di controllo e aggiornamento del pc?

Ok ma senza dover finire la procedura? Ovvero scansione di controllo e aggiornamento del pc?

Certo che puoi fare scansione di controllo, esattamente come recita la Guida.

Certo che puoi fare scansione di controllo, esattamente come recita la Guida.

Ok grazie mille :)
Rinvio le scansioni di controllo e l'aggiornamento a domani e nel caso emerga qualcosa (speriamo di no :D ) o ci sia qualche problema chiederò ancora numi XD

Salve,
Ho fatto un giro con Combofix, vi allego il log, potreste verificare?

ComboFix.txt (http://www.mediafire.com/?qb1e02tzl9jltqx)
ComboFix-quarantined-files.txt (http://www.mediafire.com/?1y6olyf2d3q3tb6)

Grazie.

Allego anche il LOG di GMER. Grazie.

Salve,
Ho fatto un giro con Combofix, vi allego il log, potreste verificare?

ComboFix.txt (http://www.mediafire.com/?qb1e02tzl9jltqx)
ComboFix-quarantined-files.txt (http://www.mediafire.com/?1y6olyf2d3q3tb6)

Grazie.

Allego anche il LOG di GMER. Grazie.

Ciao, quali problemi riscontri? Dai log non emergono tracce del Conficker.

Riscontro degli errori grafici dopo circa 4-5 ore di utilizzo di XP, pare in concomitanza con la saturazione della ram fisica. Allego alcuni screenshoot esplicativi:

1 (http://img201.imageshack.us/img201/638/16112010078.jpg)
2 (http://img709.imageshack.us/img709/7357/16112010076.jpg)
3 (http://img823.imageshack.us/img823/9316/16112010077.jpg)

In pratica scompare il testo dalle finestre e rimangono solo le icone. Inoltre appaiono dei messaggi di alert vuoti, come se ci fossere dei problemi sulla memoria grafica. Ogni tanto si riesce ad intravedere qualche messaggio del tipo: "memoria insufficiente per avviare l'applicazione X...".
Dopo questi errori sono costretto a riavviare e tutto torna alla normalità per altre ore.

Salve amici,
da sabato sto cercando di risolvere un problema che si è manifestato su 2 dei 3 PC che sono in azienda.
I due PC con il problema montano Windows Vista Ultimate SP1 mentre l'unico PC senza problemi monta Windows XP SP3.
Tutti sono collegati in rete tra loro e accedono ad internet tramite un router con connessione ADSL Alice 8mb!
Da sabato i due PC in questione non scaricano più gli aggiornamenti antivirus/antispyware. Oltre ad essere negato l'accesso ai siti dei produttori antivirus ed ai server Microsoft, progressivamente vengono impediti gli accessi ad altri siti quali: edreams, facebook, ecc..
Con google si possono effettuare tutte le ricerche che si vogliono ed i risultati elencano anche i siti bloccati ma, cliccandoci, non vi si può accedere!
Credo di aver percorso tutte le strade per rimuovere questa infezione usando/installando/disinstallando vari pacchetti antivirus (Nod32, Avast, Avira, ecc.) aggiornandoli offline alle ultime definizioni.
Ho applicato la patch Microsoft, ho provato anche con:
- Microsoft Windows Malicious Software Removal Tool
- Malwarebytes' Anti-Malware
- ComboFix
e molti altri removal tool e anti-rootkit di varie software house: Kaspersky, BitDefender, F-Secure ecc..

Uso SpyBot su tutti i PC e lo tengo aggiornato settimanalmente; ho anche ispezionato il file HOSTS per accertarmi che l'accesso ai siti non fosse stato bloccato da lì, ma non lo era!

Con nessuno di questi rimedi sono riuscito ad avere un benché minimo messaggio di avviso sulla presenza di un Worm o quant'altro!

Il "Conficker Eye Chart" riporta "Possibly Infected by Conficker (C variant or greater)".

Io tendo ad ipotizzare che sia una variante molto recente del Conficker, Downadup, Kiko, o come lo si voglia chiamare!!!

Avete qualche soluzione da proporre, mi accontenterei di un tool che mi dica: "Il tuò PC è stato infettato da XYZ"!!!

Avete qualche soluzione da proporre, mi accontenterei di un tool che mi dica: "Il tuò PC è stato infettato da XYZ"!!!

Cioa, prova ad allegare i log dei tool indicati nella Guida in prima pagina.

Gentile Chill-Out,
come ho scritto nel mio post nessuno dei rimedi adottati ha individuato alcunché, quindi non vi sono report/log da allegare!

Gentile Chill-Out,
come ho scritto nel mio post nessuno dei rimedi adottati ha individuato alcunché, quindi non vi sono report/log da allegare!

Putroppo senza vedere i report che sono l'unico strumento che abbiamo, non sono in grado di aiutarti, come indicato in Guida:

IMPORTANTE: a questo punto allegate i log nella sequenza indicata

BDTOOLS REMOVE Downadup
ComboFix
Gmer

ed attendete una risposta da chi presta assistenza


se di Kido si tratta, lo rimuoviamo solo a mano dopo aver visionato i log, indipendentemente da cosa hanno rilevato.

Ho compresso gli screenshots e i logs in un unico zip scaricabile da:

http://www.megaupload.com/?d=PA3M7J7D

li ho anche caricati singolarmente ai seguenti links:
http://www.mediafire.com/?8vaxc9h524tnmtb
http://www.mediafire.com/?62474aen0i81pa1
http://www.mediafire.com/?d1o6jge9zq3eigd
http://www.mediafire.com/?g3z9q413fu0uwoa
http://www.mediafire.com/?namsm1pwmd52maj
http://www.mediafire.com/?uplxvzfllff83tf
http://www.mediafire.com/?1pqcpovrfbc1s1m
http://www.mediafire.com/?tocko290z9i9ywl
http://www.mediafire.com/?cwrc67f6bqsso9y
http://www.mediafire.com/?8881f3q7hs4i25b
http://www.mediafire.com/?ub8p5za03wpqur8

Grazie in anticipo per gli eventuali aiuti.

Ho compresso gli screenshots e i logs in un unico zip scaricabile da:



Grazie in anticipo per gli eventuali aiuti.

Il log di Combofix è datato 19.11.2010 avevo letto che l'avevi già utilizzato, comunque non emergono tracce del Kido, suggerisco inoltre di disinstallare Avast o MSE 1 antivirus è sufficiemte.

Fai girare questo tool http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

Fai girare questo tool http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

TDSSKiller non ha trovato nulla, comunque il log è:

Allego i risultati dei test

Test: Conficker a/b variant
BDTOOLS REMOVE Downadup: http://www.mediafire.com/?0b3hdx2ywuk1y4r
ComboFix: http://www.mediafire.com/?th926e5matcdmoz
Gmer: http://www.mediafire.com/?pnnwn6juninnuvz

aiuto, non va sul sito microsoft, e altri.

Allego i risultati dei test

Test: Conficker a/b variant
BDTOOLS REMOVE Downadup: http://www.mediafire.com/?0b3hdx2ywuk1y4r
ComboFix: http://www.mediafire.com/?th926e5matcdmoz
Gmer: http://www.mediafire.com/?pnnwn6juninnuvz

aiuto, non va sul sito microsoft, e altri.

Ciao e benvenuta, procedi così:

-apri il Blocco note e copia ed incolla questa righe:

Driver::
anofdy

Netsvc::
anofdy

File::
c:\windows\system32\djltsryv.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\anofdy]
[-HKLM\SYSTEM\CurrentControlSet\Services\anofdy]
[-HKLM\SYSTEM\ControlSet003\Services\anofdy]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt + log della scansione di controllo con Emsisoft Anti-Malware 5.0

grazie, ora funziona tutto

combofix: http://www.mediafire.com/?4aqki4c7qak1mq8
anti-malware: http://www.mediafire.com/?mzq067qo34z3l6m

grazie, ora funziona tutto

combofix: http://www.mediafire.com/?4aqki4c7qak1mq8
anti-malware: http://www.mediafire.com/?mzq067qo34z3l6m

Prego

Buonasera a tutti.
Un amico mi ha passato il suo portatile perchè mi ha detto che non riusciva più ad accedere ad alcuni sito (tipo Microsoft, Avast e altri siti di antivirus e e sicurezza).
Dai sintomi descritti in questo post credo che il problema sia proprio Conficker, come del resto segnalato anche nei due test in prima pagina (nel mio caso è la variante B).
Ho eseguito i primi step descritti, e vi propongo di seguito i log creati.
Fra l'altro sul pc infetto ho messo una chiavetta "pulita" per trasportare i log sul pc da cui sto scrivendo.
Quando ho messo la chiavetta nel mio pc, il mio antivirus (Avira) si è incaxxato tantissimo perchè ha trovato un autorun.inf presente come file nascosto, che sono certo prima non ci fosse.
Ecco i log:
BDTOOLS Remove (http://wikisend.com/download/537604/Win32.Worm.Downladup.Gen.log)
Combofix (http://wikisend.com/download/461544/logComboFix.txt)
Gmer (http://wikisend.com/download/521512/gmer.txt)

Gmer appena ha cominciato la scansione ha rilevato un rootkit e ha chiesto di fare la scansione completa.
In fondo al log credo ci sia qualcosa di sospetto.
Ora passo agli steps successivi o aspetto vostre istruzioni ?
Vorrei precisare che oggi pomeriggio avevo già fatto una scansione completa con Malwarebytes e A-squared-free, però non avevano rilevato niente di grave.
Attendo vs istruzioni !!!
Grazie a tutti.

Buonasera a tutti.
Un amico mi ha passato il suo portatile perchè mi ha detto che non riusciva più ad accedere ad alcuni sito (tipo Microsoft, Avast e altri siti di antivirus e e sicurezza).
Dai sintomi descritti in questo post credo che il problema sia proprio Conficker, come del resto segnalato anche nei due test in prima pagina (nel mio caso è la variante B).
Ho eseguito i primi step descritti, e vi propongo di seguito i log creati.
Fra l'altro sul pc infetto ho messo una chiavetta "pulita" per trasportare i log sul pc da cui sto scrivendo.
Quando ho messo la chiavetta nel mio pc, il mio antivirus (Avira) si è incaxxato tantissimo perchè ha trovato un autorun.inf presente come file nascosto, che sono certo prima non ci fosse.
Ecco i log:
BDTOOLS Remove (http://wikisend.com/download/537604/Win32.Worm.Downladup.Gen.log)
Combofix (http://wikisend.com/download/461544/logComboFix.txt)
Gmer (http://wikisend.com/download/521512/gmer.txt)

Gmer appena ha cominciato la scansione ha rilevato un rootkit e ha chiesto di fare la scansione completa.
In fondo al log credo ci sia qualcosa di sospetto.
Ora passo agli steps successivi o aspetto vostre istruzioni ?
Vorrei precisare che oggi pomeriggio avevo già fatto una scansione completa con Malwarebytes e A-squared-free, però non avevano rilevato niente di grave.
Attendo vs istruzioni !!!
Grazie a tutti.

Ciao, procedi così:

-apri il Blocco note e copia ed incolla questa righe:


Driver::
bbgptw

Netsvc::
bbgptw

File::
C:\WINDOWS\system32\fydhgq.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bbgptw]
[-HKLM\SYSTEM\CurrentControlSet\Services\bbgptw]
[-HKLM\SYSTEM\ControlSet003\Services\bbgptw]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt + log della scansione di controllo con Emsisoft Anti-Malware 5.0

Ciao, procedi così:

-apri il Blocco note e copia ed incolla questa righe:




Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt + log della scansione di controllo con Emsisoft Anti-Malware 5.0
Ok, adesso provo e ti faccio sapere.
Premetto però che con il sistema così infettato, ho già eseguito una scansione completa con Emsisoft Anti-Malware ma non ha trovato assolutamente nulla :( .
L'unica cosa è che dopo averlo installato non ho potuto effettuare l'aggiornamento online, perchè il sito da quel pc non si raggiunge per via del virus.
Ho trovato su alcuni siti che consigliavano di utilizzare f-downadup per eliminare conficker, dice che può servire ?
A dopo, ciao e grazie.

Mmm, mi sa che è successo un po' di casino.
C'era attivo Emsisoft Anti-Malware e dopo che ho trascinato il file txt sull'icona di Combofix, sono cominciate ad uscire avvisi che dei programmi eseguibili presenti in c: erano malevoli e me li ha fatti bloccare tutti.
Poi è uscito un avviso di Combofix che diceva che Combofix funziona solo su sistemi XP o 2000 ( e questo è proprio XP), poi ancora è uscita una finestra che dice:
"PEV" non è riconosciuto come comando interno o esterno, un programma eseguibile o un file batch

e infine un'altra finestra con scritto:
La data corrente è 2011-01-14. Questa copia di ComboFix è scaduta.
Eliminate questa vesrione prima di scaricare la versione aggiornata.

E aspetta che risponda si o no.
Che faccio :muro: ???

Mmm, mi sa che è successo un po' di casino.
C'era attivo Emsisoft Anti-Malware e dopo che ho trascinato il file txt sull'icona di Combofix, sono cominciate ad uscire avvisi che dei programmi eseguibili presenti in c: erano malevoli e me li ha fatti bloccare tutti.
Poi è uscito un avviso di Combofix che diceva che Combofix funziona solo su sistemi XP o 2000 ( e questo è proprio XP), poi ancora è uscita una finestra che dice:
"PEV" non è riconosciuto come comando interno o esterno, un programma eseguibile o un file batch

e infine un'altra finestra con scritto:
La data corrente è 2011-01-14. Questa copia di ComboFix è scaduta.
Eliminate questa vesrione prima di scaricare la versione aggiornata.

E aspetta che risponda si o no.
Che faccio :muro: ???

Rispondi si.

Rispondi si.
Non sapendo cosa fare avevo risposto "no" ...
Poi ho lanciato combofix da solo ma è stato un festival di crash, fra cui anche regedit.
Allora ho disinstallato Emsisoft Anti-Malware che evidentemente interferiva con combofix e ho riavviato il pc.
Alla ripartenza ho rifatto quello che mi hai detto, trasciando il file txt che mi hai fatto creare sull'icona di combofix.
Questa volta il programma è partito regolarmente, ha fatto tutti i suoi steps e alla fine ha riavviato il pc.
Alla ripartenza qualcosa è cambiato: è uscito lo scudetto di Microsoft che avvisa che ci sono aggiornamenti da installare per il pc (prima non usciva più da un bel pezzo).
Adesso rifaccio il giro anche con gmer e poi riposto i logs di combofix e di gmer.
Forse siamo sulla strada giusta ;)

Non sapendo cosa fare avevo risposto "no" ...
Poi ho lanciato combofix da solo ma è stato un festival di crash, fra cui anche regedit.
Allora ho disinstallato Emsisoft Anti-Malware che evidentemente interferiva con combofix e ho riavviato il pc.
Alla ripartenza ho rifatto quello che mi hai detto, trasciando il file txt che mi hai fatto creare sull'icona di combofix.
Questa volta il programma è partito regolarmente, ha fatto tutti i suoi steps e alla fine ha riavviato il pc.
Alla ripartenza qualcosa è cambiato: è uscito lo scudetto di Microsoft che avvisa che ci sono aggiornamenti da installare per il pc (prima non usciva più da un bel pezzo).
Adesso rifaccio il giro anche con gmer e poi riposto i logs di combofix e di gmer.
Forse siamo sulla strada giusta ;)

Serve solo il log di Emsi Antimalware + il log rilasciato da Combo, esattamente come richiesto in precedenza.

Serve solo il log di Emsi Antimalware + il log rilasciato da Combo, esattamente come richiesto in precedenza.

Ok, fatto tutto.
Per completezza ho fatto un giro anche con Gmer, che fra l'altro non rileva più nessun rootkit presente.
Combofix (http://wikisend.com/download/226152/combofix_dopo_pulizia.txt)
gmer (http://wikisend.com/download/952626/gmer_dopo_pulizia.txt)
Emsisoft (http://wikisend.com/download/928220/a2scan_110114-121355.txt)

Emsi mi trova una schifezza che probabilmente il giro di pulizia ha messo in una cartella di quarantena:
C:\Qoobox\Quarantine\C\WINDOWS\system32\_fydhgq_.dll.zip/fydhgq.dll

Lo posso cancellare definitivamente ?

Ora poi ho un'altra domanda: continua ad uscire lo scudetto giallo di windows update che dice di voler installare gli aggiornamenti.
Non ho capito quando li avrebbe scaricati perchè il pc è fuori linea da ieri sera, e anche prima sul sito di windows update non navigava.
Glieli faccio fare ?
Poi vorrei aggiornare XP che è fermo al SP2, lascio che faccia da solo facendolo andare in rete ?
Quella famosa patch indicata nel primo post per conficker dovrebbe installarsi da sola con windows update, o la installo prima a mano ?

Ciao e naturalmente grazie di tutto.

Ok, fatto tutto.
Per completezza ho fatto un giro anche con Gmer, che fra l'altro non rileva più nessun rootkit presente.
Combofix (http://wikisend.com/download/226152/combofix_dopo_pulizia.txt)
gmer (http://wikisend.com/download/952626/gmer_dopo_pulizia.txt)
Emsisoft (http://wikisend.com/download/928220/a2scan_110114-121355.txt)

Emsi mi trova una schifezza che probabilmente il giro di pulizia ha messo in una cartella di quarantena:
C:\Qoobox\Quarantine\C\WINDOWS\system32\_fydhgq_.dll.zip/fydhgq.dll

Lo posso cancellare definitivamente ?

Si


Ora poi ho un'altra domanda: continua ad uscire lo scudetto giallo di windows update che dice di voler installare gli aggiornamenti.
Non ho capito quando li avrebbe scaricati perchè il pc è fuori linea da ieri sera, e anche prima sul sito di windows update non navigava.
Glieli faccio fare ?
Poi vorrei aggiornare XP che è fermo al SP2, lascio che faccia da solo facendolo andare in rete ?
Quella famosa patch indicata nel primo post per conficker dovrebbe installarsi da sola con windows update, o la installo prima a mano ?

Ciao e naturalmente grazie di tutto.

Procedi pure con gli aggioramenti, verrà installata anche la patch consigliata in prima pagina.

Procedi pure con gli aggioramenti, verrà installata anche la patch consigliata in prima pagina.

Chill-Out che dire, grazie 1000 per tutto.
Il pc funziona correttamente, ha installato un bel po' di patch con windows update, fra cui anche il SP3.
In internet si naviga tranquillamente su tutti i siti e gli aggiornamenti di Avast vengono scaricati senza intoppi.
Lunedì riporterò il portatile al mio collega e sarà sicuramente contento :)
Ho una domanda però: quel file di testo che mi hai fatto copiare per Combofix, sulla base di cosa l'hai creato ?
Credo che la sistemazione del virus sia stata effettuata da Combofix, ma c'è una guida per capire come creare il contenuto di questo file ?
Ciao e grazie ancora :)

Sono due giorni che non mi riesco piu a collegare a diversis iti tra cui quelli per l'antivirus. Ho scaricato Combofix ma mentre fa la scansione arrivata alla riga 37 -38 il pc mi si riavvia da solo. Ho scaricato anche Gmer ma quando vado ad installarlo il pc mi si riavvia da solo.
Qualcuno può darmi una mano? non so più cosa provare...
grazie mille

Alla fine avviando in modalità provvisoria sono riuscita far funzionare combofix.
Questo il log
Grazie

Ho una domanda però: quel file di testo che mi hai fatto copiare per Combofix, sulla base di cosa l'hai creato ?

Leggendo i log di Combo e Gmer


Credo che la sistemazione del virus sia stata effettuata da Combofix, ma c'è una guida per capire come creare il contenuto di questo file ?
Ciao e grazie ancora :)

No, purtroppo non esiste una Guida, ciao.

Alla fine avviando in modalità provvisoria sono riuscita far funzionare combofix.
Questo il log
Grazie

Ciao, il log è incompleto, non emergono inoltre tracce del worm in oggetto, potresti spiegare dettagliatamente il problema.

Ciao, il log è incompleto, non emergono inoltre tracce del worm in oggetto, potresti spiegare dettagliatamente il problema.

Ciao Chill-Out il problema è inizato quando non risucivo a colelgarmia l sito del corriere, gazetta e alcuni altri...e ho verificato che neanche i siti antivirus non riuscivo ad accedere. Seguendo le iidcazioni in prima pagina ho scaricato combofix ma in modalità normale arrivato alla riga 36-37 mi crashava il sistema e si riavviava da solo, mentre con gmer appena andavao ad instalalrlo mi faceva lo stesso mi crashava. Poi in modlaita provvisoria con combofix mi ha eleiminato diversi file ed ora mi riesco a collegare. Tra l'altro con Malawerebytes mi indica che ho anche un Trojan.Fake alert. Ti allwgo il log.

Ora cosa dovrei fare secondo te per debellare il problema poichè ho notatao che ora il pc si si colelga ma va molto lento.?

Grazie mille

Ciao Chill-Out il problema è inizato quando non risucivo a colelgarmia l sito del corriere, gazetta e alcuni altri...e ho verificato che neanche i siti antivirus non riuscivo ad accedere. Seguendo le iidcazioni in prima pagina ho scaricato combofix ma in modalità normale arrivato alla riga 36-37 mi crashava il sistema e si riavviava da solo, mentre con gmer appena andavao ad instalalrlo mi faceva lo stesso mi crashava. Poi in modlaita provvisoria con combofix mi ha eleiminato diversi file ed ora mi riesco a collegare. Tra l'altro con Malawerebytes mi indica che ho anche un Trojan.Fake alert. Ti allwgo il log.

Ora cosa dovrei fare secondo te per debellare il problema poichè ho notatao che ora il pc si si colelga ma va molto lento.?

Grazie mille


Sono di nuovo punto e a capo...non riesco più a colelgarmi ai siti antivirus e a siti corriere...gazzetta etc...:muro: :muro: :muro:

Sono di nuovo punto e a capo...non riesco più a colelgarmi ai siti antivirus e a siti corriere...gazzetta etc...:muro: :muro: :muro:

Fai girare questo tool http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

successivamente segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

NB: i log allegali dove appena indicato compreso il log di TDSSKiller

Molto umilmente , vorrei sottoporvi le mie esperienze lavorative su kido/conficker e come l'ho rimosso.

Test/Trial on the field su pc della mia amministrazione con vari prodotti commerciali:

1) F-secure Client Security/Server Ed. versione enterprise:
a) release 7.x nonostante lo rilevi non lo blocca e infetta
b) release 8.x lo rileva , il controllo sistema lo blocca , ma non viene eliminato dai supporti infetti.
Questo su tutte le versioni di windows sia client che server.

2) Nod32 release 3.0xx
lo rileva , lo pone in quarantena , ma al riavvio persiste e non lo elimina

3) Norman antivirus ( ultima release , è stato gia disinstallato)
Lo rileva , lo blocca e lo elimina dai supporti NON dal sistema se è infetto, anzi peggio va in crash e la disinstallazione è un incubo.

4) Avira rescue system cd su kernel linux
Presumendo che l'utente sia in grado di modificare il boot order e configurare il software avira , lo rinomina e lo rende inoffensivo

5) Drweb livecd ,
Presumendo che l'utente sia in grado di modificare il boot order e configurare il software avira , lo elimina.
Per me è complementare a Avira rescue system perchè trova ed elimina il rinominato più qualcos'altro che possa sfuggire

6) AVG/Avast le solite versioni gratuite
Nessun risultato apprezzabile, a seconda del livello di compromissione del pc i guai peggiorano sino al blue screeen

In sintesi ho risolto con il tool di kaspersky denominato kidokiller (kk.exe) che lanciato da shell dos in modalità sia normale che provvisoria con questi switch:
kk.exe -t -a -x -v -r -f
Mi ha ripulito nella quasi totalità dei casi notebook e desktop infetti e relative chiavette.
Se uno vuole ripulire solo le chiavette USB:
KK.exe -t -a -v -r

Nella speranza di essere stato utile , faccio i comlimenti per questo forum e più specificatamente per questa sezione , per me inestimabile.:D

grazie. molto utile e veloce

Ciao

Sono infetto da variante B:

Possibly Infected by Conficker A/B variant
Status: System is possibly infected with Conficker.B
clean Status: There are no signs for an infection.

Ecco i LOG:
http://wikisend.com/download/542996/Win32.Worm.Downladup.Gen.log

http://wikisend.com/download/888500/ComboFix_log.txt

http://wikisend.com/download/916202/GMer_log.txt

Grazie a tutti!!

Supialus

Ciao

Sono infetto da variante B:

Possibly Infected by Conficker A/B variant
Status: System is possibly infected with Conficker.B
clean Status: There are no signs for an infection.

Ecco i LOG:
http://wikisend.com/download/542996/Win32.Worm.Downladup.Gen.log

http://wikisend.com/download/888500/ComboFix_log.txt

http://wikisend.com/download/916202/GMer_log.txt

Grazie a tutti!!

Supialus

Ciao, apri il Blocco note e copia ed incolla questa righe:


Driver::
nshawcye
sqyacutcc

Netsvc::
nshawcye

File::
c:\windows\system32\cryar.dll
c:\windows\system32\cjlpbxo.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nshawcye]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sqyacutcc]
[-HKLM\SYSTEM\CurrentControlSet\Services\nshawcye]
[-HKLM\SYSTEM\CurrentControlSet\Services\sqyacutcc]
[-HKLM\SYSTEM\ControlSet002\Services\nshawcye]
[-HKLM\SYSTEM\ControlSet002\Services\sqyacutcc]
[-HKLM\SYSTEM\CurrentControlSet\Services\anofdy]
[-HKLM\SYSTEM\ControlSet003\Services\anofdy]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt + log della scansione di controllo con Emsisoft Anti-Malware 5.0

Possibly Infected by Conficker A/B variant

gmer: System infected http://wikisend.com/download/393392/gmer log.log
db rem tool: "Systeam Clean"
combofix: http://wikisend.com/download/410972/ComboFix.txt

Possibly Infected by Conficker A/B variant

gmer: System infected http://wikisend.com/download/393392/gmer log.log
db rem tool: "Systeam Clean"
combofix: http://wikisend.com/download/410972/ComboFix.txt

Ciao, apri il Blocco note e copia ed incolla questa righe:


Driver::
xkobwn

Netsvc::
xkobwn

File::
c:\windows\system32\auxcey.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xkobwn]
[-HKLM\SYSTEM\CurrentControlSet\Services\xkobwn]
[-HKLM\SYSTEM\ControlSet002\Services\xkobwn]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt + log della scansione di controllo con Emsisoft Anti-Malware 5.0

Ciao a tutti,
seguendo i consigli di Chill Out sull' altro thread vi posto i miei log :

http://wikisend.com/download/390140/NFix_2011-03-02_09-08-03.log
db rem tool: "Systeam Clean"
http://wikisend.com/download/891286/gmer log2.log
http://wikisend.com/download/933112/log_combofix.txt

grazie in anticipo, ciao!

Ciao a tutti,
seguendo i consigli di Chill Out sull' altro thread vi posto i miei log :

http://wikisend.com/download/390140/NFix_2011-03-02_09-08-03.log
db rem tool: "Systeam Clean"
http://wikisend.com/download/891286/gmer log2.log
http://wikisend.com/download/933112/log_combofix.txt

grazie in anticipo, ciao!

Apri il Blocco note e copia ed incolla questa righe:



Driver::
uzltsd

Netsvc::
uzltsd

File::
c:\windows\system32\bjloy.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uzltsd]
[-HKLM\SYSTEM\CurrentControlSet\Services\uzltsd]
[-HKLM\SYSTEM\ControlSet002\Services\uzltsd]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

grazie, durante il primo tentativo prima che iniziassero gli step si e' bloccato il pc (schermo blu), ho riavviato e fatto ripartire e ha completato la procedura, questo il log:

http://wikisend.com/download/922170/log.txt

procedo con la parte del primo post "Scansione di controllo" ?
o devo rifare tutte le scansioni? grazie! :)

grazie, durante il primo tentativo prima che iniziassero gli step si e' bloccato il pc (schermo blu), ho riavviato e fatto ripartire e ha completato la procedura, questo il log:

http://wikisend.com/download/922170/log.txt

procedo con la parte del primo post "Scansione di controllo" ?
o devo rifare tutte le scansioni? grazie! :)

No, imposta Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 e leggi attentamente questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383

Chill Out, continuo a ringraziarti per l' aiuto, ma in questo pc temo che la situazione non sia ancora andata a posto, noto degli incredibili rallentamenti tipo processi che girano in background e avira che ogni tanto mi si richiude e riparte dopo qualche minuto, io ho ancora sentore che vi sia un virus che gira.... cosa mi consigli? rifaccio le scansioni?

Chill Out, continuo a ringraziarti per l' aiuto, ma in questo pc temo che la situazione non sia ancora andata a posto, noto degli incredibili rallentamenti tipo processi che girano in background e avira che ogni tanto mi si richiude e riparte dopo qualche minuto, io ho ancora sentore che vi sia un virus che gira.... cosa mi consigli? rifaccio le scansioni?

Ti sarai reinfettato, se desideri puoi seguire questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

NB: allega i log in 1 nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

Salve a tutti! ho prestato il mio HD esterno e quando ho provato ad accedervi nod32 mi ha comunicato l'esistenza di un conficker worm.

E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx - Win32/Conficker.AB worm

Sono praticamente sicura che l'infezione è circoscritta solo all'HD, ho fatto una scansione del sistema con nod32 e non mi ha segnalato nulla, il pc risulta negativo ai due test nella guida e non dà segni di anomalie.
Ho provato a risolvere il problema con kidokiller, ma non ha fatto nulla con un bel messaggio di "cure failed".

Ho seguito la guida con l'HD collegato e vi allego i log:

BDTOOLS REMOVE:Win32.Worm.Downladup.Gen.log (http://wikisend.com/download/590308/Win32.Worm.Downladup.Gen.log)
ComboFix:combo fix log.txt (http://wikisend.com/download/541712/combo fix log.txt)
Gmer:gmer.txt (http://wikisend.com/download/484678/gmer.txt)

Spero possiate aiutarmi! Grazie in anticipo!

hià già provato a svuotare il cestino di windows?
dopo per certezza fai anche la scansione completa con Emsisoft Anti-Malware 5.0

Sì, il cestino è vuoto.
Ho fatto una scansione con DrWeb, mi ha trovato 2 oggetti infetti:
- autorun.Vinf spostato in quarantena (poi ho fatto partire kk dandogli il percorso e mi risulta che sia stato eliminato)
- E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx - Win32/Conficker.AB worm che invece ho rinominato.

Quest'ultimo non mi era mai stato riconosciuto da kidokiller, e infatti facendo la scansione con questo dopo aver messo in quarantena autorun.Vinf l'HD risulta pulito. DrWeb e nod32 invece continuano a segnalarmelo.

Ora sto scaricando Emsisoft Anti-Malware 5.0 e poi farò anche con quello la scansione, ma (da totale ignorante in materia, infatti mi sono rivolta a voi qui :) ) ho come l'impressione che facendo le scansioni generali con gli altri programmi l'HD esterno pur collegato venga saltato a piè pari. Puoi mica controllare dai log se pure E: è stato scansionato? perché a me sembra di no.

cancellate questo post

Emsisoft Anti-Malware 5.0 mi dà tutto pulito..nod32 invece continua a segnalarmi quel file..
che devo fare?

Sì, il cestino è vuoto.
Ho fatto una scansione con DrWeb, mi ha trovato 2 oggetti infetti:
- autorun.Vinf spostato in quarantena (poi ho fatto partire kk dandogli il percorso e mi risulta che sia stato eliminato)
- E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx - Win32/Conficker.AB worm che invece ho rinominato.

Quest'ultimo non mi era mai stato riconosciuto da kidokiller, e infatti facendo la scansione con questo dopo aver messo in quarantena autorun.Vinf l'HD risulta pulito. DrWeb e nod32 invece continuano a segnalarmelo.

Ora sto scaricando Emsisoft Anti-Malware 5.0 e poi farò anche con quello la scansione, ma (da totale ignorante in materia, infatti mi sono rivolta a voi qui :) ) ho come l'impressione che facendo le scansioni generali con gli altri programmi l'HD esterno pur collegato venga saltato a piè pari. Puoi mica controllare dai log se pure E: è stato scansionato? perché a me sembra di no.
bitdefender dal log non comprendo che unità abbia scansionato, combofix e gmer hanno analizzato solo c:\
ma gmer può scansionare anche altre unità, sicura che ci fossero tutti i segni di attivazione sulle caselline?

e il ripristino di sistema lo hai disabilitato su tutte le unità?