Guida alla rimozione Conficker (Downup - Downadup - Kido)
Powered by: Hardware Upgrade Forum - Sezione Antivirus e Sicurezza

"Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5"

http://i.creativecommons.org/l/by-nc-sa/2.5/it/88x31.png (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)


■ Cos'è il worm Conficker

Conficker, conosciuto anche come Downup, Downadup e Kido è un worm scoperto nell'ottobre 2008 e si diffonde sulle piattaforme Microsoft Windows 2000, XP, Vista e Server 2003/2008. Il Worm è in grado di sfruttare una grave vulnerabilità di sicurezza, corretta dalla stessa Microsoft in data 23 Ottobre 2008 con la pubblicazione del bollettino straordinario MS08-67. (http://www.microsoft.com/italy/technet/security/Bulletin/MS08-067.mspx)

Le finalità del Conficker non sono estremamente chiare, attualmente il worm dopo aver infettato milioni di computer nel mondo verrà molto probabilmente utilizzato per creare una botnet per inviare spam, rubare informazioni personali e redirigeri gli utenti su siti di pishing e truffe online.

Il worm si diffonde principalmente sulle reti, individuato un PC vulnerabile si installa in modo silente, elimina i punti di ripristino precedenti, disattiva alcuni servizi di protezione, inibisce l'accesso ai siti Web sulla sicurezza, come i siti dei maggiori produttori di software antivirus, apre il sistema infetto per consentire la ricezione di altro codice malevolo, copia se stesso nelle cartelle condivise di rete e sui supporti removibili USB.

In funzione di quanto sopra esposto gli utenti a rischio sono quelli che hanno disabilitato gli aggiornamenti automatici ma soprattutto coloro che non utilizzano una copia orignale di Windows in quanto impossibilitati a ricevere gli aggiornamenti e le patch di Microsoft.

■ Sono infetto?

Se siete impossibilitati a fare gli aggiornamenti di Windows e non riuscite a raggiungere i siti Web sulla sicurezza, è probabile che Conficker abbia fatto breccia sul vostro PC. Per determinare la presenza del Worm è sufficiente cliccare sui seguenti link, l'interpretazione dei risultati è estremamente intuitiva.

Test 1 (http://www.confickerworkinggroup.org/infection_test/cfeyechart.html)

Test 2 (http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/)


■ Guida alla rimozione


Al fine di mantenere il Thread ordinato e fruibile, hostate i log solo ed esclusivamente in formato .txt sui Server remoti indicati nelle REGOLE DI SEZIONE (http://www.hwupgrade.it/forum/showthread.php?t=1751598) pubblicando per ogni singolo log il link che verrà rilasciato per il download


E' opportuno leggere attentamente tutta la Guida prima di intraprendere la procedura di rimozione


Per la rimozione del Conficker è fondamentale scollegare il PC dalla rete LAN (WI-FI-ADSL-HSDPA/UMTS) e mantenerlo scollegato, per cui si rende necessario scaricare a priori tutti i tools dedicati alla rimozione



● Rilevazione e rimozione


1. ATF Cleaner - Download (http://www.atribune.org/ccount/click.php?id=1) - Guida all'utilizzo (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione


2. BDTOOLS REMOVE Downadup - Download (http://www.bdtools.net/download/bd_rem_tool.zip)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Doppio click su bd_rem_tool.zip estraete tutti i files (importante) verrà creata una cartella denominata bd_rem_tool contenente bd_rem_tool_console.exe e bd_rem_tool_gui.exe

Doppio click su bd_rem_tool_gui.exe all'Avviso di protezione di Windows cliccate su Esegui e successivamente su Start per lanciare la scansione, attendete pazientemente in quanto la scansione può durare anche più di 15 minuti, al termine della stessa vi verrà chiesto di riavviare (restart) il PC, acconsentite cliccando su Yes

Il file di log da allegare per il controlo si trova in C:\Win32.Worm.Downladup.Gen.log


3. ComboFix - Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt


4. Gmer - Download (http://www2.gmer.net/gmer.zip)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle

Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

IMPORTANTE: a questo punto allegate i log nella sequenza indicata

BDTOOLS REMOVE Downadup
ComboFix
Gmer

ed attendete una risposta da chi presta assistenza


● Scansione di controllo


1. Emsisoft Anti-Malware 5.0 - Download (http://download.cnet.com/Emsisoft-Anti-Malware/3000-2239_4-10292236.html?part=dl-6251182&subj=dl&tag=button) - Guida all'utilizzo (http://www.hwupgrade.it/forum/showthread.php?t=1564958)
Compatibile: Windows XP - Vista - Seven

Doppio click su a2AntiMalwareSetup.exe per lanciare l'installazione, seguite le istruzioni a video, al termine dell'installazione vi verrà chiesto di eseguire l'update terminato il quale bisognerà riavviare per rendere effettive le modifiche apportate
Cliccare su Scansiona PC - Completa - Scansiona

Terminata la scansione cliccare su Metti in quarantena gli oggetti selezionati, successivamente su Salva rapporto per salvare il log in formato .txt da allegare per il controllo


● Trattamento post infezione


1. Installare la Patch MS08-67 (http://www.microsoft.com/italy/technet/security/Bulletin/MS08-067.mspx)


2. La presente Guida (http://www.hwupgrade.it/forum/showthread.php?t=1726383) vi aiuterà a verificare la configurazione di sicurezza del PC, aggiornare programmi obsoleti e vulnerabili ed eliminare eventuali residui inutili dei programmi utilizzati nella guida.

ottima come sempre :)
ci voleva!

L'ho preso oggi...
inserendo sul pc la chiavetta di una ma compagna, avast mi ha avvertito di 2 files infetti da conficker...

ho scansionato completamente con mbam e prevx.....posso ritenermi infetto?

L'ho preso oggi...
inserendo sul pc la chiavetta di una ma compagna, avast mi ha avvertito di 2 files infetti da conficker...

ho scansionato completamente con mbam e prevx.....posso ritenermi infetto?

nella guida ci sono indicati i 2 test da fare

la ho già fatti...risultano positivi al non-conficker!

comunque mercoledì devo rifarmi dare la chiavetta, inserirla nel pc di scuola (:D ) e da lì la disinfetto, eliminando la cartella recycler...o qualcosa del genere

Ciao a tt...ho eseguito la guida per la rimozione del Conficker fino al punto in cui devo inviare i log...I test effettuati dicono che sono infetto da:

Possibly Infected by Conficker A/B variant
Status: System is possibly infected with Conficker.B
clean Status: There are no signs for an infection.

detto ciò ecco a voi i log:

BDTOOLS REMOVE Downadup (http://www.wikisend.com/download/956184/Win32.Worm.Downladup.Gen.log)

ComboFix (http://www.wikisend.com/download/575762/ComboFix.txt)

Gmer (http://www.wikisend.com/download/502780/gmerlog.txt)

Ciao a tt...ho eseguito la guida per la rimozione del Conficker fino al punto in cui devo inviare i log...I test effettuati dicono che sono infetto da:

Possibly Infected by Conficker A/B variant
Status: System is possibly infected with Conficker.B
clean Status: There are no signs for an infection.

detto ciò ecco a voi i log:

BDTOOLS REMOVE Downadup (http://www.wikisend.com/download/956184/Win32.Worm.Downladup.Gen.log)

ComboFix (http://www.wikisend.com/download/575762/ComboFix.txt)

Gmer (http://www.wikisend.com/download/502780/gmerlog.txt)



Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Driver::
xwkwp

Netsvc::
xwkwp




Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto




Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt


ecco il log di ComboFix (http://www.wikisend.com/download/694720/ComboFix.txt)

ecco il log di ComboFix (http://www.wikisend.com/download/694720/ComboFix.txt)

Procedi con la Scansione di controllo

it's out of date

eccomi qua... i testi mi dicono variante b

posto alcuni log:

trend micro: <http://www.hwupgrade.it/forum/showpost.php?p=27757229&postcount=2>

tlist.exe:<http://img197.imageshack.us/i/tlistdotexe.jpg/>

bitdefender tools:<http://wikisend.com/download/758954/Win32.Worm.Downladup.Gen.log>

combofix non funzia... chiudendo ogni task non basico, avvviando l'exe compare un messaggio di errore generico e scompare l'exe... trovo un log che mi pare di esso in root:<http://wikisend.com/download/523360/Bug.txt>

GMER's log:<http://wikisend.com/download/523914/gmer.txt>

vedo che vi è un po' di lavoro... spero in bene ;)

ecco il log (http://www.wikisend.com/download/446908/a2scan_090607-203226.txt) di a-squared

ecco il log (http://www.wikisend.com/download/446908/a2scan_090607-203226.txt) di a-squared

Dovremmo essere ok, procedi come indicato in Guida :)

scusa... ma se passo ad asquare sono ok? è lui stesso che si occupa della rimozione?

scusa... ma se passo ad asquare sono ok? è lui stesso che si occupa della rimozione?

Il tuo problema non sembra Kido, segui il suggerimento dato qui http://www.hwupgrade.it/forum/showthread.php?t=1995686

sorry. .mi soono lasciato ingannare dai tests...
ho la iso...fatta arrivare da una amica sotto forma di file via msn.. ora masterizo.. entro dopodomani avrò il log....a dire il vero temo che le infezioni siano diverse... vaya con dios

continuo con l'invasione, dato che stupidamente ho fatto chiudere il mio topic.... ho eseguito la scansione con kasp..ecco il log <http://wikisend.com/download/797370/kasplog.txt>
altri aggiornamenti.... svchost.exe, i driver del mouse trust e alwais-on-top sono stati corrotti anch'essi dall'infezione... al pari dell'antivir

continuo con l'invasione, dato che stupidamente ho fatto chiudere il mio topic.... ho eseguito la scansione con kasp..ecco il log <http://wikisend.com/download/797370/kasplog.txt>
altri aggiornamenti.... svchost.exe, i driver del mouse trust e alwais-on-top sono stati corrotti anch'essi dall'infezione... al pari dell'antivir

se l'infezione è mista e c'è di mezzo anche conficker posta qui i log richiesti per la sua rimozione, poi eventualemente ci si sposta nell'altro 3d che hai aperto per le restanti operazioni

Il 3D è aperto http://www.hwupgrade.it/forum/showthread.php?t=1995686 e non si tratta di Conficker

Vedi Post #15

Molto umilmente , vorrei sottoporvi le mie esperienze lavorative su kido/conficker e come l'ho rimosso.

Test/Trial on the field su pc della mia amministrazione con vari prodotti commerciali:

1) F-secure Client Security/Server Ed. versione enterprise:
a) release 7.x nonostante lo rilevi non lo blocca e infetta
b) release 8.x lo rileva , il controllo sistema lo blocca , ma non viene eliminato dai supporti infetti.
Questo su tutte le versioni di windows sia client che server.

2) Nod32 release 3.0xx
lo rileva , lo pone in quarantena , ma al riavvio persiste e non lo elimina

3) Norman antivirus ( ultima release , è stato gia disinstallato)
Lo rileva , lo blocca e lo elimina dai supporti NON dal sistema se è infetto, anzi peggio va in crash e la disinstallazione è un incubo.

4) Avira rescue system cd su kernel linux
Presumendo che l'utente sia in grado di modificare il boot order e configurare il software avira , lo rinomina e lo rende inoffensivo

5) Drweb livecd ,
Presumendo che l'utente sia in grado di modificare il boot order e configurare il software avira , lo elimina.
Per me è complementare a Avira rescue system perchè trova ed elimina il rinominato più qualcos'altro che possa sfuggire

6) AVG/Avast le solite versioni gratuite
Nessun risultato apprezzabile, a seconda del livello di compromissione del pc i guai peggiorano sino al blue screeen

In sintesi ho risolto con il tool di kaspersky denominato kidokiller (kk.exe) che lanciato da shell dos in modalità sia normale che provvisoria con questi switch:
kk.exe -t -a -x -v -r -f
Mi ha ripulito nella quasi totalità dei casi notebook e desktop infetti e relative chiavette.
Se uno vuole ripulire solo le chiavette USB:
KK.exe -t -a -v -r

Nella speranza di essere stato utile , faccio i comlimenti per questo forum e più specificatamente per questa sezione , per me inestimabile.:D

Molto umilmente , vorrei sottoporvi le mie esperienze lavorative su kido/conficker e come l'ho rimosso.

Test/Trial on the field su pc della mia amministrazione con vari prodotti commerciali:

1) F-secure Client Security/Server Ed. versione enterprise:
a) release 7.x nonostante lo rilevi non lo blocca e infetta
b) release 8.x lo rileva , il controllo sistema lo blocca , ma non viene eliminato dai supporti infetti.
Questo su tutte le versioni di windows sia client che server.

2) Nod32 release 3.0xx
lo rileva , lo pone in quarantena , ma al riavvio persiste e non lo elimina

3) Norman antivirus ( ultima release , è stato gia disinstallato)
Lo rileva , lo blocca e lo elimina dai supporti NON dal sistema se è infetto, anzi peggio va in crash e la disinstallazione è un incubo.

4) Avira rescue system cd su kernel linux
Presumendo che l'utente sia in grado di modificare il boot order e configurare il software avira , lo rinomina e lo rende inoffensivo

5) Drweb livecd ,
Presumendo che l'utente sia in grado di modificare il boot order e configurare il software avira , lo elimina.
Per me è complementare a Avira rescue system perchè trova ed elimina il rinominato più qualcos'altro che possa sfuggire

6) AVG/Avast le solite versioni gratuite
Nessun risultato apprezzabile, a seconda del livello di compromissione del pc i guai peggiorano sino al blue screeen

In sintesi ho risolto con il tool di kaspersky denominato kidokiller (kk.exe) che lanciato da shell dos in modalità sia normale che provvisoria con questi switch:
kk.exe -t -a -x -v -r -f
Mi ha ripulito nella quasi totalità dei casi notebook e desktop infetti e relative chiavette.
Se uno vuole ripulire solo le chiavette USB:
KK.exe -t -a -v -r

Nella speranza di essere stato utile , faccio i comlimenti per questo forum e più specificatamente per questa sezione , per me inestimabile.:D

ciao

grazie per il tuo apporto :)

Di niente felice di poter essere di aiuto, appena mi arrivano altre suite commerciali che ho ordinato e le testo sul campo , vi farò sapere.
:)

ecco i miei log

bd_rem_tool http://wikisend.com/download/561528/Win32.Worm.Downladup.Gen.log

combofix http://wikisend.com/download/436922/ComboFix.txt

gmer http://wikisend.com/download/968084/gmer.log

ecco i miei log

bd_rem_tool http://wikisend.com/download/561528/Win32.Worm.Downladup.Gen.log

combofix http://wikisend.com/download/436922/ComboFix.txt

gmer http://wikisend.com/download/968084/gmer.log

Apri il blocco note e copia ed incolla queste righe:

Driver::
plgfeuxz
vipdjn

Netsvc::
plgfeuxz
vipdjn

File::
C:\WINDOWS\system32\kjjhdwls.dll

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3024:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\plgfeuxz]
[-HKLM\SYSTEM\CurrentControlSet\Services\plgfeuxz]
[-HKLM\SYSTEM\ControlSet003\Services\mougfxhh]

File::
c:\windows\system32\kjjhdwls.dll


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

Successivamente prosegui facendo scansione completa con a-squared


NB: non collegare al PC nessun supporto removibile USB

ecco il log di combofix http://wikisend.com/download/544454/ComboFix.txt

poco fà ho aperto a2squared e prima di fare la scansione sono andato per aggiornarlo, ma come al solito mi dice che non si può aggiornare per problemi al proxy...ho fatto nuovamente il test del conficker e sono affetto dalla variante b...ma non lo aveva levato il combofix??

una volta tolto definitivamente per evitare che ritorni basta aggiornare l'xp al sp3 ed installare la patch che date nella guida?

grazie

dal log di combofix si evince questa eliminazione:
kjjhdwls.dll

quindi hai fatto cio che diceva Chill-Out.

per a-squared puoi provare in questo modo:
chiudi il programma clickando con il tasto destro sull'icona nella traybar (affianco all'orologio di windows) e clicka poi sulla voce "chiudi protezione backguard" poi riavvia il pc.
appena il pc è di nuovo attivo e in attesa di tuoi ordini entra nelle impostazioni di rete di a-squared e controlla se ha come impostazione "connessione diretta" in caso avesse impostazioni fallate modificale.
poi prova ad aggiornarlo :)

Mi sembra assai strano il problema relativo all'aggiornamento di A2, dal log non emergono anomalie relative al traffico sulla porta 80 , comunque metti in pratica il consiglio di xcdegasp ed allega anche un nuovo log di Gmer.

[QUOTE=Chill-Out;27504741]






E' opportuno leggere attentamente tutta la Guida prima di intraprendere la procedura di rimozione

Sono andato in un internet point a scaricare un grosso aggiornamento, perchè io ho solo una connessione HDSPA. Quando torno a casa e infilo la chiavetta nel PC, mi esce un errore strano, e vedo la chiavetta come una cartella (non con il simbolo normale di unità rimovibile). Riesco lo stesso a scaricare i file contenuti.Installo il programma scaricato nell'internet point, e dopo qualche minuto l'antivirus incomincia a mandarmi messaggi d'infezione dal virus Downadup. Diverse cartelle sono infette dal file :huioou.dll che viene associato a Downadup.
Ho seguito la Vs procedura di rimozione e quindi ora il Pc dovrebbe essere
ok. Ma rimane il problema della chiavetta usb, da dove probabilmente ho preso l'infezione. Ora ho paura a reinserirla nel PC che ho "ripulito". Cosa dovrei fare per ripulire anche la chiavetta senza correre rischi ?
Inoltre, per collegarmi a internet, uso un BlackBerry con la usim hdspa. Potrebbe essrsi infettato anche lo smartphone? Considerate che io trasferisco sovente file da PC a telefonino e viceversa.

vorremmo vedere i log per verificare che sia tutto ok

Pulizia generica di chiavette e dischi esterni

Prima di fare pulizia sulla chiavetta/e, hard disk esterni devi assicurarti che al loro inserimento non venga infettato il pc.
Tieni premuto il tasto Shift (quello con la freccia in su situato tra Ctrl e Cap Lock) prima dell'inserimento oppure disattiva la riproduzione automatica delle periferiche (USB/CD) (http://www.hwupgrade.it/forum/showpost.php?p=25768214&postcount=46)
Una volta collegato il supporto sottoponilo a scansioni antivirus e antispyware con i programmi aggiornati.

Programmmi consigliati:

antivirus: Antivir (http://www.hwupgrade.it/forum/showpost.php?p=24033041&postcount=4) configurato come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684), se non vuoi cambiare antivirus usa Cureit (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5) o Kaspersky removal tool (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)
antispyware: Malwarebytes Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9) + A-squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8)


Per la pulizia vai su Risorse computer -> tasto destro sul supporto e scansiona con:
Antivir (o il tuo antivirus)
Malwarebytes
A-Squared

vorremmo vedere i log per verificare che sia tutto ok


Questo è il report della segnalazione dell'infezione:

"F:\Documents and Settings\Administrator\Application Data\hujoou.dll";"Virus identificato Worm/Downadup";"Spostato in Quarantena virus"
"F:\Program Files (x86)\Movie Maker\hujoou.dll";"Virus identificato Worm/Downadup";"Spostato in Quarantena virus"
"F:\System Volume Information\_restore{FCAA5C87-CB47-444E-AAC8-0483BF2412E5}\RP1\A0000033.dll";"Virus identificato Worm/Downadup";"Spostato in Quarantena virus"
"F:\System Volume Information\_restore{FCAA5C87-CB47-444E-AAC8-0483BF2412E5}\RP1\A0000034.dll";"Virus identificato Worm/Downadup";"Spostato in Quarantena virus"
"F:\System Volume Information\_restore{FCAA5C87-CB47-444E-AAC8-0483BF2412E5}\RP1\A0000035.dll";"Virus identificato Worm/Downadup";"Spostato in Quarantena virus"
"F:\WINDOWS\SysWOW64\hujoou.dll";"Virus identificato Worm/Downadup";"Spostato in Quarantena virus"

Al momento non ho ancora inserito la chiavetta per la disinfezione. Il PC risulta "pulito". V'invio poi il log, dopo avere scansionato anche la chiavetta.

ai test come risulti?

IMPORTANTE: a questo punto allegate i log nella sequenza indicata

BDTOOLS REMOVE Downadup
ComboFix
Gmer

ai test come risulti?

Ho eseguito i 2 test e risulto negativo a entrambi. Ho inserito dopo la chiavetta usb, tenendo premuto lo shift. Sia il mio AV che Malwarebytes mi segnalavano la presenza del virus sulla chiavetta. Inoltre Malwarbytes mi
segnalava in una scansione veloce del sistema, prima della pulizia della chiavetta, un Trojan nel Pc . Dopo la disinfezione della chiavetta ho eseguito una scansione prima della chiavetta singola con entrambi i tools e poi totale del PC, lasciando collegata la chiavetta. I risultati sono
stati negativi sia con AVG che con Malwarbytes.
Allego i log nel file compresso. I file di log contenuti nella cartella final, sono quelli a PC "pulito" , gli altri sono quelli infetti, rilevati prima dell'ultima disinfestazione.

Ho eseguito i 2 test e risulto negativo a entrambi. Ho inserito dopo la chiavetta usb, tenendo premuto lo shift. Sia il mio AV che Malwarebytes mi segnalavano la presenza del virus sulla chiavetta. Inoltre Malwarbytes mi
segnalava in una scansione veloce del sistema, prima della pulizia della chiavetta, un Trojan nel Pc . Dopo la disinfezione della chiavetta ho eseguito una scansione prima della chiavetta singola con entrambi i tools e poi totale del PC, lasciando collegata la chiavetta. I risultati sono
stati negativi sia con AVG che con Malwarbytes.
Allego i log nel file compresso. I file di log contenuti nella cartella final, sono quelli a PC "pulito" , gli altri sono quelli infetti, rilevati prima dell'ultima disinfestazione.
i log non zippati ma singolarmente sui server remoti indicati nelle regole di sezione, grazie

i log non zippati ma singolarmente sui server remoti indicati nelle regole di sezione, grazie

Ok , ecco :

Ok , ecco :


http://wikisend.com/download/573840/usbvirus.csv

Cortesemente i log in formato .txt, caricati singolarmente.

Guida alla rimozione Conficker (Downup - Downadup - Kido)
Powered by: Hardware Upgrade Forum - Sezione Antivirus e Sicurezza


■ Cos'è il worm Conficker

Conficker, conosciuto anche come Downup, Downadup e Kido è un worm scoperto nell'ottobre 2008 e si diffonde sulle piattaforme Microsoft Windows 2000, XP, Vista e Server 2003/2008. Il Worm è in grado di sfruttare una grave vulnerabilità di sicurezza, corretta dalla stessa Microsoft in data 23 Ottobre 2008 con la pubblicazione del bollettino straordinario MS08-67. (http://www.microsoft.com/italy/technet/security/Bulletin/MS08-067.mspx)

Le finalità del Conficker non sono estremamente chiare, attualmente il worm dopo aver infettato milioni di computer nel mondo verrà molto probabilmente utilizzato per creare una botnet per inviare spam, rubare informazioni personali e redirigeri gli utenti su siti di pishing e truffe online.

Il worm si diffonde principalmente sulle reti, individuato un PC vulnerabile si installa in modo silente, elimina i punti di ripristino precedenti, disattiva alcuni servizi di protezione, inibisce l'accesso ai siti Web sulla sicurezza, come i siti dei maggiori produttori di software antivirus, apre il sistema infetto per consentire la ricezione di altro codice malevolo, copia se stesso nelle cartelle condivise di rete e sui supporti removibili USB.

In funzione di quanto sopra esposto gli utenti a rischio sono quelli che hanno disabilitato gli aggiornamenti automatici ma soprattutto colore che non utilizzano una copia orignale di Windows in quanto impossibilitati a ricevere gli aggiornamenti e le patch di Microsoft.

■ Sono infetto?

Se siete impossibilitati a fare gli aggiornamenti di Windows e non riuscite a raggiungere i siti Web sulla sicurezza, è probabile che Conficker abbia fatto breccia sul vostro PC. Per determinare la presenza del Worm è sufficiente cliccare sui seguenti link, l'interpretazione dei risultati è estremamente intuitiva.

Test 1 (http://www.confickerworkinggroup.org/infection_test/cfeyechart.html)

Test 2 (http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/)


■ Guida alla rimozione


Al fine di mantenere il Thread ordinato e fruibile, hostate i log solo ed esclusivamente in formato .txt sui Server remoti indicati nelle REGOLE DI SEZIONE (http://www.hwupgrade.it/forum/showthread.php?t=1751598) pubblicando per ogni singolo log il link che verrà rilasciato per il download


E' opportuno leggere attentamente tutta la Guida prima di intraprendere la procedura di rimozione


Per la rimozione del Conficker è fondamentale scollegare il PC dalla rete LAN (WI-FI-ADSL-HSDPA/UMTS) e mantenerlo scollegato, per cui si rende necessario scaricare a priori tutti i tools dedicati alla rimozione



● Rilevazione e rimozione


1. ATF Cleaner - Download (http://www.atribune.org/ccount/click.php?id=1) - Guida all'utilizzo (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione


2. BDTOOLS REMOVE Downadup - Download (http://www.bdtools.net/download/bd_rem_tool.zip)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Doppio click su bd_rem_tool.zip estraete tutti i files (importante) verrà creata una cartella denominata bd_rem_tool contenente bd_rem_tool_console.exe e bd_rem_tool_gui.exe

Doppio click su bd_rem_tool_gui.exe all'Avviso di protezione di Windows cliccate su Esegui e successivamente su Start per lanciare la scansione, attendete pazientemente in quanto la scansione può durare anche più di 15 minuti, al termine della stessa vi verrà chiesto di riavviare (restart) il PC, acconsentite cliccando su Yes

Il file di log da allegare per il controlo si trova in C:\Win32.Worm.Downladup.Gen.log


3. ComboFix - Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt


4. Gmer - Download (http://www2.gmer.net/gmer.zip)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle

Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

IMPORTANTE: a questo punto allegate i log nella sequenza indicata

BDTOOLS REMOVE Downadup
ComboFix
Gmer

ed attendete una risposta da chi presta assistenza


● Scansione di controllo


1. A-Squared Free - Download (http://download5.emsisoft.com/a2FreeSetup.exe) - Guida all'utilizzo (http://www.hwupgrade.it/forum/showthread.php?t=1564958)
Compatibile: Windows XP - Vista

Doppio click su a2FreeSetup.exe per lanciare l'installazione, seguite le istruzioni a video, al termine dell'installazione vi verrà chiesto di eseguire l'update terminato il quale bisognerà riavviare per rendere effettive le modifiche apportate
Cliccare su Scansiona PC - Completa - Scansiona

Terminata la scansione cliccare su Metti in quarantena gli oggetti selezionati, successivamente su Salva rapporto per salvare il log in formato .txt da allegare per il controllo


● Trattamento post infezione


1. Installare la Patch MS08-67 (http://www.microsoft.com/italy/technet/security/Bulletin/MS08-067.mspx)


2. La presente Guida (http://www.hwupgrade.it/forum/showthread.php?t=1726383) vi aiuterà a verificare la configurazione di sicurezza del PC, aggiornare programmi obsoleti e vulnerabili ed eliminare eventuali residui inutili dei programmi utilizzati nella guida.

questo è il file log dopo aver scansionato e messo in quarantena i virus e i malware. Devo procedere con la patch?

questo è il file log dopo aver scansionato e messo in quarantena i virus e i malware. Devo procedere con la patch?

questo è il file log

questo è il file log

il ripristino conf. di sistema disattivalo
poi procedi con i punti successivi

questo è il file log

Allega quel benedetto log di Gmer, inoltre dal log di A2 non si capisce se hai passato gli elementi infetti in quarantena :)

Salve, anchio ho questo spiacevole problema.
Ho fatto come dice la guida ed ecco i log (li ho messi tutti in un .rar)

http://www.megaupload.com/?d=DTZY6XWA

(se mi sono sbagliato nel upparli spero che così vada bene:)
http://wikisend.com/download/485804/Win32.Worm.Downladup.Gen.log Win32.worm.downlaup.gen.log
http://wikisend.com/download/935522/GMER.txt gmer log
http://wikisend.com/download/497192/Immagine.JPG immagine di errore combofix

(Quello di combofix non ho potuto farlo perchè mi ha dato un messaggio di errore, trovate lo screen dentro il .rar)

Per favore aiutatemi a liberarmi di questo virus, mi sta facendo impazzire. :(

Salve, anchio ho questo spiacevole problema.
Ho fatto come dice la guida ed ecco i log (li ho messi tutti in un .rar)

http://www.megaupload.com/?d=DTZY6XWA

(se mi sono sbagliato nel upparli spero che così vada bene:)
http://wikisend.com/download/485804/Win32.Worm.Downladup.Gen.log Win32.worm.downlaup.gen.log
http://wikisend.com/download/935522/GMER.txt gmer log
http://wikisend.com/download/497192/Immagine.JPG immagine di errore combofix

(Quello di combofix non ho potuto farlo perchè mi ha dato un messaggio di errore, trovate lo screen dentro il .rar)

Per favore aiutatemi a liberarmi di questo virus, mi sta facendo impazzire. :(

Non mi sembra che il tuo problema sia Conficker, risulti percaso positivo ai Test?

Non mi sembra che il tuo problema sia Conficker, risulti percaso positivo ai Test?

Si, i due test mi danno:
1- Possibly Infected by Conficker A/B variant
2- Status: System is possibly infected with Conficker.B

:(

Si, i due test mi danno:
1- Possibly Infected by Conficker A/B variant
2- Status: System is possibly infected with Conficker.B

:(

Lo screenshot inerente Combofix non è edificante in quanto segnala che il file è stato compromesso dal Virus Virut il quale corrompe tutti gli .exe, il tuo Av residente cosa ti segnala?

Lo screenshot inerente Combofix non è edificante in quanto segnala che il file è stato compromesso dal Virus Virut il quale corrompe tutti gli .exe, il tuo Av residente cosa ti segnala?

Ho notato infatti quel nome, però non mi sembra che l'abbia segnalato l'av (ho norton internet security), è meglio se provo con un altro av? Mi puoi consigliare al volo un buon av che possa scaricare da quache mirror e che probabilmente mi vede questo virut? (purtroppo non posso accedere a siti av e microsoft).
PS:Ieri quando mi è uscito furori sto virus ho formattato ben due volte ma ce l'ho ancora, non so perchè.

Ho notato infatti quel nome, però non mi sembra che l'abbia segnalato l'av (ho norton internet security), è meglio se provo con un altro av? Mi puoi consigliare al volo un buon av che possa scaricare da quache mirror e che probabilmente mi vede questo virut? (purtroppo non posso accedere a siti av e microsoft).

Fai una scansione completa col Norton ed allega il log

PS: se si tratta di Virut come sembra, mio malgrado la soluzione migliore è quella di formattare

Fai una scansione completa col Norton ed allega il log

PS: se si tratta di Virut come sembra, mio malgrado la soluzione migliore è quella di formattare


MI sta impazzendo anche l'av ora :|
Mi sa che riformatto.
Ma formattando sto Conficker non dovrebbe sparire? o si può annidare anche negli altri HD? :mc:

Ho formattato il pc e ora sembra che il problema si sia risolto.
Questa volta però sono stato attento a non commettere passi falsi.
Ho formattato,reinstallato windows e senza toccare nient'altro ho aspettato gli aggiornamenti automatici, ho aggiornato e post riavvio ho installato avira facendo l'aggiornamento e uno scan completo.
Ecco il log http://wikisend.com/download/468104/AVSCAN-20090707-205329-84046B96.LOG

Che ne pensi? posso stare tranquillo ora?

Ho formattato il pc e ora sembra che il problema si sia risolto.
Questa volta però sono stato attento a non commettere passi falsi.
Ho formattato,reinstallato windows e senza toccare nient'altro ho aspettato gli aggiornamenti automatici, ho aggiornato e post riavvio ho installato avira facendo l'aggiornamento e uno scan completo.
Ecco il log http://wikisend.com/download/468104/AVSCAN-20090707-205329-84046B96.LOG

Che ne pensi? posso stare tranquillo ora?

Come volevasi dimostrare il problema era W32/Virut.Gen, configura Avira antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 successivamente leggi questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 dove troverai indicazioni utili su come proteggere il tuo PC.

Come volevasi dimostrare il problema era W32/Virut.Gen, configura Avira antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 successivamente leggi questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 dove troverai indicazioni utili su come proteggere il tuo PC.

Già avevi ragione, c'era anche questo maledetto Virut (cmq penso che c'era anche l'altro dato che avevo tutti i sintomi :mc: ).
Comunque grazie delle info, mi saranno molto utili. ;)

Già avevi ragione, c'era anche questo maledetto Virut (cmq penso che c'era anche l'altro dato che avevo tutti i sintomi :mc: ).
Comunque grazie delle info, mi saranno molto utili. ;)

Prego ;)

Buon giorno a tutti, sono un umile assistente di laboratorio che lavora su 6 scuole tra medie ed elementari, essendo da solo mi è difficile spesso far fronte alla totale sicurezza di tutte le reti.

Sono appena tornato dalle ferie e ho trovato un disastro totale e sono completamente in panne. E mi han detto che risultano problemi su tutte le scuole. Ho quasi la certezza che siano tutti causati dalla gente che porta la propria chiavetta USB da casa

:mc: In questo momento mi trovo su una rete composta in questo modo

1 server Windows Server 2003
1 server con ISA Server
1 server con Symantec AntiVirus

1 parco macchine di circa 50 pc

Dando un occhiata su 1 solo PC e mi viene da sorridere per non piangere aprendo solo il Visualizzatore eventi mi trovo con quest problemi che ritengo siano i più gravi tra tanti e più presenti:

1 - Trovato rischio per la sicurezza!Rischio: W32.Downadup!autorun in file: E:\autorun.inf

2 - Trovato rischio per la sicurezza!Rischio: W32.SillyFDC in file: Non disponibile da: Scansione Non valido : (15). Azione: Elimina non riuscito : Non intervenire non riuscito.

3 - Applicazione [svchost.exe]. Autenticazione non riuscita. Credenziali utente non accettate da ISA Server. Verificare che l'account utente che esegue l'applicazione disponga delle autorizzazioni richieste.

4 - Continui avvisi dell'Antivirus causa di errori di estrazione incontrati dai motori di decompressione.


Installando Wireshark sul server vedo un ingente traffico con qualsiasi pc accendo, compreso protocollo kerberos relativo al conficker.

Sfortunatamente non mi è possibile effettuare i test della guida poichè utilizzo il proxy anche se credo di avere l'intera rete infetta per via dell'utilizzo delle share di condivisione.

Nell'ansia mi son perso a causa della troppa mole di lavoro da affrontare e non so più da che punto partire. HELP!!

Ciao e benvenuto, comprendo perfettamente il tuo stato d'animo in considerazione del fatto che hai 50 macchine da verificare, ma non ce altra soluzione che isolarle e procedere con la disinfezione.

Buonasera a tutti.
Inserendo una penna usb infetta, mi sono ritrovato molto probabilmente con il Conficker.B, almeno questo sostengono i test che sono linkati in prima pagina....
ho svolto tutto ciò che richiedeva il primo post, vi allego i log...
BDTOOLS (http://wikisend.com/download/445482/Win32.Worm.Downladup.Gen.log)
Combofix (http://wikisend.com/download/470438/ComboFix.txt)
Gmer (http://wikisend.com/download/518406/LOG GMER.txt)
Dopo questi scan ho provato ad accedere a qualche sito di antivirus, ma non ci sono riuscito...
Cosa devo fare?
Grazie mille per l'aiuto...

Ciao e benvenuto!

Apri il Blocco note e copia ed incolla questa righe:

Driver::
sryjmli

Netsvc::
sryjmli

File::
c:\windows\system32\ynkhbr.dll

Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\sryjmli]
[-HKLM\SYSTEM\CurrentControlSet\Services\sryjmli]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

Ciao e benvenuto!

Apri il Blocco note e copia ed incolla questa righe:




Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt
ho fatto quello che mi hai detto: il computer ora si collega a microsoft e a siti di case di antivirus...
ti posto il log di combofix
Combofix (http://wikisend.com/download/459832/ComboFix.txt)
grazie mille per l'aiuto...
un'ultima cosa: se volessi debellare il virus dalla penna, come posso fare?

ho fatto quello che mi hai detto: il computer ora si collega a microsoft e a siti di case di antivirus...
ti posto il log di combofix
Combofix (http://wikisend.com/download/459832/ComboFix.txt)
grazie mille per l'aiuto...
un'ultima cosa: se volessi debellare il virus dalla penna, come posso fare?

Prima porta a termine la Guida ;)

Prima porta a termine la Guida ;)

ti riferisci alla scansione con asquared? è proprio necessaria??il mio hdd è pienissimo ci metterebbe un'eternità...
perchè per il resto mi pare di aver fatto tutto...
inoltre se può essere utile ho risvolto i test, ed entrambi non rilevano infezioni da conficker

ti riferisci alla scansione con asquared? è proprio necessaria??il mio hdd è pienissimo ci metterebbe un'eternità...
perchè per il resto mi pare di aver fatto tutto...
inoltre se può essere utile ho risvolto i test, ed entrambi non rilevano infezioni da conficker

Si mi riferisco alla scansione con A2 e relativa installazione dellla Patch correttiva altrimenti tutto il lavoro viene vanificato.

Si mi riferisco alla scansione con A2 e relativa installazione dellla Patch correttiva altrimenti tutto il lavoro viene vanificato.

va bene, la scansione la faccio partire ora, dovrebbe finire sta notte o domani mattina...per la patch correttiva ho seguito il link del bollettino, ma alla voce "windows vista sp1" non vedo nessun file...dov'è?sono proprio imbranato...:muro: :muro:

va bene, la scansione la faccio partire ora, dovrebbe finire sta notte o domani mattina...per la patch correttiva ho seguito il link del bollettino, ma alla voce "windows vista sp1" non vedo nessun file...dov'è?sono proprio imbranato...:muro: :muro:

http://www.microsoft.com/downloads/details.aspx?familyid=18FDFF67-C723-42BD-AC5C-CAC7D8713B21&displaylang=en

http://www.microsoft.com/downloads/details.aspx?familyid=18FDFF67-C723-42BD-AC5C-CAC7D8713B21&displaylang=en

Ho scaricato, provato ad installare, ma mi dice "l'aggiornamento non è applicabile al sistema in uso"

Ho scaricato, provato ad installare, ma mi dice "l'aggiornamento non è applicabile al sistema in uso"

Abilita gli aggiornamenti automatici ed aggiorna ciò che ti viene proposto, così risolviamo il problema alla radice anche per eventuali problemi futuri. :)

Abilita gli aggiornamenti automatici ed aggiorna ciò che ti viene proposto, così risolviamo il problema alla radice anche per eventuali problemi futuri. :)

abilitati da quando il pc è mio ;)...infatti pochissimi giorni fa ha aggiornato, ma tra gli aggiornamenti non ho notato nessun aggiornamento critico per la sicurezza...

Questi sono i due log delle scansioni (sono due perchè la prima l'ho avviata in modo smart e me ne sono accorto alla fine, e risultano alcuni oggetti che nell'altra non ci sono perchè li avevo già messi in quarantena)

LOG 1 (Scansione smart) (http://wikisend.com/download/493408/a2scan_090711-102520.txt)
Scansione 2 completa (http://wikisend.com/download/447736/a2scan_090711-205245.txt)

Ieri inoltre ho dovuto attaccare un'altra penna, antivir mi ha segnalato in autorun.inf il worm kido...ne ho negato l'accesso...i siti di antivirus mi sono ancora accessibili e i test non rilevano infezioni...posso stare sicuro?le scansioni sono un pò più vecchie di ieri

Questi sono i due log delle scansioni (sono due perchè la prima l'ho avviata in modo smart e me ne sono accorto alla fine, e risultano alcuni oggetti che nell'altra non ci sono perchè li avevo già messi in quarantena)

LOG 1 (Scansione smart) (http://wikisend.com/download/493408/a2scan_090711-102520.txt)
Scansione 2 completa (http://wikisend.com/download/447736/a2scan_090711-205245.txt)

Ieri inoltre ho dovuto attaccare un'altra penna, antivir mi ha segnalato in autorun.inf il worm kido...ne ho negato l'accesso...i siti di antivirus mi sono ancora accessibili e i test non rilevano infezioni...posso stare sicuro?le scansioni sono un pò più vecchie di ieri

Direi che puoi stare tranquillo, quando inserisci supporti removibili USB tieni premuto il tasto SHIFT (freccia in alto) in modo da disabilitare l'autoplay.
Successivamente contrallali con Antivir ed A2, per il resto leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

Direi che puoi stare tranquillo, quando inserisci supporti removibili USB tieni premuto il tasto SHIFT (freccia in alto) in modo da disabilitare l'autoplay.
Successivamente contrallali con Antivir ed A2, per il resto leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao
grazie mille per l'aiuto...;)
ps le altre infezioni riscontrate da asquared posso tranquillarmente eliminarle?

grazie mille per l'aiuto...;)
ps le altre infezioni riscontrate da asquared posso tranquillarmente eliminarle?

Per precauzione meglio passare tutto in quarantena, dopo un uso massivo del PC si può eliminare anche quarantena.

Ciao :)

ciao ho ultimato tutti test:
= Possibly Infected by Conficker A/B variant

Conficker (aka Downadup, Kido) is known to block access to over 100 anti-virus and security websites.

Status: System is possibly infected with Conficker.B
clean Status: There are no signs for an infection.

applicato ATF Cleaner

ecco i log di
BDTOOLS REMOVE Downadup
http://wikisend.com/download/936630/Win32.Worm.Downladup.Gen.log

gmer
http://wikisend.com/download/540272/gmer.txt

mentre combofix non mi funziona
continua a darmi questo messaggio
!!ALERT!! it is not safe to continue!
the contents of combofix package has been compromised please download a fresh copy frorm (...)
Note: you may be infected with a file patching virus "Virut"

spero di non aver combinato qualche casino
grazie della collaborazione

Il tuo problema non è Conficker

http://www.hwupgrade.it/forum/showpost.php?p=28133644&postcount=43 + Post successivi

come già indicato ad un altro utente in questo caso la soluzione migliore è il Format

Il tuo problema non è Conficker

http://www.hwupgrade.it/forum/showpost.php?p=28133644&postcount=43 + Post successivi

come già indicato ad un altro utente in questo caso la soluzione migliore è il Format

davvero non ho altra alternativa alla formattazione?

davvero non ho altra alternativa alla formattazione?

Mio malgrado no, Virut è una brutta bestia.

grazie cmq dell'assisteza...gentilissimi :D
me ne farò una ragione... :cry:

Ciao a tutti,
premetto che sto leggendo questa sezione da una decina di giorni ormai, e dopo essere "quasi" riuscito a ripulire il mio pc mi sono deciso di scrivere, perchè vorrei eliminare quel "quasi".

Premessa:
Antivirus installato AVG free e sempre aggiornato.
Il tutto è cominciato quando notai insoliti rallentamenti nel mio pc, stava diventando insopportabile lavorarci, cosi mi sono messo ad indagare ed avevo scoperto avere tutti i sintomi del Worm Conficker, ho quindi scaricato qualche tool per la rimozione (Symantec ed Enigma Software) , ed ho potuto installare le varie patch di Microsoft che fino ad allora non mi venivano nemmeno segnalate grazie al worm.
In seguito ho disinstallato AVG free per passare ad Avira free, visto che il precedente AV non individuava il malware, ed poi ho installato come da GUIDA per PC INFETTI, A-Squared e Malware Bytes Anti Malware.

Ora il pc sembra funzionare molto meglio e l'attività virus sembra sotto controllo, in quanto persistono dei sintomi, ovvero continua a riapparire una DLL rinominata in .Y (ldrshgyk.y) legata al worm Conficker.J che avira ormai deleta di default. Ho inoltre notato che questa dll appare in concomitanza di un altro file nella cartella C:\windows\tasks il file AT1.JOB (se AT1 è presente crea AT2.job, etc...).

Quello che non ho capito è chi, o cosa, crea il file JOB, aprendo il quale si possono leggere le seguenti righe
r u n d l l 3 2 . e x e
l d r s h g y k . y , u b o z v i r x
S Y S T E M
C r e a t o d a N e t S c h e d u l e J o b A d d .

Analizzando il file AT1.JOB si nota che viene lanciato tutti i giorni alla stessa ora, e facendovi doppio click non è possibile editarne i parametri.

Scansioni con Gmer, Hijackthis, Avira Antivir, Kasperski Virus Removal Tool, A-Squared e Malware bytes Anti Malware risultano tutti puliti, ed anche eseguendo i tools dedicati al conficker mi segnalano che il malware non è stato trovato, eppure anche allo stato attuale non riesco ad accere alla pagina di Windows Update.

Allego i files di log:
BDTOOLS.log (http://wikisend.com/download/457698/BDTOOLS_Win32.Worm.Downladup.Gen.log)
ComboFix.txt (http://wikisend.com/download/494766/ComboFix.txt)
gmer.log (http://wikisend.com/download/942900/gmer.log)

Edit: aggiunti i log di A-Squared e MBAB:
a2scan.txt (http://wikisend.com/download/532100/a2scan_090727-155804.txt)
mbam-log.txt (http://wikisend.com/download/526636/mbam-log-2009-07-27 (10-55-46).txt)

Qualunque ulteriore chiarimento/informazione sarò lieto di fornirvela e vi ringrazio sin da ora per qualunque consiglio utile.

P.S. chiedo scusa per il post nella sezione errata.

Con A2 hai fatto scansione veloce, produci il log di una scansione completa (DEEP)

Con A2 hai fatto scansione veloce, produci il log di una scansione completa (DEEP)

Hai ragione era una scansione SMART, ecco quella DEEP, non risultano ancora rimossi i 3 tracking cookies perchè ieri ero un attimo di fretta, per il resto non vedo nulla di anomalo a2scan_deep.txt (http://wikisend.com/download/602762/a2scan_deep.txt)

Hai ragione era una scansione SMART, ecco quella DEEP, non risultano ancora rimossi i 3 tracking cookies perchè ieri ero un attimo di fretta, per il resto non vedo nulla di anomalo a2scan_deep.txt (http://wikisend.com/download/602762/a2scan_deep.txt)

Infatti, dai log non risultano anomalie.

ho anche provato a cercare nel web informazioni relative a questo file ATx.JOB (x = numero intero) ma con scarsi risultati, ed ho notato che ogni volta che mi appare il messaggio di Avira che ha messo in quarantena la DLL legata a conficker nella cartella TASKS trovo un nuovo ATx.JOB.

ho anche provato a cercare nel web informazioni relative a questo file ATx.JOB (x = numero intero) ma con scarsi risultati, ed ho notato che ogni volta che mi appare il messaggio di Avira che ha messo in quarantena la DLL legata a conficker nella cartella TASKS trovo un nuovo ATx.JOB.

Infatti mi domandavo quanti AV sono presenti sul PC, Avira o AVG?

Alleag il log di Avira :)

Infatti mi domandavo quanti AV sono presenti sul PC, Avira o AVG?

Alleag il log di Avira :)

AVG lo avevo, poi visto che non mi riconosceva la dll infetta lo ho sostituito con Avira ;) che puntualmente lo mette in quarantena.
Ecco lo scan di Avira: AVSCAN-completo.LOG (http://wikisend.com/download/150448/AVSCAN-completo.LOG)

Secondo il mio modesto parere ci sono un po troppi svchost.exe tra i processi attivi...

Allego anche uno shot dei files che sono sicuramente coinvolti: Files Coinvolti.JPG (http://wikisend.com/download/601650/Files Coinvolti.JPG)

Il log di Avira è pulito, sarebbe opportuno configuralo come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

Salve,
ho fatto formattazione verso l'inizio di ago, poi sono andato in vacanza, sono tornato oggi e al momento di andare ad aggiornare windows mi sono trovato il sito inaccessibile.
Ho spippolato e ho trovato il problema. Cornfick o come diavolo si chiama quel troiaio da delinquenti.
Credo di averlo beccato facendo backup prima del format su una memori esterna (bestemmie in turco) anche perchè su questa macchina ci sono installati WinXpSP2 originale, una cartella di dati e i driver ufficili Nvidia...

Cmq..

Ho usato il Cleaner e anche gli altri programmi. Qui vi allego i log.
Aspetto fiducioso, grazie.

BDTOOLS REMOVE Downadup (http://wikisend.com/download/816040/Win32.Worm.Downladup.Gen.log)
Combofix (http://wikisend.com/download/564384/ComboFix.txt)
Gmer (http://wikisend.com/download/964808/gmerlog.log)

Leonardo

Salve,
ho fatto formattazione verso l'inizio di ago, poi sono andato in vacanza, sono tornato oggi e al momento di andare ad aggiornare windows mi sono trovato il sito inaccessibile.
Ho spippolato e ho trovato il problema. Cornfick o come diavolo si chiama quel troiaio da delinquenti.
Credo di averlo beccato facendo backup prima del format su una memori esterna (bestemmie in turco) anche perchè su questa macchina ci sono installati WinXpSP2 originale, una cartella di dati e i driver ufficili Nvidia...

Cmq..

Ho usato il Cleaner e anche gli altri programmi. Qui vi allego i log.
Aspetto fiducioso, grazie.

BDTOOLS REMOVE Downadup (http://wikisend.com/download/816040/Win32.Worm.Downladup.Gen.log)
Combofix (http://wikisend.com/download/564384/ComboFix.txt)
Gmer (http://wikisend.com/download/964808/gmerlog.log)

Leonardo

Ciao Leonardo, apri il Blocco note e copia ed incolla questa righe:

Driver::
gxahailw

Netsvc::
gxahailw

File::
C:\WINDOWS\system32\ecurk.dll

Registry::
[-HKLM\SYSTEM\CurrentControlSet\Services\gxahailw]
[-HKLM\SYSTEM\ControlSet002\Services\gxahailw]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Salve ieri mattino inspiegabilmente ho trovato il pc bloccato con le simpatiche pagine blu, ad ogni avvio di sistema riavvii automatici e nessuna possibilità di accedere al sistema operativo, ho formattato nella fase di configurazione con tutti gli applicativi necessari ho notato che il sistema microsoft update è simili mi veniva inibito ho letto il vostro articolo e ho provveduto a fare la disinfezione da voi proposta in allegato i LOG dei risultati.....fatemi avere notizie al più presto GRAZIE

BdRemTools (http://share1t.com/bw3wu8)

combofix (http://share1t.com/oj180v)

Gmer (http://share1t.com/f0cmow)

Salve ieri mattino inspiegabilmente ho trovato il pc bloccato con le simpatiche pagine blu, ad ogni avvio di sistema riavvii automatici e nessuna possibilità di accedere al sistema operativo, ho formattato nella fase di configurazione con tutti gli applicativi necessari ho notato che il sistema microsoft update è simili mi veniva inibito ho letto il vostro articolo e ho provveduto a fare la disinfezione da voi proposta in allegato i LOG dei risultati.....fatemi avere notizie al più presto GRAZIE

BdRemTools (http://share1t.com/bw3wu8)

combofix (http://share1t.com/oj180v)

Gmer (http://share1t.com/f0cmow)

fai la scansione con a-squared :)

fai la scansione con a-squared :)



non riesco a fare il download dal collegamento!

mi ero dimenticato di farti fare una cosa importante, rifai la scansione con gmer ti troverà un rootkit e in particolare questo:
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] mpholpqe <-- ROOTKIT !!!


fai tasto destro sopra a quella riga rossa e clicka su "DELETE SERVICE", poi fai la scansione dei servizi attivi:
premi sul pulsante in alto ">>>" e poi su "services" quindi pubblica il log :)


non riesco a fare il download dal collegamento!

cambia i dns con i seguenti server dns ( guida per winXP (https://www.opendns.com/start/device/windows-xp) | guida per Vista (https://www.opendns.com/start/device/windows-vista) | guida per router (https://www.opendns.com/start/router/) ):
208.67.222.222
208.67.220.220

e riprova :)

Ciao ragazzi,

ho appena fatto gli aggiornamenti su uno dei miei due computer e incluso c'era il malware removal tool di windows. Con mio dispiacere il tool mi dice che ha rimosso conficker.b. Conoscevo già questo virus e sono subito venuto qui sul forum per vedere cosa c'era. Ho fatto i primi due test, scansione competa di nuovo col malware tool, avira in corso e bdtool e tutti mi hanno detto che non sono più infetto.

L'unico sengo che conficker ha lasciato è stato il delete dei punti di ripristino. Secondo voi sono a posto? L'ho preso così in tempo che non aveva fatto troppi danni secondo voi?

Sono andato sul microsoft update e siti di sicurezza senza problemi.
Una domanda... perchè l'aggiornamento in questione che fixa il baco non viene scaricato in automatico dal win update? Su due pc l'ho dovuto prendere in manuale anche dopo aver fatto tutti gli update dal sito ms.

Grazie


ps:

Allego log del primo pc della rete, tra poco metto l'altro.

Win32.Worm.Downladup.Gen.log (www.impulsefactory.com/test/Win32.Worm.Downladup.Gen.log)
ComboFix.txt (www.impulsefactory.com/test/ComboFix.txt)
Gmer.txt (www.impulsefactory.com/test/Gmer.txt)

Ciao ragazzi,

ho appena fatto gli aggiornamenti su uno dei miei due computer e incluso c'era il malware removal tool di windows. Con mio dispiacere il tool mi dice che ha rimosso conficker.b. Conoscevo già questo virus e sono subito venuto qui sul forum per vedere cosa c'era. Ho fatto i primi due test, scansione competa di nuovo col malware tool, avira in corso e bdtool e tutti mi hanno detto che non sono più infetto.

L'unico sengo che conficker ha lasciato è stato il delete dei punti di ripristino. Secondo voi sono a posto? L'ho preso così in tempo che non aveva fatto troppi danni secondo voi?

Sono andato sul microsoft update e siti di sicurezza senza problemi.
Una domanda... perchè l'aggiornamento in questione che fixa il baco non viene scaricato in automatico dal win update? Su due pc l'ho dovuto prendere in manuale anche dopo aver fatto tutti gli update dal sito ms.

Grazie


ps:

Allego log del primo pc della rete, tra poco metto l'altro.

Win32.Worm.Downladup.Gen.log (www.impulsefactory.com/test/Win32.Worm.Downladup.Gen.log)
ComboFix.txt (www.impulsefactory.com/test/ComboFix.txt)
Gmer.txt (www.impulsefactory.com/test/Gmer.txt)

imposta i dns di www.opendns.com e lascia questi dns impostati anche in futuro poi vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce :)
della java è uscita la 1.6.0_16 che secunia e www.java.com non segnalano, la trovi qui: https://cds.sun.com/is-bin/INTERSHOP.enfinity/WFS/CDS-CDS_Developer-Site/en_US/-/USD/ViewProductDetail-Start?ProductRef=jre-6u16-oth-JPR@CDS-CDS_Developer

A parte i programmi da aggiornare il conficker non c'è vero?
Dimmi che non c'è ti prego che l'ultima volta che ho avuto a che fare con questo virus ho formattato 20 pc :muro:

Ecco i log dell'altro pc

www.impulsefactory.com/test/log/Win32.Worm.Downladup.Gen.log
www.impulsefactory.com/test/log/ComboFix.txt
www.impulsefactory.com/test/log/Gmer.txt

A parte i programmi da aggiornare il conficker non c'è vero?
Dimmi che non c'è ti prego che l'ultima volta che ho avuto a che fare con questo virus ho formattato 20 pc :muro:
bhè prima aggiorna come ti ho detto poi vediamo se ha ancora sintomi :)
per il momento sembra non avere quei comportamenti ma se è entrato da qualche parte deve esser pur entrato e non è solo questione di una patch!

gmer non è accessibile

Allora


1. ATF Cleaner - Download (http://www.atribune.org/ccount/click.php?id=1) - Guida all'utilizzo (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione
Ok



2. BDTOOLS REMOVE Downadup - Download (http://www.bdtools.net/download/bd_rem_tool.zip)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Doppio click su bd_rem_tool.zip estraete tutti i files (importante) verrà creata una cartella denominata bd_rem_tool contenente bd_rem_tool_console.exe e bd_rem_tool_gui.exe

Doppio click su bd_rem_tool_gui.exe all'Avviso di protezione di Windows cliccate su Esegui e successivamente su Start per lanciare la scansione, attendete pazientemente in quanto la scansione può durare anche più di 15 minuti, al termine della stessa vi verrà chiesto di riavviare (restart) il PC, acconsentite cliccando su Yes
Fatto.
Mi trova tutto pulito e non mi chiede di riavviare (sono sicuro di avere il virus perchè ho fatto il test e non vedo le img a destra e sinistra in alto, quindi dovrei avere una variante).
Il file quindi è di poche righe ve lo copio:


Ok Loading BitDefender Engines
State 0
Sleeping 3 seconds...
Found so far : 0x0 files/regs
Searching for Downadup file ....
- System folder
tkown -> C:\WINDOWS\system32\phbxpdm.dll
- Temporary folder
- Program Files
- Application Data
Found so far : 0x0 files/regs
No Traces of Downadup Worm were found





3. ComboFix - Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

Fatto ma non sono riuscito a chiudere Avira.
Ho cliccato su "disattiva" e l'ombrellino nell'icona da aperto è diventato chiuso.
Ma ComboFix mi ha detto che lo rilevava ancora attivo e continuava a mio rischio e pericolo :/
Come diamine si chiude?
Le uniche opzioni nel menù della trayicon sono avvia, configura, aggiorna...

Cmq, ecco il log: http://wikisend.com/download/602788/ComboFix.txt



4. Gmer - Download (http://www2.gmer.net/gmer.zip)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle

Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

Ok:
http://wikisend.com/download/504696/gmer.txt
Mi ha dato un warning.





IMPORTANTE: a questo punto allegate i log nella sequenza indicata

BDTOOLS REMOVE Downadup
ComboFix
Gmer

ed attendete una risposta da chi presta assistenza

Ok allora attendo...

Allora


Ok




Fatto.
Mi trova tutto pulito e non mi chiede di riavviare (sono sicuro di avere il virus perchè ho fatto il test e non vedo le img a destra e sinistra in alto, quindi dovrei avere una variante).
Il file quindi è di poche righe ve lo copio:


Ok Loading BitDefender Engines
State 0
Sleeping 3 seconds...
Found so far : 0x0 files/regs
Searching for Downadup file ....
- System folder
tkown -> C:\WINDOWS\system32\phbxpdm.dll
- Temporary folder
- Program Files
- Application Data
Found so far : 0x0 files/regs
No Traces of Downadup Worm were found






Fatto ma non sono riuscito a chiudere Avira.
Ho cliccato su "disattiva" e l'ombrellino nell'icona da aperto è diventato chiuso.
Ma ComboFix mi ha detto che lo rilevava ancora attivo e continuava a mio rischio e pericolo :/
Come diamine si chiude?
Le uniche opzioni nel menù della trayicon sono avvia, configura, aggiorna...

Cmq, ecco il log: http://wikisend.com/download/602788/ComboFix.txt





Ok:
http://wikisend.com/download/504696/gmer.txt
Mi ha dato un warning.







Ok allora attendo...

Apri il Blocco note e copia ed incolla questa righe:

Driver::
mmztsb

Netsvc::
mmztsb

File::
c:\windows\system32\phbxpdm.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mmztsb]
[-HKLM\SYSTEM\CurrentControlSet\Services\mmztsb]
[-HKLM\SYSTEM\ControlSet002\Services\mmztsb]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

NB: Tasto dx del mouse sull'icona di Avira vicino all'orologio e disabiliti il Guard

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt

Ok fatto (anche se non ho ben capito cosa veramente, mi dai una dritta veloce così per curiosità?), lo posto e nel frattempo scarico e scansiono con a-squared.
http://wikisend.com/download/494958/ComboFix.txt



NB: Tasto dx del mouse sull'icona di Avira vicino all'orologio e disabiliti il Guard

Si boh l'avevo fatto anche prima così, stavolta non mi ha detto nulla.



P.S.: Ovviamente grazie mille per l'aiuto! :D

Ecco l'altro:
pare ci siano solo cookie traccianti
http://wikisend.com/download/439320/a2scan.txt

Ok fatto (anche se non ho ben capito cosa veramente, mi dai una dritta veloce così per curiosità?), lo posto e nel frattempo scarico e scansiono con a-squared.
http://wikisend.com/download/494958/ComboFix.txt





Si boh l'avevo fatto anche prima così, stavolta non mi ha detto nulla.



P.S.: Ovviamente grazie mille per l'aiuto! :D

Adesso non ho ben capito io :)

Ecco l'altro:
pare ci siano solo cookie traccianti
http://wikisend.com/download/439320/a2scan.txt

Siamo ok porta a termine la Guida.

Qui sono i miei log....Comunque ho avuto qualche problema con combofix.Durante il riavvio mi ha dato qualche errore ed io ho cliccato su ok sugli errori per completare il riavvio.Dopo il riavvio il pc era inutilizzabile e ho dovuto riavviare di nuovo il pc che fortunatamente rifunzionava.Poi ho completato la procedura con gmer.

http://www.mediafire.com/?sharekey=1ce592ba2e730c72312dbd5f2bdc5062e04e75f6e8ebb871

Qui sono i miei log....Comunque ho avuto qualche problema con combofix.Durante il riavvio mi ha dato qualche errore ed io ho cliccato su ok sugli errori per completare il riavvio.Dopo il riavvio il pc era inutilizzabile e ho dovuto riavviare di nuovo il pc che fortunatamente rifunzionava.Poi ho completato la procedura con gmer.

http://www.mediafire.com/?sharekey=1ce592ba2e730c72312dbd5f2bdc5062e04e75f6e8ebb871

bitdefender non ha trovato nulla mentre combofix ha eliminato:
c:\$recycle.bin\S-1-5-21-2710247158-2569556473-2265336476-500
c:\windows\Installer\20a4d.msi
c:\windows\struct~.ini


e 2 servizi, mentre gmer ha trovato un rootkit:
Service C:\Windows\system32\svchost.exe (*** hidden *** ) [AUTO] paefno <-- ROOTKIT !!!

quindi rifai la scansione e clickando sopra questa voce scegli "delete service" poi riavvia il pc

Apri il Blocco note e copia ed incolla questa righe:

Driver::
paefno

Netsvc::
paefno

File::
c:\windows\system32\imfrw.dll

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\paefno]
[-HKLM\SYSTEM\CurrentControlSet\Services\paefno]
[-HKLM\SYSTEM\ControlSet014\Services\paefno]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Edit: ops....ci siamo sovrapposti

@daigoro87

puoi seguire i suggerimenti in sequenza

gmer ha trovato un rootkit:
Service C:\Windows\system32\svchost.exe (*** hidden *** ) [AUTO] paefno <-- ROOTKIT !!!

quindi rifai la scansione e clickando sopra questa voce scegli "delete service" poi riavvia il pc

Ho cancellato il servizio e dopo aver riavviato il pc non riparet più!!!L'impressione è che sia riavviato e sia alla schermata del desktop ma non si vede nulla!!Adesso che faccio??:sbavvv:

Aspetto una vostra risposta...ho cancellato il servizio detto da voi rilevato con gmer e adesso il pc non funziona,quando lo accendo rimane una schermata nera con il puntatore.Adesso sto con il pc di un amico.Aiutatemi per favore

Aspetto una vostra risposta...ho cancellato il servizio detto da voi rilevato con gmer e adesso il pc non funziona,quando lo accendo rimane una schermata nera con il puntatore.Adesso sto con il pc di un amico.Aiutatemi per favore

Strano, dimmi se riesci ad accedere alla modalità provvisoria F8.

Strano, dimmi se riesci ad accedere alla modalità provvisoria F8.

No la modalità provvisoria si comporta come quella normale.Il pc si accende mi compare la scritta acer,inizia il caricamento di windows e poi rimane una schermata nera con il puntatore...

Dimmi se hai il CD di installazione di Vista

Dimmi se hai il CD di installazione di Vista

E' no è proprio quello il problema...

E' no è proprio quello il problema...

Immagino sia uno Notebook

Immagino sia uno Notebook

si..comunque avete qualche rimedio?Non so come procedere e ho il pc morto...forse c'è qualche soluzione da bios che potreste suggerirmi

si..comunque avete qualche rimedio?Non so come procedere e ho il pc morto...forse c'è qualche soluzione da bios che potreste suggerirmi

Ok, se mi indichi il modello ti linko le istruzioni per utilizzare l'Acer disc-to-disc Recovery che oltre a ripristinare il PC alle condizioni di fabbrica, ti consente di ripristinare il PC stesso ad un punto di ripristino precedente. considerando che l'ultimo punto di ripristino è stato creato da Combofix io opterei per questa soluzione.

Ok, se mi indichi il modello ti linko le istruzioni per utilizzare l'Acer disc-to-disc Recovery che oltre a ripristinare il PC alle condizioni di fabbrica, ti consente di ripristinare il PC stesso ad un punto di ripristino precedente. considerando che l'ultimo punto di ripristino è stato creato da Combofix io opterei per questa soluzione.

E' un acer aspire 5920

E' un acer aspire 5920

http://support.acer-euro.com/faqs/search.html?Query=recovey

il modello non è più presente ma la procedura non cambia, il manuale dove viene descritta la procedura è un semplice .pdf

E' un acer aspire 5920

http://support.acer-euro.com/faqs/search.html?Query=recovey

il modello non è più presente ma la procedura non cambia, il manuale dove viene descritta la procedura è un semplice .pdf

Cliccando sul link mi scrive : No Documents Found for query "recovey".....forse la query era recovery?Cmq sia, se è recovery, qual'è il documento da aprire?

Cliccando sul link mi scrive : No Documents Found for query "recovey".....forse la query era recovery?Cmq sia, se è recovery, qual'è il documento da aprire?

http://support.acer-euro.com/documents/manuals.html

http://support.acer-euro.com/documents/manuals.html

Non capisco,ho scaricato la guida dell'acer aspire 2020 ma non parla di ripristino e comunque il cd Acer disc-to-disc Recovery all'acquisto non lo forniscono.Ho solo 2 dvd di ripristino che ho creato appena comprato con le importazioni di fabbrica..

Non capisco,ho scaricato la guida dell'acer aspire 2020 ma non parla di ripristino e comunque il cd Acer disc-to-disc Recovery all'acquisto non lo forniscono.Ho solo 2 dvd di ripristino che ho creato appena comprato con le importazioni di fabbrica..

qui dvd ti riportano il pc alla situazione di quel giorno ossia quando li hai masterizzati presumo abbia salvato il solo sistema operativo ma è l'unica strada per un ripristino..

http://www.hwupgrade.it/forum/showthread.php?t=1494309

Post#4

qui dvd ti riportano il pc alla situazione di quel giorno ossia quando li hai masterizzati presumo abbia salvato il solo sistema operativo ma è l'unica strada per un ripristino..

Meglio di niente ma vorrei recuperare almeno quello che avevo!

Raga sto seguendo la guida per rimuovere il virus; ma quando avvio combofix mi da errore impostazione.Ho staccato tutto.

Raga sto seguendo la guida per rimuovere il virus; ma quando avvio combofix mi da errore impostazione.Ho staccato tutto.

Riporta per esteso l'errore.

Grazie 1000 chill out ho risolto avevo la data del pc sballata.
Ok ho fatto i vari passi della prima pagina(cioè fino alla scansione con combofix) vi allego i file di log.Cosan devo fare ora?
http://wikisend.com/download/518204/Win32.Worm.Downladup.Gen.log
http://wikisend.com/download/963820/loggmer.log
http://wikisend.com/download/442828/ComboFix.txt
Grazie 1000 a tutti quelli che mi aiuteranno.:muro:

Cortesemente allega il log di Avast + ComboFix-quarantined-files.txt, dai precedente non risulta nulla.

Sarà incredibile non so.Ma avast non mi parte più mi dice che non riesce a caricare la skin.:muro: Non ci sto capendo più niente.Cmq ora riprovo a scaricarlo.E invece il file di log combofix quarantined dove lo trovo?

Allora vi posto 2 file di log di avast il secondo file warning ; è quello in cui vengono riscontrati i virus; il rpimo invece riporta vari messaggi di attacco di cui avast mi accusa:
http://wikisend.com/download/494958/nshield.log
http://wikisend.com/download/487690/Warning.log

Allora vi posto 2 file di log di avast il secondo file warning ; è quello in cui vengono riscontrati i virus; il rpimo invece riporta vari messaggi di attacco di cui avast mi accusa:
http://wikisend.com/download/494958/nshield.log
http://wikisend.com/download/487690/Warning.log

Fai pulizia con ATF Cleaner e programma scansione al boot con Avast, al termine allega il log.

Quello che ho allegato in precedenza nn va bene come log?.Cmq ho cancellato tutto prima con atf ed ho effettuato nuovamente la scansione con avast ti allego il file di log:
http://wikisend.com/download/916418/Warning.log

Quello che ho allegato in precedenza nn va bene come log?.Cmq ho cancellato tutto prima con atf ed ho effettuato nuovamente la scansione con avast ti allego il file di log:
http://wikisend.com/download/916418/Warning.log

Si vanno bene, desideravo vedere un log aggiornato, il PC in questione è in rete con altre macchine?

Si al modem ho collegato un'altro computer il portatile.Ma lì non ho nessun problema.

Si al modem ho collegato un'altro computer il portatile.Ma lì non ho nessun problema.

Fai scansione con A-Squared esattamente come indicato in Guida, thx.

PS: rimango in attesa anche del log ComboFix-quarantined-files.txt che trovi sempre in C:\

Fai scansione con A-Squared esattamente come indicato in Guida, thx.

PS: rimango in attesa anche del log ComboFix-quarantined-files.txt che trovi sempre in C:\
Ciao ascusa per il ritardo ma sono stato fuori in questa settimana; cmq ti allego il rapporto di asquared; ho cambiato antivirus installando avira antivir.Per quanto riguada il file log di combofix in C non riesco a trovare il file di log quarantined; ma solo quello che ho già allegato in precedenza.

http://wikisend.com/download/516560/a2scan_091010-214838.txt

Ciao ascusa per il ritardo ma sono stato fuori in questa settimana; cmq ti allego il rapporto di asquared; ho cambiato antivirus installando avira antivir.Per quanto riguada il file log di combofix in C non riesco a trovare il file di log quarantined; ma solo quello che ho già allegato in precedenza.

http://wikisend.com/download/516560/a2scan_091010-214838.txt

Queste chiavi le puo passare in quarantena

Key: HKEY_LOCAL_MACHINE\software\Live-Player rilevati: Trace.Registry.LivePlayer!A2
Key: HKEY_USERS\S-1-5-21-839522115-1343024091-2147074499-1003\software\Live-Player rilevati: Trace.Registry.LivePlayer!A2

per farlo devi ripetere la scansione, per il resto aggiornami sulla situazione.

Ok grazie 1000 ora faccio; ho un nuovo problrma che ho postato nella sezione apposita di windows xp; se mi aiutassi te ne sarei grato.

è da ieri che l'OfficeScan della Trend Micro che ho installato nella lan segnala il WORM_DOWNAD.AD

un esempio è questo:
Virus/Malware: WORM_DOWNAD.AD
Computer: COMUNALR
Domain: Orv
File: C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\3TIMIO2O\csgt[1].gif
Date/Time: 20/10/2009 23.21.32
Result: Virus successfully detected, cannot perform the Quarantine action
sembra che i pc non siano infetti, non da alcun problema, le pagine di test vengono visualizzate perfettamente...

però continua ad uscire, come posso fare a sapere da dove arriva?
nonostante lo segnali e dica che non riesce a metterlo in quarantena dopo la scansione non c'è più... poi magicamente riappare...

Salve a tutti,
ad inizio mese ho preso il worm/conficker.z.01(segnalazione di avira), probabilmente da una chiavetta usb(appena comprata!), ho fatto vari tentativi per rimuoverlo, alla fine ci sono riuscito ed ho formattato la chiavetta.
In tutto ciò sono venuto a conoscenza di questo interessantissimo forum e vi pongo la questione.
Un successivo controllo con gmer mi dava in rosso questi 2 servizi

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] npmejhqt
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] qzvigv

e li ho cancellati.
Ora, andando a spulciare nel registro,
li cancello dall'elenco dei servizi di svchost ma trovo chiavi del tipo
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_QZVIGV
che non riesco a cancellare.
Win non mi fa più accedere alla cartella System Volume Information, ad ogni accensione del computer ZoneAlarm mi avverte di un tentativo di connessione di svchost a vari ip e la navigazione in internet è diventata più lenta.
Bdtools rd non rileva nulla e lo scan di gmer non mi da nessuna linea rossa.
Anche lo scan online con eset av dice che sono pulito.
Vorrei sapere se il virus è stato effettivamente eliminato.
Allego il log di combofix e gmer, grazie per l'attenzione!

http://wikisend.com/download/856270/log.txt
http://wikisend.com/download/437602/log2.txt

è da ieri che l'OfficeScan della Trend Micro che ho installato nella lan segnala il WORM_DOWNAD.AD

un esempio è questo:
Virus/Malware: WORM_DOWNAD.AD
Computer: COMUNALR
Domain: Orv
File: C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\3TIMIO2O\csgt[1].gif
Date/Time: 20/10/2009 23.21.32
Result: Virus successfully detected, cannot perform the Quarantine action
sembra che i pc non siano infetti, non da alcun problema, le pagine di test vengono visualizzate perfettamente...

però continua ad uscire, come posso fare a sapere da dove arriva?
nonostante lo segnali e dica che non riesce a metterlo in quarantena dopo la scansione non c'è più... poi magicamente riappare...

Il file viene rilevato nella cache del Browser (IE)

File: C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\3TIMIO2O\csgt[1].gif

Salve a tutti,
ad inizio mese ho preso il worm/conficker.z.01(segnalazione di avira), probabilmente da una chiavetta usb(appena comprata!), ho fatto vari tentativi per rimuoverlo, alla fine ci sono riuscito ed ho formattato la chiavetta.
In tutto ciò sono venuto a conoscenza di questo interessantissimo forum e vi pongo la questione.
Un successivo controllo con gmer mi dava in rosso questi 2 servizi

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] npmejhqt
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] qzvigv

e li ho cancellati.
Ora, andando a spulciare nel registro,
li cancello dall'elenco dei servizi di svchost ma trovo chiavi del tipo
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_QZVIGV
che non riesco a cancellare.
Win non mi fa più accedere alla cartella System Volume Information, ad ogni accensione del computer ZoneAlarm mi avverte di un tentativo di connessione di svchost a vari ip e la navigazione in internet è diventata più lenta.
Bdtools rd non rileva nulla e lo scan di gmer non mi da nessuna linea rossa.
Anche lo scan online con eset av dice che sono pulito.
Vorrei sapere se il virus è stato effettivamente eliminato.
Allego il log di combofix e gmer, grazie per l'attenzione!

http://wikisend.com/download/856270/log.txt
http://wikisend.com/download/437602/log2.txt

ciao

nel log di combo qualcosa si vede ancora

riesci a caricare anche i log precedenti
combofix2 e combofix3

ciao

nel log di combo qualcosa si vede ancora

riesci a caricare anche i log precedenti
combofix2 e combofix3

Allega anche questo log

ComboFix-quarantined-files.txt

pare ci sia dell'altro.

Allega anche questo log

ComboFix-quarantined-files.txt

pare ci sia dell'altro.

Ciao!
Il log di gmer è ok?
Purtroppo ho fatto un po di casini, cancellato qoobox...
allora ho disinstallato e fatto ripartire combofix, questo è il log

http://wikisend.com/download/471538/log3.txt

e questo ComboFix-quarantined-files

http://wikisend.com/download/614838/log4.txt

andando a dare un'occhiata a tcpip.reg ho trovato che è quasi uguale a quello di questo post

http://www.hwupgrade.it/forum/showthread.php?p=27287527#post27287527

il numero 53...

Ciao!
Il log di gmer è ok?
Purtroppo ho fatto un po di casini, cancellato qoobox...
allora ho disinstallato e fatto ripartire combofix, questo è il log

http://wikisend.com/download/471538/log3.txt

e questo ComboFix-quarantined-files

http://wikisend.com/download/614838/log4.txt

andando a dare un'occhiata a tcpip.reg ho trovato che è quasi uguale a quello di questo post

http://www.hwupgrade.it/forum/showthread.php?p=27287527#post27287527

il numero 53...

Apri il Blocco note e copia ed incolla questa riga:


Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8952:TCP"=-

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Apri il Blocco note e copia ed incolla questa riga:




Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

A-squared mi ha individuato questo
Value: HKEY_USERS\S-1-5-21...\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Emule --> Order rilevati: Trace.Registry.Emule 5.0!A2
non me lo faceva mettere in quarantena allora l'ho cancellato(spero di non aver preso l'iniziativa sbagliata) e ho ripetuto la procedura che mi hai indicato(l'ho fatta 2 volte).
Ecco combofix http://wikisend.com/download/566942/log5.txt

quarantine http://wikisend.com/download/498250/log6.txt

a-squared http://wikisend.com/download/380342/log7.txt

p.s. la riga di registro che mi hai indicato l'ho copiata tale e quale(con la ~).

A-squared mi ha individuato questo
Value: HKEY_USERS\S-1-5-21...\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Emule --> Order rilevati: Trace.Registry.Emule 5.0!A2
non me lo faceva mettere in quarantena allora l'ho cancellato(spero di non aver preso l'iniziativa sbagliata)
nulla di problematico

e ho ripetuto la procedura che mi hai indicato(l'ho fatta 2 volte).
Ecco combofix http://wikisend.com/download/566942/log5.txt

quarantine http://wikisend.com/download/498250/log6.txt

la stringa da cancellare non c'è più, ok quindi

p.s. la riga di registro che mi hai indicato l'ho copiata tale e quale(con la ~).
era giusto così

nulla di problematico


la stringa da cancellare non c'è più, ok quindi


era giusto così


Allora posso ritenermi "guarito"?

Allora posso ritenermi "guarito"?

dai log caricati non si nota nulla

dai log caricati non si nota nulla

Non so come ringraziarvi, te e chill siete stati disponibilissimi!
Grazie, a presto!

Non so come ringraziarvi, te e chill siete stati disponibilissimi!
Grazie, a presto!

Prego, ti suggerisco la lettura del Trattamento post infezione come indicato in Guida, ciao.

Prego, ti suggerisco la lettura del Trattamento post infezione come indicato in Guida, ciao.

Vado subito, ciao!

Salve.
Ho illustrato il mio problema qui: http://www.hwupgrade.it/forum/showthread.php?p=29434725#post29434725

Mi hanno detto di rivolgermi qui e ho cercato di scaricare i vari programmi,ma l unico che sono riuscito a far avviare è stato comboFix,poiche gli altri erano Zippati ed era impossibile usare Winrar.Dopo di che,avviando Conficker mi ha dato un messaggio di errore,indicandomi un Certo "virut".Se mi potete aiutare per favore, e se vi serve il messaggio di Errore di Conficker,ditemi.

Grazie mille

Salve.
Ho illustrato il mio problema qui: http://www.hwupgrade.it/forum/showthread.php?p=29434725#post29434725

Mi hanno detto di rivolgermi qui e ho cercato di scaricare i vari programmi,ma l unico che sono riuscito a far avviare è stato comboFix,poiche gli altri erano Zippati ed era impossibile usare Winrar.Dopo di che,avviando Conficker mi ha dato un messaggio di errore,indicandomi un Certo "virut".Se mi potete aiutare per favore, e se vi serve il messaggio di Errore di Conficker,ditemi.

Grazie mille
qual'è il risultato dei 2 test indicato in guida?
carica secondo le modalità il log di combo

Ho eseguito tutto. Purtroppo ho eseguito due volte BDTOOLS poichè mi ero dimenticato di estrarlo dall'archivio, e quindi credo che la prima volta non si sia avviato al riavvio del computer.
Prima risultavo positivo in entrambi i test (Conficker A/B variant),
ma già dal primo avvio di BDTOOLS sono riuscito a visualizzare la pagina della Microsoft e a superare il test n.2, mentre quello con l'immagine di tux mi avvisa ancora di una possibile infezione da parte di Conficker A/B variant

Ecco i log:
BDTOOLS 1
Win32.Worm.Downladup.Gen.log (http://wikisend.com/download/439730/Win32.Worm.Downladup.Gen.log)

BDTOOLS 2
Win32.Worm.Downladup.Gen2.log (http://wikisend.com/download/651948/Win32.Worm.Downladup.Gen2.log)

ComboFix
ComboFix.txt (http://wikisend.com/download/440066/ComboFix.txt)

Gmer
gmer.log (http://wikisend.com/download/513014/gmer.log)

Grazie del supporto!

Ho eseguito tutto. Purtroppo ho eseguito due volte BDTOOLS poichè mi ero dimenticato di estrarlo dall'archivio, e quindi credo che la prima volta non si sia avviato al riavvio del computer.
Prima risultavo positivo in entrambi i test (Conficker A/B variant),
ma già dal primo avvio di BDTOOLS sono riuscito a visualizzare la pagina della Microsoft e a superare il test n.2, mentre quello con l'immagine di tux mi avvisa ancora di una possibile infezione da parte di Conficker A/B variant

Ecco i log:
BDTOOLS 1
Win32.Worm.Downladup.Gen.log (http://wikisend.com/download/439730/Win32.Worm.Downladup.Gen.log)

BDTOOLS 2
Win32.Worm.Downladup.Gen2.log (http://wikisend.com/download/651948/Win32.Worm.Downladup.Gen2.log)

ComboFix
ComboFix.txt (http://wikisend.com/download/440066/ComboFix.txt)

Gmer
gmer.log (http://wikisend.com/download/513014/gmer.log)

Grazie del supporto!

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Driver::
emgjs
gdvixbbbz
juonih
tcnbgop
tfzyypdl
znimmv

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"System service79"=-
"Tknaebxs"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\emgjs]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gdvixbbbz]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\juonih]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tcnbgop]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tfzyypdl]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\znimmv]

File::
c:\winnt\system32\gbmgtw.dll

Netsvc::
znimmv
emgjs
tcnbgop
tfzyypdl
gdvixbbbz
juonih




Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

Ecco il log di Combofix:

ComboFix.txt (http://wikisend.com/download/495806/ComboFix.txt)


Ora entrambi i test sono ok. Devo seguire i trattamenti post-infezione?

Ecco il log di Combofix:

ComboFix.txt (http://wikisend.com/download/495806/ComboFix.txt)


Ora entrambi i test sono ok. Devo seguire i trattamenti post-infezione?

procedi con la scansione di controllo

Ecco il report di a-squared
a2scan_091028-162641.txt (http://wikisend.com/download/177760/a2scan_091028-162641.txt)

Ecco il report di a-squared
a2scan_091028-162641.txt (http://wikisend.com/download/177760/a2scan_091028-162641.txt)

non mi sembra tu abbia eliminato tutto

In effetti sono rimasto alquanto sorpreso di trovare tutti questi malware con a-squared, dopo tutte le scansioni che ho fatto sia con il mio antivirus (avast) che con altri software (tipo spybot). Comunque ho messo in quarantena i file infetti, e non mi pare che abbia trovato traccie di Confiker (a parte quel autorun.inf.txt che avevo copiato io in precedenza erroneamente). Come devo procedere?

In effetti sono rimasto alquanto sorpreso di trovare tutti questi malware con a-squared, dopo tutte le scansioni che ho fatto sia con il mio antivirus (avast) che con altri software (tipo spybot). Comunque ho messo in quarantena i file infetti, e non mi pare che abbia trovato traccie di Confiker (a parte quel autorun.inf.txt che avevo copiato io in precedenza erroneamente). Come devo procedere?
trattamento post disinfezione

Forse è il caso di sostituire quella versione di Avast.

Che antivirus mi consigliereste in sostituzione di Avast?
Comunque, grazie mille per il supporto ragazzi!

Che antivirus mi consigliereste in sostituzione di Avast?
Comunque, grazie mille per il supporto ragazzi!

antivir, come già indicato nel trattamento

qual'è il risultato dei 2 test indicato in guida?
carica secondo le modalità il log di combo

come detto mi dà segnale di errore,stasera rifarò tutta la procedura da capo,scaricando ed avviando combo..

Niente da Fare continua a darmi problemi con ComboFix,parte,carica ma poi non succede un bel niente.
Invece ho provato con spybot, ha trovato 8 problemi nel Registro.
Risolti tutti ed 8 e riavviato computer,è riuscito ad entrare ma si è fermato su un msg di errore,nonostante tutto riuscivo ad usare Mozilla firefox Normalmente,ma explorer.exe non andava.
Consigli?

Ora riavvio spybot per vedere se i problemi ci sono ancora e ve li scrivo.
Grazie dell'attenzione

MalwareBytes:

http://www.mediafire.com/?nn44jdoovym

Spybot:

http://www.mediafire.com/?ztmd4itbgod

Eccovi,ovviamente i problemi mi si ripresentano ad ogni riavvio.Spero possiate aiutarmi!

[EDIT]

sono riuscito ad avviare Combifix,ma come prima mi è apparsa una schermata con scritto

"ALERT!It is not Safe to continue!!
The contents of the ComboFix package has been compromised.
Please download a fresh copy from:

http://www.bleepingcomputer.com/combofix/how-to-use-combofix

NOTE: You may be infected with a file patching virus " Virus " "

sono riuscito ad avviare Combifix,ma come prima mi è apparsa una schermata con scritto

"ALERT!It is not Safe to continue!!
The contents of the ComboFix package has been compromised.
Please download a fresh copy from:

http://www.bleepingcomputer.com/combofix/how-to-use-combofix

NOTE: You may be infected with a file patching virus " Virus " "

Sei sicuro che il messaggio rilasciato da Combo non sia questo:


NOTE: You may be infected with a file patching virus " Virut "

Sto diventanto pazzo...Chillout ti carico i log, magari si riesce a capire qlcs.
Gmer mi rileva un rootkit,come mi avevi suggerito nell'altro 3d ho seguito la procedura per il confiker. Ho eseguito i due test e non mi rileva niente.

Ho xp 64 bit e alcuni tool non girano

ATF Cleaner non gira su 64bit
BDtools non trova niente (in allegato log)
Combofix non gira su 64bit
Gmer continua a darmi questo log
GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-11-04 11:44:00
Windows 5.2.3790 Service Pack 2
Running: gmer.exe


---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] bswxq <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] jaczdzpdo <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] kvoqup <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] ndlvtsr <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] nmssd <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] ogehz <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [DISABLED] porjukqlr <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x08 0x9B 0x8D 0xE6 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\bswxq@DisplayName Update Center
Reg HKLM\SYSTEM\CurrentControlSet\Services\bswxq@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\bswxq@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\bswxq@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\bswxq@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\bswxq@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\bswxq@Description Enables Windows-based programs to create, access, and modify Internet-based files. If this service is stopped, these functions will not be available. If this service is disabled, any services that explicitly depend on it will fail to start.
Reg HKLM\SYSTEM\CurrentControlSet\Services\bswxq\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\bswxq\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\jaczdzpdo@DisplayName Boot System
Reg HKLM\SYSTEM\CurrentControlSet\Services\jaczdzpdo@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\jaczdzpdo@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\jaczdzpdo@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\jaczdzpdo@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\jaczdzpdo@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\jaczdzpdo@Description Provides DDNS name registration and automatic IPv6 connectivity over an IPv4 network. If this service is stopped, other computers may not be able to reach it by name and the machine will only have IPv6 connectivity if it is connected to a native IPv6 network. If this service is disabled, any other services that explicitly depend on this service will fail to start.
Reg HKLM\SYSTEM\CurrentControlSet\Services\jaczdzpdo\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\jaczdzpdo\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\kvoqup@DisplayName Monitor Universal
Reg HKLM\SYSTEM\CurrentControlSet\Services\kvoqup@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\kvoqup@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\kvoqup@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\kvoqup@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\kvoqup@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\kvoqup@Description Maintains date and time synchronization on all clients and servers in the network. If this service is stopped, date and time synchronization will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.
Reg HKLM\SYSTEM\CurrentControlSet\Services\kvoqup\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\kvoqup\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ndlvtsr@DisplayName Server Boot
Reg HKLM\SYSTEM\CurrentControlSet\Services\ndlvtsr@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\ndlvtsr@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\ndlvtsr@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ndlvtsr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\ndlvtsr@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\ndlvtsr@Description Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network.
Reg HKLM\SYSTEM\CurrentControlSet\Services\ndlvtsr\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\ndlvtsr\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\nmssd@DisplayName Support Server
Reg HKLM\SYSTEM\CurrentControlSet\Services\nmssd@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\nmssd@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\nmssd@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\nmssd@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\nmssd@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\nmssd@Description Enables a computer to recognize and adapt to hardware changes with little or no user input. Stopping or disabling this service will result in system instability.
Reg HKLM\SYSTEM\CurrentControlSet\Services\nmssd\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\nmssd\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ogehz@DisplayName Shell Microsoft
Reg HKLM\SYSTEM\CurrentControlSet\Services\ogehz@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\ogehz@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\ogehz@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ogehz@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\ogehz@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\ogehz@Description Enables Windows-based programs to create, access, and modify Internet-based files. If this service is stopped, these functions will not be available. If this service is disabled, any services that explicitly depend on it will fail to start.
Reg HKLM\SYSTEM\CurrentControlSet\Services\ogehz\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\ogehz\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\porjukqlr@DisplayName Image Windows
Reg HKLM\SYSTEM\CurrentControlSet\Services\porjukqlr@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\porjukqlr@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\porjukqlr@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\porjukqlr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\porjukqlr@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\porjukqlr@Description Provides system and desktop level support to the NVIDIA display driver
Reg HKLM\SYSTEM\CurrentControlSet\Services\porjukqlr\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\porjukqlr\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x08 0x9B 0x8D 0xE6 ...
Reg HKLM\SYSTEM\ControlSet004\Services\bswxq@DisplayName Update Center
Reg HKLM\SYSTEM\ControlSet004\Services\bswxq@Type 32
Reg HKLM\SYSTEM\ControlSet004\Services\bswxq@Start 4
Reg HKLM\SYSTEM\ControlSet004\Services\bswxq@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet004\Services\bswxq@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet004\Services\bswxq@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet004\Services\bswxq@Description Enables Windows-based programs to create, access, and modify Internet-based files. If this service is stopped, these functions will not be available. If this service is disabled, any services that explicitly depend on it will fail to start.
Reg HKLM\SYSTEM\ControlSet004\Services\bswxq\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\bswxq\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\ControlSet004\Services\jaczdzpdo@DisplayName Boot System
Reg HKLM\SYSTEM\ControlSet004\Services\jaczdzpdo@Type 32
Reg HKLM\SYSTEM\ControlSet004\Services\jaczdzpdo@Start 4
Reg HKLM\SYSTEM\ControlSet004\Services\jaczdzpdo@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet004\Services\jaczdzpdo@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet004\Services\jaczdzpdo@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet004\Services\jaczdzpdo@Description Provides DDNS name registration and automatic IPv6 connectivity over an IPv4 network. If this service is stopped, other computers may not be able to reach it by name and the machine will only have IPv6 connectivity if it is connected to a native IPv6 network. If this service is disabled, any other services that explicitly depend on this service will fail to start.
Reg HKLM\SYSTEM\ControlSet004\Services\jaczdzpdo\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\jaczdzpdo\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\ControlSet004\Services\kvoqup@DisplayName Monitor Universal
Reg HKLM\SYSTEM\ControlSet004\Services\kvoqup@Type 32
Reg HKLM\SYSTEM\ControlSet004\Services\kvoqup@Start 4
Reg HKLM\SYSTEM\ControlSet004\Services\kvoqup@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet004\Services\kvoqup@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet004\Services\kvoqup@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet004\Services\kvoqup@Description Maintains date and time synchronization on all clients and servers in the network. If this service is stopped, date and time synchronization will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start.
Reg HKLM\SYSTEM\ControlSet004\Services\kvoqup\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\kvoqup\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\ControlSet004\Services\ndlvtsr@DisplayName Server Boot
Reg HKLM\SYSTEM\ControlSet004\Services\ndlvtsr@Type 32
Reg HKLM\SYSTEM\ControlSet004\Services\ndlvtsr@Start 4
Reg HKLM\SYSTEM\ControlSet004\Services\ndlvtsr@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet004\Services\ndlvtsr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet004\Services\ndlvtsr@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet004\Services\ndlvtsr@Description Provides network address translation, addressing, name resolution and/or intrusion prevention services for a home or small office network.
Reg HKLM\SYSTEM\ControlSet004\Services\ndlvtsr\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\ndlvtsr\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\ControlSet004\Services\nmssd@DisplayName Support Server
Reg HKLM\SYSTEM\ControlSet004\Services\nmssd@Type 32
Reg HKLM\SYSTEM\ControlSet004\Services\nmssd@Start 4
Reg HKLM\SYSTEM\ControlSet004\Services\nmssd@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet004\Services\nmssd@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet004\Services\nmssd@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet004\Services\nmssd@Description Enables a computer to recognize and adapt to hardware changes with little or no user input. Stopping or disabling this service will result in system instability.
Reg HKLM\SYSTEM\ControlSet004\Services\nmssd\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\nmssd\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\ControlSet004\Services\ogehz@DisplayName Shell Microsoft
Reg HKLM\SYSTEM\ControlSet004\Services\ogehz@Type 32
Reg HKLM\SYSTEM\ControlSet004\Services\ogehz@Start 4
Reg HKLM\SYSTEM\ControlSet004\Services\ogehz@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet004\Services\ogehz@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet004\Services\ogehz@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet004\Services\ogehz@Description Enables Windows-based programs to create, access, and modify Internet-based files. If this service is stopped, these functions will not be available. If this service is disabled, any services that explicitly depend on it will fail to start.
Reg HKLM\SYSTEM\ControlSet004\Services\ogehz\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\ogehz\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\ControlSet004\Services\porjukqlr@DisplayName Image Windows
Reg HKLM\SYSTEM\ControlSet004\Services\porjukqlr@Type 32
Reg HKLM\SYSTEM\ControlSet004\Services\porjukqlr@Start 4
Reg HKLM\SYSTEM\ControlSet004\Services\porjukqlr@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet004\Services\porjukqlr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet004\Services\porjukqlr@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet004\Services\porjukqlr@Description Provides system and desktop level support to the NVIDIA display driver
Reg HKLM\SYSTEM\ControlSet004\Services\porjukqlr\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\porjukqlr\Parameters@ServiceDll C:\WINDOWS\system32\kbbvsxga.dll
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x08 0x9B 0x8D 0xE6 ...

---- Files - GMER 1.0.15 ----

File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\06-scorpions-321.mp3 6480632 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\00-scorpions-humanity_hour_i-2007.m3u 408 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\00-scorpions-humanity_hour_i-2007.nfo 1104 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\01-scorpions-hour_i.mp3 5447088 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\02-scorpions-the_game_of_life.mp3 6367881 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\03-scorpions-we_were_born_to_fly.mp3 6665469 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\04-scorpions-the_future_never_dies.mp3 6158485 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\05-scorpions-youre_lovin_me_to_death.mp3 5364197 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\07-scorpions-love_will_keep_us_alive.mp3 7077122 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\08-scorpions-we_will_rise_again.mp3 5995526 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\09-scorpions-your_last_song.mp3 5867634 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\10-scorpions-love_is_war.mp3 6977205 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\11-scorpions-the_cross_(feat._billy_corgan).mp3 7475720 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\1179170090_20070216scorpions[1].gif 32717 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\1179170163_15424_photo.jpg 34056 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\1179170179_flag_germany[1].png 1614 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\12-scorpions-humanity.mp3 8247581 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\15424_photo.jpg 54024 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\20070216-scorpions.gif 32717 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\20070216-scorpions.jpg 11456 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Scorpions - Humanity - Hour 1 [2007] -dademur-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v50\Thumbs.db 30208 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Whitesnake-Good To Be Bad (2008) [Mp3][www.zonator-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v52.com]\01-whitesnake-best_years.mp3 9200826 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Whitesnake-Good To Be Bad (2008) [Mp3][www.zonator-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v52.com]\02-WHI~1.MP3 8721150 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Whitesnake-Good To Be Bad (2008) [Mp3][www.zonator-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v52.com]\03-whitesnake-call_on_me.mp3 8667155 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Whitesnake-Good To Be Bad (2008) [Mp3][www.zonator-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v52.com]\04-WHI~1.MP3 9210720 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Whitesnake-Good To Be Bad (2008) [Mp3][www.zonator-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v52.com]\05-whitesnake-good_to_be_bad.mp3 9326472 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Whitesnake-Good To Be Bad (2008) [Mp3][www.zonator-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v52.com]\06-whitesnake-all_for_love.mp3 9250380 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Whitesnake-Good To Be Bad (2008) [Mp3][www.zonator-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v52.com]\07-whitesnake-summer_rain.mp3 9525605 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Whitesnake-Good To Be Bad (2008) [Mp3][www.zonator-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v52.com]\08-WHI~1.MP3 9702027 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Whitesnake-Good To Be Bad (2008) [Mp3][www.zonator-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v52.com]\09-whitesnake-a_fool_in_love.mp3 9533992 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Whitesnake-Good To Be Bad (2008) [Mp3][www.zonator-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v52.com]\10-whitesnake-got_what_you_need.mp3 7523885 bytes
File C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Messenger\fukguerr@hotmail.com\SharingMetadata\scleruccio@hotmail.it\DFSR\ConflictDelete\Whitesnake-Good To Be Bad (2008) [Mp3][www.zonator-{47B91BBF-2FC4-4938-B9EB-6BF7DFF4E1BC}-v52.com]\11-WHI~1.MP3 8406835 bytes

---- EOF - GMER 1.0.15 ----


Asquared mi trova solo dei tracking cookies (log in allegato).

La connessione è più lenta che sull'altro pc e avira non riesce a fare gli aggiornamenti automatici,però riesco a collegarmi ai siti di antivirus tranquillamente....sto diventando scemo!!!

log di a-squared


domanda: ma se vado nel regedit cambio i permessi alle cartelle evidenziate da gmer (visto che ci sono soloo i permessi in lettura) e poi le elimino?

Sei sicuro che il messaggio rilasciato da Combo non sia questo:


NOTE: You may be infected with a file patching virus " Virut "

Si perdonami..mi è uscito Virus ormai abituato alla parola,l ho scritto senza pensarci troppo! Scusami

Si perdonami..mi è uscito Virus ormai abituato alla parola,l ho scritto senza pensarci troppo! Scusami

Come pensavo, purtroppo Virut compromette il sistema in maniera che definirei irreversibile, ti suggerisco mio malgrado di formattare, in quanto la procedura di disinfezione per questo virus spesso si rivela inutile.

NB: nell'eventualità dovessi salvare file importanti prima di formattare, evita file in formato .exe e .src in quanto compromessi.

qualcuno ha qualche idea? sto per spaccare il pc...e sto pure combinando un casino con gmer...

ho provato a modificare le autorizzazioni da regedit aggiungendo i permessi da amministratore che prima non comparivano. Automaticamente i parametri sono stati resi visibili.
Ho eliminato i valori, ma non riesco a eliminare le cartelle (ho fatto la prova solo con uno dei file riconosciuti da gmer) secondo voi sto facendo un casino?

Come pensavo, purtroppo Virut compromette il sistema in maniera che definirei irreversibile, ti suggerisco mio malgrado di formattare, in quanto la procedura di disinfezione per questo virus spesso si rivela inutile.

NB: nell'eventualità dovessi salvare file importanti prima di formattare, evita file in formato .exe e .src in quanto compromessi.


Capito..allora ti chiedo una cosa. Io ho un HP Pavilion dV5. E non ho il Cd per ripristinare il sistema operativo dopo che l ho formattato,mi aiuteresti,ancora non capisco bene come fare

qualcuno ha qualche idea? sto per spaccare il pc...e sto pure combinando un casino con gmer...

ho provato a modificare le autorizzazioni da regedit aggiungendo i permessi da amministratore che prima non comparivano. Automaticamente i parametri sono stati resi visibili.
Ho eliminato i valori, ma non riesco a eliminare le cartelle (ho fatto la prova solo con uno dei file riconosciuti da gmer) secondo voi sto facendo un casino?

che valori hai modoificato per curiosità?
combofix non gira ancora?

Capito..allora ti chiedo una cosa. Io ho un HP Pavilion dV5. E non ho il Cd per ripristinare il sistema operativo dopo che l ho formattato,mi aiuteresti,ancora non capisco bene come fare

Leggi attentamente qui:

http://h10025.www1.hp.com/ewfrf/wc/document?lc=it&dlc=it&cc=it&docname=c00838544#RecoverOS

se non hai creato i dischi di ripristino, cosa che fari subito dopo aver ripristinato il Note utilizzando la procedura denominata HP Recovery Manager

che valori hai modoificato per curiosità?
combofix non gira ancora?

Dunque nel regedit, ho aggiunto i permessi da amministatore alle chiavi rilevate da gmer. Quei file a cui gmer faceva riferimento erano delle chiavi all'interno del registro che apparentemente erano vuote ma che come si vede anche da gmer contenevano dei valori. (del tipo C:\WINDOWS\system32\kbbvsxga.dll oppure stringhe con i valori per l'avvio automatico, manuale ecc).

In definitiva sti valori sono diventati visibili aggiungendo i permessi nel regedit, si potevano eliminare, ma non si poteva eliminare l'intera chiave che li conteneva.

Sono riuscito ad eliminare tutto con regseeker, che però mi ha dato un pelo di problemi quando ho avuto la geniale idea di fargli fare una scansione totale.

In pratica ora gmer non mi rileva più niente ma regseeker penso che mi abbia disabilitato dei servizi in quanto alcuni driver non funzionano (tipo penna grafica) ma basta andare nel services.msc e riavviarli.
L'unica cosa adesso è capire quali servizi ha disabilitato e capire se ce n'è qualcuno che fa riferimento ad outlook visto che non mi si apre più con MSOE.dll non trovata.

regseeker crea dei .reg di backup se non ricordo male, dentro li puoi verificare se hai qualche stringa che non andava tocca

combo non mi hai risposto se va

no, combo sul 64bit non ne vuole sapere di girare.
Per regseeker avevo già usato il backup ieri perchè mi aveva disabilitato veramente di tutto di più, nonostante questo qualche problemino è rimasto ma adesso vedo di capire da cosa dipende

carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598) il log di Eset Sysinspector (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)

Stamattina mi avete detto di seguire la guida di questo thread, ho fatto sia il test1 che il test2 che hanno dato esito negativo, devo fare in ogni caso le scansioni??

Stamattina mi avete detto di seguire la guida di questo thread, ho fatto sia il test1 che il test2 che hanno dato esito negativo, devo fare in ogni caso le scansioni??

Si

Si

Ecco i log delle scansioni

BDTOOLS REMOVE:
http://www.mediafire.com/download.php?yxznjyjnkij

COMBOFIX
http://www.mediafire.com/download.php?mytoynjatmj

GMER
http://www.mediafire.com/download.php?x3tgjjouiyz

Attendo risposta e grazie per la vosta cortesia.

Ecco i log delle scansioni

BDTOOLS REMOVE:
http://www.mediafire.com/download.php?yxznjyjnkij

COMBOFIX
http://www.mediafire.com/download.php?mytoynjatmj

GMER
http://www.mediafire.com/download.php?x3tgjjouiyz

Attendo risposta e grazie per la vosta cortesia.

Apri il Blocco note e copia ed incolla questa righe:

Driver::
qeikyqm
lzzuihyy

Netsvc::
qeikyqm
lzzuihyy

File::
c:\windows\system32\fzzaq.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\qeikyqm]
[-HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm]
[-HKLM\SYSTEM\ControlSet002\Services\qeikyqm]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Apri il Blocco note e copia ed incolla questa righe:



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Scusa la mia ignoranza, cosa vuol dire "produci il log della scansione di controllo con a-squared"?

ok, ho capito, non avevo letto l'inizio del thred, scusa!!

Apri il Blocco note e copia ed incolla questa righe:



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Ecco le scansioni:

COMBOFIX
http://www.mediafire.com/download.php?yxnumminnzy

A-SQUARE
http://www.mediafire.com/download.php?3e1zy0enmyf

Ho un problema: non riesco a mettere in quarantena diverse tracce rilevate da A-Square, mi dice di rimuovere la protezione di sola lettura.

Ecco le scansioni:

COMBOFIX
http://www.mediafire.com/download.php?yxnumminnzy

A-SQUARE
http://www.mediafire.com/download.php?3e1zy0enmyf

Ho un problema: non riesco a mettere in quarantena diverse tracce rilevate da A-Square, mi dice di rimuovere la protezione di sola lettura.

Lo Script di Combo ha lavorato come doveva, mentre per quanto concerne A2 = a-squared attendi qulalche giorno, aggiorna le signature e ripeti scansione completa.

Aggiornami sullo stato di salute del PC :)

Lo Script di Combo ha lavorato come doveva, mentre per quanto concerne A2 = a-squared attendi qulalche giorno, aggiorna le signature e ripeti scansione completa.

Aggiornami sullo stato di salute del PC :)

Ti ringrazio sempre del tempo che mi stai dedicando.

Cosa vuol dire aggiorna le signature??? (sono ignorantone!!) e quali scansioni dovrei ripetere?

Perchè diverse tracce ( a rischio medio) rilevate da A-Squared non posso metterle in quarantena??

Il computer va bene come andava bene prima, dopo che ho fatto pulizia con Dott. webcure it (nella prima fase).
Ieri però mi sono accorto che dopo che ho fatto la scansione con A-SQUARED si sono formate dentro "document and settings" delle icone di cartelle che si rifacevano a quelle esistenti quando ho preso il virus, sono però delle icone di cartelle vuote che non trovavano il programma per aprirle, le ho cancellate e non sono più riapparse quando ho riavviato.

Ti ringrazio sempre del tempo che mi stai dedicando.

Cosa vuol dire aggiorna le signature??? (sono ignorantone!!) e quali scansioni dovrei ripetere?

Perchè diverse tracce ( a rischio medio) rilevate da A-Squared non posso metterle in quarantena??

Qui trovi la Guida dedicata ad A2 = a-squared http://www.hwupgrade.it/forum/showthread.php?t=1564958

come detto in precedenza, attendi qualche giorno, aggiorna A2 cliccando sul tasto Aggiorna ora e ripeti scansione completa.

Qui trovi la Guida dedicata ad A2 = a-squared http://www.hwupgrade.it/forum/showthread.php?t=1564958

come detto in precedenza, attendi qualche giorno, aggiorna A2 cliccando sul tasto Aggiorna ora e ripeti scansione completa.

Ok, grazie di cuore.

scusate ragazzi... ho seguito la guida per la rimozione del virus in questione...arrivato al punto 4 stavo per hostare i log quando , riaprendosi firefox nella pagina del test1 , scopro che il test mi da "nessun virus"...

possibile che nel processo il virus sia stato debellato??? che faccio con i log ??? grazie per le risposte

scusate ragazzi... ho seguito la guida per la rimozione del virus in questione...arrivato al punto 4 stavo per hostare i log quando , riaprendosi firefox nella pagina del test1 , scopro che il test mi da "nessun virus"...

possibile che nel processo il virus sia stato debellato??? che faccio con i log ??? grazie per le risposte

Ciao e benvenuto!

Senza vedere i log come possiamo risponderti?

Ciao e benvenuto!

Senza vedere i log come possiamo risponderti?


ok... allora eccoti i log!

BDTOOLS REMOVE Downadup.log (http://wikisend.com/download/460032/BDTOOLS REMOVE Downadup.log)

ComboFix.txt (http://wikisend.com/download/955510/ComboFix.txt)

Gmer.txt (http://wikisend.com/download/446226/Gmer.txt)

grazie per l'aiuto, ora scarico la patch da windows???

Apri il Blocco note e copia ed incolla questa righe:

Driver::
cgmrti
mailKmd

Netsvc::
cgmrti

File::
C:\WINDOWS\system32\vtelx.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cgmrti]
[-HKLM\SYSTEM\CurrentControlSet\Services\cgmrti]
[-HKLM\SYSTEM\ControlSet002\Services\cgmrti]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Apri il Blocco note e copia ed incolla questa righe:



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.


ComboFix.txt (http://wikisend.com/download/477426/ComboFix.txt)


a2scan_091116-181657.txt (http://wikisend.com/download/929520/a2scan_091116-181657.txt)


ecco a te...il disco rigido F: è un hard disk esterno che ho dimenticato di staccare prima di fare il check :$

fammi sapere :P ...

ComboFix.txt (http://wikisend.com/download/477426/ComboFix.txt)


a2scan_091116-181657.txt (http://wikisend.com/download/929520/a2scan_091116-181657.txt)


ecco a te...il disco rigido F: è un hard disk esterno che ho dimenticato di staccare prima di fare il check :$

fammi sapere :P ...

Avresti dovuto disabilitare il Ripristino conf.sistema su entrambi i dischi, dovremmo essere ok, per scrupolo scansiona l'HDD esterno con DrWebCureIt, qui trovi le specifiche http://www.hwupgrade.it/forum/showthread.php?t=1599737

PS: sarebbe oportuno sostituire quella versione del Nod con Antivir vedi >> ● Trattamento post infezione

Avresti dovuto disabilitare il Ripristino conf.sistema su entrambi i dischi, dovremmo essere ok, per scrupolo scansiona l'HDD esterno con DrWebCureIt, qui trovi le specifiche http://www.hwupgrade.it/forum/showthread.php?t=1599737

PS: sarebbe oportuno sostituire quella versione del Nod con Antivir vedi >> ● Trattamento post infezione


anche se mi è appena partito l'aggiornamento al nod adesso che il software finalmente si può conettere al sito :D?

anche se mi è appena partito l'aggiornamento al nod adesso che il software finalmente si può conettere al sito :D?

Mi riferisco a quella versione nello specifico, che tra l'altro è obsoleta.

Il computer ora va bene, non ha più problemi e dal report di GMER è scomparso il presunto rootkit.
Vi ringrazio dell'aiuto.

Il computer ora va bene, non ha più problemi e dal report di GMER è scomparso il presunto rootkit.
Vi ringrazio dell'aiuto.

Prego

Appena ho inserito una pendrive usb avira mi ha segnalato:
worm kido.ih.40

l'azione effettuata è:

nega accesso

Dopodiché ho provato a fare una scansione manuale della pendrive, il virus è stato di nuovo rilevato ma non sono riuscito a rimuoverlo:

Trovato un virus o un programma indesiderato 'WORM/Kido.IH.40'
nel file 'G:\autorun.inf'[worm].
Azione eseguita:
Si è verificato un errore nel tentativo di creare una copia di backup e il file non è stato cancellato. Numero errore: 26003.
Impossibile eliminare il file!
Si sta tentando di eseguire l'azione con l'aiuto della ARK Library.

Allora ho formattato la pendrive e bohh :D

Secondo voi è tutto ok ed avira ha bloccato tutto, oppure c'è qualche possibilità che io sia cmq infetto ??

Graziee :)

Appena ho inserito una pendrive usb avira mi ha segnalato:
worm kido.ih.40

l'azione effettuata è:

nega accesso

Dopodiché ho provato a fare una scansione manuale della pendrive, il virus è stato di nuovo rilevato ma non sono riuscito a rimuoverlo:



Allora ho formattato la pendrive e bohh :D

Secondo voi è tutto ok ed avira ha bloccato tutto, oppure c'è qualche possibilità che io sia cmq infetto ??

Graziee :)

ciao

puoi fare il test del 1°post

ciao

puoi fare il test del 1°post

si, è tutto ok :D thanks

chill out mi ha consigliato di usare questa guida..ho fatto tutto cioche vi è scritto ma non credo abbia trovato qualcosa.
vi posto i log rispettivamente di bd remove tool e combofix

http://wikisend.com/download/509130/Win32.Worm.Downladup.Gen.log


http://wikisend.com/download/473754/log.txt

chill out mi ha consigliato di usare questa guida..ho fatto tutto cioche vi è scritto ma non credo abbia trovato qualcosa.
vi posto i log rispettivamente di bd remove tool e combofix

http://wikisend.com/download/509130/Win32.Worm.Downladup.Gen.log


http://wikisend.com/download/473754/log.txt

Come espressamente indicato in Guida, allega anche il log di Gmer.

sono quasi 10 giorni che combatto con questo dannato conficker
ho effettuato tutte le possibili ed inimmaginabili analisi scansioni etc
ma il probl persiste
nonostante dai test pubblicati su questo post sembra che non sia infetto!!!
boooooohhhh
in quanto avira continua a segnalarmi la presenza di questo fastidioso intruso!
come consigliato ho effettuato scansioni e pulizia con (ordine sparso e ripetuto + volte comunque):
ATF-Cleaner
Malwarebytes'
CFRemover
windows-kb890830
F-Secure malware removal tool (F-Downadup)
symantec w32.downadup.removal tool 1.1.0.7
sophos sconftool
sysinspector
dr.web
kaspersky removal tool
a-squared free
prevx
Bitdefender removal tool
e ultimo Combofix
le ho provate TUTTE!!! o almeno credo!!!
tutte da pc in modalità normale in quanto non riesco ad entrare in modalità provvisoria!!! sembra caricare i driver e il necessario ma non parte neanche l'avvio di winzoz perchè crasha di morte blu e si riavvia!
ho pensato fosse ancora una volta colpa di beagle
ed ho utilizzato
Fxbeagle
ma niente modalità provvisoria non và!
Avira mi fà impazzire...
mi segnala sempre pericolo!
allego così tutti i log che sono riuscito a rimediare in questa maratona di scansioni tra cui quello di hijackthis che a me profano ad una prima occhiata pare pulito!!!!:doh: :doh: :doh:
Edit

HELP ME :help:
grazie a tutti x le eventuali risposte

P.s. il pc in questione è il notebook in firma

@bladegpa

Ciao, segui la Guida in prima pagina ed allega i log nel ripsetto delle Regole di sezione.

..ecco ho rifatto tutto..spero possiate aiutarmi...


http://wikisend.com/download/508526/Win32.Worm.Downladup.Gen.log

http://wikisend.com/download/518588/log.txt

http://wikisend.com/download/469942/gmerr.log

..ecco ho rifatto tutto..spero possiate aiutarmi...


http://wikisend.com/download/508526/Win32.Worm.Downladup.Gen.log

http://wikisend.com/download/518588/log.txt

http://wikisend.com/download/469942/gmerr.log

Apri il Blocco note e copia ed incolla questa righe:

Driver::
libevt

Netsvc::
libevt

File::
C:\WINDOWS\system32\zihpv.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\libevt]
[-HKLM\SYSTEM\CurrentControlSet\Services\libevt]
[-HKLM\SYSTEM\ControlSet002\Services\libevt]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

per adesso sembra tutto risolto
la modalità provvisoria funziona di nuovo
forse è stato intaccato qualche softwareche dovrò reinstallare (pazienza!)
penso di essere stato vittima di un attacco combinato
conficker + sality
con scansioni a ripetizione di a-squared
malwarebytes
e dopodiche bitdefender e gmer
+ due removal tool per sality
spero che sia tornato tutto alla normalità
grazie comunque x le "guide" alla disinfezione :D
stasera completo il ciclo di check-up da modalità provvisoria di tutti i suddetti software. ;)

allego comunque i log di
Edit

Mbam
Asquared
Avira
Bitdefender
Hijackthis
Combofix

Come vi sembrano? puliti?

gmer l'avevo lasciato a macinare quando son tornato il pc era spento.

sono quasi 10 giorni che combatto con questo dannato conficker
ho effettuato tutte le possibili ed inimmaginabili analisi scansioni etc
ma il probl persiste
nonostante dai test pubblicati su questo post sembra che non sia infetto!!!
boooooohhhh
in quanto avira continua a segnalarmi la presenza di questo fastidioso intruso!
come consigliato ho effettuato scansioni e pulizia con (ordine sparso e ripetuto + volte comunque):
ATF-Cleaner
Malwarebytes'
CFRemover
windows-kb890830
F-Secure malware removal tool (F-Downadup)
symantec w32.downadup.removal tool 1.1.0.7
sophos sconftool
sysinspector
dr.web
kaspersky removal tool
a-squared free
prevx
Bitdefender removal tool
e ultimo Combofix
le ho provate TUTTE!!! o almeno credo!!!
tutte da pc in modalità normale in quanto non riesco ad entrare in modalità provvisoria!!! sembra caricare i driver e il necessario ma non parte neanche l'avvio di winzoz perchè crasha di morte blu e si riavvia!
ho pensato fosse ancora una volta colpa di beagle
ed ho utilizzato
Fxbeagle
ma niente modalità provvisoria non và!
Avira mi fà impazzire...
mi segnala sempre pericolo!
allego così tutti i log che sono riuscito a rimediare in questa maratona di scansioni tra cui quello di hijackthis che a me profano ad una prima occhiata pare pulito!!!!:doh: :doh: :doh:
Edit

HELP ME :help:
grazie a tutti x le eventuali risposte

P.s. il pc in questione è il notebook in firma

bladegpa

http://www.hwupgrade.it/forum/showpost.php?p=29874000&postcount=200

quindi no log compressi.

bladegpa

http://www.hwupgrade.it/forum/showpost.php?p=29874000&postcount=200

quindi no log compressi.

scusa ma io i log li ho allegati non capisco dove sbaglio!!!!!!!!!
nelle regole c'è scritto
Per log corposi è caldamente consigliato inviarli su uno dei tanti server free che permettano l'hosting temporaneo di file come ad esempio freefilehosting.net, wikisend.com, fileqube.com (utile anche per immagini), e mediafire.com infine copiare il link per il download e pubblicarlo nel forum nel proprio messaggio. si consiglia di riunire i link in un unico messaggio per evitare dispersione.

lo sbaglio è allegarli su rapidshare?!boh
comunque riallego su wikisend
Edit

scusa ma io i log li ho allegati non capisco dove sbaglio!!!!!!!!!
nelle regole c'è scritto
Per log corposi è caldamente consigliato inviarli su uno dei tanti server free che permettano l'hosting temporaneo di file come ad esempio freefilehosting.net, wikisend.com, fileqube.com (utile anche per immagini), e mediafire.com infine copiare il link per il download e pubblicarlo nel forum nel proprio messaggio. si consiglia di riunire i link in un unico messaggio per evitare dispersione.

lo sbaglio è allegarli su rapidshare?!boh
comunque riallego su wikisend
Log.rar (http://wikisend.com/download/573594/Log.rar)

rapidshare non è un hosting free è un hosting a pagamento che offre comunque un servizio volutamente castrato in ambito gratuito.
detto in altri ter,mini se paghi scarichi a piena banda altrimenti attendi anche più di un minuto per poi scoprire, è già successo, che per un errore di download devi ricominciare la procedura, dopo 5 minuti sei ancora lì che attendi i file perchè magari uppati zippati.

i log non vanno riuniti in un archivio rar/zip/tar/jar/cab/ecc..


in un unico post significa semplicemente riuniti in un unico messaggio con più link o nel caso di wikisend un unico link che porta a una cartella con i vari log in chiaro.

scusa ma io i log li ho allegati non capisco dove sbaglio!!!!!!!!!
nelle regole c'è scritto
Per log corposi è caldamente consigliato inviarli su uno dei tanti server free che permettano l'hosting temporaneo di file come ad esempio freefilehosting.net, wikisend.com, fileqube.com (utile anche per immagini), e mediafire.com infine copiare il link per il download e pubblicarlo nel forum nel proprio messaggio. si consiglia di riunire i link in un unico messaggio per evitare dispersione.

lo sbaglio è allegarli su rapidshare?!boh
comunque riallego su wikisend
Log.rar (http://wikisend.com/download/573594/Log.rar)
battuto sul tempo....
e stamattina sono già 2 :)

ciao a tutti,
dal test: Possibly Infected by Conficker A/B variant

Vi allego i risultati, in ordine:

BDTOOLS REMOVE.log
http://www.mediafire.com/?muizz2hz2jn

combofix.txt
http://www.mediafire.com/?myl1vtqyvla

gmer:
http://www.mediafire.com/?uznr2zdmndv

Visto la vicinanza, vi auguro buone feste
ciao e grazie per chi mi da attenzione :)

:help:

@MrDel

Apri il Blocco note e copia ed incolla questa righe:

Driver::
svllfl

Netsvc::
svllfl

File::
c:\windows\system32\makzaop.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\svllfl]
[-HKLM\SYSTEM\CurrentControlSet\Services\svllfl]
[-HKLM\SYSTEM\ControlSet003\Services\svllfl]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Apri il Blocco note e copia ed incolla questa righe:



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.








fatto

COMBOFIX
http://wikisend.com/download/856270/log...txt



A.SQUARED

http://wikisend.com/download/816040/a2scan_091206-195636.txt



nn ho capito se sn infetta o meno....non sono molto pratica

@MrDel

Apri il Blocco note e copia ed incolla questa righe:



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Dal test è tutto ok.
Cmq allego i logs:

combix
http://www.mediafire.com/?ntjtmx1y0tw

gmer
http://www.mediafire.com/?5zzimmwndlm

Spero vada bene anche se non ho usato a-squared mmm ?
Grazie ancora, ciao

Edit: sto scaricando a-squared
-------ecco il log
http://www.mediafire.com/?cdnia3zejmn

Dal test è tutto ok.
Cmq allego i logs:

combix
http://www.mediafire.com/?ntjtmx1y0tw

gmer
http://www.mediafire.com/?5zzimmwndlm

Spero vada bene anche se non ho usato a-squared mmm ?
Grazie ancora, ciao

Edit: sto scaricando a-squared
-------ecco il log
http://www.mediafire.com/?cdnia3zejmn

Dal log di A2 risulta che hai eseguito la scansione veloce, la Guida prevede la completa.

Dal log di A2 risulta che hai eseguito la scansione veloce, la Guida prevede la completa.

Scusami ieri sera in ufficio non avevo tempo per la completa.
Allego il log deep:
http://www.mediafire.com/?11mytndxmmi

EDIT: news: alcuni aggiornamenti della protezione di windows non vengono installati e SP3 l'ho evitato.
Durante il riavvio il Pc non si è più riacceso e ho dovuto forzare lo spegnimento manualmente.
Come mi comporto?

Scusami ieri sera in ufficio non avevo tempo per la completa.
Allego il log deep:
http://www.mediafire.com/?11mytndxmmi

EDIT: news: alcuni aggiornamenti della protezione di windows non vengono installati e SP3 l'ho evitato.
Durante il riavvio il Pc non si è più riacceso e ho dovuto forzare lo spegnimento manualmente.
Come mi comporto?

Questo lo puoi ripristinare dalla quarantena di A2

C:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxAdslL.exe

segui il trattamento post infezione che trovi sempre nella Guida in prima pagina, non aggiornare Win al SP3 è impensabile.

chill-out hai avuto un po di tempo per vedere i miei logs?...

chill-out hai avuto un po di tempo per vedere i miei logs?...

Siamo a posto, segui il Trattamento post infezione che trovi sempre nella Guida in prima pagina.

ciao! ecco i 3 files nell'ordine.

73787

73788

73789

ho sbagliato a postare il mess precedente.
sta tutto in questo unico file.

grazie. ciao.

ho sbagliato a postare il mess precedente.
sta tutto in questo unico file.

grazie. ciao.

Allega i log restanti, esattamente come indicato in Guida :)

OT: Chiedo scusa per l'errata sezione in cui ho postato precedentemente! :(
Ricopio qui il post con i log, grazie. :) Chiuso OT.


Dunque, ho finalmente capito che ho il conficker maledetto!!!

Ho usato ATF Cleaner poi effettuato le altre operazioni.

Vado a postare i logs come indicato nella guida:

http://www.mediafire.com/file/jinmmt22t0e/ComboFix.txt

http://www.mediafire.com/file/rgm12yjgnqy/log gmer.txt

http://www.mediafire.com/file/twmym5...nladup.Gen.log


Spero di riuscire a risolvere finalmente, non mi sembra vero che forse sono quasi alla soluzione del problema!
Grazie in anticipo per l'aiuto!

OT: Chiedo scusa per l'errata sezione in cui ho postato precedentemente! :(
Ricopio qui il post con i log, grazie. :) Chiuso OT.


Dunque, ho finalmente capito che ho il conficker maledetto!!!

Ho usato ATF Cleaner poi effettuato le altre operazioni.

Vado a postare i logs come indicato nella guida:

http://www.mediafire.com/file/jinmmt22t0e/ComboFix.txt

http://www.mediafire.com/file/rgm12yjgnqy/log gmer.txt

http://www.mediafire.com/file/twmym5...nladup.Gen.log


Spero di riuscire a risolvere finalmente, non mi sembra vero che forse sono quasi alla soluzione del problema!
Grazie in anticipo per l'aiuto!

Apri il Blocco note e copia ed incolla questa righe:

Driver::
feqvvx

Netsvc::
feqvvx

File::
c:\windows\system32\zatcu.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\feqvvx]
[-HKLM\SYSTEM\CurrentControlSet\Services\feqvvx]
[-HKLM\SYSTEM\ControlSet002\Services\feqvvx]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Allega i log restanti, esattamente come indicato in Guida :)

si scusami, ecco tutti i log nell'ordine. grazie. :)

http://wikisend.com/download/816040/BDTOOLS%20REMOVE%20Downadup.txt

http://wikisend.com/download/856270/ComboFix.txt

http://wikisend.com/download/569598/Gmer.txt

Ok fatto tutto solo che quando ho usato a-squared non sono riuscito a fare l'aggiornamento a fine installazione in quanto non riusciva a connettersi al server. Forse sempre per colpa del Conficker, non so. Spero vada bene lo stesso!

In ogni caso questi sono i logs che mi hai chiesto:

http://www.mediafire.com/file/1tdgxho5gli/ComboFix.txt

http://www.mediafire.com/file/4jnmjmidjij/log a-squared.txt

attendo nuove istruzioni! Grazie mille! :)

Ok fatto tutto solo che quando ho usato a-squared non sono riuscito a fare l'aggiornamento a fine installazione in quanto non riusciva a connettersi al server. Forse sempre per colpa del Conficker, non so. Spero vada bene lo stesso!

In ogni caso questi sono i logs che mi hai chiesto:

http://www.mediafire.com/file/1tdgxho5gli/ComboFix.txt

http://www.mediafire.com/file/4jnmjmidjij/log a-squared.txt

attendo nuove istruzioni! Grazie mille! :)

Non hai eseguito esattamente ciò che ti ho detto, disabilita il ripristino conf.sistema successivamente da modalità normale scarica l'allegato in formato testo e trascinalo sull'icona di Combofix al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared aggiornato altrimenti non ha senso fare scansione.

NB: Combofix deve essere in C:\ non in H:\

Access to this URL is currently restricted because of its classification.

URL: http://www.bdtools.net/download/dcleaner.zip
Content classification: Virus Accomplice


è da fidarsi di bit defender o di trend micro?

mi serviva un tool per fare una scansione della rete, sembra che da qualche parte si sia insinuato il maledetto Downadup.

avevo avuto segnalazioni a riguardo tempo addietro perchè il virus veniva bloaccato dal trend micro, mettendo la patch sembrava essersi risolto ed ora invece qualche cosa sta attaccando la rete brutalmente, ce ne siamo accorti per il continuo blocco delgli account su windows 2003 server.

scaricato http://www.bdtools.net/download/bd_network_tool.exe questo poi mi chiedeva di usare un pacchetto e quando sono andato per scaricarlo Trend mi ha messo in guardia...

è da fidarsi di bit defender o di trend micro?


Di BitDefender, il tool è sicuro ;)

Posto di nuovo i 3 log nell'ordine, credo che non siano arrivati in un precedente post.. :)
grazie!!!

http://wikisend.com/download/816040/...20Downadup.txt

http://wikisend.com/download/856270/ComboFix.txt

http://wikisend.com/download/569598/Gmer.txt

Posto di nuovo i 3 log nell'ordine, credo che non siano arrivati in un precedente post.. :)
grazie!!!

http://wikisend.com/download/816040/...20Downadup.txt

http://wikisend.com/download/856270/ComboFix.txt

http://wikisend.com/download/569598/Gmer.txt

Apri il Blocco note e copia ed incolla questa righe:

Driver::
oxkdheg

Netsvc::
oxkdheg

File::
C:\WINDOWS\system32\ualxhho.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\oxkdheg]
[-HKLM\SYSTEM\CurrentControlSet\Services\oxkdheg]
[-HKLM\SYSTEM\ControlSet003\Services\oxkdheg]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Non hai eseguito esattamente ciò che ti ho detto, disabilita il ripristino conf.sistema successivamente da modalità normale scarica l'allegato in formato testo e trascinalo sull'icona di Combofix al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared aggiornato altrimenti non ha senso fare scansione.

NB: Combofix deve essere in C:\ non in H:\

Ho fatto come mi hai detto...almeno dovrebbe essere tutto ok ora! :)
Posto i nuovi logs ricavati:

http://www.mediafire.com/file/lunzjzintdh/ComboFix.txt

Siccome non capisco cosa sia successo sull'host (il file uploadato non appare da nessuna parte e, se riprovo l'upload, esce errore perchè dovrebbe già essere presente) ti chiedo scusa in anticipo ma non ne vengo a capo per cui ti posto il log di a-squared che comunque è abbastanza corto.

Log rimosso, leggere le Regole di sezione.

Grazie e scusa l'inconveniente! :)

Apri il Blocco note e copia ed incolla questa righe:



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt, successivamente produci il log della scansione di controllo con a-squared.

Ecco il log di ComboFix:

http://wikisend.com/download/557520/ComboFix.txt

Ho fatto come mi hai detto...almeno dovrebbe essere tutto ok ora! :)
Posto i nuovi logs ricavati:

http://www.mediafire.com/file/lunzjzintdh/ComboFix.txt

Siccome non capisco cosa sia successo sull'host (il file uploadato non appare da nessuna parte e, se riprovo l'upload, esce errore perchè dovrebbe già essere presente) ti chiedo scusa in anticipo ma non ne vengo a capo per cui ti posto il log di a-squared che comunque è abbastanza corto.

Log rimosso, leggere le Regole di sezione.

Grazie e scusa l'inconveniente! :)

Tutto come prima, evidentemente non segui alla lettere le istruzioni date.

Ecco il log di ComboFix:

http://wikisend.com/download/557520/ComboFix.txt

Metti Combofix sul Desktop e trascina CFScript.txt sull'icona di ComboFix esattamente come indicato in precedenza, il tutto in modalità normale.

Mi allegheresti anche un log di HJT, grazie.

Al momento il download di Combo non è disponibile, stanno risolvendo un problemino quindi pazientate.

Tutto come prima, evidentemente non segui alla lettere le istruzioni date.

ma com'è possibile? Ho disabilitato il ripristino di sistema e aggiunto il file CFScript su Combofix che stavolta ho ricopiato in C: :(

Ti chiedo una cosa, e forse è questo il problema: ho scaricato Combofix e CFScript su una chiavetta da un altro pc e poi li ho copiati su questo infetto. Una volta fatto questo ho eseguito le operazioni che mi hai detto. Devo per forza eseguire il download dei programmi e dei file direttamente dal pc infetto?
Ho fatto così perchè il pc è della mia ragazza quello col Confixker ed ha problemi di connessione mentre facendo come ho fatto io dal mio PC sono riuscito a scaricare tutto in fretta.

Se non è questo il problema allora non capisco dove stia sbagliando, ho fatto ciò che mi hai detto :(

P.S.
Per modalità normale intendi non in modalità provvisoria giusto?
C'è qualche operazione che va fatta in modalità provvisoria?

P.S.
Per modalità normale intendi non in modalità provvisoria giusto?
C'è qualche operazione che va fatta in modalità provvisoria?

No intendo modalità normale, altrimenti avrei parlato di mod.provvisoria, in ogni caso prima di ripetere l'operazione devi riscaricare Combo ed al momento il download non è disponmibile a causa di un problema. Come puoi leggere tu stesso un paio di post sopra, quindi bisogna pazientare.

No intendo modalità normale, altrimenti avrei parlato di mod.provvisoria, in ogni caso prima di ripetere l'operazione devi riscaricare Combo ed al momento il download non è disponmibile a causa di un problema. Come puoi leggere tu stesso un paio di post sopra, quindi bisogna pazientare.

ok allora davvero non capisco dove stia l'errore, ho disabilitato il ripristino della configurazione di sistema, poi ho trascinato il file CFScript sull'icona di Combifix (entrambi copiati da una chiavetta al PC infetto) ed ha fatto tutto. Ho riavviato ed effettuato la scansione con a-squared aggiornato stavolta.

dove sbaglio?

ok allora davvero non capisco dove stia l'errore, ho disabilitato il ripristino della configurazione di sistema, poi ho trascinato il file CFScript sull'icona di Combifix (entrambi copiati da una chiavetta al PC infetto) ed ha fatto tutto. Ho riavviato ed effettuato la scansione con a-squared aggiornato stavolta.

dove sbaglio?

La versione di Combo che hai utilizzato non è aggiornata, ed al momento il download di Combo non è disponibile, stanno risolvendo un problemino quindi pazientate.

La versione di Combo che hai utilizzato non è aggiornata, ed al momento il download di Combo non è disponibile, stanno risolvendo un problemino quindi pazientate.

ok non c'è problema per aspettare, l'importante per me è sapere che sia solo questa la cosa che ho sbagliato. :) Perchè per il resto penso di aver seguito la procedura che mi hai detto.
Attendo pazientemente e riposterò i logs quando disponibili.

Grazie ancora per la disponibilità! :)

ok non c'è problema per aspettare, l'importante per me è sapere che sia solo questa la cosa che ho sbagliato. :) Perchè per il resto penso di aver seguito la procedura che mi hai detto.
Attendo pazientemente e riposterò i logs quando disponibili.

Grazie ancora per la disponibilità! :)

Devi semplicemente attendere che Combo sia nuovamente disponibile all'indirizzo indicato nella Guida in prima pagina, dopodichè inserisci lo stesso Script http://www.hwupgrade.it/forum/showpost.php?p=30068457&postcount=224

Devi semplicemente attendere che Combo sia nuovamente disponibile all'indirizzo indicato nella Guida in prima pagina, dopodichè inserisci lo stesso Script http://www.hwupgrade.it/forum/showpost.php?p=30068457&postcount=224

perfetto, grazie mille! :)

perfetto, grazie mille! :)

Combofix è nuovamente disponibile :)

è da fidarsi di bit defender o di trend micro?

mi serviva un tool per fare una scansione della rete, sembra che da qualche parte si sia insinuato il maledetto Downadup.

avevo avuto segnalazioni a riguardo tempo addietro perchè il virus veniva bloaccato dal trend micro, mettendo la patch sembrava essersi risolto ed ora invece qualche cosa sta attaccando la rete brutalmente, ce ne siamo accorti per il continuo blocco delgli account su windows 2003 server.

scaricato http://www.bdtools.net/download/bd_network_tool.exe questo poi mi chiedeva di usare un pacchetto e quando sono andato per scaricarlo Trend mi ha messo in guardia...

per trovare i pc infetti ho attivato i log per gli accesso NON riusciti sui server windows, dopo circa 4 ore ho beccato i 2 malandrini e risolto con il tool microsoft e per sicurezza anche quello di bit defender

Metti Combofix sul Desktop e trascina CFScript.txt sull'icona di ComboFix esattamente come indicato in precedenza, il tutto in modalità normale.

Mi allegheresti anche un log di HJT, grazie.

Ecco il file di Combofix e quello di hijackthis.
Auguri di Buon Natale! ;)

http://wikisend.com/download/476542/ComboFix.txt

http://wikisend.com/download/472836/hijackthis.log

Ecco il file di Combofix e quello di hijackthis.
Auguri di Buon Natale! ;)

http://wikisend.com/download/476542/ComboFix.txt

http://wikisend.com/download/472836/hijackthis.log

Ok, segui i suggerimenti che trovi sempre nella Guida in prima pagina.

spiego il mio problema, credo di essere infetto da conficker visto che il nod me lo segnala su un file posizionato sul mio disco USB esterno però non riesce ad eliminarlo, gli altri programmi mi pare non lo segnalino e le prove nel primo post mi dicono che non sono infetto.

in ogni caso non riesco più ad usare firefox visto che quando provo a selezioanre un link ,mi si apre una pagina pubblicitaria diversa, explorer è cmq lentissimo e se provo ad usare spybot mi si pianta il pc in pochi minuti.
il pc è lento come non lo è mai stato e tende a bloccarsi randomicamente.
i problemi sono iniziati 2 giorni fa prima non ho mai avuto nessun problema nè infezione.

ecco cmq i log:
bd rem tool: Win32.Worm.Downladup.Gen.log (http://wikisend.com/download/477372/Win32.Worm.Downladup.Gen.log)
combofix: ComboFix.txt (http://wikisend.com/download/775024/ComboFix.txt)
gmer: gmer.txt (http://wikisend.com/download/546238/gmer.txt)


aggiungo anche il log del nod e di hijackthis

nod: nod.txt (http://wikisend.com/download/456944/nod.txt)
hijackthis: hijackthis.log (http://wikisend.com/download/578922/hijackthis.log)

spiego il mio problema, credo di essere infetto da conficker visto che il nod me lo segnala su un file posizionato sul mio disco USB esterno però non riesce ad eliminarlo, gli altri programmi mi pare non lo segnalino e le prove nel primo post mi dicono che non sono infetto.

in ogni caso non riesco più ad usare firefox visto che quando provo a selezioanre un link ,mi si apre una pagina pubblicitaria diversa, explorer è cmq lentissimo e se provo ad usare spybot mi si pianta il pc in pochi minuti.
il pc è lento come non lo è mai stato e tende a bloccarsi randomicamente.
i problemi sono iniziati 2 giorni fa prima non ho mai avuto nessun problema nè infezione.

ecco cmq i log:
bd rem tool: Win32.Worm.Downladup.Gen.log (http://wikisend.com/download/477372/Win32.Worm.Downladup.Gen.log)
combofix: ComboFix.txt (http://wikisend.com/download/775024/ComboFix.txt)
gmer: gmer.txt (http://wikisend.com/download/546238/gmer.txt)


aggiungo anche il log del nod e di hijackthis

nod: nod.txt (http://wikisend.com/download/456944/nod.txt)
hijackthis: hijackthis.log (http://wikisend.com/download/578922/hijackthis.log)

ciao

per ripulire una chiavetta infetta da confiker mi era bastato usare unlocker, tieni premuto shift prima di inserirla per evitare il reinfettamento, a meno che nod non la blocchi in tempo

Ok, segui i suggerimenti che trovi sempre nella Guida in prima pagina.

Cioè proseguo con la "Scansione di controllo" e il "Trattamento post infezione"?

ciao

per ripulire una chiavetta infetta da confiker mi era bastato usare unlocker, tieni premuto shift prima di inserirla per evitare il reinfettamento, a meno che nod non la blocchi in tempo

veramente non è una chiavetta ma un HD esterno, quindi lo vorrei pulito... cmq provo a cercare unlocker e vedo come funziona

non trovo unlocker, quando lo scarico nod mi dice che è infetto, avete un link sicuro da cui scaricarlo?

Cioè proseguo con la "Scansione di controllo" e il "Trattamento post infezione"?

Si :)