Olimpo Informatico

[koanstudio]

Ciao a tutti,
non sono messo mica tanto bene: spero che qualcuno possa darmi una mano.
Dunque, con Win XP Pro SP2, dopo una scansione in modalità provvisoria con Ad-Aware 2007, Spybot S&D, e Spy Sweeper, diciamo di manutenzione (visto che avevo una seccatura su Internet Explorer che mi reindirizzava dalle ricerche google a siti 89.xxx.xxx.xxx), quando sono andato a riavviare in modalità normale ho i seguenti sintomi:

- le icone compaiono dopo almeno 3-4 minuti di sfondo desktop (ma l'hd sembra fermo),
- il programma di gestione wireless non riesce più a comunicare con la scheda wifi (con un generico "an error has occurred"),
- la lan stessa non funziona,
- viene fuori il fumetto "nessun firewall attivato", se lo attivo manualmente mi dice di attivare il servizio, se vado ad attivare il servizio mi da errore ("impossibile attivare il servizio Windows Firewall / Condivisione connessione Internet (ICS). Errore 2001: il driver specificato non è valido")
- avast tira fuori 4 messaggi di errore in cui dice che non potrà proteggere la posta in arrivo, la posta in uscita, e le news.

Qui sotto il link al log di Hijackthis. Purtroppo non avendo la connessione disponibile, non posso fare scansioni online. Avast in modalità provvisoria, aggiornato, non ha trovato nulla.

hijackthis.txt

[koanstudio]

se può aiutare, allego anche il log di a-squared, che ha trovato qualcosa:

log a-squared

[koanstudio]

aggiornamento: ho il file comaddinu.dll che in virustotal viene trovato infettato da tr.crypt.morphine.gen da avira.
ho scaricato avira e gli ho fatto fare una scansione (anche in mod prov) che ovviamente lo trova, ma non può ne metterlo in quarantena ne cancellarlo.
anche manualmente il file non si fa cancellare, e se si rinomina, si autorigenera col nome giusto in meno di due secondi.
quindi i sintomi persistono tutti.
anche hijackrhis, se fixo quelle righe, si riformano subito allo scan successivo.

[Orange]

ciao, benvenuto

è tutto molto confuso, non riesco a capire quali sono i logs... Potresti gentilmente rifare le scansioni con HJT e Gmer e metterli su http://www.freefilehosting.net/ ?
Grazie.

[koanstudio]

spero che non sia un problema se li ho hostati su un mio sito:

link

link

[Orange]

sembrerebbe Vundo...
Scaricati intanto VundoFix e fai uno scan con quello:
Doppio clic su VundoFix.exe
Seleziona Scan for Vundo e a scan terminato seleziona Remove Vundo
Rispondi Yes a tutte le successive richieste, il Pc si riavvierà.
Al riavvio posta qui il log generato da VundoFix.

Ah, mancherebbe il log Autostart di Gmer. Ti spiace postare anche quello?

[koanstudio]

dunque, purtroppo vundofix non ha trovato nulla.
questo è il log che mi hai chiesto di gmer:

link

[bdoriano]

Scarica VirtuMondeBegone e avvia il pc in modalità provvisoria.
Al termine riavvia il pc e copia qui il log che verrà creato.

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Dopo, segui le istruzioni di questo topic per postare il log di combofix.

[koanstudio]

ecco il log: link

purtroppo Combofix non funziona in modalità provvisoria, e la modalità normale per me è fuori uso da ieri, quando all'avvio non compaiono più le icone del desktop e si vede solo la foto dello sfondo...

[koanstudio]

come non detto: nella guida c'era scritto che non andava in mod prov, invece sta andando, dopo posto il log!

[koanstudio]

ecco il log di combofix, purtroppo sembra che comaddinu.dll si sia opposto un'altra volta!

link

[bdoriano]

Mi sa che c'è in giro una variante molto virulenta e parecchio tosta...

Scarica Dr.Web CureIt.
Disabilita il ripristino di sistema e avvia il pc in modalità provvisoria.
Avvia DrWeb CureIt e fagli fare la scansione completa.

[koanstudio]

è stata una delle prime cose che avevo fatto, ma anche lui non aveva trovato niente...

..sembra che questo virus, una volta caricato all'avvio, sia dotato di scudi contro tutti i rimedi conosciuti...

...non c'è un sistema di avviare il pc da floppy, e di andare a troncarlo manualmente prima che venga avviato?

[bdoriano]

CureIt quando l'avevi usato? Tieni conto che viene aggiornato ogni ora.

C'è questa discussione in Linux dove abbiamo parlato di scansioni da CD di avvio.

[koanstudio]

hai ragione: non l'avevo usato aggiornato. non riesco a trovare l'ultimo update per dr.web, dal momento che non ho connessione funzionante, devo fare gli update manualmente.

[bdoriano]

DrWeb CureIT non fa gli aggiornamenti. Si deve scaricare ex novo ogni volta.

[koanstudio]

fatto. dopo la lunga scansione completa, file infetti trovati: 0

[bdoriano]

Scarica ATF-Cleaner.
Avvia ATF-Cleaner (serve a eliminare i files temporanei)
Metti il segno di spunta a Select All
(se vuoi conservare i files del cestino, togli il segno di spunta a Recycle bin)
Clicca su Empty selected

Scarica VirIt, installalo, aggiornalo (importante) e fai lo scan completo.

Al termine, fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui.

[koanstudio]

atf cleaner fatto.
virit fatto (0 infezioni trovate), anche se purtroppo usato appena scaricato perchè non sono riuscito a trovare sul loro sito le impronte virali aggiornate scaricabili manualmente (la mia connessione internet è giù a causa del virus).

questo è il log si systemscan: link

[bdoriano]

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe: