| Precedente :: Successivo |
| Autore |
Messaggio |
Grea[t]!
Eroe in grazia degli dei
Registrato: 08/05/10 17:12
Messaggi: 82
|
 Inviato: 08 Mag 2010 23:28 Oggetto: Win32:Malware-gen... Aiuto! |
 |
|
Buonasera a tutti gli utenti, ai moderatori e agli esperti informatici di questa magnifica community.
Scrivo il mio primo messaggio con la speranza che possiate aiutarmi a levare dal pc un virus molto ostinato. Ho visto che sono state già aperte delle discussioni, ma seguo il consiglio di un utente esperto del forum e apro questo nuovo topic.
Nome del file: C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp250\mdm.exe
Nome malware: Win32:Malware-gen
Tipo di malware: Virus/Worm
Versione VPS: 100508-0, 08/05/2010
Questo è quello che mi esce con Avast versione free antivirus.
Il pc in questione lavora con Windows XP SP3.
Attendo fiducioso i vostri consigli passo passo, scusandomi fin da adesso se vi chiederò ulteriori specificazioni su ciò che mi direte di fare.
Grazie infinite per la vostra gentilezza. |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 09 Mag 2010 08:22 Oggetto: |
|
|
Ciao Grea[t]! e benvenuto, 
comincia a fare queste operazioni preliminari:
- Pulisci i files temporanei con CCleaner
- Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
- Segui le istruzioni di questo topic per usare MBAM.
- scarica e installa la versione Free di SuperAntispyware:
la configuri come da immagini:
esegui una scansione completa del sistema
- Fai questa scansione con SystemScan.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di SuperAntiSpyware su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di SystemScan su WikiSend e posta il Forum Link che ti viene assegnato.
Nel caso incontrassi problemi con uno dei punti, procedi al punto successivo. |
|
| Top |
|
|
Grea[t]!
Eroe in grazia degli dei
Registrato: 08/05/10 17:12
Messaggi: 82
|
| Inviato: 09 Mag 2010 12:24 Oggetto: |
|
|
Grazie per la procedura. Sono al passo 3 e vi posto tutto non appena finisco.
Chiedo 2 cose:
1. La pulizia con Ccleaner l'ho fatta non in modalità provvisoria (al contrario di HJT). E' un problema?
2. Sto facendo la scansione con Malwarebytes. Aggiungo che questa scansione sta avvenendo con internet attivo (cavo di rete collegato).E' un problema se sul pc infetto è installato Ad-Aware? Penso ad un conflitto e se sarebbe meglio disinstallare Ad-Aware.
Grazie come sempre. |
|
| Top |
|
|
Grea[t]!
Eroe in grazia degli dei
Registrato: 08/05/10 17:12
Messaggi: 82
|
| Inviato: 09 Mag 2010 13:49 Oggetto: |
|
|
Tutto fatto secondo la procedura di bdoriano.
1-2: Ccleaner e HJT (rimozione ADS) senza problemi.
3: Malwarebytes ha rimosso una 30ina di minacce.
4: SuperAntispyware invece ne ha rimosse 24.
5. SystemScan non ha avuto problemi. L'unica spunta nelle impostazioni che non è stato possibile inserire è stata l'ultima: Include HJT log (not found). Questo era quello che mi diceva e non potevo selezionarla.
Posto i LOG richiesti.
1. mbam
mbam-log-2010-05-09 (12-47-31).txt
2. SuperAntispyware
SUPERAntiSpyware Scan Log - 05-09-2010 - 13-17-40.log
3. SystemScan
report.txt
NB: Durante la scansione con SuperAntispyware i messaggi allarme di Avast riguardanti il Malware-Gen sono ricomparsi per 3-4 volte. Modifico ora il post: ancora un avviso di Avast, il bastardo è ancora lì.
Aspetto il vostro autorevole giudizio sui log postati. Grazie ancora. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 09 Mag 2010 15:26 Oggetto: |
|
|
- Avvia nuovamente SystemScan
- metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
- clicca su Removal Script
- Nel riquadro inserisci il seguente script:
| Codice: | Files to delete:
C:\DOCUME~1\Utente\IMPOST~1\Temp\clipsrv.exe
C:\WINDOWS\System\spoolsv.exe
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run | ClipSrv
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run | Spool |
e clicca Proceed with removal
******
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
******
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di SystemScan.
Ti consiglio di disinstallare Lavasoft Ad-Aware che, a mio parere, ha perso molto in efficacia. |
|
| Top |
|
|
Grea[t]!
Eroe in grazia degli dei
Registrato: 08/05/10 17:12
Messaggi: 82
|
| Inviato: 09 Mag 2010 16:09 Oggetto: |
|
|
Tutto fatto. Prima dei Log volevo dirti che ho eseguito SystemScan sempre con internet staccato.
Ho proceduto con una nuova scansione di SystemScan
Purtroppo non appena ricollego il cavo ethernet al modem (per togliere internet faccio così: stacco e ricollego il cavo al modem) mi ritorna l'avviso di Avast.
Stacco internet sempre sulle direttive della guida di SystemScan che impone di usarlo a rete staccata. Il programma mi chiede anche all'avvio di cercare aggiornamenti, ma proprio perchè la rete non c'è, desisto e procedo alla scansione.
Eccoti i Log:
1. Avenger.txt Non lo riesce a caricare su Wikisend, ho provato più volte. Te lo riporto qui come codice, spero non sia un problema.
| Codice: | Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\aabufbvg
*******************
Script file located at: \??\C:\WINDOWS\system32\jwseopag.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\DOCUME~1\Utente\IMPOST~1\Temp\clipsrv.exe deleted successfully.
File C:\WINDOWS\System\spoolsv.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|ClipSrv deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|Spool deleted successfully.
Program C:\Documents and Settings\Utente\Desktop\sys813.exe successfully set up to run once on reboot.
Completed script processing.
*******************
Finished! Terminate.
|
2. SystemScan dopo la cancellazione
report.txt |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 09 Mag 2010 16:28 Oggetto: |
|
|
Ok, c'è da fare un altro passaggio.
- Avvia nuovamente SystemScan
- metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
- clicca su Removal Script
- Nel riquadro inserisci il seguente script:
| Codice: | Files to delete:
C:\Documents and Settings\Utente\Dati applicazioni\cisvc.exe
C:\Documents and Settings\Utente\Dati applicazioni\mstsc.exe
C:\Documents and Settings\Utente\Dati applicazioni\mqtgsvc.exe
C:\Documents and Settings\Utente\Dati applicazioni\comrepl.exe
C:\Documents and Settings\Utente\Dati applicazioni\clipsrv.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\ieudinit.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\clipsrv.exe
C:\WINDOWS\mstsc.exe
C:\WINDOWS\system\mstsc.exe
C:\WINDOWS\system32\drivers\clipsrv.exe
Registry values to delete:
HKLM\SOFTWARE\Microsoft\windows\currentversion\policies\explorer\run | IEudinit
HKLM\SOFTWARE\Microsoft\windows\currentversion\policies\explorer\run | ClipSrv |
e clicca Proceed with removal
******
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
******
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di SystemScan. |
|
| Top |
|
|
Grea[t]!
Eroe in grazia degli dei
Registrato: 08/05/10 17:12
Messaggi: 82
|
| Inviato: 09 Mag 2010 17:02 Oggetto: |
|
|
Tutto fatto.
Rispetto a prima, riporto come pura informazione, dopo il riavvio del computer mi sono apparsi due messaggi windows:
1. Impossibile trovare il file:
| Codice: | | C:\WINDOWS\System32\drivers\clipsrv.exe |
2. Impossibile caricare o eseguire:
| Codice: | | C:\WINDOWS\System32\drivers\clipsrv.exe |
Ecco i due log:
1. Avenger.txt
avenger.txt
2. SystemScan dopo le seconde cancellazioni
report.txt
Per adesso, cioè fino alla scrittura e pubblicazione di questo post, nessun avviso da parte di Avast. Chiaramente se riappare a breve, ti aggiorno con un nuovo post.
Resto in attesa di ulteriori istruzioni. Già da ora, grazie mille. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 09 Mag 2010 19:29 Oggetto: |
|
|
Ottimo! 
Direi che abbiamo eliminato il tuo ospite indesiderato.
Giusto per sicurezza:
- Disabilita il tuo antivirus
- Collegati a BitDefender on-line scanner e fai la scansione, come indicato qui.
- Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato TXT), carica il file su WikiSend e posta qui il Forum Link che ti viene assegnato.
Poi, ti consiglio di aggiornare i seguenti programmi:
Ti rinnovo il consiglio di rimuovere Lavasoft AdAware.
Rimuovi i vecchi aggiornamenti di Windows XP. In questo modo, liberi spazio e migliori le prestazioni del pc.
Infine, segui le istruzioni di questo topic per postare il log di hijackthis. |
|
| Top |
|
|
Grea[t]!
Eroe in grazia degli dei
Registrato: 08/05/10 17:12
Messaggi: 82
|
| Inviato: 09 Mag 2010 23:14 Oggetto: |
|
|
Bdoriano, grazie mille per il tuo supporto preciso e guidato.
Domattina procedo alle ultime tue istruzioni. Ti aggiorno sul fatto che fino a stasera nessun avviso di avast è più scattato.
Speriamo bene.
I messaggi di cui prima ti parlavo (impossibile trovare file, caricare o eseguire), persistono all'avvio di windows. E' un problema?
Grazie infinite per questa tua incommensurabile opera di aiuto informatico. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 10 Mag 2010 14:02 Oggetto: |
|
|
| Grea[t]! ha scritto: | | I messaggi di cui prima ti parlavo (impossibile trovare file, caricare o eseguire), persistono all'avvio di windows. E' un problema? |
No, nessun problema.
Li aggiusteremo quando avrai fatto gli ultimi passaggi.  |
|
| Top |
|
|
Grea[t]!
Eroe in grazia degli dei
Registrato: 08/05/10 17:12
Messaggi: 82
|
| Inviato: 10 Mag 2010 15:44 Oggetto: |
|
|
Eccomi qua. Tutto fatto.
Posto i log secondo l'ordine con cui li ho eseguiti.
1. Kaspersky on line. Spero non sia un problema averlo fatto prima di BitDefender
report kaspersky.html
2. BitDefender
report bitdefender.html
3. HJT
hijackthis report.txt
Grazie doriano per le dritte sull'aggiornamento dei programmi e sul togliere i vecchi upload di windows. Per adesso ho rimosso aad Aware come da te consigliato.
Aspetto il tuo responso sugli ultimi log, ma grazie anche per la tua precedente risposta sugli avvisi windows.
Aggiungo infine che SystemScan (sys.exe) è presente sul desktop del pc. Poichè BitDefender lo riportava come minaccia mi premeva ricordarlo a doriano. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 10 Mag 2010 16:04 Oggetto: |
|
|
Molto bene, Kaspersky e BitDefender hanno identificato un'ultima minaccia e BitDefender l'ha rimossa. Per eccesso di zelo ha rimosso anche SystemScan... ma non dovrebbe più servirci. 
Adesso ti faccio rimuovere alcune voci inutili presenti all'avvio del sistema operativo:
- Pannello di controllo
- Strumenti di amministrazione
- Servizi
- Cerca il servizio Java Quick Starter
- clicca con il tasto destro del mouse sul servizio indicato
- Arresta
- clicca con il tasto destro del mouse sul servizio indicato
- Proprietà
- Tipo di avvio: Disabilitato
- Conferma con Ok
- Chiudi le varie finestre
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:
| Citazione: | F3 - REG:win.ini: load=C:\WINDOWS\System32\drivers\clipsrv.exe
O4 - HKLM\..\Run: [RemoteControl9] C:\Programmi\CyberLink\PowerDVD9\PDVD9Serv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\DOCUME~1\Utente\IMPOST~1\Temp\clipsrv.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ClipSrv] C:\DOCUME~1\Utente\IMPOST~1\Temp\clipsrv.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [ClipSrv] C:\DOCUME~1\Utente\IMPOST~1\Temp\clipsrv.exe /waitservice (User 'Default user')
O9 - Extra button: Goldwin - {00000000-0000-0000-0000-000000000000} - C:\MicroGaming\Poker\goldwinMPP\MPPoker.exe (file missing) (HKCU) |
clicca fix checked
Rifai il log di hijackthis e postalo
Solo una curiosità, utilizzi siti per il gioco online? |
|
| Top |
|
|
Grea[t]!
Eroe in grazia degli dei
Registrato: 08/05/10 17:12
Messaggi: 82
|
| Inviato: 10 Mag 2010 16:12 Oggetto: |
|
|
Mio fratello gioca online su pokerstars.
E' da lì che è stato preso il virus?
 |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 10 Mag 2010 16:15 Oggetto: |
|
|
Forse, ma non ne ho la certezza assoluta.
Era solo per sapere se devo farti rimuovere (con hijackthis) alcune voci riguardanti il gioco d'azzardo online:
| Citazione: | O1 - Hosts: 195.149.220.210 goldbet.com
O1 - Hosts: 195.149.220.210 www.goldbet.com
O1 - Hosts: 195.149.220.210 secure.goldbet.com
O1 - Hosts: 89.107.20.45 livecasino.goldbet.com
O1 - Hosts: 195.149.220.209 gbservice.goldbet.com
O1 - Hosts: 195.149.220.230 mail.goldbet.com
O1 - Hosts: 195.149.220.209 affiliates.goldbet.com
O1 - Hosts: 195.149.220.209 old.goldbet.com
O1 - Hosts: 66.212.226.169 partners.goldbet.com
O1 - Hosts: 195.149.220.209 ced.goldbet.com
O1 - Hosts: 195.149.220.210 marketing.goldbet.com
O9 - Extra button: PokerStars.it - {C4046502-6524-4d87-896C-878F57D1FF07} - C:\Programmi\PokerStars.IT\PokerStarsUpdate.exe |
Lascio a te la scelta se eliminarle (meglio) o tenerle (poco saggio, diciamo). |
|
| Top |
|
|
Grea[t]!
Eroe in grazia degli dei
Registrato: 08/05/10 17:12
Messaggi: 82
|
| Inviato: 10 Mag 2010 16:21 Oggetto: |
|
|
Elimino, elimino. E striglio quel capone di mio fratello...
8) |
|
| Top |
|
|
Grea[t]!
Eroe in grazia degli dei
Registrato: 08/05/10 17:12
Messaggi: 82
|
| Inviato: 10 Mag 2010 16:26 Oggetto: |
|
|
Ho fixato i primi log che mi hai detto.
Ecco HJT:
hijackthis report 2.txt
Per eliminare gli host dell'ultimo messaggio il procedimento non è quello di fix, giusto? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 10 Mag 2010 17:11 Oggetto: |
|
|
Il procedimento è identico, nel caso non funzionasse, puoi farlo dalla modalità provvisoria.
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:
| Citazione: | O1 - Hosts: 195.149.220.210 goldbet.com
O1 - Hosts: 195.149.220.210 www.goldbet.com
O1 - Hosts: 195.149.220.210 secure.goldbet.com
O1 - Hosts: 89.107.20.45 livecasino.goldbet.com
O1 - Hosts: 195.149.220.209 gbservice.goldbet.com
O1 - Hosts: 195.149.220.230 mail.goldbet.com
O1 - Hosts: 195.149.220.209 affiliates.goldbet.com
O1 - Hosts: 195.149.220.209 old.goldbet.com
O1 - Hosts: 66.212.226.169 partners.goldbet.com
O1 - Hosts: 195.149.220.209 ced.goldbet.com
O1 - Hosts: 195.149.220.210 marketing.goldbet.com
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ComRepl] C:\DOCUME~1\Utente\DATIAP~1\comrepl.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [ComRepl] C:\DOCUME~1\Utente\DATIAP~1\comrepl.exe /waitservice (User 'Default user') |
clicca fix checked
Rifai il log di hijackthis e postalo
edit: avevo dimenticato una voce. |
|
| Top |
|
|
Grea[t]!
Eroe in grazia degli dei
Registrato: 08/05/10 17:12
Messaggi: 82
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 10 Mag 2010 18:00 Oggetto: |
 |
|
Bene, ci sono ancora dei rimasugli da eliminare.
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:
| Citazione: | O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Mstsc] C:\WINDOWS\mstsc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Mstsc] C:\WINDOWS\mstsc.exe /waitservice (User 'Default user') |
clicca fix checked
Rifai il log di hijackthis e postalo |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
