Olimpo Informatico

[xFrancy]

Buonasera a tutti!
Avira Antinvir mi ha rilevato dei Virus TR/Rootkit.Gen - TR/Crypt.ULPM.Gen - TR/Crypt.CFI.Gen

questa è una delle schermate:



ho fatto la scansione ma non me l'ha terminata, si è bloccata a 99% e mi ha dato questa schermata:


e questa:


poi questa:



e questa da microsoft security:



che significa? non posso eliminare/spostae in quarantena il virus?



Io ho eseguito queste operazioni:

-Disattivare Ripristino di sistema
-Scansione con Avira (+ log)
-Scansione con MBMA (+ log)
-Scansione con SUPERAntispyrware (+ log)
-Scansione con Hijackthis (+ log)
-Rimouvere ADS con HJT
-Scansione con Systemscan (+ log)
-Rimuovere Combofix
-Scansione con TFC by OldTimer
-Pulizia con CCleaner (anche registro)
-Cancellare file dalla cartella C/Window/Prefetch (escluso file Layout.ini)
-Cancellare file temporanei, password, cache, cookie di firefox e IE
-Riattivare Ripristino configurazione sistema e crearne uno nuovo.



questi sono i log:


-AviraAntivir: http://forum.zeusnews.com/link/55994

AVSCAN-20100917-193816-B1D5A168.LOG


-MBAM: http://forum.zeusnews.com/link/55995

mbam-log-2010-09-17 (16-07-50)2.txt


-SuperaAntiSpyware: http://forum.zeusnews.com/link/55996

SUPERAntiSpyware Scan Log - 09-17-2010 - 16-59-14.log

(c'erano 350 minacce O_O)


-SystemScan: http://forum.zeusnews.com/link/55997
17_09_2010_19_24_report.zip


-HJT: http://forum.zeusnews.com/link/55998

hijackthis log.txt



quando ho fatto la scansione con HJT mi ha dato questa schermata:



quando ho rimosso combofix seguendo questa procedura: http://forum.zeusnews.com/viewtopic.php?t=47670

mi ha detto tipo qualcosa riguardo Reboot (mancano reboot).



che altro devo fare? ho rimosso i virus?


ieri inoltre mi era apparsa una finestra per l'update di Divx (ho fatto l'update) e mi ha scaricato l'ultima versione con altri programmi Divx Converter ecc.. potrebbe essere questo programma che causa problemi? lo disinstallo?


attendo risposte, grazie mille!

edit by bdoriano: aggiunte le schermate in formato ridotto

[R16]

Ciao.
Guarda, io non voglio spaventarti, ma mi sà che hai scaricato qualcosa di brutto.
link
Superantispyware, dice che hai scaricato una variante del virus Virut:
DIVXUPDATE.EXE
Trojan.Agent/Gen-Virut
Per ulteriori informazioni riguardo questa "bestia" leggi questo link:
http://forum.zeusnews.com/viewtopic.php?t=46694&sid=67fedc1960f726cbc8f3ede3e2503879

Comunque fai questa operazione:
Scarica Avenger, e scompattalo in una sua cartella non temporanea e non sul desktop:
link

Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai copia-incolla) nel riquadro bianco:

[Sante62]

Postato contemporaneamente.

[xFrancy]

grazie!

Ho scaricato delle puntate di un telefilm possibile sia quello?

Ho letto il link =( ma in pratica dice che è inutile fare qualsiasi cosa? dovrei per forza formattare?

posso salvare foto,documenti sulle chiavette? perchè su quel link dice che potrebbero infettarsi..

ora scarico Avenger.

[R16]

[xFrancy]

Eccomi mi va lento tutto internet non mi faceva neanche accedere al forum, mi diceva sempre impossibile visuallizare la pagina.. come mai?

cmq sicuri che posso lanciare quel programma? perchè mi appare una finestra con scritto:

Warning: It is dangerous to edit "Services" registry keys directly -- if the associated driver is active, it could cause system deadlock! It is strongly recommended to use the "Drivers to delete": or "Drivers to disable" commands instead.
Are you sure you want to execute this operation?

[bdoriano]

In attesa che i colleghi si coordinino, un paio di domande:
- quando hai eseguito combofix, ti ha avvisato che sospendeva le operazioni perché era stato modificato?
- non ti ricordi proprio il messaggio che ti ha dato quando l'hai disinstallato?

Questo messaggio di Avenger, ti avvisa solo che sarebbe meglio usare un'istruzione diversa:

[xFrancy]

@bdoriano

ok questo me l'ha eseguito (senza Warning.. ecc)

mi ha riavviato il pc, poi è venuta una schermata blu con delle scritte (non mi ricordo cosa c'era scritto si è tolto subito).
Poi è venuta una schermata nera con scritto: Avvio di Windows non riuscito e altro..
Impossibile avviare windows - Ripristino all'avvio (ho cliccato su Ripristina).

Poi ha finito il ripristino e si è riavviato.

Si è avviato normalmente ma ci ha messo un pò, c'era una schermata nera con la freccia del mouse.

Sul desktop è ricomparsa l'icona di Divx che avevo disinstallato ieri dopo che avevo fatto le scansioni.

C'era anche una finestra con scritto Windows è stato ripristinato in seguito a un arresto imprevisto del sistema.


Come faccio a postare il risultato di Avenger?
perchè sono andata nella cartella di Avenger c'è solo lo zip praticamente come se non l'avessi estratto.

-

cmq combofix non mi ha detto niente.. non ho istallato e usato combofix avevo letto che causa dei problemi ai computer HP.

io ho eseguito le istruzuioni di questo topic per rimuovere combofix, e gli altri eventuali tooll installati:
http://forum.zeusnews.com/viewtopic.php?t=47670


ma in pratica questo virus che fa? perchè ogni due tre mi da errore di connessione Impossibile contattare il server e devo aspettare per riuscire a collegarmi..
posso continuare ad usare il pc?


attendo vostre notizie.. grazie ancora!

[Sante62]

Prova a postare il file zip di Avenger, però dovresti inviarlo in privato per evitare che altri utenti che vi accedono si infettino...

[xFrancy]

ho trovato un blocco note in C dovrebbe essere il risultato di Avenger..

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows NT 6.0 (build 6001, Service Pack 1)
Sat Sep 18 01:51:17 2010

01:51:05: Warning: Skipping potentially dangerous line:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wqoyg" (Registry key deletion mode)
01:51:17: Error: Execution aborted by user!


//////////////////////////////////////////

[Sante62]

Non è quello inserito da bdoriano...che non è andato comunque a buon fine. Purtroppo i rootkit sono complicati da eliminare.

Al limite vai su start->esegui e digita regedit;
si aprirà il registro di sistema, segui il percorso delle chiavi di registro e cerca di eliminarla manualmente, preferibilmente in modalità provvisoria.

Apri prima task manager e controlla che non sia in esecuzione un programma simile a quello dello script e terminalo.

[xFrancy]

ehm come si mette la modalità provvisoria? quali chiavi devo eliminare manualmente? xD



misà che è meglio che chiamo un tecnico? perchè non sono molto competente non vorrei peggiorare la situazione..

[chemicalbit]

[Sante62]

Una volta avviato in modalità provvisoria, vai su start->esegui e digita regedit;

Si aprirà il registro di sistema;
Naviga attraverso queste chiavi utilizzando il segno "+" della chiave principale fino a individuare il file in grassetto che si visualizza nella finestra di destra:

[xFrancy]

Eccomi non ci sono stata questi giorni.. allora questa volta questo procedimento me lo ha fatto fare:

[R16]

Ciao.
In attesa di Sante62 (che saluto ) puoi eseguire queste indicazioni:

[xFrancy]

Grazie : ) Sono tornata ora.. domani allora lo faccio
una cosa quando trascino il blocco note su combofix devo disabilitare l'antivirus e scollegarmi da internet? poi al termine devo riavviare?

[R16]

[xFrancy]

Ho copiato e incollato il codice nel blocco note e fatto Salva con nome CFScript.txt però poi sul desktop il nome è solo CFScript l'estensione c'è lo stesso? posso spostarlo comunque su Combofix?

[R16]