Olimpo Informatico

[quantitativa]

Ciao a tutti, premetto che sono analfabeta in questioni informatiche quindi vi prego di avere un po' di pazienza se vorrete aiutarmi...
Ho Xp, dopo aver tamponato i danni del bagle in qualche modo (elibagle, etc), il pc sembra funzionare, ma vi allego un po' dei log dei vari antivirus che sto usando.


File name Threat name Threats count
MsnMsgr.Exe\MSIMG32.dll/MsnMsgr.Exe\MSIMG32.dll Infected: not-a-virus:AdTool.Win32.MyWebSearch.cv 1

C:\Programmi\Windows Live\Messenger\MSIMG32.dll/C:\Programmi\Windows Live\Messenger\MSIMG32.dll Infected: not-a-virus:AdTool.Win32.MyWebSearch.cv 1

C:\WINDOWS\system32\dllcache\iexplore.exe/C:\WINDOWS\system32\dllcache\iexplore.exe Infected: Backdoor.Win32.IRCBot.dke 2

C:\WINDOWS\system32\dllcache\iexplore.exe Infected: Backdoor.Win32.IRCBot.dke 1

C:\Documents and Settings\La Nina\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\jvmimpro.jar-51fad18-777b1a57.zip Infected: Exploit.Java.Gimsh.a 1

C:\Documents and Settings\La Nina\Dati applicazioni\Sun\Java\Deployment\cache\6.0\44\232f2a6c-3a4c1761 Infected: Exploit.Java.Gimsh.a 1

C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe Infected: Trojan-Downloader.Win32.Bagle.yd 1

C:\Programmi\Windows Live\Messenger\msimg32.dll Infected: not-a-virus:AdTool.Win32.MyWebSearch.cv 1

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.88 Infected: Trojan-Downloader.Win32.Bagle.yd 1

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\mdelk.exe.vir Infected: Trojan-Downloader.Win32.Bagle.yd 1

C:\Recycled\Dc3.exe Infected: not-a-virus:AdWare.Win32.FakeInstaller.a 1

D:\shared2\GRE_Test_Simulator_3.0.8_[With_Crack].zip Infected: Trojan-Downloader.Win32.Bagle.yd 1

The selected area was scanned.

____________________________________________________

regolarmente Avira mi salta fuori segnalando questi:

Virus or unwanted program 'WORM/IrcBot.2162688.1 [worm]'
detected in file 'C:\WINDOWS\system32\dllcache\iexplore.exe.
Action performed: Move file to quarantine

(io ho provato delete, deny access, tutte le opzioni possibili ma niente da fare)

Virus or unwanted program 'TR/Small.173056.B [trojan]'
detected in file 'C:\Documents and Settings\La Nina\Impostazioni locali\Temp\Rar$EX00.532\MSNCleaner.exe.
Action performed: Delete file



Ieri mi trovava anche questo:

Virus or unwanted program 'TR/Dldr.Bagle.YD [trojan]'
detected in file 'C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\mdelk.exe.vir.
Action performed: Delete file

Fatto delete non me l'ha piu trovato.

Idem per questo:
Virus or unwanted program 'TR/Dldr.Bagle.YD [trojan]'
detected in file 'C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe.
Action performed: Delete file

____________________________________________________
Fra un attimo vi allego anche il risultato di spyware doctor..
Grazie in anticipo!

[quantitativa]

ah beh ho visto ora che non posso allegare files...il risultato della scansione con spywaredoctor ce l'ho solo in jpg. Se servisse la mando x email.

[bdoriano]

Ciao quantitativa e benvenuto/a,

Fai queste operazioni:

• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• Segui le istruzioni di questo topic per eseguire combofix.
  
• Segui le istruzioni di questo topic per postare il log di HiJackThis.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.

PS: se vuoi, puoi presentarti qui

[quantitativa]

hijackthis log.txt

log combofix.txt

mbam-log-08-18-2008 (21-38-53).txt


ecco, tutto a posto x il resto

[bdoriano]

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:

[quantitativa]

log combofix 2.txt

ecco quello che mi dice combofix.

Le periferiche usb che ho usato in questi giorni sono una chiavetta usb, il lettore mp3 (che uso anche per salvarci i file) e la macchina fotografica...in ogni caso potrò disinfettare anche quelli?

Grazie mille per la disponibilità e la tempestività!!

[bdoriano]

Ok, dovremmo quasi esserci.

• Disabilita il tuo antivirus
  
• Collegati a BitDefender (con IE) e fai la scansione completa.
  
• Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
  Salva il risultato della scansione in un file (in formato TXT), carica il file su WikiSend e posta qui il Forum Link che ti viene assegnato.

Le periferiche USB le ripuliamo una volta finite le operazioni sul pc.

[quantitativa]

Intanto ho fatto la scansione con bitdefender. Non sono riuscita a salvare il report in txt , mi chiedeva se lo volevo in html e ho risposto di si ma mi ha salvato solo una pagina vuota....quindi non ho trovato niente di meglio che salvare in jpg i nomi di quei 3 files che ha trovato infetti:

bitdefender.JPG

Stanotte faccio la scansione con kaspersky, domani posto il log.

Grazie ancora

[quantitativa]

...ed ecco il log di kaspersky:
kasp.txt

grazie

[bdoriano]

Hai un adware (advertising software - programma pubblicitario) collegato a MSN:
C:\Programmi\Windows Live\Messenger\msimg32.dll Infected: not-a-virus:AdTool.Win32.MyWebSearch.cv
Per il momento, non te lo faccio cancellare.

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:

[quantitativa]

Mi è successa una cosa strana..ho trascinato l'icona e combofix è partito. Purtroppo ho avuto la sbadataggine di non chiudere la finestra di internet explorer aperta su questo forum, spero non sia stato un errore micidiale... e fra l'altro forse ero anche su msn (non con una finestra aperta su una conversazione, solo con l'iconcina verde sulla barra, per intenderci). In ogni caso, tutto è andato come al solito, combofix ha riavviato e sul desktop mi sono trovata la finestra di combofix che diceva che stava preparando il log. Poi è venuto fuori "quasi finito, sta per uscire il log in pop up" o qualcosa del genere. A questo punto mi sono allontanata dal pc per 5 minuti e quando sono tornata stava facendo il controllo di coerenza dei dischi, come se si fosse spento e riavviato per un errore grave!!Ho fatto il controllo di coerenza, si è riavviato, è comparsa la finestrina di windows "il sistema è stato ripristinato in seguito un errore grave". Nessuna traccia del log di combofix in in pop a questo punto, allora ho cercato il log manualmente. Dovrebbe essere questo qua, che ho trovato salvato su C:\Combo-Fix come ComboFix.txt , figura come creato pochi minuti fa...

log di ComboFix.txt


Spero di non aver combinato un macello!!

[bdoriano]

Il log sembra corretto... e non vedo tracce di altre infezioni.
Forse un problema del disco?

Intanto, cominciamo le fasi finali.

Disinstalla Combofix:
Clicca Start
Clicca Esegui...
Digita:

[quantitativa]

ok fatto tutto

[bdoriano]

Per quanto riguarda le infezioni, dovresti essere a posto.
Riscontri altri problemi?

[quantitativa]

No no tutto sembra a posto! grazie mille!!! davvero non so come avrei fatto senza le tue istruzioni!!
Avevi accennato qualcosa sulle periferiche usb..?

Tra parentesi, in questo momento ho tantissimi antivirus e simili installati, non credo che sia il caso che li tenga tutti per l'ordinaria amministrazione...oppure si? quale anivirus mi consigli tra i freeware (io avevo avira)? e scusa la mia ignoranza, ma programmi tipo spyware doctro o superantispyware complementano un normale antivirus oppure sono un doppione?

[bdoriano]

Giusto! Passiamo alle periferiche USB.

Hai qualche periferica USB (chiavetta o HD esterno) infetta, dobbiamo disabilitarne l'avvio automatico all'inserimento per controllarle.
Per farlo in maniera semplice, scaricati il programma TweakUI da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:

[quantitativa]

Oltre alla chiavetta (che per quel che valeva potrei anche banalmente non usare più e comprarne una nuova) io avevo collegato anche macchina fotografica e lettore mp3: sono infetti anche loro? e quindi se dovessi riutilizzarli mi ribecco l'infezione?

[quantitativa]

ah e cosa uso per le chiavette? va bene un antivirus qualsiasi ? kaspesky?

[bdoriano]

No, la macchina fotografica sicuramente non è infetta.
Ho il dubbio sul lettore MP3.

Puoi anche usare il tuo Avira o Norman Malware Scanner o anche Kaspersky.

[quantitativa]

Allora, ho seguito le istruzioni per la penna usb.
Ecco cosa mi ha detto Avira

report avira chiavetta.txt

e poi Norman :

NFix_2008-08-23_13-20-17.log

Tutto a posto ora? Posso tornare a usare la chiavetta liberamente o devo cancellare i files che ci sono dentro?

Ora per il lettore mp3 faccio la stessa cosa, giusto?

Per la macchina fotografica, scusa la mia ignoranza, ma sulla sua scheda di memoria io avevo salvato dei files quando ancora avevo il pc infetto. Sicuri che non può essersi infettata anche quella?