Olimpo Informatico

[lorenzo83]

Salve a tutti spero possiate aiutarmi oggi ho scoperto di essere stato infettato da questo virus ke ha infettato tutto il pc (una miriade di file exe infettatti).Ho sottoposto il pc a un paio di scansioni approfondite con kaspersky internet security 2009 ma ad ogni riavvio del pc il virus si ripresenta, non so come fare aiutatemi perfavore

[lorenzo83]

questo è il log di kaspersky internet security 2009
avscan.txt

[bdoriano]

Ciao lorenzo83 e benvenuto,

Comincia a fare queste operazioni preliminari:

• Pulisci i files temporanei con CCleaner
  
• Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  
  
  
  esegui una scansione completa del sistema
  
• Fai questa scansione con SystemScan.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SuperAntiSpyware su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SystemScan su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.

PS: se vuoi, puoi presentarti al Caffé dell'Olimpo.

[lorenzo83]

allora grazie bdoriano per l'aiuto per iniziare ti posto il log di mbam
mbam-log-2009-04-03 (09-56-07).txt

questo è il log di superantispyware
SUPERAntiSpyware Scan Log - 04-03-2009 - 10-29-17.log
aggiungo anche il log di systemscan
03_04_2009_10_39_report.zip

[lorenzo83]

dopo aver fatto tuute le operazioni indicatemi da bdoriano ho effettuato di nuovo una scansione completa con kaspersky internet security 2009 e si sono visti dei gran miglioramneti infatti il grosso dell'infezione è stata debellata (almeno credo) gli "unici" file infetti sono i seguenti :
c:\windows\system32\upnpcont.exe
c:\windows\sysytem32\usrmlnka.exe
c:\windows\system32\usrprbda.exe
c:\windows\system32\usrshuta.exe
c:\windows\system32\ultiman.exe
D:\system volume information\_restore....

[bdoriano]

Bene!

Mi sembra che MBAM abbia fatto il grosso del lavoro.
C'è ancora qualche rimasuglio da eliminare...

• Avvia nuovamente SystemScan
  
• metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
  
  
• clicca su Removal Script
  
  
• Nel riquadro inserisci il seguente script:
  

  Codice:

  Drivers to unload: ovfsthysirpvqolephhixqtfchfylggwpgrokh Files to delete: C:\WINDOWS\system32\ovfsthlplihbordatpqjwajdnywuooxhkxbocc.db C:\WINDOWS\system32\drivers\ovfsthtqwpamjawunipkvpwiuyscwdfsrvwpwi.sys Registry keys to delete: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ovfsthysirpvqolephhixqtfchfylggwpgrokh HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthysirpvqolephhixqtfchfylggwpgrokh

  
  e clicca Proceed with removal
  
  
  ******
  Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
  ******
  
  
• Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
  
  
• Dopo, per cancellare i files infetti presenti nella System Volume Information, Disabilita il ripristino di sistema e riabilitalo eseguendo la procedura inversa.
  
  
• Fai una nuova scansione con Kaspersky, così vediamo cos'altro trova.
  
  
• Infine, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di hijackthis.