Olimpo Informatico

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Salve, ho i seguenti problemi:
1) i file/cartelle nascosti non si possono più visualizzare (nonostante si clicchi sull'apposita opzione "Strumenti --> Opzioni cartella")
2) MBAM rileva il seguente problema e lo risolve solo momentaneamente, poichè al riavvio è tutto come prima.
3) Moltissimi siti di antivirus/antispyware non si aprono (e questo significa niente update...)

Come posso fare?

MBAM Log:
(Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.)

HI-JACK-THIS Log:
http://wikisend.com/download/442844/hijackthis (29-01-2010).txt

GMER Log:
http://wikisend.com/download/585680/Gmer (29-01-2010).log

P.S. Ho fatto purtroppo una fesseria: la chiave di registro riportata da MBAM... l'ho cancellata manualmente e ora l'opzione per far comparire file/cartelle nascosti non c'è neppure più...

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Eccomi qua.
La chiave da me eliminata è stata per fortuna ripristinata da CCleaner.
Ecco il log richiesto.
Attendo indicazioni.

COMBO-FIX
http://wikisend.com/download/437868/Combofix (29-01-2010).txt

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe e poi clicca Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Fatto tutto come indicato. Ecco il log:

http://wikisend.com/download/478650/Combofix (29-01-2010) bis.txt

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ok.
Il rootkit è stato eliminato.
Altri problemi?

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Purtroppo sì.
L'accesso ai siti (Microsoft e altri antivirus) così come l'update ora riesce, quindi ottimo.
Ciò che non va è invece la visualizzazione dei file/cartelle nascosti. Automaticamente si disattiva. Può dipendere dall'autorun di qualche pennetta USB, ma è solo una supposizione...
Cosa si può fare...?

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Scarica questo file zippato:
link
Scompattalo.
Cliccaci sopra con il tasto destro e scegli "UNISCI".
Riavvia il pc.

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Brutte notizie. Sono accapo, tutto come prima, nonostante abbia applicato tutte le istruzioni. Update interdetto, così come accesso ai soliti siti.
Ho scoperto - se può essere utile - che all'interno delle pennette USB è presente il file "jwgkvsq.vmx" dentro RECYCLE e il file "autorun.inf" si rigenera.
Può essere utile il dato?

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Ce l'ho fatta. Dopo quasi una notte a lottare contro quel maledetto autorun sono riuscito a eliminarlo.
Dcleaner ha fatto il suo dovere, eliminando un worm che altri non avevano individuato.
ForceDelete è stato l'unico programma a riuscire ad eliminare l' "autorun.inf" e il famigerato "jwgkvsq.vmx".

Grazie di cuore per la consulenza, sarei disperato senza questo forum.

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Sono contento che il problema sia risolto.
Però se facessi la scansione con Combofix, e postassi il relativo log, sarei più tranquillo.
In seguito, bisognerebbe anche fare un controllo con HJT.
Vedi tu. 8)
Ciao!

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Nessun problema! Anzi, meglio così, così sono tranquillo anche io...

COMBOFIX:
http://wikisend.com/download/606090/Combofix Log.txt

HIJACKTHIS:
http://wikisend.com/download/533244/hijackthis.log

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

E infatti, sei ancora infetto.... Confused

Sei veramente sicuro di avere bonificato quella dannata pennetta?
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe e poi clicca Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Cavolo... meno male che abbiamo controllato...
Riposto i log aggiornati.

COMBOFIX:
http://wikisend.com/download/446146/Combofix Log.txt

HIJACKTHIS:
http://wikisend.com/download/504264/hijackthis.log

Speriamo ora sia tutto a posto...
Domanda: e se il Worm è nascosto in qualche altra mia pennetta USB (ne ho tante...)?

P.S. Nod32 non è installato... Perlomeno, forse l'ho provato tempo fa, ma non l'ho mai usato...

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Scusa, ma che antivirus usi allora?
Combofix mi dice che hai il :.AV: ESET NOD32 antivirus system 2.70
Se hai tante pennette, probabilmente (anzi sicuro) sono tutte infette.
Suggerimento:
Bisogna disattivare momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile in questa pagina (lo trovi sulla destra verso metà pagina) e installalo:
link
Una volta installato, eseguilo e procedi con questi passaggi:

clicca sul simbolo + la sezione My Computer
clicca sul simbolo [+] la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI

Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette (o HD esterni) e fai una scansione delle stesse, con il tuo antivirus. (e con Malwarebytes)
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.
Non ho capito che antivirus usi.
Consiglio: per il momento NON aprire nessuna chiavetta. (ho detto APRIRE, non INSERIRE)

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Grazie per l'indicazione.
Ho scaricato il tool di Windows e subito applicato.
Io antivirus stabili non ne uso, faccio scansioni regolari con antivirus online o portable. Forse non è il massimo lo so, ma almeno il computer non è bloccato ogni 5 secondi.
Ora controllerò le pennette una per una.
Grazie ancora!

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.

Veramente singolare la tua filosofia.......
Se ho ben capito, per non pazientare qualche secondo,rischi la formattazione ogni volta che ti colleghi in rete.
Guarda che non sempre, è possibile rimettere in sesto, un pc molto compromesso.
Contento tu...
Io un consiglio, te lo dò:
Guida e installazione di Avira:
http://forum.zeusnews.com/viewtopic.php?t=42228
Poi, il pc è tuo.......vedi tu.

101south · Inviato: 06 Feb 2010 21:23 Oggetto:

Ciao, scusate se rompo ancora le scatole col virus "jwgkvsq.vmx"...
Solo una piccola cosa. Il virus sembra non essere attivo. Ho notato però che sul "Recycle" di un disco esterno, è presente il file appena citato e che non si riesce assolutamente a cancellare.
C'è qualche sistema? Mi preoccupa la cosa...

http://wikisend.com/download/434864/clamav_report_060210_201433.txt

bdoriano · Inviato: 06 Feb 2010 21:49 Oggetto:

Usa Unlocker, come indicato in questo messaggio.