PDA

Visualizza versione completa : AIUTATEMI, PER FAVORE! - FADA.EXE e qualcos'altro... boh.


best370
30-05-2008, 15.00.28
E' la prima volta che mi conetto su questo forum.
Ho notato che ci sono persone molto cortesi e preparate per questo motivo spero che possano aiutarmi con un piccolo problema.
Ieri sera mia sorella su messenger ha accettato un file infetto (penso sia uno dei soliti photoalbum) tuttavia è da ieri che il pc nn lavora bene.
Mi spiego meglio. Nella lista dei processi è apparso un processo chiamato Fada.exe
Quando è attivo questo processo internet diventa lentissimo, non riesco ad aprire quasi nessuna pagina.
Inoltre all'avvio mi appare una schermata con scritto
NTKRNL
sembrerebbe la schermata di un antivirus
poichè sotto c'è scritto:
secure suite, network, kernel, security, etc etc etc...
Inoltre nella cartella documents and settings c'erano 24 file eseguibili con una icona che assomigliava a un mappamondo e avevano nomi stranti tipo dkaukjj.exe e cose del genere. Io li ho cancellati, poi per riuscire a venire sul forum ho terminato il processo fada.exe
Ho inoltre scansito il pc con i seguenti tool:
Antirootkit
cleansmall
cwshredder
fsbl
klwk
Rootkitbuster
stinger
agentgui
blacklight rootkit eliminator
e A SQUARE (a2 mi pare sia scritto in abbreviato)

ho anche scaricato ccleaner (nn ho ancora avuto il tempo per farlo passare)
cleandelf
il virus removal di kaspersky (il kaspersky lab tool 7.0.0.180)
e Norman sinow cleaner che però arriva a metà e si blocca... su un file nella cartella temp

L'antivirus che ho è:
Nod32
Nella prima scansione non ha trovato nulla, ho fatto una seconda scansione profonda e ha trovato una trentina di file infetti (che il giorno prima nn c'erano poichè aggiorno e controllo il pc tutti i giorni)
A square oggi ha trovat 204 file infetti di cui 10 gravi (la maggior parte dialer)
Gli altri invece nn han trovato nulla.
Pensavo dunque di aver risolto il problema. Tuttavia appena accedo all'account appare di nuovo l'immagine di cui ho scritto sopra, c'è sto processo Fada.exe e se apro messenger, mi apre tutte le finestre per (credo) diffondersi.

Cosa posso fare? aiutatemi per piacere! purtroppo il pc nn posso formattarlo (ho molti programmi originali che uso per lavoro e mi servono di cui però attualmente non ho le licenze sottomano dunque non potrei rimettere sul pc)

ps: ho disattivato il ripristino di sistema prima di fare tutto.
ho anche fatto passare
hijackthis e questo è il risultato:
<<continua>>

best370
30-05-2008, 15.01.01
<<prosegue>>

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.59.10, on 30/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programmi\Nero\Nero 7\InCD\NBHGui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\TomTom HOME 2\HOMERunner.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\WINDOWS\winlive32.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\paride\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.add-hhh.info/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.divx.com/divx/divx6/new/en?rcv=1&dist=divxdotcom
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programmi\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [StartCCC] C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programmi\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows UDP Control Center] winlive32.exe
O4 - HKLM\..\Run: [] fada.exe
O4 - HKLM\..\RunServices: [] fada.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [] fada.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Libro dei ritagli HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selezione intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195937253828
O17 - HKLM\System\CCS\Services\Tcpip\..\{03C27605-D5B0-47C1-B0F2-B29EA1EFD627}: NameServer = 85.37.17.41 85.38.28.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{03C27605-D5B0-47C1-B0F2-B29EA1EFD627}: NameServer = 85.37.17.41 85.38.28.83
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe

--
End of file - 8090 bytes



VI RINGRAZIO ANTICIPATAMENTE PER GLI AIUTI

ps: mi sorprende il fatto che ci siano un sacco di svchost
che vordì?

leofelix
30-05-2008, 15.49.12
benvenuto,
intanto nota queste voci

C:\WINDOWS\winlive32.exe
e questa
O4 - HKLM\..\Run: [Windows UDP Control Center] winlive32.exe

a me suonano sospette e non mi risulta facciano parte di Windows XP (attendo eventuali smentite)
Prova a collegarti su www.virustotal.com e inviare il file winlive32.exe per farlo controllare da 32 antivirus contemporaneamente, poi cortesemente posta i risultati qui.

Sul processo svchost questo è quanto afferma la Microsoft

"Svchost.exe è il nome di un processo host generico per servizi eseguiti da librerie di collegamento dinamico (DLL).

Il file Svchost.exe, che si trova nella cartella %SystemRoot%\System32, all'avvio del computer verifica la porzione del Registro di sistema relativa ai servizi al fine di redigere un elenco di servizi da caricare. È possibile che più istanze di Svchost.exe vengano eseguite contemporaneamente. Ogni sessione Svchost.exe può infatti contenere un gruppo di servizi, il che significa che possono essere eseguiti servizi diversi a seconda di come e dove è stato avviato il file Svchost.exe. Questo consente un controllo e un debugging migliore."

Intanto puoi cominciare col selezionare queste voci elencate da HiJackThis

O4 - HKLM\..\Run: [] fada.exe
O4 - HKLM\..\RunServices: [] fada.exe
O4 - HKCU\..\Run: [] fada.exe

quindi clicca su FIX CHECKED (tecnicamente dovrebbero essere cancellate almeno dalla esecuzione automatica)

Quindi visto che le hai provate quasi tutte, non prima di aver disattivato il ripristino di sistema temporaneamente (cfr http://support.microsoft.com/kb/310405/it)

scarica il Norman Malware Cleaner da qui

http://download.norman.no/public/Norman_Malware_Cleaner.exe

sul desktop quindi riavvia in modalità provvisoria (tasto F8 più volte al riavvio)

Quindi eseguilo e se riesci posta qui i risultati.

In caso di dubbi, qui c'è una notevole guida in merito

http://www.wintricks.it/software/norman-malware.html

best370
30-05-2008, 16.35.21
ciao, ti ringrazio molto!
Il ripristino di sistema l'ho disattivato prima di scansire più volte con vari programmi (quelli elencati) ora sto facendo passare il kaspersky tool (indicato sopra)
che ha trovato e cancellato i seg due file (però è ancora al 15% è un po' lento)
trojan program Trojan-dropper.Win32.Delf.agp | file: C:\becks.exe//PE_Patch//ntkrnl
trojan program Trojan-dropper.Win32.Delf.agp | file: C:\koti.exe//PE_Patch//ntkrnl

ora provo a mandare quel file sul link virustotal e ti faccio sapere.
Ho notato inoltre che se vado su "mostra tutte le connessioni" è apparsa una connessione (ho alice adsl con il suo modem nero) che nn avevo mai visto prima...
generalmente quella di alice è chiamata semplicemente "connessione alla rete locale" mentre ce ne è un'altra che si chiama connessione 1394. L'ho disabilitata.
altra cosa che ho notato dopo aver riavviato il sistema è che nella cartella:
C:\Documents and Settings\nomeutente
è presente un file chiamato dmkprjqx.exe chè è presente anche in:
C:\Documents and Settings\nomeutente\Impostazioni locali\Temp
però come file nascosto.

Inoltre al riavvio del pc, mi si è aperto messenger (come al solito) e appena mi sono connesso ad internet si sono aperte tutte le finestre di tutti i contatti con una scritta in spagnolo e un link a cui cliccare (cosa che probabilmente ha fatto ieri sera mia sorella quando gli han mandato sto bel casino)
per riuscire a chiudere tutto ho dovuto chiudere il processo di messenger dal task manager. Ho dovuto chiudere anche il processo fada.exe per riuscire a venire qui sul forum altrimenti firefox mi faceva visualizzare una pagina bianca e basta.
Grazie ancora per il prezioso aiuto
Paride

best370
30-05-2008, 16.37.28
benvenuto,
intanto nota queste voci

C:\WINDOWS\winlive32.exe
e questa
O4 - HKLM\..\Run: [Windows UDP Control Center] winlive32.exe


a me suonano sospette e non mi risulta facciano parte di Windows XP (attendo eventuali smentite)
Prova a collegarti su www.virustotal.com e inviare il file winlive32.exe per farlo controllare da 32 antivirus contemporaneamente, poi cortesemente posta i risultati qui.
nn riesco ad aprire la pagina... viene scritto errore caricamento

Intanto puoi cominciare col selezionare queste voci elencate da HiJackThis

O4 - HKLM\..\Run: [] fada.exe
O4 - HKLM\..\RunServices: [] fada.exe
O4 - HKCU\..\Run: [] fada.exe

quindi clicca su FIX CHECKED (tecnicamente dovrebbero essere cancellate almeno dalla esecuzione automatica)

Quindi visto che le hai provate quasi tutte, non prima di aver disattivato il ripristino di sistema temporaneamente (cfr http://support.microsoft.com/kb/310405/it)

scarica il Norman Malware Cleaner da qui

http://download.norman.no/public/Norman_Malware_Cleaner.exe

sul desktop quindi riavvia in modalità provvisoria (tasto F8 più volte al riavvio)

Quindi eseguilo e se riesci posta qui i risultati.

In caso di dubbi, qui c'è una notevole guida in merito

http://www.wintricks.it/software/norman-malware.html
ora provo

leofelix
30-05-2008, 17.37.49
ciao, ti ringrazio molto!
Il ripristino di sistema l'ho disattivato prima di scansire più volte con vari programmi (quelli elencati) ora sto facendo passare il kaspersky tool (indicato sopra)
che ha trovato e cancellato i seg due file (però è ancora al 15% è un po' lento)
trojan program Trojan-dropper.Win32.Delf.agp | file: C:\becks.exe//PE_Patch//ntkrnl
trojan program Trojan-dropper.Win32.Delf.agp | file: C:\koti.exe//PE_Patch//ntkrnl

prego
ci impiega un po' il tool della Kaspersky ma fa egregiamente il suo dovere:)



Ho notato inoltre che se vado su "mostra tutte le connessioni" è apparsa una connessione (ho alice adsl con il suo modem nero) che nn avevo mai visto prima...
generalmente quella di alice è chiamata semplicemente "connessione alla rete locale" mentre ce ne è un'altra che si chiama connessione 1394. L'ho disabilitata.

ehm la connessione 1394 è normale, riguarda la rete locale, ma se hai solo disattivato la visualizzazione nella barra di sistema non è un problema.


altra cosa che ho notato dopo aver riavviato il sistema è che nella cartella:
C:\Documents and Settings\nomeutente
è presente un file chiamato dmkprjqx.exe chè è presente anche in:
C:\Documents and Settings\nomeutente\Impostazioni locali\Temp
però come file nascosto.

Sarà bene che tu elimini quei file al più presto
Usa The Avenger che puoi scaricare da qui:

http://swandog46.geekstogo.com/avenger.zip

(N.B alcuni antivirus lo segnalano come risktool ma non è un virus o una minaccia, quindi ignora eventuali avvisi)

Una volta aperto The Avenger (*) e tolta la spunta dove è scritto "Scan for rootkit" , inserisci questo script (senza i trattini) nella finestra che si aprirà:



--------------------

files to delete:

C:\Documents and Settings\nomeutente\dmkprjqx.exe
C:\Documents and Settings\nomeutente\Impostazioni locali\Temp\dmkprjqx.exe

-------------
Quindi clicca su EXECUTE, il programma dovrebbe chiederti di riavviare per completare la rimozione

Puoi fare lo stesso coi percorsi dove si trova "fada.exe" (e che trovi nel log di HiJackThis)


Inoltre al riavvio del pc, mi si è aperto messenger (come al solito) e appena mi sono connesso ad internet si sono aperte tutte le finestre di tutti i contatti con una scritta in spagnolo e un link a cui cliccare (cosa che probabilmente ha fatto ieri sera mia sorella quando gli han mandato sto bel casino)
per riuscire a chiudere tutto ho dovuto chiudere il processo di messenger dal task manager. Ho dovuto chiudere anche il processo fada.exe per riuscire a venire qui sul forum altrimenti firefox mi faceva visualizzare una pagina bianca e basta.
Grazie ancora per il prezioso aiuto
Paride


Per quella schermata che ti appare all'avvio che sembra un antivirus ( "NTKRN") non hai certo scaricato questo programma
http://www.ntkrnl.com/products/securesuite/default.php

Allora, intanto disabilita dall'avvio automatico Messenger (tra le opzioni trovi quella di non far avviare MSN con Windows, oppure da HijackThis selzione questa voce: O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background e clicca su FIX CHECKED) quindi scarica questo tool:

http://sosvirus.changelog.fr/MSNFix.zip

Una volta decompresso creerà una cartella sul desktop, lancia MSNFix file batch che trovi all'interno seguendo questa procedura


- digita I per impostare la lingua, e, premi invio
- digita R per cercare il malware
- digita N per eliminare ciò che trova
- digita A per creare il log da pubblicare
- digita R per ripulire il registro ed uscire
- digita Q per terminare MSNFix

Il log che verrà creato, ti confermerà, o meno l'avvenuta rimozione.
MSNFix, creerà, inoltre un file Zip (che trovi, assieme al log, all'interno della cartella creata sul Desktop),

contenente i file infetti rimossi: cancellalo, quindi svuota il cestino.

Non dimenticare prima di usare il CCleaner o il ATFCleaner che trovi qui

http://www.atribune.org/ccount/click.php?id=1 (link diretto al download)

Ecco ora puoi passare il sistema con questo strumento della Panda

http://research.pandasoftware.com/blogs/images/AntiRootkit.zip

e anche con questo della Trend Micro

http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBuster2.2.1014.zip

una volta rimosse le infezioni puoi riattivare il "ripristino di sistema"


Disabilitare/riabilitare il ripristino di sistema (http://www.sicurezzainrete.com/disabilitare_system_restore.htm)

(*) guida a The Avenger - megalab.it (R) (http://www.megalab.it/articoli.php?id=946&pagina=1)


Nota: parte di queste informazioni sono state copiosamente prelevate dal forum di megalab.it

leofelix
30-05-2008, 17.40.08
nn riesco ad aprire la pagina... viene scritto errore caricamento

ora provo

per ora non importa, segui la procedura che ti ho appena indicato, lasciando da parte gli strumenti superflui al momento.

Abbi pazienza ma poco fa c'è stato uno strabiliante black out con relativo cortocircuito e sono rimasto a terra nonostante il mio gruppo di continuità :crying:

best370
30-05-2008, 18.07.11
perfetto io allora ora seguo la procedura che mi hai indicato scaricando i programmi che mi hai consigliato (farò il tutto non appena kaspersky ha finito... che sta ancora sansendo O.O )
per quanto riguarda l'avvio automatico di messenger se io faccio:
esegui>msconfig>avvio
e tolgo la spunta dei file caricati all'avvio dovrebbe essere la stessa cosa no? (tra l'altro nell'elenco c'è anche il famoso fada.exe)

best370
30-05-2008, 18.19.36
sono riuscito ad aprire virus total e ho fatto analizzare winlive32.exe
questo è il risultato:
Risultato: 8/32 (25%)
Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2008.5.30.1 2008.05.30 -
AntiVir 7.8.0.25 2008.05.30 TR/VB.cxm.1
Authentium 5.1.0.4 2008.05.29 -
Avast 4.8.1195.0 2008.05.30 -
AVG 7.5.0.516 2008.05.30 Generic10.ABDN
BitDefender 7.2 2008.05.30 -
CAT-QuickHeal 9.50 2008.05.30 -
ClamAV 0.92.1 2008.05.30 -
DrWeb 4.44.0.09170 2008.05.30 -
eSafe 7.0.15.0 2008.05.29 -
eTrust-Vet 31.4.5835 2008.05.30 -
Ewido 4.0 2008.05.30 -
F-Prot 4.4.4.56 2008.05.29 -
F-Secure 6.70.13260.0 2008.05.30 -
Fortinet 3.14.0.0 2008.05.30 -
GData 2.0.7306.1023 2008.05.30 -
Ikarus T3.1.1.26.0 2008.05.30 Virus.Trojan.Win32.VB.cxm
Kaspersky 7.0.0.125 2008.05.30 -
McAfee 5306 2008.05.29 -
Microsoft 1.3520 2008.05.30 VirTool:Win32/VBInject.gen!C
NOD32v2 3148 2008.05.30 -
Norman 5.80.02 2008.05.29 W32/VBTroj.QHM
Panda 9.0.0.4 2008.05.30 -
Prevx1 V2 2008.05.30 -
Rising 20.46.42.00 2008.05.30 -
Sophos 4.29.0 2008.05.30 -
Sunbelt 3.0.1139.1 2008.05.29 -
Symantec 10 2008.05.30 -
TheHacker 6.2.92.325 2008.05.30 Trojan/VB.cxm
VBA32 3.12.6.6 2008.05.30 Trojan.Warring
VirusBuster 4.3.26:9 2008.05.30 -
Webwasher-Gateway 6.6.2 2008.05.30 Trojan.VB.cxm.1
http://www.virustotal.com/it/analisis/922fed9690b5c0207f4929fdd9831a61

leofelix
30-05-2008, 18.21.58
per quanto riguarda l'avvio automatico di messenger se io faccio:
esegui>msconfig>avvio
e tolgo la spunta dei file caricati all'avvio dovrebbe essere la stessa cosa no? (tra l'altro nell'elenco c'è anche il famoso fada.exe)

tecnicamente sì, ma i files rimangono lo stesso nel sistema e non è detto che non ce ne siano altri pronti a riformarsi e eimettersi in esecuzione automatica.
Se fissandoli con HiJackThis la situazione non cambia allora è preferibile creare uno script con le per The Avenger con le chiavi di registro incriminate nello script inserisci:

Registry keys to delete:

O4 - HKLM\..\Run: [] fada.exe
O4 - HKLM\..\RunServices: [] fada.exe
O4 - HKCU\..\Run: [] fada.exe

clicca su EXECUTE

leofelix
30-05-2008, 18.26.19
sono riuscito ad aprire virus total e ho fatto analizzare winlive32.exe
questo è il risultato:
Risultato: 8/32 (25%)

http://www.virustotal.com/it/analisis/922fed9690b5c0207f4929fdd9831a61


come immaginavo, allora riapri The Avenger e nella finestra inserisci questo script

files to delete:
C:\WINDOWS\winlive32.exe
Registry keys to delete:
O4 - HKLM\..\Run: [Windows UDP Control Center] winlive32.exe

quindi clicca su EXECUTE

best370
30-05-2008, 18.27.00
beh lo immaginavo, ma intendevo...
poichè mi hai consigliato di togliere messenger all'avvio (penso sia temporanea la cosa no? o lo devo proprio disinstallare?) pensavo di non far avviare messenger in questo modo, all'avvio, per poi eseguire alla lettera il tuo prezioso schema.
Perdona se vado a cercare un po' il pelo nell'uovo ma di questo tipo di informatica son poco pratico (mi occupo più che altro di grafica, foto e cose del genere e ogni tanto faccio qualche programmino gestionale con VB (non installato su questa macchina))

EDIT: proprio mentre ti scrivevo mi è apparsa l'immagine che assomiglia all'antivirus (ntkrnl) due volte e, aprendo il task menager, quali processi si sono avviati? msnmsg.exe e fada.exe
.....

leofelix
30-05-2008, 18.30.41
EDIT: proprio mentre ti scrivevo mi è apparsa l'immagine che assomiglia all'antivirus (ntkrnl) due volte e, aprendo il task menager, quali processi si sono avviati? msnmsg.exe e fada.exe
.....

ecco, ora sai come mai ti ho suggerito di disattivare temporaneamente MSN dall'avvio automatico, che per altro è uno spreco di risorse e rallenta il sistema.
In ogni caso, quando vuoi accedere a MSN (una volta disinfettato il sistema) basta cliccare sull'icona relativa.

crazy.cat
30-05-2008, 19.25.27
prego
ci impiega un po' il tool della Kaspersky ma fa egregiamente il suo dovere:)

L'unico problema è che si sono fermati con gli aggiornamenti,l'ultimo risale al 18 Maggio.

best370
30-05-2008, 19.49.49
allora ho fatto passare msnfix
e questo è il responso

MSNFix 1.719

C:\Documents and Settings\paride\Desktop\MSNFix
Fix effettuato il 30/05/2008 - 18.46.00,85 By paride
modalità normale

************************ Cercare i files presenti

... C:\DOCUME~1\paride\IMPOST~1\Temp\svchost.exe
... C:\??????.exe
... C:\DOCUME~1\paride\IMPOST~1\Temp\svchost.dll
... C:\DOCUME~1\paride\IMPOST~1\Temp\svchost.exe
... C:\DOCUME~1\paride\IMPOST~1\Temp\svchost.exe
... C:\Documents and Settings\paride\????????.exe

************************ Ricerca le cartelle presenti

Nessuna cartella trovata




************************ Eliminazione dei files

.. OK ... C:\DOCUME~1\paride\IMPOST~1\Temp\svchost.exe
.. OK ... C:\??????.exe
/!\ ... C:\DOCUME~1\paride\IMPOST~1\Temp\svchost.dll
.. OK ... C:\DOCUME~1\paride\IMPOST~1\Temp\svchost.exe
.. OK ... C:\DOCUME~1\paride\IMPOST~1\Temp\svchost.exe
.. OK ... C:\Documents and Settings\paride\????????.exe



************************ Pulizia del Registro



I files ancora presenti saranno eliminati al prossimo riavvio


************************ Eliminazione dei files

.. OK ... C:\DOCUME~1\paride\IMPOST~1\Temp\svchost.dll



************************ Files sospetti

Nessun files trovato


I files e le chiavi di registro eliminati sono stati salvati nel file 30052008_19.46.3223.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

ora elimino la cartella di msnfix che si è creata sul desktop come mi hai consigliato. (elimino tutto o devo tenere qlcs???)
the avenger invece nn è riuscito a cancellarmi quel file con il nome strano... ora guardo se c'è ancora e riprovo (magari ho fatto un errore di digitazione anche se nn credo)

best370
30-05-2008, 20.15.51
ragazzi forse ho risolto!
Allora vi spiego cosa ho combinato così mi sapete dire voi se ho risolto sul serio oppure no.
Ha terminato karspersky la scansione e ha trovato (oltre ai due citati prima) altri tre file infetti tra cui un'altro identico ai primi tre, e due blackdoor.
li ha eliminati. Poi ho tolto l'avvio automatico di msn.
Ho eseguito proma the avenger con lo script per eliminare i due file (quelli con il nome strano) Ho tolto l'avvio automatico a messenger e riavviato (lo chiedeva il programma) il pc. Poi ho fatto andare msnfix e ho seguito le istruzioni che mi hai fornito. Ad un certo punto però lo sfondo dos è diventato bianco poi rosso poi bianco... e mi ha chiesto di riavviare il pc. Ho riavviato. Al riavvio si è aperto nuovamente e mi ha chiesto di scegliere la lingua. L'ho scelta e mi ha creato il file zip e txt che mi avevi detto.
Poi ho aperto the avenger di nuovo e ho fatto copia incolla con questo:
Registry keys to delete:

O4 - HKLM\..\Run: [] fada.exe
O4 - HKLM\..\RunServices: [] fada.exe
O4 - HKCU\..\Run: [] fada.exe

files to delete:
C:\WINDOWS\winlive32.exe
Registry keys to delete:
O4 - HKLM\..\Run: [Windows UDP Control Center] winlive32.exe

sono venuti fuori alcuni messaggi di errore. Poi ha chiesto di riavviare e ho riavviato nuovamente. Al riavvio la schermata grigia (quella che pareva di un antivirus ktrnl) non c'era più. Ho aperto il task manager e ho controllato. Il processo fada.exe nn c'era più e nemmeno winlive32.exe
ora proverò ad aprire msn messenger per vedere se apre ancora tutte le finestre e divulga quel messaggio in spagnolo.
intanto vi metto cio che HiJackThis rileva ora:
<<continua>>

best370
30-05-2008, 20.16.14
<<prosegue>>

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.14.59, on 30/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_22-36.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programmi\Nero\Nero 7\InCD\NBHGui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\TomTom HOME 2\HOMERunner.exe
C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\paride\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.add-hhh.info/ si può cambiare?
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.divx.com/divx/divx6/new/en?rcv=1&dist=divxdotcom
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programmi\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [StartCCC] C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programmi\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows UDP Control Center] winlive32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Libro dei ritagli HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selezione intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195937253828
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03C27605-D5B0-47C1-B0F2-B29EA1EFD627}: NameServer = 85.37.17.41 85.38.28.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{03C27605-D5B0-47C1-B0F2-B29EA1EFD627}: NameServer = 85.37.17.41 85.38.28.83
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: setup_7.0.0.180_18.05.2008_22-36 - Kaspersky Lab - C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_22-36.exe

--
End of file - 7914 bytes


ah scusate se vi rompo ancora le scatole :inn: io ho nod32 come antivirus... prima avevo karspersky poi cambiando pc ho preso nod...
com'è? meglio KAS?

Diablos
30-05-2008, 20.31.49
mi sembra che la situazione vada meglio :)

ma questo è ok?
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.add-hhh.info/

e questo è sempre là
O4 - HKLM\..\Run: [Windows UDP Control Center] winlive32.exe

kaspersky è un po' meglio, ma nod32 è comunque ottimo

gore
30-05-2008, 20.49.53
E' la prima volta che mi conetto su questo forum.
Ho notato che ci sono persone molto cortesi e preparate per questo motivo spero che possano aiutarmi con un piccolo problema.
Ieri sera mia sorella su messenger ha accettato un file infetto (penso sia uno dei soliti photoalbum) tuttavia è da ieri che il pc nn lavora bene.
Mi spiego meglio. Nella lista dei processi è apparso un processo chiamato Fada.exe
Quando è attivo questo processo internet diventa lentissimo, non riesco ad aprire quasi nessuna pagina.
Inoltre all'avvio mi appare una schermata con scritto
NTKRNL
sembrerebbe la schermata di un antivirus
poichè sotto c'è scritto:
secure suite, network, kernel, security, etc etc etc...
Inoltre nella cartella documents and settings c'erano 24 file eseguibili con una icona che assomigliava a un mappamondo e avevano nomi stranti tipo dkaukjj.exe e cose del genere. Io li ho cancellati, poi per riuscire a venire sul forum ho terminato il processo fada.exe
Ho inoltre scansito il pc con i seguenti tool:
Antirootkit
cleansmall
cwshredder
fsbl
klwk
Rootkitbuster
stinger
agentgui
blacklight rootkit eliminator
e A SQUARE (a2 mi pare sia scritto in abbreviato)

ho anche scaricato ccleaner (nn ho ancora avuto il tempo per farlo passare)
cleandelf
il virus removal di kaspersky (il kaspersky lab tool 7.0.0.180)
e Norman sinow cleaner che però arriva a metà e si blocca... su un file nella cartella temp

L'antivirus che ho è:
Nod32
Nella prima scansione non ha trovato nulla, ho fatto una seconda scansione profonda e ha trovato una trentina di file infetti (che il giorno prima nn c'erano poichè aggiorno e controllo il pc tutti i giorni)
A square oggi ha trovat 204 file infetti di cui 10 gravi (la maggior parte dialer)
Gli altri invece nn han trovato nulla.
Pensavo dunque di aver risolto il problema. Tuttavia appena accedo all'account appare di nuovo l'immagine di cui ho scritto sopra, c'è sto processo Fada.exe e se apro messenger, mi apre tutte le finestre per (credo) diffondersi.

Cosa posso fare? aiutatemi per piacere! purtroppo il pc nn posso formattarlo (ho molti programmi originali che uso per lavoro e mi servono di cui però attualmente non ho le licenze sottomano dunque non potrei rimettere sul pc)

ps: ho disattivato il ripristino di sistema prima di fare tutto.
ho anche fatto passare
hijackthis e questo è il risultato:
<<continua>>

Anche io ho avuto lo stesso identico tipo di virus..la schermata che ti appare all'avvio con su scritto NTKRNL appariva anche a me. Cercando su Internet avevo scoperto che era un pacchetto antivirus in vendita online, ma non ho mai capito il nesso!!

best370
30-05-2008, 21.25.48
beh il nesso può essere il seguente:
Molte case produttrici di Antivirus, tra cui fu coinvolta anche la famosa casa produttrice del "mitico" (è una ironia) Norton, mettono in giro virus piuttosto bastardelli e poi ti dicono che loro sono i migliori nel rimuoverlo. Eccerto sono loro che l'han diffuso...
ecco io penso che forse può essere questo un caso... dunque nn per nulla appare quella schermata.
ma è una mia supposizione.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.add-hhh.info/
sinceramente l'ho messo in rosso perchè nn so nemmeno io cos'è... so solo che aprendo IE mi da come homepage quel link li....
O4 - HKLM\..\Run: [Windows UDP Control Center] winlive32.exe
l'ho notato anche io, ho provato ad eliminarlo con the avage ma mi dice che non riesce ad eliminarlo perchè è un Windows UPD control center e lui può eliminare solo un'altro tipo di cosa... boh allora pensavo di fixxarlo con HiJackThis che dite?

Diablos
31-05-2008, 01.05.07
ho ricercato NTKRNL e risulta essere un software recensito anche su softpedia

quella pagina deve essere stata impostata dal virus come home page e ti sarà difficile cambiarla normalmente, probabilmente devi fixare anche quello

Perusar
31-05-2008, 08.35.46
per la home prova a fare una passata con spyware terminator (http://news.wintricks.it/software/sicurezza-privacy/25307/spyware-terminator-2.2.1/) :)

best370
31-05-2008, 09.53.06
ora provo ^^ cmq non lo uso praticamente mai internet explorer. E quei pochi siti che non sono compatibili per firefox, ho installato L'IE tool che cliccando in basso sul simbolo di firefox mi ricarica la pagina (da firefox) con IE. (spero d'averlo spiegato bene)


la pagina NTKRNL invece all'avvio non si mostra più.
Comunque cosa mi consigliate fixo anche
O4 - HKLM\..\Run: [Windows UDP Control Center] winlive32.exe da hIjACKtHIS?

Perusar
31-05-2008, 10.04.14
Io fixerei, ma dopo aver fatto una passata con un antispyware, magari ci pensa lui, o comunque crea i presupposti per evitare che ricompaia... :p

best370
31-05-2008, 20.59.59
l'ho fatto passare circa...
tre volte :D
alla terza nn ha trovato + nulla
domattina fixo pure quello eeee buonanotte al virus (speriamo)
per ora nn se fatto vivo più nulla :D

leofelix
01-06-2008, 00.29.07
L'unico problema è che si sono fermati con gli aggiornamenti,l'ultimo risale al 18 Maggio.

presumo perché alla Kaspersky stiano lavorando alla versione 8.0 del loro antivirus, quei tools erano difatti distribuiti per beta testing da quanto so io

leofelix
01-06-2008, 00.44.30
ora provo ^^ cmq non lo uso praticamente mai internet explorer. E quei pochi siti che non sono compatibili per firefox, ho installato L'IE tool che cliccando in basso sul simbolo di firefox mi ricarica la pagina (da firefox) con IE. (spero d'averlo spiegato bene)


la pagina NTKRNL invece all'avvio non si mostra più.
Comunque cosa mi consigliate fixo anche
O4 - HKLM\..\Run: [Windows UDP Control Center] winlive32.exe da hIjACKtHIS?

si' fixa questa voce, quelle relative la home page di Internet Explorer (anche se non lo usi, è pur sempre una componente di sistema) che tu stesso hai evidenziato.
Se non riesci a eliminare alcuni files infetti crea uno scrpt per farli fuori con The Avenger.

In quanto al NOD32 è uno dei migliori antivirus, il punto è che non tutti lo configurano a dovere (Qui trovi un'ottima guida - NOD32 by crazy.cat per megalab.it (R) (http://www.megalab.it/articoli.php?id=1103) ) io ho testato la ver 2.7, non mi ha lasciato così entusiasta però, gli aggiornamenti delle basi non mi sembrano così efficaci e rapidi come mi aspettavo.

Probabilmente fai ancora in tempo a usufruire di questa offerta

AVIRA antivirus 8, gratis per 6 mesi (http://forum.wintricks.it/showthread.php?t=134179) e anche in italiano:
leggero, con frequenti aggiornamenti, ha anche un modulo antirookit.

A mio avviso assieme al Kasperky antivirus 7.0 è il migliore e il più efficiente e anche secondo le comparazioni che trovi qui

http://www.av-comparatives.org/

leofelix
01-06-2008, 00.48.02
Anche io ho avuto lo stesso identico tipo di virus..la schermata che ti appare all'avvio con su scritto NTKRNL appariva anche a me. Cercando su Internet avevo scoperto che era un pacchetto antivirus in vendita online, ma non ho mai capito il nesso!!

confermo, è stato un aspro combattimento e senza quartiere e non abbiamo fatto prigionieri.

Alla fine il soldato gore è uscita vincitrice :act:

best370
02-06-2008, 22.21.08
ok. Io prima avevo kaspersky poi mi è scaduta la licenza ho cambiato pc e ho messo questo... però ho sentito che ogni tanto tira fuori la licenza triennale a prezzi vantaggiosi infatti pensavo magari di prendere KAS (che sò già pure come funziona...) che dici? cmq ho fixato tutto e ora "pare" sia tutto ok

leofelix
03-06-2008, 10.35.49
ok. Io prima avevo kaspersky poi mi è scaduta la licenza ho cambiato pc e ho messo questo... però ho sentito che ogni tanto tira fuori la licenza triennale a prezzi vantaggiosi infatti pensavo magari di prendere KAS (che sò già pure come funziona...) che dici? cmq ho fixato tutto e ora "pare" sia tutto ok

ciao
sì se ordini on line la Kapersky ti offre diverse scelte molto convenienti a mio avviso.
Il Nod32 rimane sempre un eccellente antivirus.

Io opterei per AVIRA antivirus PREMIUM tuttavia, non tanto perché è molto economico, ma è molto affidabile, leggero e anche in questo caso offrono una vasta scelta di opzioni molto convenienti e vantaggiose direi;)

http://forum.wintricks.it/showthread.php?t=124549