Aiuto! Pen-drive infette

[carolina]

Qualcuno può aiutarmi ad eliminare il virus che ha trasformato le cartelle della pen-drive e dell’ HD esterno in collegamenti che non si aprono? Ecco un esempio di questi “collegamenti”:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\autorun.exe -us&&%windir%\explorer.exe E:\Foto"
Mi pare che si tratti di Conflicker. Autorun-gen
Avevo M. Security Essential e lo ha lasciato passare. Ho fatto scansioni con Avira, Avast, Bit Defender, Malwarebyte’s, Eset Online Scanner…Niente da fare!
Allego il Logfile di HiJackThis
Per favore, aiutatemi!!!
Grazie

 

[Marco_l87]

il Conficker è un virus abbastanza tosto...
Innnanzitutto disabilita System Restore di windows.

poi scaricati questo:

Download Confirmation

e fai una scansione completa.

Poi scarica e fai le scansioni con questi:
http://www.downadup.org/download/bd_rem_tool.zip

http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/D.exe

Stinger | McAfee Free Tools

e poi dimmi come è la situazione :)
prima di fare tutte le scansioni stacca il pc dalla rete.

 

[FDAC]

Rilancia HijackThis:

Nota: per lanciare HijackThis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di HijackThis e, dal menù contestuale, scegli la voce Esegui come amministratore: conferma quindi la richiesta che ti viene proposta.

● clicca sul pulsante Do a system scan only
● spunta la casellina a fianco di ogni singola voce che ti indicherò sotto
● una volta spuntate le voci:
chiudi tutte le applicazioni aperte
chiudi tutte le pagine Internet aperte
● in HijackThis fixa le voci cliccando su Fix checked
Queste le voci da fixare:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Radio Bar 2 Toolbar - {9bb815eb-3f9f-4e11-9150-cb70e29b40fc} - C:\Program Files (x86)\Radio_Bar_2\tbRadi.dll
R3 - URLSearchHook: MHURLSearchHook Class - {1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - C:\Program Files (x86)\Family Toolbar\tbhelper.dll
R3 - URLSearchHook: FCToolbarURLSearchHook Class - {3a750e59-9048-456b-a7f9-4d22dcb583f3} - C:\Program Files (x86)\MyPlayCity Toolbar\Helper.dll
R3 - URLSearchHook: {EA551C00-2AE5-11d3-8592-00A0C98E9EA4} - - (no file)
R3 - URLSearchHook: 4shared.com Toolbar - {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - C:\Program Files (x86)\4shared.com\tb4sha.dll
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files (x86)\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [4shared Desktop] "C:\Program Files (x86)\4shared Desktop\desktop.exe" "startup"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [OfficeSyncProcess] "C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE"
O4 - HKCU\..\Run: [Adobe Reader Speed Launcher] C:\Users\xxx\AppData\Roaming\Microsoft\service119.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Windows\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Windows\web\related.htm (file missing)
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.7.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://www.mariatv.it/SOPCORE.CAB
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} (WRC Class) - http://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework//microsoft/wrc32.ocx
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15110/CTPID.cab

Disinstalla le seguenti applicazioni:
MCafee Security Scan Plus
SweetIM Messenger
SweetIM Toolbar for Internet Explorer
Anti-phishing Domain Advisor
Webblog Toolbar
Google Toolbar
Conduit Engine
4shared.com Toolbar
Alexa Toolbar
MyPlayCity Toolbar
MSN Toolbar
Family Toolbar
Radio Bar 2 Toolbar
Yahoo! Toolbar

Poi:

Utilizza questi tool di rimozione di Conficker, prestando attenzione alle varie procedure.
Al termine, allega i log risultanti dalle scansioni.

Scarica Eset Win32/Conficker Remover: http://download.eset.com/special/EConfickerRemover.exe
● posiziona il tool sul Desktop
● doppio click su EConfickerRemover.exe per avviarlo
● attendi pazientemente la fine della scansione

Scarica KidoKiller: http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.3.3.zip
● decomprimilo sul Desktop
● doppio click su KidoKiller per avviarlo
● attendi pazientemente il termine della scansione
● riavvia il sistema
● allega il Report che si trova sul Desktop

Scarica Removal Conficker Tools Cleaner: http://pc-system.fr/TC/ToolsCleaner2.exe
● posiziona il tool sul Desktop
● doppio click su ToolsCleaner2 per avviarlo
● clicca in alto su Recherche, per cercare gli elementi infetti
● aspetta pazientemente la fine della scansione
● clicca su Suppression, per eliminare le infezioni trovate
● clicca poi su Fichiers temp, per svuotare la cartella dei file temporanei
● clicca infine su Quitter, per terminare il programma
● verrà creato un rapporto in C:\ con il nome di TCleaner.txt: allegalo

Scarica Sophos Conficker Removal Tool: http://downloads.sophos.com/custom-tools/conficker-removal-tool.msi
● posiziona il tool sul Desktop
● doppio click su conficker-removal-tool.msi per avviare l'installazione del programma
● una volta terminata l'installazione, avvia il programma
● clicca sul pulsante Start Scan, per cercare gli elementi infetti
● verrà creato un rapporto in C:\Windows\Temp con il nome di Sophos_MalConficker-A.log: allegalo

Infine:

Scarica questa Patch di Microsoft : (scegli quella in base al tuo Sistema Operativo)
Bollettino Microsoft sulla sicurezza MS08-067 – Critico: una vulnerabilità nel servizio Server può consentire l'esecuzione di codice in modalità remota (958644)

Allega anche un log aggiornato di HijackThis.

Ciao e buon lavoro :)


Edit: NON collegare per nessuna ragione PenDrive e Hard Disk Esterni al PC: potrebbero infettarsi nuovamente, e infettare i PC.

 

[carolina]

Rilancia HijackThis:

Nota: per lanciare HijackThis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di HijackThis e, dal menù contestuale, scegli la voce Esegui come amministratore: conferma quindi la richiesta che ti viene proposta.

● clicca sul pulsante Do a system scan only
● spunta la casellina a fianco di ogni singola voce che ti indicherò sotto
● una volta spuntate le voci:
chiudi tutte le applicazioni aperte
chiudi tutte le pagine Internet aperte
● in HijackThis fixa le voci cliccando su Fix checked
Queste le voci da fixare:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Radio Bar 2 Toolbar - {9bb815eb-3f9f-4e11-9150-cb70e29b40fc} - C:\Program Files (x86)\Radio_Bar_2\tbRadi.dll
R3 - URLSearchHook: MHURLSearchHook Class - {1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - C:\Program Files (x86)\Family Toolbar\tbhelper.dll
R3 - URLSearchHook: FCToolbarURLSearchHook Class - {3a750e59-9048-456b-a7f9-4d22dcb583f3} - C:\Program Files (x86)\MyPlayCity Toolbar\Helper.dll
R3 - URLSearchHook: {EA551C00-2AE5-11d3-8592-00A0C98E9EA4} - - (no file)
R3 - URLSearchHook: 4shared.com Toolbar - {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - C:\Program Files (x86)\4shared.com\tb4sha.dll
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files (x86)\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [4shared Desktop] "C:\Program Files (x86)\4shared Desktop\desktop.exe" "startup"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [OfficeSyncProcess] "C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE"
O4 - HKCU\..\Run: [Adobe Reader Speed Launcher] C:\Users\xxx\AppData\Roaming\Microsoft\service119.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Windows\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Windows\web\related.htm (file missing)
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.7.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://www.mariatv.it/SOPCORE.CAB
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} (WRC Class) - http://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework//microsoft/wrc32.ocx
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15110/CTPID.cab

Disinstalla le seguenti applicazioni:
MCafee Security Scan Plus
SweetIM Messenger
SweetIM Toolbar for Internet Explorer
Anti-phishing Domain Advisor
Webblog Toolbar
Google Toolbar
Conduit Engine
4shared.com Toolbar
Alexa Toolbar
MyPlayCity Toolbar
MSN Toolbar
Family Toolbar
Radio Bar 2 Toolbar
Yahoo! Toolbar

Poi:

Utilizza questi tool di rimozione di Conficker, prestando attenzione alle varie procedure.
Al termine, allega i log risultanti dalle scansioni.

Scarica Eset Win32/Conficker Remover: http://download.eset.com/special/EConfickerRemover.exe
● posiziona il tool sul Desktop
● doppio click su EConfickerRemover.exe per avviarlo
● attendi pazientemente la fine della scansione

Scarica KidoKiller: http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.3.3.zip
● decomprimilo sul Desktop
● doppio click su KidoKiller per avviarlo
● attendi pazientemente il termine della scansione
● riavvia il sistema
● allega il Report che si trova sul Desktop

Scarica Removal Conficker Tools Cleaner: http://pc-system.fr/TC/ToolsCleaner2.exe
● posiziona il tool sul Desktop
● doppio click su ToolsCleaner2 per avviarlo
● clicca in alto su Recherche, per cercare gli elementi infetti
● aspetta pazientemente la fine della scansione
● clicca su Suppression, per eliminare le infezioni trovate
● clicca poi su Fichiers temp, per svuotare la cartella dei file temporanei
● clicca infine su Quitter, per terminare il programma
● verrà creato un rapporto in C:\ con il nome di TCleaner.txt: allegalo

Scarica Sophos Conficker Removal Tool: http://downloads.sophos.com/custom-tools/conficker-removal-tool.msi
● posiziona il tool sul Desktop
● doppio click su conficker-removal-tool.msi per avviare l'installazione del programma
● una volta terminata l'installazione, avvia il programma
● clicca sul pulsante Start Scan, per cercare gli elementi infetti
● verrà creato un rapporto in C:\Windows\Temp con il nome di Sophos_MalConficker-A.log: allegalo

Infine:

Scarica questa Patch di Microsoft : (scegli quella in base al tuo Sistema Operativo)
Bollettino Microsoft sulla sicurezza MS08-067 – Critico: una vulnerabilità nel servizio Server può consentire l'esecuzione di codice in modalità remota (958644)

Allega anche un log aggiornato di HijackThis.

Ciao e buon lavoro :)


Edit: NON collegare per nessuna ragione PenDrive e Hard Disk Esterni al PC: potrebbero infettarsi nuovamente, e infettare i PC.

Ciao! Ho provato a fare tutto quello che mi hai consigliato, ma ci sono riuscito solo in parte:
Non sono riuscito a disinstallare MSN Toolbar e Family Toolbar.
Eset Win32/Conficker Remover dice: “Win32/Conficker worm has not been found active in memory”; la scansione parte e finisce all’istante.
Kidi Killer on ha trovato nulla e non trovo il report sul desktop.
Removal Conficker Tools Cleaner si blocca quando clicco su Recherche.
Sophos Conficker Removal Tool ha fatto una lunghissima scansione e il report non c’è in Temp di Windows.
La pacht di Microsoft non è prevista per W.7
Allego il Log di HiJackThis
Forse non è Conficker il virus? Io l’ho dedotto solo dagli effetti sui dischi esterni facendo una ricerca sul Web.
Ti ringrazio molto per l’interessamento e la pazienza.
Spero in una tua risposta.
Grazie!

 

[carolina]

Rilancia HijackThis:

Nota: per lanciare HijackThis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di HijackThis e, dal menù contestuale, scegli la voce Esegui come amministratore: conferma quindi la richiesta che ti viene proposta.

● clicca sul pulsante Do a system scan only
● spunta la casellina a fianco di ogni singola voce che ti indicherò sotto
● una volta spuntate le voci:
chiudi tutte le applicazioni aperte
chiudi tutte le pagine Internet aperte
● in HijackThis fixa le voci cliccando su Fix checked
Queste le voci da fixare:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Radio Bar 2 Toolbar - {9bb815eb-3f9f-4e11-9150-cb70e29b40fc} - C:\Program Files (x86)\Radio_Bar_2\tbRadi.dll
R3 - URLSearchHook: MHURLSearchHook Class - {1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - C:\Program Files (x86)\Family Toolbar\tbhelper.dll
R3 - URLSearchHook: FCToolbarURLSearchHook Class - {3a750e59-9048-456b-a7f9-4d22dcb583f3} - C:\Program Files (x86)\MyPlayCity Toolbar\Helper.dll
R3 - URLSearchHook: {EA551C00-2AE5-11d3-8592-00A0C98E9EA4} - - (no file)
R3 - URLSearchHook: 4shared.com Toolbar - {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - C:\Program Files (x86)\4shared.com\tb4sha.dll
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files (x86)\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [4shared Desktop] "C:\Program Files (x86)\4shared Desktop\desktop.exe" "startup"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [OfficeSyncProcess] "C:\Program Files (x86)\Microsoft Office\Office14\MSOSYNC.EXE"
O4 - HKCU\..\Run: [Adobe Reader Speed Launcher] C:\Users\xxx\AppData\Roaming\Microsoft\service119.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Windows\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Windows\web\related.htm (file missing)
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.7.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://www.mariatv.it/SOPCORE.CAB
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} (WRC Class) - http://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework//microsoft/wrc32.ocx
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su/ocx/15110/CTPID.cab

Disinstalla le seguenti applicazioni:
MCafee Security Scan Plus
SweetIM Messenger
SweetIM Toolbar for Internet Explorer
Anti-phishing Domain Advisor
Webblog Toolbar
Google Toolbar
Conduit Engine
4shared.com Toolbar
Alexa Toolbar
MyPlayCity Toolbar
MSN Toolbar
Family Toolbar
Radio Bar 2 Toolbar
Yahoo! Toolbar

Poi:

Utilizza questi tool di rimozione di Conficker, prestando attenzione alle varie procedure.
Al termine, allega i log risultanti dalle scansioni.

Scarica Eset Win32/Conficker Remover: http://download.eset.com/special/EConfickerRemover.exe
● posiziona il tool sul Desktop
● doppio click su EConfickerRemover.exe per avviarlo
● attendi pazientemente la fine della scansione

Scarica KidoKiller: http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.3.3.zip
● decomprimilo sul Desktop
● doppio click su KidoKiller per avviarlo
● attendi pazientemente il termine della scansione
● riavvia il sistema
● allega il Report che si trova sul Desktop

Scarica Removal Conficker Tools Cleaner: http://pc-system.fr/TC/ToolsCleaner2.exe
● posiziona il tool sul Desktop
● doppio click su ToolsCleaner2 per avviarlo
● clicca in alto su Recherche, per cercare gli elementi infetti
● aspetta pazientemente la fine della scansione
● clicca su Suppression, per eliminare le infezioni trovate
● clicca poi su Fichiers temp, per svuotare la cartella dei file temporanei
● clicca infine su Quitter, per terminare il programma
● verrà creato un rapporto in C:\ con il nome di TCleaner.txt: allegalo

Scarica Sophos Conficker Removal Tool: http://downloads.sophos.com/custom-tools/conficker-removal-tool.msi
● posiziona il tool sul Desktop
● doppio click su conficker-removal-tool.msi per avviare l'installazione del programma
● una volta terminata l'installazione, avvia il programma
● clicca sul pulsante Start Scan, per cercare gli elementi infetti
● verrà creato un rapporto in C:\Windows\Temp con il nome di Sophos_MalConficker-A.log: allegalo

Infine:

Scarica questa Patch di Microsoft : (scegli quella in base al tuo Sistema Operativo)
Bollettino Microsoft sulla sicurezza MS08-067 – Critico: una vulnerabilità nel servizio Server può consentire l'esecuzione di codice in modalità remota (958644)

Allega anche un log aggiornato di HijackThis.

Ciao e buon lavoro :)


Edit: NON collegare per nessuna ragione PenDrive e Hard Disk Esterni al PC: potrebbero infettarsi nuovamente, e infettare i PC.

Ciao! Ho provato a fare tutto quello che mi hai consigliato, ma ci sono riuscito solo in parte:
Non sono riuscito a disinstallare MSN Toolbar e Family Toolbar.
Eset Win32/Conficker Remover dice: “Win32/Conficker worm has not been found active in memory”; la scansione parte e finisce all’istante.
Kidi Killer on ha trovato nulla e non trovo il report sul desktop.
Removal Conficker Tools Cleaner si blocca quando clicco su Recherche.
Sophos Conficker Removal Tool ha fatto una lunghissima scansione e il report non c’è in Temp di Windows.
La pacht di Microsoft non è prevista per W.7
Allego il Log di HiJackThis
Forse non è Conficker il virus? Io l’ho dedotto solo dagli effetti sui dischi esterni facendo una ricerca sul Web.
Ti ringrazio molto per l’interessamento e la pazienza.
Spero in una tua risposta.
Grazie!

 

[carolina]

ooops! Ecco il Log

Avevo dimenticato di allegare il Log. Lo faccio ora.:cav:

 

[carolina]

eppure l'avevo allegato

Che imbranata, eh?!! Era in formato log :cav::cav:

 

[FDAC]

Scarica ed installa Malwarebytes' Anti-Malware Free Version: Malwarebytes
Nota - durante l'installazione:
● verrà richiesto di aggiornare le definizioni virali del programma, e di avviarlo una volta installato; consenti, lasciando la spunta a:
Aggiorna Malwarebytes' Anti-Malware
Avvia Malwarebytes' Anti-Malware

Una volta installato:
● collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )
● verrà mostrata la schermata principale del tool
● clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione
● verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione
● attendi pazientemente il termine della scansione
● verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo
● se vengono rilevate infezioni: eliminale, cliccando su Rimuovi elementi selezionati

 

[Marco_l87]

io cn mbam non sono mai riuscito a toglierlo il conficker (se è quello)...

il risultato di quello che ti ho detto io non lo posti? :'(

 

[carolina]

Scusami, Marco, ma non ero riuscito a fare tutto. Appena tornato dal lavoro ho completato, ed ecco il resoconto:
bd_rem dice che il PC è pulito
D.exe dice che devo installare la pacht MS08-067, che però non è prevista per W. 7: Ho fatto anche l’Update di Windows e non me la propone.
Stinger non ha trovato nulla.
La situazione è rimasta immutata.

Ti ringrazio molto e ti prego di darmi qualche altra dritta, se possibile.
Ciao!

 

[FDAC]

Ciao Carolina.
Esegui, come spiegato nel mio ultimo post, MalwareBytes Free, e posta qui il log.
Ciao e buon lavoro.

 

[carolina]

Ecco il Log di Malware_Byt

Allego il Log di Malware Byt.
Preciso che in tutte le scansioni effettuate, il file Autorun.inf non è stato aperto perché posto in quarantena da Avira.
Il problema dei dischi esterni permane.
Ma quale altro virus potrebbe essere il responsabile?
Ancora grazie.

 

[Marco_l87]

carolina, vai su start, poi esegui, li scrivi 'cmd' e dai ok.
Scrivi la lettera della pennina esterna seguita da : e dai enter (es. "e:")
poi scrivi "attrib autorun.inf -r -h -s" e dai invio
poi scrivi "del autorun.inf" e dai invio

A questo punto premi TAB. Ad ogni pressione dovrebbero scorrerti i nomi dei file all'interno della chiavetta. Tutti quelli che non riconosci come tuoi cancellali con il comando "del nomefile". Se ti da accesso negato su alcuni dai il comando "attrib nomefile -s -r -h" e poi del

fammi sapere! :D

 

[carolina]

ho provato

Ho eseguito su 2 pen-drive.
Ho trovato:
un file “RECICLER”, che mi pare sia il cestino;
autorun.info: quando tento di cancellarlo dice che non lo trova (preciso che Avira lo ha messo in quarantena). Provando nel secondo modo mi dice “”Formato del parametro non valido”.
Bootex.Log (di9 cui allego il contenuto.
Ho notato che posso vedere i files e le cartelle, ma non i files dentro le cartelle.
Che faccio?
Ciao! :sisi:

 

[Marco_l87]

il file bootex è semplicemtne il log dello scandisk.
X entrare dentro una cartella devi usare il comando "cd nomecartella" e x uscirne "cd.."
In ogni caso se quelli sono gli unici file che hai trovato direi che non c'è + il virus su quella chiavetta..