antivir notifiche per trojan

[cebroth]

Ciao!
da diversi mesi continuo a ricevere fastidiose notifiche del mio antivirus ANTIVIR GUARD: "a virus or unwanted program was found" e mi segnala il fatto che, ad esempio oggi, il file C:\documents and settings.......\brpx.exe è il trojan TR\downloader.Gen. (il nome del file .exe incriminato cambia continuamente) le opzioni che il programma da sono: cancellare, negare accesso, mettere quarantena etc:: nessuna di queste sortisce alcun effetto.... il computer non subisce, almeno in apparenza, in questi mesi, nessun problema: rallentamenti, finestre pop up etc. ma vorrei sapere di cosa si tratta. in una giornata infatti la finestra di notifica compare più di dieci volte apparentemente senza correlazione con qualcosa che faccio io (navigazione, piuttosto che editor word, piuttosto che fotoritocco etc). oltre a questo ho paura che sulla lunga distanza qualcosa possa smettere di funzionare o danneggiarsi.

Ringrazio gentilmente chiunque voglia darmi una mano

[Deifobe]

Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.
per ora non rimuovere nulla, se sto al pc lo guardo e ti faccio sapere immediatamente.

ciao

[cebroth]

Ciao,
intanto grazie mille per la gentilezza e per la velocità: ho fatto e questi sono i risultati.
ti segnalo (non so se è importante) che durante la scansione il programma malwarebytes si è incastrato nel momento in cui scansionava il file mdm.exe. e sono comparse le finestrellle di alert di antivir che posto sotto. malwarebytes si è disincastrato solo dopo che ho negato l'accesso in queste due finestre. come se la scansione avesse "solleticato" il file contenente il virus.
scusa il linguaggio da incompetente, ma tale sono.
ciao
--------------------------------------------------

Malwarebytes' Anti-Malware 1.33
Versione del database: 1656
Windows 5.1.2600 Service Pack 2

16/01/2009 12.13.37
mbam-log-2009-01-16 (12-13-26).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 147418
Tempo trascorso: 33 minute(s), 25 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 4

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\System Volume Information\_restore{80C3B60A-D629-4B75-923A-75A85C475973}\RP100\A0016353.exe (Malware.Tool) -> No action taken.
C:\System Volume Information\_restore{80C3B60A-D629-4B75-923A-75A85C475973}\RP49\A0011524.exe (Malware.Tool) -> No action taken.
C:\System Volume Information\_restore{80C3B60A-D629-4B75-923A-75A85C475973}\RP61\A0012492.exe (Malware.Tool) -> No action taken.
C:\WINDOWS\system\ieudinit.exe (Trojan.Agent) -> No action taken.

---------------------------------------------------------------------

[cebroth]

secondo alert:

[Deifobe]

elimina quanto trovato da malwarebytes.

Mi puoi dire il percorso completo dei file trovati da avira?

scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Freefilehosting e posta sul forum il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[cebroth]

http://freefilehosting.net/download/443j4

questo è il link che ho ottenuto. purtroppo il percorso completo del file individuato nell'alert di antivir è così come lo vedi: ho provato a allungare la finestra a cliccare qua e la ma non vuole mostrarmi tutto il percorso: hai idea di come si faccia (tra l'altro devo aspettare che mi rio-segnali la presenza di un altro trojan, cosa che peraltro sciaguratamente credo averrà )

[Deifobe]

se vai nel => pannello di controllo => administration => quarantine
in fondo alla finestra magari trovi il percordo completo

controllo systemscan

[Deifobe]

ho capito cos'hai

spiegato in modo semplice... è un tipo di infezione che arriva a creare circa 84 file in totale se non viene rimossa completamente.... e sono tutti file uguali ma con nomi diversi e in diverse cartelle...

avevo inviato il sample 1 mesetto fa circa... strano che tu l'abbia ancora...
avira aveva anche aggiornato il db..

ecco la scheda

entra in modalità provvisoria ed esegui questo tool Remove mqtgsvc_1232117547516_38.zip

posta il rapporto Rmv mqtgsvc report.txt che trovi sul desktop

[cebroth]

Ciao!!

allora io ho riavviato in mod provv ho aperto la cartella zip "Remove mqtgsvc_1232117547516_38.zip" ed ho cliccato il file che c'era all'interno: quello che è venuto fuori è questa finestra qui sotto che però non stava facendo niente: ho provato a cliccare su cerca file e lui nello slot sopra dopo aver scritto che ha trovato qualcosa ha scritto quello che vedi )creato rmv mqt etc...) ed ha generato il file txt il cui contenuto è quello che incollo qui. ho fatto bene? dovevo continuare a cliccare anche gli altri 5 passaggi (non volendo fare stupidaggini nel dubbio non l'ho fatto)?
che faccio?


-----------------------------------------

================================================== ==============================
RICERCA
================================================== ==============================

Attenzione! C:\WINDOWS\clipsrv.exe
Attenzione! C:\WINDOWS\mqtgsvc.exe
Attenzione! C:\Documents and Settings\cebroth\Dati applicazioni\cmstp.exe
Attenzione! C:\WINDOWS\System\esentutl.exe
Attenzione! C:\Documents and Settings\cebroth\Dati applicazioni\Microsoft\logman.exe


================================================== ==============================
RICERCA
================================================== ==============================

Attenzione! C:\WINDOWS\clipsrv.exe
Attenzione! C:\WINDOWS\mqtgsvc.exe
Attenzione! C:\Documents and Settings\cebroth\Dati applicazioni\cmstp.exe
Attenzione! C:\WINDOWS\System\esentutl.exe
Attenzione! C:\Documents and Settings\cebroth\Dati applicazioni\Microsoft\logman.exe

[Deifobe]

hihihi anche l'immgine? credi che non ricordi il mio tool?
si, rimuovi tutto. riavvia in normale e rieseguilo, vediamo se c'è altro da eliminare.

devi ancora dirmi il percorso completo dei file individuati da avira...
non li ricordo tutti ma se non erro non fanno parte dell'elenco dei file cercati.

ciao