Porno-virus

[!!\Freedom9/!!]

Ciao, pensavo di scaricare un programma in e-mule e invece ho scaricato un porno-virus.
All'inizio il computer funzionava bene, poi in firefox digitavo un indirizzo e mi collegava a un altro.
Al successivo riavvio la barra delle applicazioni (ho windows XP) anzichè essere del solito color blu, appariva grigia come fosse in modalità provvisoria. Altri problemi sono: le connessioni di rete a internet sono tutte scomparse e se cerco di crearne una nuova la posso creare solo per l'adsl. Anche la chiave usb non viene riconosciuta da Risorse del computer, ma è visibile in risorse del sistema. Insomma, il computer è isolato. Ogni volta che avvio il computer la cartella system32 si apre da sola.

Ho eseguito "Navilog - Il mafioso" e mi ha rimosso i seguenti file:
c:\Programmi\InternetGamebox
C:\WINDOWS\system32\ssoaico.dat e C:\WINDOWS\system32\ssoaico_navps.dat

Tuttavia il problema rimane.
Ho fatto una scansione con Norton aggiornato all'agosto del 2006 (troppo vecchuio!!!) e non ha trovato virus. Il problema rimane.

Non so cosa fare, aiutatemi sto rasentando la crisi depressiva ... in quel computer ho un programma scritto da me in qualche mese di cui non ho fatto il back-up!!!!!!!!!!!!!!

[Deifobe]

scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now".

Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

Nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata, ovviamente non lo è.

[!!\Freedom9/!!]

Originariamente inviato da Deifobe
scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now".

Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

Nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata, ovviamente non lo è.

Ciao, grazie per l'aiuto, mi sto accingendo a seguire il tuo consiglio.
Il mio computer è un aspire 3610: premendo alt + F10 prima che si avvii windows posso ripristinare il sistema come era al momento dell'acquisto del computer. Così ho fatto e tutto sembrava essere tornato normale. Poi ho installato un programma ed è "saltato tutto": la barra delle applicazioni è diventata grigia, come quelle sui computer di 15 anni fa e il sistema si è rallentato. I file musicali non si potevano più eseguire, sembrava che non ci fossero più i driver. Poi è apparsa una schermata blu che diceva che il sistema era stato arrestato per evitare danni al computer e di rimuovere l'hardware o il software di nuova installazione.
Il mio dubbio è questo: il ripristino del sistema mi formatta l'unità C:\, ma non l'unità D:\. Temo che nell'unità D si sia insinuato qualche virus o malware. Non penso e spero che non si tratti di un problema hardware; adesso ho rieseguito il ripristino e tutto sembra normale.

[!!\Freedom9/!!]

Ecco il risultato della scansione http://www.savefile.com/files/2027960

[!!\Freedom9/!!]

Che grana! Chi mi aiuta?

[Deifobe]

Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\Patch.rev
C:\DOCUME~1\Fabrizio\IMPOST~1\Temp\tmpB5.tmp
C:\DOCUME~1\Fabrizio\IMPOST~1\Temp\tmpB6.tmp
C:\DOCUME~1\Fabrizio\IMPOST~1\Temp\tmpE6.tmp
C:\DOCUME~1\Fabrizio\IMPOST~1\Temp\tmpE5.tmp
C:\RECYCLER\S-8-6-46-100004906-100010990-100004904-1314.com
C:\autorun.inf
D:\autorun.inf

folders to delete:
C:\WINDOWS\temp\Cookies
C:\WINDOWS\temp\Cronologia
C:\WINDOWS\temp\Temporary Internet Files

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.


scarica in c:\ mbr.exe, disattiva l'antivirus
start => esegui => digita: c:\mbr.exe -f
rispetta lo spazio - posta il rapporto che trovi in C:\


hai unità usb? una credo di si (c'è un autorun in un dispositivo che hai collegato a D:\)

Da Risorse del computer (o qualsiasi altra cartella) clicca su strumenti -> opzioni cartella -> visualizzazione
-> spunta: visualizza cartelle e file nascosti
-> togli la spunta a: nascondi i file protetti di sistema
-> togli la spunta a: nascondi le estensioni per i tipi di file conosciuti

collegala l'unità usb al pc tenendo premuto il tasto shift
elimina il file D:\autorun.inf

[!!\Freedom9/!!]

Originariamente inviato da Deifobe
Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla questo script:

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.


scarica in c:\ mbr.exe, disattiva l'antivirus
start => esegui => digita: c:\mbr.exe -f
rispetta lo spazio - posta il rapporto che trovi in C:\


hai unità usb? una credo di si (c'è un autorun in un dispositivo che hai collegato a D:\)

Da Risorse del computer (o qualsiasi altra cartella) clicca su strumenti -> opzioni cartella -> visualizzazione
-> spunta: visualizza cartelle e file nascosti
-> togli la spunta a: nascondi i file protetti di sistema
-> togli la spunta a: nascondi le estensioni per i tipi di file conosciuti

collegala l'unità usb al pc tenendo premuto il tasto shift
elimina il file D:\autorun.inf

Ecco il rapporto di mbr.exe

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x950e4c1 size 0x1ae !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

Per quanto riguarda la chiavetta usb ho fatto come dici, ma il file D:\autorun.inf non esiste.

[Deifobe]

ok. se i problemi iniziali ci sono ancora, scarica SmitfraudFix

avvia il PC in modalità provvisoria ed esegui. Seleziona l'opzione 2 (Clean) e premi invio (elimina i file infetti). Alla domanda "Registry cleaning - Do you want to clean the registry ?" digita "Y" e dai l'invio (rimuove tutto quanto associato con l'infezione - potrebbe reimpostare lo sfondo del desktop).
Il computer si riavviera' per completare il processo di pulizia (altrimenti riavvialo tu in modalita' normale). Sul desktop verra' visualizzato un file di testo che dovrai postare (lo trovi anche in C:\rapport.txt).

Posta il log di SmitfraudFix e un nuovo systemscan

[!!\Freedom9/!!]

Originariamente inviato da Deifobe
ok. se i problemi iniziali ci sono ancora, scarica SmitfraudFix

avvia il PC in modalità provvisoria ed esegui. Seleziona l'opzione 2 (Clean) e premi invio (elimina i file infetti). Alla domanda "Registry cleaning - Do you want to clean the registry ?" digita "Y" e dai l'invio (rimuove tutto quanto associato con l'infezione - potrebbe reimpostare lo sfondo del desktop).
Il computer si riavviera' per completare il processo di pulizia (altrimenti riavvialo tu in modalita' normale). Sul desktop verra' visualizzato un file di testo che dovrai postare (lo trovi anche in C:\rapport.txt).

Posta il log di SmitfraudFix e un nuovo systemscan

Sembrava che tutto funzionasse correttamente, ma ho eseguito ugualmente SmitfraudFix.exe. Ecco il report http://www.savefile.com/files/2029506

Ecco il nuovo log di systemscan http://www.savefile.com/files/2029512

Sei stata gentilissima! Mi puoi confermare che nulla di malvagio si insinua ancora nel mio computer? :rollo:

[Deifobe]

ok.. un controllo.. Apri il blocco note e nella pagina copia/incolla:

@echo off
dir "C:\RECYCLER">C:\RECYCLER.txt

salvalo sul desktop come:
nome: pippo.bat
tipo di file: tutti i file

posta il file C:\RECYCLER.txt