Trojan-Downloader.Win32.Agent [era: Problema grosso]

[8th Circle]

Scusa il ritardo ma non sono stato a casa. comunque qui posto il log di mbr

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x7285d73 size 0x1fd !
copy of MBR has been found in sector 62 !

e qui quello di malwarebytes

Malwarebytes' Anti-Malware 1.30
Versione del database: 1412
Windows 5.1.2600 Service Pack 3

19/11/2008 20.33.52
mbam-log-2008-11-19 (20-33-46).txt

Tipo di scansione: Scansione completa (C:\|J:\|)
Elementi scansionati: 96167
Tempo trascorso: 34 minute(s), 2 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 20
Valori di registro infetti: 3
Elementi dato del registro infetti: 0
Cartelle infette: 1
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\ac cessdiver.exe (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Service s\iTunesMusic (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Service s\rdriv (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> No action taken.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\SharedTaskScheduler\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.

File infetti:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe (Trojan.Agent) -> No action taken.


il programma è fermo e non ho effettuato operazioni, attendo istruzioni

[Deifobe]

eccomi, scusa ma mi sono connessa ora
puoi rimuovere tutto, prima, però, da installazione applicazioni (lo trovi nel pannello di controllo) disinstalla, se lo vedi, Golden Palace Casino NEW e solo dopo rimuovi quanto trovato da malwarebytes.

se non lo trovi, rimuovi direttamente tutto.

ciao

[8th Circle]

Grazie mille, sembrerebbe tutto a posto
Se entro 3 giorni non succede niente si può cancellare il topic
Grazie ancora

[Deifobe]

dove vai?
dovessi ripassare, fai una scansione con Dr.Web CureIt.
Scarica il programma ed avvia la scansione.
Partirà in automatico con "express scan". Quando ha finito, clicca anche su "completa scansione".

Per salvare il rapporto => file => salva rapporto

se possibile, non rimuovere nulla per ora.

[8th Circle]

Pensavo di aver finito...
Comunque sto facendo la scansione.
Ho notato che la prima volta che ho avviato il pc dopo aver rimosso i file con malwarebytes, ho trovato un processo svchost.exe che si prendeva quasi tutta la potenza del processore. Non so se era lì dall'inizio, ma terminandolo ha funzionato tutto a meraviglia. ora l'ho riacceso e non c'è più...
Comunque dalla scansione veloce risulta un backdoor.MaosBoot...

[8th Circle]

mi si sono aperti diversi processi, spero siano tutti riguardanti l'antivirus.

Comunque il report è su http://www.savefile.com/files/1896213

attendo notizie

[Deifobe]

prova a ripulire e, quando finisce, riavvia il pc.

Non ha trovato nulla di che, comunque; del settore già sapevamo. Quindi si, il pc è pulito.
Dovessi notare altro, stiamo qui.

ciao

[8th Circle]

Grazie di tutto, il pc sembra andare alla perfezione

[Deifobe]

ciao