problemi con virus Win32:Small-CKX

[leviatano]

Ciao a tutti!
Avast mi segnala da alcuni giorni la presenza di questo virus,che ha infettato ctfmon32.dll e non riesco a rimuoverlo.
Ho letto la discussione tra BilloKenobi e Furbacchione del 10/12/2006,ho provato a seguire le stesse procedure dato che mi sembrava un problema analogo ma questo è stato l'esito dello script di avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\idsauuua

*******************

Script file located at: \??\C:\Documents and Settings\jigvsiro.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\service32.exe deleted successfully.


File C:\Windows\ctfmon32.dll not found!
Deletion of file C:\Windows\ctfmon32.dll failed!

Could not process line:
C:\Windows\ctfmon32.dll
Status: 0xc0000034



File C:\Windows\125250127163.exe not found!
Deletion of file C:\Windows\125250127163.exe failed!

Could not process line:
C:\Windows\125250127163.exe
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run|1 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Potete darmi una mano in qualche modo?
Sto diventando matto!
VVoVe:
Attualmente sto effettuando una scansione con Avast,tuttora in corso.
Grazie!

[holifay]

il nome dei file da cancellare non è sempre lo stesso per tutte le infezioni, quindi non bisogna copiare gli script preparati per altri, ben che vada risultano inefficaci, se ti va male ti potrebbero creare anche problemi.

Nel tuo caso, almeno, hai disattivato una delle chiavi da cui viene caricato

[BilloKenobi]

comunque il file principale dell'infezione è stato sradicato. ora l'antivirus sarà in grado di eliminare il file .dll che riconosce come infetto da small-ckx.

probabilmente ci sarà ancora un file in C:\Windows, ma nulla di preoccupante. se lo vogliamo togliere, e magari fare un checkup più approfondito, scarica systemscan e hosta il log su www.mytempdir.com

http://www.mytempdir.com/1124527

[leviatano]

Grazie ad entrambi per l'aiuto!
Ho usato systemscan e ho hostato il log su mytempdir.com come richiesto de te BilloKenobi.
Ora dimmi tu che devo fare per essere certo di aver eliminato completamente il problema.
Ma come antivirus mantengo Avast?
Grazie mille ancora a tutti,siete mitici!!

[holifay]

Sì, ma dubito che potremo aiutarti se non posti il link per guardare il tuo log

[leviatano]

....abbiate pazienza ma non è che io sia una volpe col pc!!
Comunque ieri ho fatto fare ad avast lo scan e non ha più trovato nulla...segno positivo?
Grazie ancora!

http://www.mytempdir.com/1148799

[BilloKenobi]

abbiamo qualche rimasuglio del clicker più uno spyware. allora scarica

The Avenger --- http://swandog46.geekstogo.com/avenger.zip

Ora estrai e avvia Avenger.exe (ci dovresti essere abituato, non è la prima volta che lo usi

disattiva antivirus, firewall, eventuali moduli hips

Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{D14D6793-9B65-11D3-80B6-00500487BDBA}

Files to delete:
C:\WINDOWS\service32.exe
C:\Windows\52242234101.exe
C:\Windows\22616045161.exe
C:\Windows\winsys.exe
C:\Programmi\Comet\Bin\csbho.dll

Folders to delete:
C:\Programmi\Comet

Dopo di che, clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Il programma rilascia un log con le operazioni eseguite.

Allegami il log di Avenger (che si trova in C:/avenger.txt) con l´esito dello script.

poi abbiamo il rustock. per farlo fuori, usa questo tool

http://www.uploads.ejvindh.net/rustbfix.exe

[leviatano]

Ciao BilloKenobi!
Ho fatto tutto quello che mi hai detto,ti allego il log anche se non mi sembra andato a buon fine...
Ho dovuto riavviare due volte,la seconda volta brutalmente perchè il pc era piantato.
Insomma vedi tu che sicuramente sai cosa fare!
Per ora ho usato solo Avenger.
Grazie ancora per l'interesse!

[leviatano]

.....direi che manca qualcosa!!

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\vsxmxtsu

*******************

Script file located at: jmnaxfbe

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!
//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\vsxmxtsu

*******************

Script file located at: jmnaxfbe

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

[BilloKenobi]

in effetti il log non è andato proprio a buon fine

sei sicuro di aver disattivato antivirus, firewall e modulo hips? :master: riprova ancora una volta, altrimenti lo faremo proprio a mano