Avast WEBforum
Non-English Zone => Italiano => Topic started by: gandalf762 on January 04, 2012, 04:49:23 PM
-
Non riesco a capire cosa sia, anche dopo una formattazione e il cambio di sistema operativo continua ad avere questo problema con windows7.
In pratica ogni tanto mi rictrovo in alcune cartelle del pc alcuni file nascosti sempre con gli stessi nomi, edcf4 e khw sono i piu frequenti, ma a volte ne escono anche altri.
Inoltre in C:\Windows\SysWOW64\drivers appare il file hardwareinterface.sys
avast non rileva nulla ho fatto anche la scansione all'avvio, ho provato combofix e mi elimina solo hardwareinterface.sys il resto lo lascia.
Se non faccio nulla dopo 1-2 settimane il sistema e' intasato di quei file e devo formattare perche non va piu nulla... se appena li vedo faccio qualche scansione o elimino i file manualmente riesco ad andare avanti..
Ma la domanda, e': di che diavolo si tratta?
Grazie, io sinceramente non riesco a trovare una spiegazione a sta cosa.
-
Ciao,
1)Win 7 è aggiornato con il service pack e gli ulitmi aggiornamenti?
2)Altri software antivirus sono installati?
3)Avevi disabilitato Avast o altro antivirus prima di eseguire combofix?
4)Prova a verificare i file in questione facendo l'upload sul sito www.virustotal.com
5)In quale directory trovi questi file?
6)Fai unsa scansione completa con questo programma... http://www.malwarebytes.org/
-
Dunque, ad alcune domande rispondo ora, ad altre dopo qunado faro le tue prove.
1) Aggiornatissimo, attualmente ho il x64 ma prima avevo x86 e con lo stesso problema
2) No solo avast
3) Si prima di eseguire combofix sono stato praticamente costretto a disabilitare temporaneamente avast
5) Trovo i file in D: (root dell hd secondario) poi ho una cartella/raccolta che comprende 5 percorsi, la raccolta e' "video" e in TUTTI e 5 i percorsi trovo una copia di quei file
ora faccio una scansione con i tuoi programmi ai tui link, speriamo bene di trovare una soluzione perche sto problema che mi porto avanti da mesi orami, mi ha davvero esaurito...
Personalmente credo sia qualche programma che installo abitudinalmente ad essere infetto da qualcosa altrimenti non mi spiegherei il ritorno del "virus" dopo la formattazione...
cmq ora scansiono...
Per ora Grazie!
Aggiungo che proprio ora in D: ho trovato
lxlbpr.exe
e il solito
edcf4
che ballleeee!!!
-
Ok,
fai le prove, poi posta il log prodotto con questo programma
http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi
ciao
-
analizzando l'exe con virustotal e' uscito:
Antivirus results
AhnLab-V3 - 2012.01.03.00 - 2012.01.03 - Worm/Win32.AutoIt
AntiVir - 7.11.20.162 - 2012.01.04 - TR/Dropper.Gen2
AVG - 10.0.0.1190 - 2012.01.04 - Packed.AutoIt
BitDefender - 7.2 - 2012.01.04 - Gen:Trojan.Heur.AutoIT.5
ByteHero - 1.0.0.1 - 2011.12.31 - Trojan.Malware.Win32.xPack.l
F-Secure - 9.0.16440.0 - 2012.01.04 - Gen:Trojan.Heur.AutoIT.5
GData - 22.331/22.625 - 2012.01.04 - Gen:Trojan.Heur.AutoIT.5
Jiangmin - 13.0.900 - 2012.01.04 - TrojanDownloader.Zlob.xcl
Panda - 10.0.3.5 - 2012.01.04 - W32/Autoit.HQ
PCTools - 8.0.0.5 - 2012.01.04 - Malware.Harakit!rem
SUPERAntiSpyware - 4.40.0.1006 - 2012.01.04 - Trojan.Agent/Gen-Dsclke[Large]
Symantec - 20111.2.0.82 - 2012.01.04 - W32.Harakit
TheHacker - 6.7.0.1.371 - 2012.01.03 - Trojan/Autoit.alj
VIPRE - 11352 - 2012.01.04 - Trojan.Win32.Generic!BT
File info:
MD5: 2a213232b5e54e10df73d3ceff7ca52c
SHA1: d2e2288b0a102e29b805d991313bd0b6104238fd
SHA256: 1b4833ed147bd46c1f6232120fbf7cffe65b65e7e53dad3744f29821ec64838b
File size: 940670 bytes
Scan date: 2012-01-04 19:39:37 (UTC)
ora vedo con hjthis cosa esce
-
il log di hjthis non me lo fa mettere.. e' troppo lungo..
nel frattempo sto scansionando con malwarebyte
-
Devi salvarlo e poi in basso a sinistra nel forum->additional options->attach
Ma sei sicuro che con avast non rilevava il virus?
Che versione hai, è la 6.0.1367?
E la versione delle definizioni dei virus?
Hai già fatto la scansione all'avvio con avast?
Ritengo dalla info ottenute che il virus sia sul drive D: e quindi avendo formattato c: i virus sono ancora li in D:.., può essere?
-
-avast niente di niente
-si e' sempe tutto aggiornato 6.0.1367
-anche questa aggiornata 120104-1
-si anche all'avvio aveva rilevato qualcosa ma alla fine il mio virus ritorna sempre
-si quello puo essere... ma come lo rilevo??? sto aspettando la fine della scansione di malwarebyte...
-
allego log hjthis
-
niente... malwarebyes ha trovato qualcosa ma stamane mi sono ritrovato nuovamente il file "khw" da 0 bytes nelle solite cartelle (anzi forse anche in altre cartelle)
ho passato superantisyware, anch'esso ha rilevato qualcosa, ho riavviato il pc ma come dico stamane c'erano nuovamente i file.
che devo fare?
-
Ok,
puoi provare a eliminare le voci che sono rimaste nel log che ho ri-allegato, fatti un backup prima.
Tutti quelli con file missing per esempio e altre voci che NON DOVREBBERO servire
Se ci sono voci che ritieni che servono sicuramente, non eliminarle, ma sono servizi che partono automaticamente con il PC, puoi anche eliminarli poco alla volta e vedere se i file tornano.
Apri HijackThis e poi selezioni con il flag le voci da eliminare.
Ti allego il LOG del mio pc per farti vedere come è corto.....
Se anche cosi continui ad avere quei file strani prima formatti unita D: (tasto dx e formatta..)e poi reinstalli Win.
Ciao
-
elimino TUTTO quello che c'e nel log che mi hai riallegato ?? a parte quello che so che serve?
devo farlo manualmente?
Grazie
-
Si, devi farlo manualmente, considera che le voci:
PowerDVD
SUPERAntiSpyware
COMODO System Utilities
Malwarebytes' Anti-Malware
NVIDIA
e altre che ho lasciato nel log meglio non farle partire all'avvio, le puoi fare partire in un secondo momento.
ciao
-
ok ho lasciato l'essenziale ma c'e un grosso problema... non si eliminano alcune voci...
infatti tutte quelle (file missing) le ho selezionate, fatto FIX, riavviato pc e sono tornate....
uuufffaaaaaaa
-
riallego il log... sembra quasi uguale a prima
-
Prova a riavviare il pc, e durante il boot, premi continuamente F8.
Avvia il sistema in modalità provvisoria e a quel punto riprova a fare il fix.
Poi facci sapere come va...
ciao
-
Fatto anche i fix in modalita provvisoria, purtroppo non sembra funzionare, i file missing non vengono eliminati in nessun modo...
provato anche con ccleaner a pulire il registro, niente..
e ora che si fa? eppure il sistema non e particolarmente pieno e incasinato... cmq per ora i famosi file non sono piu usciti... ma a volte stanno anche 10gg poi escono di nuovo...
non so piu che fare...
anche sta cosa che hjthis a me non funziona non mi sembra normale...
-
Ciao,
ho riguardato il log,
ho visto che la voce
O23 - Service: Service Updater (ServUpdater) - ServiceUpd - C:\Users\gandalf76\AppData\Local\ServUpdater\ServiceUpd.exe
dovrebbe essere pericolosa
http://www.threatexpert.com/files/ServiceUpd.exe.html
prova a individuarla digitando nella barra di ricerca di win
services.msc
Trovala nella lista e disabilitala.
Inoltre una volta disabilitata (se non riesci prova sempre in modalita provvisoria) elimina la cartella
C:\Users\gandalf76\AppData\Local\ServUpdater\
Sempre da services.msc prova a mettere avvio manuale a tutti i servizi, se li trovi, che ti ho messo di togliere da quella lista.
ciao
-
dunque... ho cercato 1 per uno quel servizio in services, e non l'ho trovato..
ho cancellato senza problemi quel percorso con tutti i file all'interno senza problemi, quindi presumo non sia stato attivo...
neanche il tempo di dirlo e sono tornati quel maledetti file dappertutto...
ho formattato il D che conteneva pochi file ma non e servito a nulla..
riformattare il C mi sembra superfluo, l'ho gia fatto 3-4 volte cambiando anche il sistema operativo... sicuramente e' qualche programma che installo sempre ma come cavolo lo individuo se niente riesce a rilevare sto coso???
cosa posso provare a fare? Sono un caso disperato..
-
Beh non so cosa dire, ma quei file li hai testati su virustotal?
Mi sembrava che avevi testato solo l'exe..
Se non sono virus prova ad aprire i file con il notepad per vedere se all'interno c'è qualche informazione addizionale. Magari si risale all'applicazione che li genera.
Prova inoltre ad andare in avast e nella programmazione scansione all'avvio alza la sensibilità euristica al massimo e assicurati che nelle impostazioni siano abilitati tutti i flag.
ciao
-
i file sono vuoti, 0 byte, inoltre ho gia fatto la scansione con la sensibilita di avast tutta al massimo, grazie per i consigli in ogni caso ci abbiamo provato!