Infezione da virus GIDLE.exe.. connessione Internet in Tilt

[nostroscontento]

Windows XP SP3
connesione ADSL alice 7 mega.

Ci risiamo..... Devo aver preso qualche cosa somigliante al Bagle....

Avira in funzione (guard attivato)
Stavo facendo "zapping" su alcuni .rar di programmi che apparivano sicuri di piccoli editor video (come xilisoft, avcHD converter ecc.) e prima di lanciare alcunché facevo fare la scansione sul .rar da avira, q1uando in una di queste scansioni è cominciato l'allert di avira che trovava... ma a ripetizione..7,8,9 avvisi e di più sullo stesso file .rar... Ho cercato di chiudere subito tutto ma il "verme" aveva già fatto effetto... :
E' RICOMPARSO uno di quei maledetti box di avviso sicurezza (fasulli ovviamenti) che simulava una scansione... Inutile chiuderlo... Ho spento di getto il PC e scollegato il cavo telefonico dell'Adsl.
Riparto...sembra ok.... tutti i prg sembrano funzionare...mi precipito a fare una scansione con avira che dopo 2 ore trova due cosette... ma niente di che.... Mi dico.. me la sono cavata... MACCHE'.... Apro il browser e scopro che non c'è verso di connetersi più... E' evidente che il virus o come si chiama nella sua "operazione" evidentemente rimasta incompiuta deve aver "avocato" a se la connessione... e quindi ogni tentativo di uscire in Internet fallisce... anche lanciando tutte le applicazioni che vanno on-line (come gli aggiornamenti di Avira o Malwarebytes Antimalware ecc.). Firefox segnala addirittura che "è configurato con un server proxy che rifiuta la connessione.." (testuale)
Al successivo riavvio del PC è comparso uno dei soliti messaggi di Microsoft che segnala il ripristino del sistema dopo che un prg ne aveva causato un blocco... Un anonimo quanto minaccioso GIDLE.EXE.
Avete intuito che non posso usare HijackThis perché non c'è accesso on-line... Adesso sto scrivendo con un altro PC...
Immagino che sono pronto a usare combofix o quello che mi direte voi.... Ma per favore... aiutatemi...e abbiate pazienza....

UPGRADE:
Sono riuscito a fare il check con HijackThis che avevo già installato sul pc... In allegato..

[bonovox767]

disattiva il controllo real time del tuo antivirus,scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe , salvalo sul desktop e disconnettiti dalla rete
Una volta scaricato il programma non devi cliccare sull'icona del programma, clicca il tasto windows(logo bandierina)+R e nello spazio bianco di esegui copia e incolla questo comando, cosi' com'e':

"%userprofile%\desktop\combofix.exe" /killall <==copia e incolla

Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt

[nostroscontento]

Ciao e grazie, come sempre, per essere presente... Ti ricordo però, come detto prima, che sul PC infetto la connessione NON funziona... Quindi salverei il combofix (tre mega circa..) con il PC pulito da cui ti scrivo e da lì lo salverei su una penna usb... Giusto...? E poi messa sul PC infetto lo copio sul suo desktop... Va bene? Prima di fare, però, aspetto conferma... Grazie!

[bonovox767]

Esatto.
Per sicurezza lascia la penna usb collegata, nel caso remoto in cui l'infezione si propaghi sulla usb

[nostroscontento]

Bonovox, abbi pazienza... non voglio fare casini e per questo sono costretto a chiederti prima di andare avanti... Io ho un unico antivirus.. Avira Antivir Personal vs.9 e il realtime è chiamato Antivir Guard che io ho settato su "disattivato".
Combo invece si ferma all'inizio perché rileva che è attivo uno "scanner" e cioé Antivir desktop....(Antivir desktop è il nome della directory dove è contenuto tutto il programma compreso l'eseguibile avguard.exe..). Io ho cercato in Avira ma a quanto vedo l'unico "guard" settabile io l'ho disattivato... Cos'è quest'altro Antivir desktop che mi impedisce di andare avanti?
Adesso sono fermo con il box di combofix che intima di chiudere il realtime che viene visto attivo... ma io il guard l'ho messo su "disattivato".... (ombrello chiuso). Non so come andare avanti... Ho provato anche da pannello delle applicazioni (ctr+Alt+canc) a forzare la chiusura del processo (processo non applicazione) avguard.exe ma il sistema rifiuta l'accesso per la chiusura..

[dubo]

procedi , sara' combofix a spegnere avira....

p.s. avira anche in versione free viene riconosciuto come antivir desktop.

[nostroscontento]

Ecco il log... in allegato. Aggiungo che all'inizio avvertiva che non avevo la consolle per il ripristino e suggeriva la connessione... ovvio che sono andato avanti... E' stata creata la directory Qoobox dove ci sono un sacco di file, anche dei log (Add-remove programs.txt e combofix-quarantined.txt) e tanti .dat...

UPGRADE:
Aspetto vostre istruzioni e mentre sono fermo al punto del riavvio dopo Combofix (passati quasi 45' senza che abbia fatto nulla col PC e sempre col cavo di rete scollegato) all'improvviso è uscita di nuovo la schermata di allert di Avira che segnalava la presenza di BDS/Gendal.17408.BM..poi è scomparso il box di avviso... Ho detto "è uscita di nuovo" perché anche prima di usare combofix era uscito lo stesso allert e credevo che Avira avesse fatto la quarantena... e risolto... evidentemente "questo" si replica... Ma noi non abbiamo ancora finito con combofix... vero? Aspetto vostri aiuti... Grazie come sempre..
Sono le 6 e non ho toccato più il pc acceso, prima di vostre indicazioni... Il maledetto BDS/Gendal.17408.BM viene segnalato con il box e la cicalina della scheda madre ogni tanto in maniera random.... Non ho ancora fatto niente ne provato a riconnettere la rete...Segno che il PC è ancora infetto da tale baco... Notte insonne per me...

[vicky67]

Fai analizzare su http://www.virustotal.com/index.html questo file c:\windows\Dcuhea.exe.
Apri hijackthis e fixa questa voce R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:6522
Se la connessione non funziona ancora
apri mozilla firefox
srtumenti-opzioni-avanzate-rete-impostazioni e lascia solo la spunta a "utilizza le impostazioni proxy del sistema"
Apri internet explorer
"Strumenti"
Opzioni Internet
Connessioni
Impostazioni LAN
Togli la spunta a:
Utilizza un server proxy per le connessioni LAN.
Clicca OK.

Esegui una scansione con malwarebytes.
• Malwarebytes Anti-Malware -> http://download.cnet.com/Malwarebyte...-10804572.html
dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controllo si trova nel Tab "File di log").

Posta poi un nuovo log di hijackthis.

[nostroscontento]

Grazie anche a te vicky ma prima di procedere come dici io vorrei capire l'operazione Combofix a che cosa ha portato. In genere ho visto in altri casi (me compreso due anni fa...) che, analizzato il log di combofix un file tentante la "riparazione" mi veniva postato da portare drag and drop sull'icona di combo sul desktop.. Siccome tu non citi affatto combofix deduco che forse ritieni non si possa far niente da quel versante.. Ma insomma combofix cosa ha trovato, cosa non ha e cosa ha potuto fare... Credo sia importante ripartire da li...

Nel caso quindi dovessi optare per passare alle cure di hijackthis ribadisco ancora una volta che io NON ho la connessione (in pratica aspettavo che mi dessero indicazioni che ancora non ho come procedere prima di fare ulteriori danni lanciando browser a destra e a manca)... quindi quando tu mi dici di far analizzare un file tieni presente che io lo dovrei riuscire a copiare su penna o floppy... portarlo sul pc pulito (su cui sto cercando di superare questa emergenza) e da lì far analizzare...

Malwarebytes Anti-Malware l'ho già installato ma è tanto che non lo aggiornavo e in assenza di connessione funzionante non posso fare nessun aggiormanento... Ha senso in queste condizioni contare su esso...

Infine tenete presente che il log di hijackthis allegato io sono riuscito a farlo (anche in questo caso per fortuna lo avevo già installato prima dell'attacco..) credo sia superato perché è passato sopra combofix... Comunque cerco di rifarlo e allegarlo appena possibile, e farò esattamente tutto quel che mi direte....
E quindi... il dopo combofix.... come regolarsi? E che fare quindi alla luce di quanto ho precisato prima...?

E infine.... vi riicordo che Avira a intervalli "quasi" regolari se ne esce col suo box di allert con cicalina ripedendomi e citandomi la gradita presenza di BDS/Gendal.17408.BM.....

[bonovox767]

nostrocontento, Vicky se ne intende e parecchio, perciò segui pedissequamente le sue istruzioni.

Sebbene tu abbia detto di non poterti connettere ad internet, credo ti sia sfuggito una parte importante del suo post, ovvero quella in cui dice

Se la connessione non funziona ancora
apri mozilla firefox
srtumenti-opzioni-avanzate-rete-impostazioni e lascia solo la spunta a "utilizza le impostazioni proxy del sistema"

Apri internet explorer
"Strumenti"
Opzioni Internet/Connessioni/Impostazioni LAN
Togli la spunta a:Utilizza un server proxy per le connessioni LAN.
Clicca OK.

Se non dici se ci hai provato o meno a fare questo, non si va avanti...
Se non fai quello che ti viene detto per tue interpretazioni, non si va avanti.

Senza polemica...ma se chiedi aiuto perchè non sai che fare, o segui le istruzioni come ti vengono date, o, se non ti fidi, devi fare da te perchè il nostro aiuto diventa del tutto superfluo...

Qui tutti cercano di darti aiuto, e non di darti altri problemi, o postare soluzioni a caso...

[nostroscontento]

Faccio ammenda e chiedo umilmente scusa... nell'angoscia in cui sono precipitato, memore di sfracelli del mio passato, involontariamente ed evidentemente non saputo trasmettere solo la mia iperprudenza in questo momento prima di fare ogni cosa. Benissimo, vicky, allora procederò esattamente come dici (compresa l'analisi del file suggerito.. faccio la copia sulla penna usb e lo faccio analizzare dalla postazione del pc pulito) e cerco di eseguire le tue istruzioni. Purtroppo in questo momento ho dovuto abbandonare casa e pc in quanto sono al lavoro fuori e potrò fare il tutto solo dopo le 15,30.

Mi raccomando.... non mi abbandonate....

[bonovox767]

Ma hai provato a "segare" il proxy per vedere se riesci a conntterti?

[nostroscontento]

Non ci ho provato ancora.. Come dicevo, mi precipiterò, appena torno a casa oggi, dopo le 15,30... Adesso sono fuori per lavoro... e posterò immediatamente!

[nostroscontento]

Allora... eccomi qua....:

Il report del file Dcuhea.exe è questo:
VirusTotal - Free Online Virus, Malware and URL Scanner

Ho fixato su hijackthis come detto da Vicky.

Internet è ripartita...

Ho subito scaricato l'ultima versione di Malwarebytes Anti-Malware (1.4.6) e prima di installarlo ho anche disinstallato la vecchia versione 1.4.2 che avevo..
In questo momento sta facendo la scansione ed ho settato, naturalmente "approfondita"....

[nostroscontento]

Allora, premetto che sto scrivendo dal PC che era/è infetto.

Lo scan di Malwarebytes Anti-Malware si è fermato a metà lavoro quando Avira per l'ennesima volta ha mandato il box di allert sempre per il solito BDS/Gendal.17408.BM. Ho dato "nega accesso" e Malwarebytes Anti-Malware ha proseguito fino alla fine. Eliminati 7 oggetti infetti purtroppo anche 2 in Qoobox (mi ero dimenticato di cancellare la directory di combofix...).

Ho eseguito lo scan con hijackthis e allego il report.

Sono ansioso di sapere se la situazione è andata a posto (magari..) e se BDS/Gendal.17408.BM ha fatto danni e se è stato effettivamente eliminato.. Grazie!