Da qualche giorno Avira mi segnalava di aver trovato un virus di nome TR/Sirefef.BV.2 e al principio mi sono limitato, per un paio di giorni, a spostarlo in quarantena, ma Avira continuava imperterrito a trovare dll dello stesso virus, così ho fatto una ricerca su internet e ho scoperto che tale virus è una bella rogna che in pratica modificherà i miei browser per eseguire azioni pericolose nel mio sistema... questo trojan a quanto pare per evitare di essere scoperto dagli antivirus cambia continuamente nomi e file location, generando nomi casuali... ho anche trovato una guida per rimuoverlo manualmente, ma bisognerebbe conoscere quei nomi casuali e quindi è praticamente impossibile... per ora l'unico inconveniente causato da questo virus è che Avira me ne segnala continuamente la presenza ogni volta con un nome diverso, ogni volta che lo sposto in quarantena ne scova un altro.
Ho quindi seguito la vostra guida alla disinfestazione che già avevo fatto qualche anno fa per winferno... però non è andata proprio liscia come l'altra volta, nel senso che il computer, durante la scansione con alcuni antivirus della vostra lista, si è impallato, ho dovuto spesso riavviare, rilanciare l'antivirus per vederlo reimpallarsi di nuovo... scendo nei dettagli:

1- Malwarebytes = è andata bene e il file log è questo:
http://www.mediafire.com/?18yl33lr54wimhm

2- Emisoft Anti-Malware = anche qui tutto bene, ecco il log:
http://www.mediafire.com/?wtfytjl6ktcuvl9

3- F-Secure OnLIne = ecco qui il primo casino... durante la scansione il computer si impalla, si blocca tutto, neanche la freccetta del mouse si muove e devo riavviare... lo rilancio, stesso risultato, tutto impallato... quindi sono andato avanti saltando questo passo... forse è colpa del virus visto che a quanto si dice in giro su inernet colpice i browsers... non so.

4- Dr.Web = quando l'ho lanciato mi ha detto che prima avrebbe fatto una scansione veloce finita la quale avrei potutto farne una completa... io l'ho lasciato fare e appena finita la veloce, tra l'altro col rilevamento di un centinaio di files da curare o spostare, ho subito lanciato la completa che è durata tutta la notte... ma al mattino ho scoperto che si era impallato tutto di nuovo senza finire la scansione... ho recuperato un solo log che non so se appartenga alla scansione veloce o alla completa interrotta... il problema è che non riesco a scaricare ParserLog perchè mi da errore nel trovare la pagina di download, quindi non lo allego visto che pesa un botto di mega.

5- ESET SysInspector = tutto liscio, ecco il log:
http://www.mediafire.com/?4c0f91zxcbda849

6- HijackThis = ecco il log:
http://www.mediafire.com/?5hq0ujyp3kedczw

7- Gmer = un disastro... dopo ore e ore di scansione, quasi una giornata, mi si impalla di nuovo... tutto perso... disperazione, sconforto... in pratica mi esce un avviso, ho scoperto dopo più di uno, comunque tutti con lo stesso allarme cambiando solo il nome del file... quello che ho potuto leggere e trascrivere prima di riavviare è questo:
"impossibile salvare tutti i dati del file \$Directory. I dati sono andati persi. La causa dell'errore potrebbe essere un errore hardware o della connessione di rete. Provate a salvare il file altrove."... c'era l'opzione ok per chiudere il messaggio, ma tutto era impallato, il mouse non funzionava e ho dovuto riavviare... durante il riavvio mi sono accorto che sotto ce ne erano altri identici ma col nome del file diverso... tutto perso, non ci riprovo e vado avanti.

8- Prevx 3.0 = tutto liscio, solo che non riesco a fotografare lo schermo... in pratica mi risulta sempre tutto bianco con qualsiasi metodo ci provi... credo che qualcosa s'è scassato coi vari riavvii forzati e per un motivo che ignoro non posso più fare un'immagine di schermo... cmq riportava un'unica infezione, la seguente:
"cacaonew06c871.exe in c:\Documents and Settings\stefano... High Risk Fraudulent..."
questo il log:
http://www.mediafire.com/?q5r19gdo6dpasz8

A questo punto non so che fare e se questo lavoro di scansione a metà possa essere cmq utile... c'è di buono che Avira non mi segnala più continuamente la presenza di quel virus, ma noto che il computer è più lento e che qualcosa s'è corrotto o rovinato come la possibilità di fotografare lo schermo... non so... spero possiate aiutarmi e vi ringrazio in anticipo.

ma nessuno è in grado di aiutarmi? i dati non sono sufficienti? qualsiasi risposta a questo punto è ben gradita, grazie.

l'infezione ha avuto luogo da un crack che hai applicato per raggirare qualche licenza ed è un'infezione un po' tosta.

prima di proseguire oltre ti chiedo di eseguire una scansione completa (ovviamente eliminando cio che trova) con avira rescue system (http://www.hwupgrade.it/forum/showthread.php?t=1689812) oppure con Guida a Kaspersky Rescue Disk (http://www.hwupgrade.it/forum/showthread.php?t=1878747). non è necessario salvare il log ma se riesci a salvarlo è tutto di guadagnato.
ovviamente lo devi masterizzare su un pc sano.

poi proviamo a riseguire la guida, non ti faccio fixare ora delle cose in hijackthis perchè sarebbe solo tempo perso per via che non abbiamo scalfito l'infezione. spero che i dns siano stato impostati come da guida.

l'infezione ha avuto luogo da un crack che hai applicato per raggirare qualche licenza ed è un'infezione un po' tosta.

prima di proseguire oltre ti chiedo di eseguire una scansione completa (ovviamente eliminando cio che trova) con avira rescue system (http://www.hwupgrade.it/forum/showthread.php?t=1689812) oppure con Guida a Kaspersky Rescue Disk (http://www.hwupgrade.it/forum/showthread.php?t=1878747). non è necessario salvare il log ma se riesci a salvarlo è tutto di guadagnato.
ovviamente lo devi masterizzare su un pc sano.

poi proviamo a riseguire la guida, non ti faccio fixare ora delle cose in hijackthis perchè sarebbe solo tempo perso per via che non abbiamo scalfito l'infezione. spero che i dns siano stato impostati come da guida.
ultimamente non ho aggirato niente, comunque se non ho capito male, mi scarico avira rescue system, lo masterizzo su un DvD, riavvio il comp dal DvD che lo contiene, seguo la guida eliminando, torno al mio pc... capito bene?

quando parli di dns a che ti riferisci? secondo la guida io mi sono limitato a disattivare il ripristino conf di sistema e a pulire con ATF-cleaner... poi ho lanciato gli antivirus.

Imposta i seguenti server dns:
208.67.222.222
208.67.220.220

Guida:https://store.opendns.com/setup/

Imposta i seguenti server dns:
208.67.222.222
208.67.220.220

Guida:https://store.opendns.com/setup/

ah... la guida alla disinfestazione non ne parlava... e a che servono? non capisco...

C'è nella guida, sopra ATF-Cleaner.

questi dns possiedono una blacklist di siti considerati pericolosi quindi dovrebbero aiutare nelle fasi della disinfezione impedendo al virus di riscaricare i componenti che pian piano verranno rimossi.
si parla dei dns proprio sotto il ripristino di sistema :O

questi dns possiedono una blacklist di siti considerati pericolosi quindi dovrebbero aiutare nelle fasi della disinfezione impedendo al virus di riscaricare i componenti che pian piano verranno rimossi.
si parla dei dns proprio sotto il ripristino di sistema :O

scusa, ma non so come non c'ho fatto caso... forse per via dell'opzione che li precede che recita "nel caso non si potesse operare la disattivazione ecc.."... per qualche motivo, chissà perchè, li ho considerati facenti parte di quel caso... cmq grazie per la spiegazione, apprezzo poter anche solo in generale capirci qualcosa, lo apprezzo molto grazie.

Ho aperto i dns con successo, ho scaricato avira rescue system, ma non sono sicuro sul come procedere... l'ho capita così: masterizzo avira rescue system su un CD, lancio il computer da quel CD, scansiono ed elimino, torno al mio computer... scusate se chiedo continuamente conferme, ma essendo solo un grafico per me il computer è solo uno strumento di cui capisco molto poco, quindi dalla mia ignoranza scaturisce una grande insicurezza... ho capito bene? procedo?

vi prego, ho bisogno di una conferma... ho capito bene? (leggi sopra) procedo?

da un pc indenne da infezione (o comunque apparentemente indenne) scarica avira rescue system, lo masterizzi nsu cd.
poi quel cd lo inserisci nel pc infetto e avvii il pc da cd, scansioni ed elimini tutto cio che trova.
togli il cd e riavvii normalmente il pc infetto

Allora, ho provato sia con avira rescue system sia con Kaspersky, ma il risultato è sempre lo stesso... quando comincia a lanciare dal CD si blocca per un errore e mi dice così:
"THE SYSTEM MEMORY MANAGER (EMM386.EXE) HAS DETECTED AN ERROR CAUSED BY A FAULT IN ONE OF THE DEVICE DRIVERS OR PROGRAMS LOADED IN THE SYSTEM. DUE THIS FAULT THE SYSTEM IS PROBABLY IN AN UNSTABLE STATE, AND YOU ARE THEREFORE RECOMMENDED TO REBOOT THE COMPUTER IMMEDIATELY. IF THE PROBLEM PERSIST, TRY TO ISOLATE WICH PROGRAM IS AT FAULT..."
Quindi l'unica scelta che mi rimane è riavviare... mi succede con entrambi i rescue e ho masterizzato inutilmente tante versioni... non capisco dove sbaglio e qual'è il problema.

A questo punto, visto che col computer ci lavoro, rifaccio tutta la procedura di disinfestazione, stavolta coi dns aperti, e vediamo se risolvo... che ne dite?

che faccio a questo punto???... ripeto la disinfestazione?

perfavore, se non lavoro non mangio... ditemi qualcosa sul come procedere, qualsiasi cosa, grazie.

Prova a far girare combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe e allega il log che trovi in C:\ComboFix.txt.

ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza.

L'ho levato oggi dal pc di mia zia, su cui avevo già da tempo installato Avira free. A sentir lei se l'è beccato clickando su una email inviata da uno dei suoi contatti di outlook.
Ad ogni modo, l'antivirus era aggiornato al 29 marzo (il virus pare l'abbia invece preso il 30 sera), ed in quelle condizioni la scansione del sistema era del tutto inutile: cpu al 100% e cmq non si faceva in tempo a rimuovere il Sirefef che si moltiplicava tra le dll. A ben vedere però sul taskmanager c'erano in esecuzione 3-4 istanze di un file ".com" con nome "random" (non me lo sono segnato, cmq l'avevo cercato su google e non risultava nulla), che era impossibile terminare che subito si riaprivano assieme ad una pagina di explorer che portava a siti di cucina, integratori o antiallergici.
A quel punto mi sono accorto che l'antivirus non era completamente aggiornato, ed ho forzato l'aggiornamento. Fatto quello Avira ha subito rilevato quella robaccia che era in esecuzione: un downloader (che erano quei processi che non si riusciva a chiudere) ed un rootkit. Rimossi quelli la cpu è tornata a livelli normali, ho fatto ripartire la scansione completa che ha finito di rimuovere il tutto, ed ora sembra non ci siano più problemi. Non credo sia rilevante, comunque subito dopo l'aggiornamento dell'antivirus ho scollegato internet, per sicurezza, e l'ho riattivato solo a scansione ultimata.
Prova a rimettere Avira, quello free, ed aggiornalo!

PS: purtroppo non ho appresso riferimenti precisi agli altri 2 virus che stavano assieme al Sirefef. Prova a fare come ti ho detto, e se non risolvi te li vado a recuperare: tanto me li ero scritti sul pc di mia zia. Magari ricordamelo via messaggio privato ;-)

intanto vorrei ringraziare di cuore Riku e Eliozzi per l'interessamento... in una situazione del genere sentire un parere, anche solo ipotetico, è di grande conforto, grazie... ho lanciato Avira aggiornato e il risultato è stato nessun virus trovato, niente... infatti è dalla fine di tutto il processo di disinfestazione che Avira non mi segnala più la presenza di dll, cosa che prima mi faceva di continuo senza sosta... credo che qualcosa sia stato rimosso... non contento ho riscannerizzato anche con quegli antivirus che nella prima disinfestazione avevo fallito... quindi con F-secure online stavolta lo scan è arrivato fino in fondo senza trovare nessun virus... con gmer invece a fine scansione, credo, si è presentato lo stesso problema con lo stesso avviso: "impossibile salvare tutti i dati del file nome-file. I dati sono andati persi. La causa dell'errore potrebbe essere un errore hardware o della connessione di rete. Provate a salvare il file altrove."... come prima si è bloccato tutto e ho dovuto riavviare... in conclusione, visto che Avira non mi segnala segnala più niente, visto che anche S-secure non trova niente, visto che non mi si aprono con mozilla finestre o altre anomalie, credo che il problema in qualche modo sia risolto... a questo punto passo al dopo disinfestazione o per sicurezza rilancio tutti gli altri antivirus per vedere se il pericolo è scampato???

puoi pubblicare il log di quest'ultima scansione?

puoi pubblicare il log di quest'ultima scansione?

Avira e F-secure nessun rilevamento, gmer s'è impallato tutto e ho dovuto riavviare quindi niente log.... ho rilanciato anche Malwarebytes dopo e ha trovato solo i files che erano già in quarantena e li ho eliminati... credo che siano stati dr web e HijackThis a risolvere il problema perchè dopo di loro nessun segnale del virus... se vuoi li rilancio.

Ciao,
ho recuperato quei dati: c'erano dldr.obvod.k.1 e rootkit.gen8.
Il sirefef come ti dicevo si rimuoveva tranquillamente, ed era proprio la stessa versione che ti sei beccato, ma puntualmente tornava per la presenza di quegli altri due che erano in esecuzione. In pratica anche se nel tuo caso non fossero stati proprio quelli ad installarti il sirefef, già il fatto che non lo trovi più mi sembra indice che "sei pulito" ;)

puoi pubblicare il log di avira, anche una scansione a vuoto può essere utilissima purchè in modalità completa

puoi pubblicare il log di avira, anche una scansione a vuoto può essere utilissima purchè in modalità completa
eccolo:
http://www.mediafire.com/?op7nr43jhy7loin

Sera a tutti. Approfitto di questo topic per chiedervi aiuto.
Ieri nel pc dell'ufficio mi sono beccata un Trojan, precisamente Win32\Sirefef.DT, e non riesco a rimuoverlo.

Premetto che non ho la più pallida idea di come abbia potuto prenderlo, visto che sul lavoro consulto solo siti ministeriali. Nel momento in cui il Nod32 mi ha avvisato del virus stavo usando il programma del Sole 24ore per i bilanci (con licenza originale) e ieri non avevo neanche aperto la posta!

A quel punto allora ho lanciato una scansione completa con il Nod, ma al termine mi diceva che era impossibile eliminare il Sirefef.DT. Nel frattempo l'antivirus è intervenuto parecchie volte dicendomi che aveva bloccato il tentativo di accesso di diversi indirizzi IP.

Mi sono preparata un Avira Rescue CD (metodo che fino ad allora era sempre stato infallibile), ho fatto partire il PC da CD ed ho lanciato una scansione completa. Al termine dell'operazione però non è stata rilevata alcuna infezione... :boh:

Allora ho provato a lanciare qualche scansione (da modalità provvisoria, temendo che il virus si riproducesse troppo) con i programmi indicati nella vostra guida alla disinfezione.

Malwarebytes è stato il più soddisfacente. In 45 minuti ha eseguito una scansione completa e ha rilevato un Trojan.Agent e tre Trojan.LockScreen. Messi in quarantena e poi eliminati. Ho poi lanciato una seconda scansione completa per essere sicura che il pc fosse pulito e così sembrava visto che non ha rilevato più nulla.
A questo punto sono uscita dalla modalità provvisoria ed ho provato a lanciare nuovamente una scansione con il Nod (convinta che ormai fosse tutto debellato), ma continua a rilevarmi il solito Sirefef.DT (che puntualmente non riesce a rimuovere) più altri Trojan come Sirefef.DN o .DA che però ha messo in quarantena.

Ho provato allora le scansioni con F-Secure OnLine e ESET SysInspector, ma non mi rilevano nulla.

Cosa mi potete consigliare? Conoscete qualche tool particolare specifico per individuare ed eliminare i Sirefef.DT?

Grazie in anticipo! :)

eccolo:
http://www.mediafire.com/?op7nr43jhy7loin

la versione di avira è vecchia quindi devi aggiornarlo subito alla versione 2012, poi finita l'installazione, aggiornalo e fai una nuova scansione completa (ulteriore a quela prevista durante l'installazione) e pubblicane il log

Sera a tutti. Approfitto di questo topic per chiedervi aiuto.
Ieri nel pc dell'ufficio mi sono beccata un Trojan, precisamente Win32\Sirefef.DT, e non riesco a rimuoverlo.

Premetto che non ho la più pallida idea di come abbia potuto prenderlo, visto che sul lavoro consulto solo siti ministeriali. Nel momento in cui il Nod32 mi ha avvisato del virus stavo usando il programma del Sole 24ore per i bilanci (con licenza originale) e ieri non avevo neanche aperto la posta!

A quel punto allora ho lanciato una scansione completa con il Nod, ma al termine mi diceva che era impossibile eliminare il Sirefef.DT. Nel frattempo l'antivirus è intervenuto parecchie volte dicendomi che aveva bloccato il tentativo di accesso di diversi indirizzi IP.

Mi sono preparata un Avira Rescue CD (metodo che fino ad allora era sempre stato infallibile), ho fatto partire il PC da CD ed ho lanciato una scansione completa. Al termine dell'operazione però non è stata rilevata alcuna infezione... :boh:

Allora ho provato a lanciare qualche scansione (da modalità provvisoria, temendo che il virus si riproducesse troppo) con i programmi indicati nella vostra guida alla disinfezione.

Malwarebytes è stato il più soddisfacente. In 45 minuti ha eseguito una scansione completa e ha rilevato un Trojan.Agent e tre Trojan.LockScreen. Messi in quarantena e poi eliminati. Ho poi lanciato una seconda scansione completa per essere sicura che il pc fosse pulito e così sembrava visto che non ha rilevato più nulla.
A questo punto sono uscita dalla modalità provvisoria ed ho provato a lanciare nuovamente una scansione con il Nod (convinta che ormai fosse tutto debellato), ma continua a rilevarmi il solito Sirefef.DT (che puntualmente non riesce a rimuovere) più altri Trojan come Sirefef.DN o .DA che però ha messo in quarantena.

Ho provato allora le scansioni con F-Secure OnLine e ESET SysInspector, ma non mi rilevano nulla.

Cosa mi potete consigliare? Conoscete qualche tool particolare specifico per individuare ed eliminare i Sirefef.DT?

Grazie in anticipo! :)

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti in un nuovo thread facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)