Problema myprosi e avviso di protezione windows

[|Tigro|]

Ciao a tutti, sono un nuovo utente ma vengo regolarmente sul forum sicurezza per controllare se ci sono nuovi programmi e se la mia configurazione è più o meno aggiornata. E' un paio di settimane che ho dei problemi. Gli elenco in modo ordinato:

La mia configurazione di sicurezza prevede Zonealarm firewall, avira antivirus, spybot search and destroy, spyware blaster e peer guardian 2. Ogni tre settimane faccio una scansione con avg anti spyware. Tengo tutti i programmi aggiornati.

Il problema numero 1: saltuariamente mi compare l'avviso di protezione di windows dicendomi che il firewall non è attivato, mentre zonealarm sembra funzionare, poichè è attivo nella barra delle applicazioni.

Problema 2: una settimana fa avira mi ha rilevato in una scansione un virus, prontamente eliminato, chiamato JS/Redirect.A. Non ho saputo trovare informazioni su questo virus sapete dirmi se è pericoloso, se posso fidarmi della rimozione da parte di avira e se il mio pc potrebbe ancora essere infetto?

Problema 3: ieri sera navigando su un forum (era del gruppo freeforumzone) mi si è presentato un pop up che invitava a eseguire un programma java, proveniente da varielettere.myprosi.info. Ho letto nel forum che anche ad altri è successo. Il problema è che, per una casualità assurda, stavo anche scrivendo su msn e pensando di inviare il messaggio al destinatario ho schiacciato "invio" e ho eseguito l'applicazione (a occhio e croce un dialer). Sono subito uscito da internet (o comunque l'adsl quindi rischio poco con un dialer). Nella cartella "documents and settings/temp" mi si erano creati due file, uno con un collegamento al desktop, prontamente eliminato. Uno dei file si chiamava "pabseimb", l'altro purtroppo nella foga l'ho cancellato seduta stante. Il bello è che i miei programmi di sicurezza a quanto pare stavano giocando a canasta in background dal momento che non hanno fatto niente per fermare l'applicazione...


Fatto sta che, dopo la cancellazione dei file, ho eseguito scansioni con avira, avg antispyware, superantispyware free e non hanno rivelato niente.

La domanda è: a cosa è dovuto l'avviso di protezione di windows? Mi sapete dire qualcosa di più su questo dannato myprosi.info? Il mio computer come è messo? Perchè non sono ancora passato a Comodo firewall e non uso sandboxie?

Infine una nota polemica: è lecito che nel dannato 2008 una persona non se ne possa andare in giro per la rete tranquilla? Ma deve badare ad installare 4 o 5 programmi di sicurezza con la matematica certezza che non bastano, che comunque si è spiati, che un casino ti capiterà sempre?
VOGLIA DI PASSARE A LINUX abbastanza pronunciata...

Mi scuso per il post lungo, sarò estremamente grato per ogni consiglio che mi darete e mi scuso se, nell'euforia, ho postato nella sezione sbagliata o qualcosa di simile.

[|Tigro|]

Aggiornamento: ho appena fatto una scansione con spybot. Ha trovato 5 file (4 valori di registro e una modifica al registro) della categoria win32.dialer.aeh. Alla faccia che è un programma vecchio è stato l'unico a trovarmi qualcosa.

[juninho85]

l'avviso di windows era relativo all'esecuzione di uno javascript di terze parti...se utilizzassi opera o firefox correttamente configurati non incorreresti in questi tipi di problemi.
in pratica hai visitato un sito il cui codice è stato modicato con l'inserzione di una porzione che reindirizza appunto a myprosi.nfo,dominio in cui è hostato l'MBR Rookit Sinowal
ti consiglio di far visita al thread dedicato al MBR Rootkit qui sul forum

[|Tigro|]

Quote:

Originariamente inviato da juninho85

l'avviso di windows era relativo all'esecuzione di uno javascript di terze parti...se utilizzassi opera o firefox correttamente configurati non incorreresti in questi tipi di problemi.
in pratica hai visitato un sito il cui codice è stato modicato con l'inserzione di una porzione che reindirizza appunto a myprosi.nfo,dominio in cui è hostato l'MBR Rookit Sinowal
ti consiglio di far visita al thread dedicato al MBR Rootkit qui sul forum

Ti ringrazio. Ma io uso firefox! In che senso configurato correttamente?

[juninho85]

l'estensione "Noscript" blocca in automatico l'esecuzione tacita di tutti gli javascript presenti in una pagina,sei tu a dover inserire in una white list quelli non malevoli per poter visualizzare correttamente il sito e allo stesso tempo senza correre rischi

[|Tigro|]

L'ho installato e sto guardando il post sulla rimozione. Grazie per l'aiuto, mi sai dire che tipo di infezione è? è molto maligna? insomma un formattone mi semplificherebbe la vita?

[juninho85]

no,la formattazione in questo caso non risolve
per le altre questioni chiedi direttamente lì,ti sapranno essere sicuramente d'aiuto

[juninho85]

c'è da fare una correzione:viene scaricato un dialer,NON un rootkit

[|Tigro|]

...grazie...mille...se volevi farmi prendere un immenso spavento ci sei riuscito al 100%... Ma allora perchè l'avviso di protezione di windows? e soprattutto, ora che ho messo l'add on no script..cosa pensi della mia configurazione di sicurezza? So che non è la sezione corretta però già che ci siamo, poi vi assicuro che sarò bravo bravo e non rompero più le scatole...

[juninho85]

dovrebbe essere un avviso fasullo dovuto all'infezione

[|Tigro|]

grazie mille sei stato (e siete stati) molto disponibili...ora vedo se il problema scompare dopo aver eliminato il dialer con spybot...anche la scansione con dr web non da risultati negativi, così come scansioni con antispyware e avira. Dovrei più o meno essere al sicuro (per ora)?

[Chill-Out]

Quote:

Originariamente inviato da |Tigro|

grazie mille sei stato (e siete stati) molto disponibili...ora vedo se il problema scompare dopo aver eliminato il dialer con spybot...anche la scansione con dr web non da risultati negativi, così come scansioni con antispyware e avira. Dovrei più o meno essere al sicuro (per ora)?

Con CureIt hai fatto la scansione completa?

[|Tigro|]

Scansione completa appena terminata, ha rilevato soltanto tale file MCCwrapper.dll che da quanto ho letto in giro è un falso positivo. Cosa dici?

[Chill-Out]

Quote:

Originariamente inviato da |Tigro|

Scansione completa appena terminata, ha rilevato soltanto tale file MCCwrapper.dll che da quanto ho letto in giro è un falso positivo. Cosa dici?

Si dovrebbe essere un FP mi alleghi il log

[|Tigro|]

Sono più di 11 mega...abbastanza folle come roba? vuoi che posti in qualche modo lo stesso o riesci a darmi qualche indicazione su cosa dovrei vedere per stare sicuro? Ho riavviato due volte e non mi da' più l'avviso di protezione...vuoi vedere che me la sono cavata anche stavolta.. comunque non è...strano che i programmi di sicurezza (che tra l'altro lavorano) in background non abbiano reagito minimamente? Eppure era un banale dialer...

[Chill-Out]

Hosta il log qui http://fileqube.com/ e che saranno mai 11MB

[|Tigro|]

Era di gran lunga troppo presto per cantare vittoria. Ancora scansione con spybot, ancora win32.dialer.aeh. A quanto pare mi modifica la pagina iniziale di internet explorer (grazie al cielo uso la volpe) e la indirizza ad un sito tipo

Dopo che ieri ho fatto tutto il tran tran della pulizia non sono stato sul sito che mi dava il problema myprosi nè su altri siti non sicuri. A questo punto non so quale possa essere il problema, ho fatto scansioni ancora con spybot, superantispyware, e anche lo scanner del defense + di comodo. Non hanno rilevato niente. Posto un nuovo log di gmer che è venuto inspiegabilmente molto più lungo di quello che avevo postato nel topic sul rootkit.

Il dubbio è che il problema sia di msn.
Sono stato sul topic che riguardava i virus su msn e ho scaricato msn cleaner, l'ho attivato e mi ha rilevato un file chiamato nsreg.dat. Ho provato a cancellarlo ma il defense + di comodo andava in palla e continuava a mostrare modifiche al registro, tutte nella sezione HKUS. Ho stoppato forzatamente il programma. Che sgradevole sensazione di insicurezza.



Help!!! e se non è nulla di rootkit o simile un formattone ci sta tutto.

[Chill-Out]

Quote:

Originariamente inviato da |Tigro|

Era di gran lunga troppo presto per cantare vittoria. Ancora scansione con spybot, ancora win32.dialer.aeh. A quanto pare mi modifica la pagina iniziale di internet explorer (grazie al cielo uso la volpe) e la indirizza ad un sito tipo vvv.aaa.hhh.info

Dopo che ieri ho fatto tutto il tran tran della pulizia non sono stato sul sito che mi dava il problema myprosi nè su altri siti non sicuri. A questo punto non so quale possa essere il problema, ho fatto scansioni ancora con spybot, superantispyware, e anche lo scanner del defense + di comodo. Non hanno rilevato niente. Posto un nuovo log di gmer che è venuto inspiegabilmente molto più lungo di quello che avevo postato nel topic sul rootkit.

Il dubbio è che il problema sia di msn.
Sono stato sul topic che riguardava i virus su msn e ho scaricato msn cleaner, l'ho attivato e mi ha rilevato un file chiamato nsreg.dat. Ho provato a cancellarlo ma il defense + di comodo andava in palla e continuava a mostrare modifiche al registro, tutte nella sezione HKUS. Ho stoppato forzatamente il programma. Che sgradevole sensazione di insicurezza.

ecco il log
http://www.fileqube.com/shared/IJmqp32373

Help!!! e se non è nulla di rootkit o simile un formattone ci sta tutto.

Il log di Gmer è pulito, inoltre è semplicemente più lungo perchè hai installato software nuovi, se desideri fare un controllo segui la Guida alla Disinfezione

Edita quel link, grazie.

[|Tigro|]

Ti ringrazio. Perdona l'ignoranza perchè l'ho dovuto editare?
Non mi sai dire niente del file nsreg?

Grazie. Scusa.

[Chill-Out]

Quote:

Originariamente inviato da |Tigro|

Ti ringrazio. Perdona l'ignoranza perchè l'ho dovuto editare?
Non mi sai dire niente del file nsreg?

No devi editare questo vvv.aaa.hhh.info

Ti riferisci a questo C:\WINDOWS\nsreg.dat