Salve a tutti, il mio antivirus ha rilevato dei files infetti dal Virus Js/Wonka

Utilizzo McAfee, secondo voi può bastare per eliminarlo? che tipo di virus è?
Grazie a tutti in anticipo

mcafee dovrebbe essere in grado di rimuoverlo...

EDIT: cmq, forse è meglio che fai una bella controllatina con i programmi indicati nella guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
quello che hai preso è un trojan...

Salve a tutti, il mio antivirus ha rilevato dei files infetti dal Virus Js/Wonka ...... Utilizzo McAfee, secondo voi può bastare per eliminarlo?
mcafee dovrebbe essere in grado di rimuoverlo...
I casi sono due o McAfee lo rimuove oppure non lo rimuove.
Visto che non lo sappiamo (perchè Freddy in merito non ci ha detto nulla):

@ Freddy:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Lascialo disattivato fino a quando non avremo risolto il problema

Poi:

BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online (http://www.bitdefender.com/scan8/ie.html)
● una volta aperta la pagina, clicca I AGREE: ti farà scaricare un activex, poi segui la procedura guidata.
allega il Report che verrà rilasciato

Scarica ed installa:

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati

Installa HIJACKTHIS: clicca qui per il download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
● crea una apposta nuova Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona)
● lancialo, clicca su Do a system scan and save a logfile ed una volta che è stata creata la list, clicca su Save Log
Allega, nella discussione, il log di HijackThis per farlo controllare

Pulisci gli ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Per quanto riguarda la pubblicazione dei log e/o report che ti ho richesto (e che verrano richiesti):
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download

il mio antivirus ha rilevato dei files infetti dal Virus Js/Wonka

dove? nella cache del browser di sicuro.

si esatto,nella cache di IE e io nn lo uso mai come browser..solo che l'altro giorno cliccando su un link si è aperto IE e credo di averlo beccato lì!

Ora sto eseguendo tutti i passaggi descritti da Riverside, a tra poco per i log.

P.S BitDefender mi esegue la scansione solo utlizzando Internet Explorer :doh:

P.S BitDefender mi esegue la scansione solo utlizzando Internet Explorer :doh:

esatto... BitDefender (come altri scan online) funziona solo con IE ;)

Dopo 5 ore di scansione...ho eseguito tutto passo-passo
Unico grosso problema...BitDefender non mi ha lasciato il log, però ha trovato 15 files infetti e ho visto che stavano nella cartella maledetta windows\system32 ed erano tutti dll con nomi strani
Nel frattempo ti allego il log di HJT
Grazie

Stamattina il Js/wonka l'ha trovato nel file iexplorer.exe
Ho la vecchia versione di IE, la 6...., mi consigliate l'aggiornamento x risolvere qualcosa??
Grazie

Stamattina il Js/wonka l'ha trovato nel file iexplorer.exe ....... Ho la vecchia versione di IE, la 6...., mi consigliate l'aggiornamento

Scarica questi software e tool per eseguire una pulizia:

CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

aggiorna INTERNET EXPLORER alla versione più recente

al termine riavvia ed allega un nuovo log di HThis

Eseguito tutto...unica cosa: da dove aggiorno IE?
Allego il log di HJT

IE lo aggiorni da qui http://www.microsoft.com/italy/windows/products/winfamily/ie/default.mspx
inoltre imposta come browser predefinito FF e automatizza lo svuotamento della cache alla chiusura.

imposta come browser predefinito FF e automatizza lo svuotamento della cache alla chiusura.

In che modo lo faccio??
Grazie

Per impostare Mozilla Firefox come browser predefinito:
1. Avvia Firefox e scegli "Strumenti" > "Opzioni".
2. Fai clic sul pulsante "Generale" in alto nella finestra.
3. Seleziona la casella "Controlla a ogni avvio se Firefox è il browser predefinito".
4. Fai clic su "OK".
5. Al prossimo riavvio di Firefox, ti verrà chiesto se desideri impostare Firefox come browser predefinito.

Da FF clicca su Strumenti - Opzioni - Principale metti il segno di spunta su Controlla ad ogni avvio se FF è il browser predefinito clicca su OK

poi

Strumenti - Opzioni - Privacy metti il segno di spunta su Elimina sempre i dati personali alla chiusura di FF inoltre se clicchi su Impostazioni poi flaggare ulreriori campi poi clicca su Ok

ok fatto....mi resta da aggiornare IE!
dal log di HJT potreste dirmi se ho ancora problemi?

Il log è pulito, aggiorna Acrobat Reader sei alla versione 7 è disponibile la 8, inoltre non vedo Firewall software.

Come firewall utilizzo solo quello di Windows...finora tutto bene. Ne utilizzavo uno ma non ricordo il motivo per cui lo tolsi

Se sono pulito, come mai ho ancora Js/Wonka rilevato da McAfee nella cartella "temporary internet files\content.IE5\"? Mi indica uno script eseguito da iexplore.exe
Help me!

cerca di essere più dettagliato, dacci maggiori info

Ci proverò...Ho eseguito passo-passo la guida e ho cancellato files infetti che ho trovato grazie a quelle scansioni

Ultimo log di HJT pulito ma ogni tanto mi si aprono finestre di IE pubblicitarie, anche se uso SEMPRE firefox...e avendo la scansione con McAfee in real time, oggi ha ancora rilevato Js/Wonka nella cartella "\impostazioni locali\temporary internet files\content.IE5\"?
Mi indica che è stato eseguito uno script da iexplore.exe (ossia la finestra citata precedentemente?)

Grazie per l'aiuto e la professionalità

La procedura che ti indico è da fare offline disconnessi dalla rete, quindi scarica preventivamente i software che ti necessitano

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.

CCleaner (dovresti già averlo scaricato)
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download: http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

Cancella la cache di Java
Start - Pannello di controllo - doppio click sull'icona di Java - Generale - File temporanei di Internet - clicca su Impostazioni - Elimina file - OK

SpywareTerminator
Scarica ed installa (senza il modulo per la protezione antivirus Clam) SpywareTerminator clicca su Scansione spyware ed esegui una scansione completa Spyware metti in quarantena eventuali malware rilevati
Download: http://www.spywareterminator.com/dnl/files/39/SpywareTerminator.exe
salva e allega il log

Aggiorna il tuo antivirus e fai una scansione completa del sistema

Prevx CSI Scanner
Scarica Prevx CSI Scanner è un tool che non necessita di installazione, eseguilo, metti il segno di spunta su I accept the terms an conditions clicca su Scan Now ed allega il log utilizzando la funzione Gestisci Allegati o hostalo su http://www.zshare.net/ indicando il link nel post
Download: http://info.prevx.com/download.asp?grab=prevxcsi

Eseguito tutto passo-passo...Allego il log di SpywareTerminator!
Unico problema che Prevx CSI Scanner ha trovato 3 problemi però mi richiede la chiave di attivazione del prodotto...quindi spero che abbia pulito lo stesso!

Posso attivare il Ripristino configurazione sistema?
Grazie

Allego il log di Prevx: http://www.zshare.net/download/53887057d32595/

Per Riverside: Scusami per la lunghezza del post.

allega il log di Prevx come richiesto.

@ Freddy:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Lascialo disattivato fino a quando non avremo risolto il problema


Eravamo al post n° 3; un problema che si sarebbe potuto risolvere in 4 reply (bastava seguire pari pari i suggerimenti dati) .... invece, siamo ancora in ballo, dopo 22 reply :doh:

Avenger
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.
http://swandog46.geekstogo.com/avenger.zip

Script:

Files to delete:
C:\WINDOWS\catchme.exe

Questo file C:\WINDOWS\system32\awtqr.dll puoi cancellarlo dalla quarantena di SpywareTerminator residuo del Vundo

Questo file C:\WINDOWS\system32\Drivers\sptd.sys puoi ripristinarlo dalla quarantena è legittimo

attendo log di Avenger

I 2 files di vundo non ci sono nella quarantena di Spyware Terminator ed il log di avenger è vuoto
Nella finestra "Input script manually" cosa devo copiarci?

Grazie e scusatemi per tutti i problemi che vi pongo

Al termine della scansione con SpywareTerminator ti avevo detto di mettere in quarantena eventuali malware trovati, che cosa hai fatto?

Devi copiare tutto quello che c'è all'interno del quote:

Files to delete:
C:\WINDOWS\catchme.exe
C:\WINDOWS\system32\awtqr.dll

Possibile che il contenuto della quarantena sia stato cancellato da qualche altro programma durante le varie scansioni??
Allego il log di avenger
Grazie

No secondo me anzichè metterli in quarantena li hai rimossi, a questo punto aggiornami sulla situazione, sii preciso e dettagliato.

Cosa ti serve sapere??
dimmi tutto

a questo punto aggiornami sulla situazione, sii preciso e dettagliato.

Cosa ti serve sapere??
dimmi tutto


come dimmi tutto, hai ancora problemi?

Fino ad ora tutto bene...speriamo continui così!
Grazie tantissimo!!!! :)
Dimmi qualcosa...posso togliere la spunta su "disattiva ripristino configurazionidi sistema"??
e poi che programmi lascio di quelli che mi hai fatto scaricare?
Visto che si è rallentata la macchina,caricando in apertura troppi applicativi
Grazie ancora

Adesso puoi ripristinare il system restore e creare un punto di ripristino, l'unico programma di quelli installati che ti offre una protezione in tempo reale è SpywareTerminator io personalmente lo lascerei.