Allora tutto è cominciato una mattina, ad un certo punto mi si apre internet explorer e si collega automaticamente ad un sito strano (quelli che iniziano con 888, i quali ho bloccato dalla linea)...passa non molto tempo e il fenomeno riaccade (si collega a siti di chat, scommesse, e-bay...)
Mi viene spontaneo pensare che si tratti di qualcosa di non bello che è anche insolito perchè io uso Opera e non Explorer...
Ho fatto scansioni con ogni genere di cosa (Antivir, Gmer, Panda Antirootkit, Hijackthis, A-squared...) ma non ho trovato praticamente niente...ho solo trovato qualche coockie superfluo e 2 elementi con Hijackthis che ho subito eliminato....
Ma niente, il problema persiste...:muro:
Cosa mi consigliate di fare???:confused:

ciao
personalmente ti posso solo consigliare di seguire passo dopo passo tutta la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

personalmente ti posso solo consigliare di seguire passo dopo passo tutta la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
Credo la abbia strafatta quella procedura, Murack.
Ho fatto scansioni con ogni genere di cosa (Antivir, Gmer, Panda Antirootkit, Hijackthis, A-squared...) ma non ho trovato praticamente niente...
Ok, allega i log relativi a, Asquared, Gmer, ed un log di HThis.
Per quanto riguarda la pubblicazione dei log e/o report richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download

oltre i soliti log postane anche uno dello start up list

così: Da hijackthis Open the misc tools section->Generate start up list log,spuntando le 2 caselline al lato.

oltre i soliti log postane anche uno dello start up list

così: Da hijackthis Open the misc tools section->Generate start up list log,spuntando le 2 caselline al lato.

Mi basta postarlo su sito di hijackthis per vedere eventuali problemi???

No devi hostare il log in formato .txt su www.zshare.net ed indicare il link dove prelevarlo.

Ecco, dovrebbe essere qui:

http://www.zshare.net/download/5946668e6e2eff/

Allega con le stesse modalità anche gli altri log richiesti, in particolare quello di Gmer

tmcomm: \??\C:\WINDOWS\system32\drivers\tmcomm.sys -> questo mi puzza di Rootkit

Allega con le stesse modalità anche gli altri log richiesti, in particolare quello di Gmer

tmcomm: \??\C:\WINDOWS\system32\drivers\tmcomm.sys -> questo mi puzza di Rootkit

dovrebbe essere di trend micro...hai avuto a che fare con questo soft (antivirus,scan on line,ecc...)?
In caso di risposta negativa...fallo analizzare su virustotal QUI (http://www.virustotal.com/en/indexf.html)
gli altri log per favore...

Auguri:cool:

Allega con le stesse modalità anche gli altri log richiesti, in particolare quello di Gmer

tmcomm: \??\C:\WINDOWS\system32\drivers\tmcomm.sys -> questo mi puzza di Rootkit

Questa è l'analisi Gmer:
http://www.zshare.net/download/5951010c3417ed/

dovrebbe essere di trend micro...hai avuto a che fare con questo soft (antivirus,scan on line,ecc...)?
In caso di risposta negativa...fallo analizzare su virustotal QUI (http://www.virustotal.com/en/indexf.html)
gli altri log per favore...

Auguri:cool:

Se non mi sbaglio ho cercato (non mi è riuscita) di fare una scansione online con un sito con questo nome...

Se non mi sbaglio ho cercato (non mi è riuscita) di fare una scansione online con un sito con questo nome...
Leggere, please .... :muro: ....... ti è stato chiesto, almeno tre volte:
allega i log relativi a, Asquared, Gmer, ed un log di HThis.
Per quanto riguarda la pubblicazione dei log e/o report richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download

Hijackthis (log normale)

Ed ecco quello di A-squared:

Ne stai allegando uno per volta: manca, ancora quello di ASquared.
Una domanda: ma tu vuoi risolvere un problema o vuoi solo farci perdere del tempo? :mbe:
Perchè il log di Hthis, sarà, pure:
Hijackthis ...... log normale .....
ma questo tipo di atteggiamento, a mio parere, non lo è affatto.
Così come non è, affatto normale che, mentre esegui le scansioni che ti sono richieste, al posto di pensare al fatto che devi risolvere un problema, passi il tempo chattare attraverso MSN Messenger.

1- quello di asquared c'è
2- Cosa ne sai te che sono a chattare su msn???!!! Non lo ero, al massimo ero solo online
Non è colpa mia se per fare la scansione di Asqaured ci ho messo 1 ora e mezza se non di più...
E in ogni caso pria di parlare in un certo modo pensaci 2 volte..

Prevx CSI Scanner
Scarica Prevx CSI Scanner è un tool che non necessita di installazione, eseguilo, metti il segno di spunta su I accept the terms an conditions clicca su Scan Now ed allega il log utilizzando la funzione Gestisci Allegati o hostalo su http://www.zshare.net/ indicando il link nel post
Download: http://info.prevx.com/download.asp?grab=prevxcsi

Inoltre come ti è stato chiesto da Lancetta fai analizzare questo C:\WINDOWS\system32\drivers\tmcomm.sys (continua a non convincermi) su www.virustotal.com mi raccomando posta i risultati.

Prevx CSI Scanner
Scarica Prevx CSI Scanner è un tool che non necessita di installazione, eseguilo, metti il segno di spunta su I accept the terms an conditions clicca su Scan Now ed allega il log utilizzando la funzione Gestisci Allegati o hostalo su http://www.zshare.net/ indicando il link nel post
Download: http://info.prevx.com/download.asp?grab=prevxcsi

Inoltre come ti è stato chiesto da Lancetta fai analizzare questo C:\WINDOWS\system32\drivers\tmcomm.sys (continua a non convincermi) su www.virustotal.com mi raccomando posta i risultati.

Allora su virustotal. com mi dicono che il file tmcomm.sys non è sospetto (0/32)
Mentre riguardo al log di prevcsifree è questo:
http://www.zshare.net/download/59580159b83887/

serve il log completo.

serve il log completo.
Questo è quello che mi ha dato, mi dava errore di connessione...non so perchè...

serve la connesione a Internet

serve la connesione a Internet
Lo so, infatti io ho la connessione ad internet

Lo so, infatti io ho la connessione ad internet

immaginavo tu avessi la connessione a Internet :D, dopo aver terminato la scansione clicca su Option - Save log - ed allega il file in formato .txt inerente la scansione.

immaginavo tu avessi la connessione a Internet :D, dopo aver terminato la scansione clicca su Option - Save log - ed allega il file in formato .txt inerente la scansione.
Si, ho capito...
ma il fatto è che dopo aver scansionato non mi da risultati perchè mi da errore di connessione...è strano, magari è sempre lo steeso problema...
In effetti anche un altro paio di programmai mi danno lo stesso errore per gli aggiornamenti e un po' di tempo fa ero riuscito a fare una scansione completa con prevscsifree...

che travaglio avere i log e pensare che dovresti averli fatti prima di aprire un thread :)

capisci bene che a fare le cose a piccole pillole fa "stancare" chi si è reso disponibile ad aiutarti, questo vuole essere solo un consiglio :)

Bene, dopo una pausa di riflessione sono tornato...
cercando in vari posti ho trovato un programma chiamato virIt explorer lite...
L'ho fatto partire e mi ha torvato 3 volte il trojan TR/Obfuscated.MW (eliminato) e una volta il Trojan.Win32.Agent.AWA (eliminato anche questo)
con hijackthis mi ha trovato un riferimento sospetto su C:\Documents and Settings\All Users\Dati applicazioni\Memo save stupid creative\4 hope che ho eliminato
ma alla scansione dopo me l'ha ritroavto virit explorer lite...
penso che sia un problema legato alla apertura anomala di explorer...secondo voi per risolver dovrei eliminare il file 4 hope. exe???

ah, dimenticavo...
quando explorer si avviava da solo virit mi avvisava che era stata modificata una chiave di registro e ho inmvito al sito un file da analizzare...
ps: allego alcuni log...

Ciao, posto qua perchè il problema è molto simile: l'altro giorno ho formattato perchè ho deciso di agg. i vari driver, programmi e compagnia bella; come al solito ho utilizzato l'immagine di sistema (è pulita perchè l'ho già utilizzata varie volte senza problemi), installo in cascata le varie cose e dopo aver messo nod32 v2.7 e comodo 3 mi connetto con windows update x scaricare i vari agg. di zio bill. Dopo la prima ondata di patch varie riavvio e adesso con i.e.7 mi riconnetto per la seconda parte di agg. : sorpresa appena si apre ie7 mi compare un bel sito che ci propone di incrementare la sicurezza del nostro sistema, posto lo screenshot perchè è troppo bello, notare che il programma è certificato microsoft :D
http://img512.imageshack.us/img512/5357/zedo3ra0.jpg
Adesso tutte le volte che mi collego (uso opera 9.25) si aprono pagine di i.e.7 di siti "sospetti".
Ho fatto varie scansioni:
Nod32 in deep scan con euristica estesa: niente
A-squared free mi dà due falsi poistivi (a quanto ne so) e basta:
EvID4226Patch.exe rilevati: Email-Worm.Win32.Runouce.b E' la patch x modificare il numero di connessioni di xp sp2
BLMInstall277.exe rilevati: Riskware.NetTool.Win32.Portscan.c E' Block list manager della bluetack, serve x creare liste di filtri ip.
Cmq nn sono ancora installati i 2 file in questione, sono solo gli eseguibili.
HijackThis: niente (x me, ma magari sbaglio) qua il log (http://www.zshare.net/download/6495584c1afbda/)
gmer: niente processi "in rosso", qua il log (http://www.zshare.net/download/6495560565f709/)
prevx: niente, qua il log (http://www.zshare.net/download/649560519a5dff/)
Panda anti-rootkit: niente

Le domande sono:
1) Come ho fatto ad infettarmi se dopo aver formattato mi sono collegato con firewall attivato direttamente al sito della microsoft x gli agg. ? E' un buco apura di ie7 nn ancora patchato ?
2) Cos'ho e come rimedio ?

Grazie x la collaborazione

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/91d3b585c87e9a61236a9f922b94aadb/download/

dopo aver fatto la suddetta pulizia, dimmi se i problemi permangono.

Purtroppo è come prima :doh:
X la pulizia del registro utilizzo jv16 2007.

Ciao

No mi riferisco al registro ma alla pulizia dei .temp e dei file inutilizzati

Si, l'ho fatta la pulizia dei temp con ccleaner ma il problema nn si è risolto.

X la pulizia del registro utilizzo jv16 2007.
Voleva essere una info in +

ah, dimenticavo...
quando explorer si avviava da solo virit mi avvisava che era stata modificata una chiave di registro e ho inmvito al sito un file da analizzare...
ps: allego alcuni log...

hai un mare di toolbar inutili (forse giusto quella di spy terminator serve...forse) ti consiglierei di disinstallarle che ti falsano solo le ricerche.

Facciamo così in ordine scansiona e posta i log in un unico reply

scansione degli ads Così:apri hijackthis clicca "open the misc tools section",click su "open ads spy",leva la spunta a "quick
scan",click sul tasto "scan" e riporta qui cosa ha rilevato.

scarica QUESTO TOOL (http://noahdfear.geekstogo.com/FindAWF.exe) lo avvii si aprirà un finestra dos che chiederà di digitare un tasto
qualunque,(anche invio)al termine, FindAWF ti proporrà un log aprendo una pagina del block notes,copia ed incolla qui il risultato.

scarica Panda Antirootkit (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
decomprimi il file Zip, sul desktop
eseguilo stando connesso, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C.
ed eseguire eventuali pulizie.

Scarica questo toolCombofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.

scarica prevxCSI (http://www.prevx.com/freescan.asp) (è solo un rilevatore) ed allega il log che ti rilascerà

ed il log Hijackthis;)

Si, l'ho fatta la pulizia dei temp con ccleaner ma il problema nn si è risolto.


Voleva essere una info in +

log di Combofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.

@Lazza84

un chiarimento, appena apri Opera senza visitare nessun sito si apro IE con questi avvisi?

Scusate il ritardo ma pensavo nesuno avesse risposto..
ho risolto il tutto...
ora explorer non fa più casino
dopo quei 3/4 virus il problema si era un po' risolto...
però sia virit che hijackthis mi segnalavano un exe sospetto (4 hope. exe) nella cartella memo save stupid crative in C:/... l'ho fatto analizzare su virustotal.com e 9/32 lo hanno dato infetto (chissà da dove era spuntato?)...
l'ho eliminao e ora tutto liscio!!!

@Lazza84

un chiarimento, appena apri Opera senza visitare nessun sito si apro IE con questi avvisi?

Allora ho visto che se lascio solo aperto opera senza andare su nessuna pagina nn succede nulla, ma appena vado su un pag qualsiasi parte ie con le porcate e poi se si continua con opera una volto chiuso ie ciclicamente dopo un pò si riapre ie.

Vado di combofix e poi posto

P.S.
I tool che propone ie sono davvero spettacolari, c'è da farsi 4 risate ogni volta :asd:

adesso mi è più chiaro, ok attendiamo il log.

Ecco qua il log di Combofix (http://www.zshare.net/download/65057059677060/)

mi allegheresti un nuovo log di HJT, credo che l'infezione sia venuta allo scoperto.

mi allegheresti un nuovo log di HJT, credo che l'infezione sia venuta allo scoperto.

hum...si anche uno dello start up list da hijackthis stesso Open the misc tools section->Generate start up list log,spuntando le 2 caselline al lato.

Allora nel frattempo mi sono accorto che quando ho rimesso opera (dopo i vari agg. e ad infezione avvenuta) e ho personalizzato le varie impostazioni mi sono scordato/ho clikkato alla caxo su "svuota cache all'uscita". Dopo aver svuotato la cache e messo la spunta il problema x ora nn si è ripresentato (nemmeno aprendo direttamente ie7), ciò mi fà presupporre che il malware sia stato residente nella cache di opera anche se nn capisco come possa essere passato inosservato dalle varie scansioni/controlli ai log e sopratutto come sia finito lì se inizialmente opera nn era ancora installato !

Nuovo log di hijackthis (http://www.zshare.net/download/6509040601558d/)
Startup log (http://www.zshare.net/download/65091113e29cfa/)

Avevo già dato un occhio io in precedenza (ovvero prima di svuotare la cache di opera) alle applicazioni in esecuzione automatica ma nn avevo visto sospetti...
Cmq di questa storia ci sto capendo poco... :mbe: ovvero come mi sono infettato e di cosa ? Soprattutto dov'era/dov'è localizzato in memoria ?

Adesso controllo i log, ma la pulizia con Ccleaner settato come ti avevo indicato avrebbe dovuto pulire la cache di entrambi i browser

Allora la cosa è ancora più strana....
Cmq x curiosità mia e "voglia di imparare" voglio capire com'è andata...
Grazie a tutti x il tempo dedicatomi, spero di poter ricambiare il favore, nn necessariamente x togliere un virus :ciapet:

Il tuo problema era legato a questo Adware
Smitfraud-C.CoreService
che genera popup a valanga inivitandoti a scaricare ogni genere di falsa applicazione.

Ho fatto una prova, ovvero ho ri-formattato come prima e già alla prima connessione partono i popup a valanga :mad:
Dovrò capire che programma me lo mette/dove si trova.
Siccome "prima" nn ho ben capito come sia stato eliminato, potrasti dirmi che programma lo debella e da che log si capisce che è lui ?
Sai anche in che cartella "predefinita" è residente in memoria ?

Grazie

Aspetta che interrogo la sfera di cristallo :D a parte le battute i responsabili dell'infezione denominata Smitfraud-C.CoreService sono questi due simpaticoni:

C:\WINDOWS\system32\drivers\core.cache.dsk
C:\WINDOWS\system32\drivers\core.sys

spero di esserti stao di aiuto ;)

File eliminati manualmente e problema risolto definitivamente :)
Nn sei stato di aiuto, ma di grande aiuto ! :D
Grazie :flower:

di nulla, felice che tu abbia risolto ;)