Ciao
spero di non dimenticare nulla, perchè avevo già scritto il post e non me l'ha inviato.

Problema:
Da un po' di giorni si aprono finestre pubblicitarie quando navigo con explorer, non con mozilla.

Approdo al vostro forum, leggo le regole di sezione e la guida.
Eseguo i passaggi indicati e mentre faccio le scansioni on-line con nanoscan e Panda ActiveScan, il mio antivirus (F-secure) mi avvisa di un file .exe che contiene il malware:
Trojan-Dropper.Win32.KGen.Do,
malware che gli antivirus on-line associavano ad un file omonimo che si trovava in cartelle temporanee (diverse nelle due scansioni on-line) diverse da quella del file .exe contenente il virus. Infatti quando cercavo manualmente il file dentro queste cartelle temporanee, non lo trovavo!
Ho eliminato il file .exe.

Detto questo,
ho proseguito con HiJack This, il quale ha dato un file .log che analizzato con la guida di MrOZ non ha evidenziato problemi (spunte verdi e i file "nasty" erano relativi all'antivirus e con tanti quadratini verdi).

Ora direte, il problema dov'è? Eccolo!

Lancio la scansione con GMER, il quale mi trova (nelle due righe che ho racchiuso fra **ROSSO ROSSO** nel log, si trovano a 10 righe dalla fine) un file msagflsfff.exe di cui mi ero accorto da tempo, ma che non riuscivo a trovare. Mi spiego.

Ho installato un programma che controlla i processi, tipo task manager, (Sysinternals Process Explorer). Quando lo apro, mi si chiude questo file, ero riuscito già a trovarne la collocazione, che corrisponde con quella trovata da GMER, però quando vado nel percorso non lo trovo (ho abilitato la visualizzazione dei file nascosti)! Non lo trova neanche l'antivirus, nemmeno il "programma" di ricerca files.

Non capisco la natura di questo file, GMER dice sia un "rootkit" (spero di non sbagliarmi), non ho trovato corrispondenze in alcuni thread che ho già controllato.

Vi invio il log

http://www.fileup.itadib.com/download.php?id=pWi6XIhn6HNHM5CCcxcL

Ricordo che nel file .txt ho indicato (circa a 10 righe dalla fine) le due righe rosse.
Vi ringrazio già in anticipo, anche perchè è più di qualche ora che sto davanti al pc.
Alessandro

Nel caso servisse...

aggiungo che ho bloccato questa applicazione come accesso e server attraverso l'antivirus

ciao

ok, facciamo cosi
gia un altro utente ha avuto lo stesso problema e con la guida si è risolto tutto
quindi gentilmente posta tutti i log dei programmi indicati....tutti,ok? è necessario che si prenda visione di tutti i log, grazie
cosi abbiamo una visione completa del tuo pc....
attendiamo i tuoi log
ciao

va bene.
aggiungo quello di Hijack, non mi sembra di averne altri.

Gli altri programmi non trovavano niente.

Una cosa, non ho ancora riavviato il pc, ma connettendomi al web non compaiono finestre.

Non è che questo dipendesse dal trojan e basta?

Rimarrebbe però il problema però del file trovato da gmer.

Riavvio e provo a riconnettermi al web? aspetto una tua risposta

ciao

posta il log di prevx csi e anche quello della scansione online.....:muro: :muro:

Allora,
vediamo se ne combino una di giusta.

PREVX CSI da una prima analisi mi dice che va tutto bene, tranne per il file msagflsfff.exe, (root...che non riesco a trovare all'indirizzo indicato, sempre lo stesso).

Ecco il log
http://www.fileup.itadib.com/download.php?id=LdziBjIvkMZxrIcXuKO2

Nanoscan: non mi vien fuori nessun LOG (ho controllato su tutta la pagina), riporto quello che c'è scritto sulla pagina:


Risultato scansione.

Riassunto:
Il PC non contiene virus.
Dettagli:
Ora:
37 secondi
Antivirus:
F-Secure Corporation F-Secure Anti-Virus Client Security 6.01 (attivo e aggiornato)



Activescan:mi ritorna questo (vedi activescan.txt), dopo ho cancellato il file (ancora stamattina)
come avevo scritto prima.

Mi pare sia tutto.

1. Clic su Start/pannello di controllo
2. Doppio clic su "Opzioni cartella"
nella scheda selezionare "Visualizzazione"
Mettere la spunta su "Visualizza cartelle e file nascosti"
Togliere la spunta da "Nascondi i file protetti di sistema (consigliato)"
3. Clic su Applica

c:\documents and settings\alessandro\impostazioni locali\dati applicazioni\msagflsfff.exe -> Rootkit
per scrupolo lo fai controllare su www.virustotal.com
indica nel prossimo post il link per visualizzare i risultati

1. Clic su Start/pannello di controllo
2. Doppio clic su "Opzioni cartella"
nella scheda selezionare "Visualizzazione"
Mettere la spunta su "Visualizza cartelle e file nascosti"
Togliere la spunta da "Nascondi i file protetti di sistema (consigliato)"
3. Clic su Applica


Questo l'avevo già fatto (anche se non scritto esplicitamente che avevo tolto la spunta su "nascondi file...").
Avevo già scritto che non si vede il file.

Ecco una stampa dello schermo (per dimostrare che non sono impazzito)
http://www.fileup.itadib.com/download.php?id=KBZK2SO8tOGpq09vZfAy

Come posso far controllare il file se non lo trovo?

Per cortesia, qualcuno mi sa dire come è possibile che si verifichi una cosa del genere?

Cioè come può essere che io non riesca a vedere un file se ho abilitata la possibilità di vedere file nascosti?

Esplicito il problema: avrei bisogno di un metodo per "trovare" il file, nonostante abbia indicato di visualizzare i file nascosti etc...etc... il file nella posizione indicata non si trova.

Se vado, con regedit, sul registro e tolgo la chiave...può essere una idea?

Non avrò mica preso uno di questi?

http://www.hwupgrade.it/forum/showthread.php?t=1644166

nel caso che faccio?

Togliere la spunta da "Nascondi i file protetti di sistema (consigliato)" + "Nascondi le estensioni per i tipi di file comosciuti"

Togliere la spunta da "Nascondi i file protetti di sistema (consigliato)" + "Nascondi le estensioni per i tipi di file comosciuti"

Mi stai prendendo in giro per caso?

Ti ho già detto 2 volte che ciò è stato fatto...anzi metto sempre questa configurazione.

Comunque...se può essere di aiuto per i posteri

C'erano 2 infezioni sul PC

Trojan di cui sopra
un rootkit


indipendentemente che si chiami rootkit o meno, ho guardato la sezione

http://www.hwupgrade.it/forum/showthread.php?t=1644166

al che ho capito che questo malware che si nascondeva faceva al caso mio.

Sono andato in

http://www.antirootkit.com/blog/ (c'è scritto sul post)

e ho scaricato

F-Secure backlight (fidandomi un po' del marchio perchè è lo stesso del mio antivirus).

Ho fatto una scansione, il log è "prima.txt"

ho seguito le istruzioni.

MI RACCOMANDO
COME E' SCRITTO NELLA GUIDA ALL'USO (in inglese), nella lista di file che vi compariranno come rootkit, scegliete di rinominare i file che sapete orientativamente essere la causa del malfunzionamento, io sapevo il nome del file (c'era solo quello tra l'altro) e l'ho rinominato.
Prima di confermare, fatevi una copia di backup delle cose importanti, non si sa mai. Anch'io l'ho fatta, per sicurezza.

Ho riavviato il pc, sono andato su regedit e ho tolto anche la chiave sul registro di sistema...mi ricordavo che ce n'era una da qualche parte.

Ho rifatto la scansione, il log è "dopo.txt"

Quindi ho cancellato i file che erano stati rinominati (e che SI VEDEVANO) nella directory che mi dava il "controllore dei processi" già da tempo.

Ho rifatto una scansione del sistema, come scritto nella guida, tutto ok.

Bene, per ora pare che tutto funzioni.

Ultime due cose:
1) ringrazio sampei.nihira, senza il suo post non sarei mai venuto a conoscenza di questi rootkit. Ecco perchè con antivirus convenzionale non riuscivo a vedere il file, di cui però sapevo la locazione. Conosciuto il tipo di malware ho potuto operare per la sua eliminazione.
Era la prima volta che mi capitava, un po' bastardetti direi sti robi.

2) A chi ha tentato di aiutarmi, una piccola cosa, se uno vi dice 4 volte che ha la visualizzazione dei file nascosti e protetti abilitata, credetegli!! (vi ho mandato anche un'immagine del percorso e il file non si vedeva!).
Mi riferisco alla qualità della risposta, che pare venga data in "automatico" senza nemmeno leggere il post di chi scrive.

Ciao e grazie ancora a tutto il forum

Gentile Alessandro mi sono permesso di ricordarti di attivare vedi sotto:

Togliere la spunta da "Nascondi i file protetti di sistema (consigliato)" + "Nascondi le estensioni per i tipi di file conosciuti"

in quanto la tua risposta è stata la seguente:

Questo l'avevo già fatto (anche se non scritto esplicitamente che avevo tolto la spunta su "nascondi file...").
Avevo già scritto che non si vede il file.

dalla risposta non si evince (non si capisce) se avevi seguito il mio consiglio

Come posso far controllare il file se non lo trovo?

Per cortesia, qualcuno mi sa dire come è possibile che si verifichi una cosa del genere?

Cioè come può essere che io non riesca a vedere un file se ho abilitata la possibilità di vedere file nascosti?


mi premeva accontentare la tua richiesta evidentemento ho sbagliato, avrei dovuto risponderti: Gmer tasto dx del mouse e cancella le righe rosse

Se vado, con regedit, sul registro e tolgo la chiave...può essere una idea?

:confused:

Per quanto concerne la tua analisi mi dispiace deluderti ma è completamente errata, il tuo problema non ha nulla a che vedere con L'MBR ROOTKIT avresti potuto eliminare le righe rosse indicate da Gmer ed avresti risolto il problema facendo a meno di F-Secure BlackLight

il fatto che tu non sia risucito a trovarlo non vuol dire che il file non esiste, tanto è vero che due antirootkit + Prevx CSI l'hanno segnalato e successivamente F-Secure l'ha rimosso.

2) A chi ha tentato di aiutarmi, una piccola cosa, se uno vi dice 4 volte che ha la visualizzazione dei file nascosti e protetti abilitata, credetegli!! (vi ho mandato anche un'immagine del percorso e il file non si vedeva!).
Mi riferisco alla qualità della risposta, che pare venga data in "automatico" senza nemmeno leggere il post di chi scrive.

Partendo dal presupposto che io passo e dedico a questa Sezione molto più tempo di quanto tu possa immaginare, aiutando gli utenti con svariate problematiche solo ed esclusivamente per puro spirito di cortesia e passione credo di saper leggere è anche bene, forse non hai idea di quante persone aiutiamo con successo, poi se non va bene fuori c'è il mondo con i tecnici a pagamento.
Se la tua intenzione è quella di far polemica hai proprio sbagliato, e ti ricordo che prima di parlare, inventare e dire la prima cosa che ti passa per caso nella testa sarebbe meglio leggere ed il forum ti mette ha disposizione gli strumenti per farlo, buon proseguimento :read:

non è proprio così.

Avevo capito che il file c'era, lo avevo capito da giorni, sapevo la posizione, ma non riuscivo a visualizzarlo, nemmeno con la possibilità di vedere file nascosti e protetti. Ho anche stampato lo schermo come prova.

Rootkit: non ne conoscevo l'esistenza, ho cercato su google, sono andato su wikipedia e ho visto che era legato alla possibilità di nascondere malware.

Sinceramente non capivo il metodo che proponevi per la soluzione del problema.

In ogni caso, se dici che l'analisi è errata, cancello il post nel quale espongo la mia soluzione. Mi sembra giusto, basta chiedere.
Se sai la causa del problema o il tipo di malware, divulga pure la conoscenza, può senz'altro essere di aiuto.

Avrò avuto solo molta fortuna.

La mia "polemica"...immagino sia riferita al punto 2) che hai quotato.
Avevo già abbondantemente spiegato il discorso della visualizzazione e visti i log e il resto delle cose postate, quella risposta sembrava essere stata data da una persona che avesse letto solo superficialmente l'intera discussione.

La mia intenzione non era quella di dire che non sei in grado di risolvere i problemi.
Aiutare gli altri è una bel gesto, infatti ho ringraziato tutto il forum.

Ho fatto un'osservazione su quella risposta (o consiglio come l'hai chiamato tu) PRECISANDO che mi riferivo alla sua qualità...non portava nessun elemento aggiuntivo alla soluzione del problema.


Tu non ti sei offeso per le mie parole, ma per l'interpretazione che ne hai dato (da un'osservazione su una risposta sei sceso sul piano personale), questo è semplicemente un malinteso.
Come pure io ho capito male il tuo "consiglio", altro malinteso.
La "polemica" l'ho fatta io, come dici tu, potrei dire altrettanto del tuo post precedente (io sarei uno che dice spara cazzate e non pensa a ciò che dice...etc...etc...), ma non lo farò.

1-1 palla al centro.

Chiarito? Attendo istruzioni sulla modifica o meno del mio post.

Ciao
buon proseguimento anche a te

Guarda facciamo così evito di rispondere per non generare ulteriori incomprensioni polemiche e flame ognuno è libero di interpretare come meglio crede o conviene, per quanto concerne il tuo problema i tool utilizzati Gmer e F-Secure BlackLight hanno evidenziato la presense di processi hidden vuol dire che quello specifico file è nascosto agli occhi dell’utente, quindi si avvale di tecniche che permettono di poter agire indisturbato senza che l’utente sappia della sua esistenza, i rootkit usano queste tecniche per infettare un sistema. Sul discorso rootkit mi sembra tu ti sia già documentato ma in ogni caso il tuo problema nello specifco non ha nulla a che vedere con l'MBR ROOTKIT http://www.hwupgrade.it/forum/showthread.php?t=1644166

1-1 palla al centro. un rigore inesistente ed un'autogol? :D

La mia intenzione non era quella di dire che non sei in grado di risolvere i problemi.
Aiutare gli altri è una bel gesto, infatti ho ringraziato tutto il forum.

allega un log di FindAWF http://noahdfear.geekstogo.com/FindAWF.exe