Salve ragazzi! Credo di aver preso un virus questa mattina e infatti ho non pochi problemi. Prima di tutto non posso accedere ad alcuni siti web, come i siti di antivirus. Cercando di scaricare ad-aware infatti, non mi faceva accedere al sito. Inoltre, è spuntato un messaggio di errore poco fa chiedendo di riavviare il sistema. Stamattina, invece, il sistema mi ha segnalato la presenza di alcuni file importanti infetti. Infine, il file svchost.exe mi chiede più volte di accedere su internet (mi spunta l'avviso su Zone alarm). Potete aiutarmi? Cosa devo fare?

che io sappia il svchost, chiede l'accesso una volta e BASTA poi il firewall ha l'impostazione registrata.... cmq anke io ho problemi con il svchost... ho aperto 5 minuti fa un topic...vai a leggerlo magari hai i miei stessi problemi...

benvenuto,

segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e alla fine allega tutti i log richiesti (nelle modalità espresse nelle regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)) cosi potremo darti una mano!;)

Ho fatto una scansione con Malwarebytes e fra circa 17 trojan, ne ha trovato uno di nome svchost.exe che si trovava nella cartella system32. L'ho cancellato e il problema sembra adesso risolto. Ho comunque fatto le scansioni con i programmi da voi elencati, onde evitare che il virus sia ancora presente nel sistema.

Malwarebytes Anti-Malware -> http://wikisend.com/download/536280/mbam-log-09-01-2008 (16-55-45).txt

A-Squared Free -> http://wikisend.com/download/510514/a2scan_080901-212100.txt

Dr.Web CureIT -> http://wikisend.com/download/715290/CureIt.log

ESET SysInspector -> http://wikisend.com/download/529196/SysInspector-FRANCESCO-080901-2052.zip

HiJackThis -> http://wikisend.com/download/950336/hijackthis.log

Gmer -> http://wikisend.com/download/948320/Gmer.log

PrevxCSI -> http://wikisend.com/download/527148/prevx csi.log


Gmer mi ha indicato che alcuni file sono stati compromessi da un Rootkit...:mbe:

rifai la scansione con HiJackThis optando per "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le voci sugerite e premi tale tasto.
Fixa:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe

O4 - HKCU\..\Run: [Software Informer] "C:\Programmi\Free Download Manager\softinfo.exe" -autorun

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Monitor risorse Extender.lnk = C:\WINDOWS\ehome\RMSysTry.exe
tutte voci non preoccupanti, è solo per stoppare le cose inutili che partono all'avvio del pc :)


rifai la scansione con gmer e poi presta attenzione a questa voce:
Service system32\drivers\TDSSserv.sys (*** hidden *** ) [SYSTEM] TDSSserv <-- ROOTKIT !!!

dalla finestra principale del programma premici sopra con il tasto destra e clicka sull'unica voce possibile (tipo Delete Service) :)

Ok, fatto tutto grazie mille!
Quindi sono fuori pericolo?
Potete spiegarmi che tipo di virus avevo preso e, sopratutto, perchè lo avevo preso avendo antivirus (nod32) e firewall (zone alarm free) attivati?

era un rootkit ossia un infezione nascosta che continuava a generarsi se non veniva stoppata correttamente...
non sei ancora certificato come pulito, ma siamo ad un buon punto :)

rifai la scansione con malwarebyte, gmer, hijackthis, prevxcsi e sysinpsector (in questo ordine se puoi) :)

era un rootkit ossia un infezione nascosta che continuava a generarsi se non veniva stoppata correttamente...
non sei ancora certificato come pulito, ma siamo ad un buon punto :)

rifai la scansione con malwarebyte, gmer, hijackthis, prevxcsi e sysinpsector (in questo ordine se puoi) :)

Non parlavo del rootkit, ma del trojan di nome svchost.exe che mi aveva segnalato ieri malwarebyte e che avevo prontamente eliminato...
Comunque, adesso rifaccio le scansioni. Devo ripostare i log o non è necessario?

Non parlavo del rootkit, ma del trojan di nome svchost.exe che mi aveva segnalato ieri malwarebyte e che avevo prontamente eliminato...
Comunque, adesso rifaccio le scansioni. Devo ripostare i log o non è necessario?

Ovvio che devi allegare i log se no che facciamo guardiamo dentro la sfera di cristallo :D ;)

Non parlavo del rootkit, ma del trojan di nome svchost.exe che mi aveva segnalato ieri malwarebyte e che avevo prontamente eliminato...
Comunque, adesso rifaccio le scansioni. Devo ripostare i log o non è necessario?

i rootkit sono composti da diversi componenti e per trovare efficacia si appoggiano proprio a muduli che vadano a infettare servizi già in uso nel pc in modo tale da bypassare un eventuale firewall software.
Il concetto base dei firewall software è creare regole in base all'applicazione che richiede di parlare all'esterno quindi nel nostro caso il firewall concede il lascia passare al file svchost.exe ma non al file pippo nonostante richiedano l'uso della medesima porta di comunicazione; se iniettiamo codice malevolo nel file svchost.exe o sostituiamo il file lecito del sistema operativo con una copia modificata ad hoc possiamo dialogare all'esterno grazie alla regola già presente nel firewall software della vittima.

Possibile che non esista un controllo se cambia il file?
Ovviamentei firewall software hanno fatto passi da gigante e quelli mediamente buoni o ottimi suppliscono a questa carenza adottando svariati sistemi di controlli..
I più blandi memorizzano l'hash del file che richiede la creazione della regola per comunicare all'esterno (l'hash è un sistema che crea un codice alfanumerico che marchia il file in base alla dimensione è come un impronta digitale, maggiori info -> hash-wikipedia (http://it.wikipedia.org/wiki/Hash)), se in un qualsiasi momento e per qualsiasi causa cambiasse hash del file il firewall avverte l'utente chiedendo una nuova autorizzazione per concedere il lascia passare o per bloccarlo.
Quelli migliori integrano al loro interno un modulo hips (spiegazione -> hips /cips - hwupgrade.it (http://www.hwupgrade.it/articoli/sicurezza/1545/hips-nuove-tecnologie-per-la-sicurezza_index.html) ) che controlla tutte le interazioni tra i file e processi tenendo quindi un registro di tutte le attività interne al pc e supplendo appunto alla deficenza delle firme virali degli antivirus con tale controllo e avvertendo immediatamente l'utente di cio che sta per avvenire.

nel tuo caso o non avevi un firewall o avevi quello di windows che epr l'appunto è senza nessun controllo sui files :)

Anche io ho beccato quel svchost.exe ATTENZIONE! svchost.exe é un file di sistema che gestisce i servizi di rete se non sbaglio. scvhost.exe (notare differenza) é il virus. Io navigavo tranquillamente quando mi spunta una finestra che mi avverte che dopo un minuto il sistema si sarebbe riavviato. Ho staccato internet e scansionato il sistema. Risultato: processo dannoso svchost.exe con crash di sistema in seguito a una sconsolante Rimozione Fallita. Dopo lo Scrash (come lo chiamo io) non si apriva nessuna applicazione e... PUFF schermata blu. Dopo una scansione in Provvisoria ho risolto tutto.

nel tuo caso o non avevi un firewall o avevi quello di windows che epr l'appunto è senza nessun controllo sui files :)

Semplicemente ho autorizzato l'accesso, pensando si trattasse del file originale...:stordita:

Ecco i log:

malwarebyte -> http://wikisend.com/download/147396/mbam-log-09-03-2008 (12-37-31).txt

gmer -> http://wikisend.com/download/525430/gmer.log

hijackthis -> http://wikisend.com/download/584562/hijackthis.log

prevxcsi -> http://wikisend.com/download/597474/prevx csi.log

sysinpsector -> http://wikisend.com/download/539050/SysInspector-FRANCESCO-080903-1257.zip

puoi fixare:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\DarkGape\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
hijackthis non rimuove nulla, stoppa solo i servizi ed esecuzioni automatiche, nel caso specifico le O4 sono esecuziuoni automatiche all'avvio di windows quindi le applicazioni continueranno a funzionare correttamente :)

dovresti essere pulito, riscontri ancora anomalie?

appena puoi fai un salto a questo link http://secunia.com/software_inspector/ e fai scansionare il tuo pc, ti indicherà il software da aggiornare tempestivamente inquanto critico e obsoleto, altrimenti non passeranno molti giorni a rivederti bazzicare in quest'area :D
tra questi ci sarà sicuramente AcrobatReader, puoi benissimo sostituirlo con l'altrettanto gratuito ma più efficente FoxitReader (http://www.foxitsoftware.com/pdf/rd_intro.php) :)

Perfetto, ho seguito tutti i consigli. Ho avuto solo un piccolo problema per quanto riguarda Java. Software inspector dice che ho una versione obsoleta, andando sul sito ufficiale invece viene fuori che ho la versione più aggiornata...
Per il resto tutto apposto, nessun problema. Grazie mille!

Una piccola domanda, anche se forse sono OT: oltre a nod32 e zone alarm, mi consigliata di tenere qualcos'altro?

Perfetto, ho seguito tutti i consigli. Ho avuto solo un piccolo problema per quanto riguarda Java. Software inspector dice che ho una versione obsoleta, andando sul sito ufficiale invece viene fuori che ho la versione più aggiornata...
Per il resto tutto apposto, nessun problema. Grazie mille!

Una piccola domanda, anche se forse sono OT: oltre a nod32 e zone alarm, mi consigliata di tenere qualcos'altro?

Leggi qui:
http://www.hwupgrade.it/forum/showthread.php?t=1726383

Perfetto, ho seguito tutti i consigli. Ho avuto solo un piccolo problema per quanto riguarda Java. Software inspector dice che ho una versione obsoleta, andando sul sito ufficiale invece viene fuori che ho la versione più aggiornata...
Per il resto tutto apposto, nessun problema. Grazie mille!

Una piccola domanda, anche se forse sono OT: oltre a nod32 e zone alarm, mi consigliata di tenere qualcos'altro?

della java disinstalla le versioni precedenti perchè non vanno in sovrascrittura ;)