Ieri Kaspersky ha iniziato a segnalarmi numerosi warning secondo i quali "generic host process win32 services" tentava di connettersi ad alcuni siti come

hxxp://stableclickz1.com/index.php
hxxp://updatemics1.com/index.php
hxxp://findzproportal1.com/index.php
hxxp://64.69.33.140/tdss/crcmds/main
hxxp://youblognews.net/tdss/crcmds/main

La navigazione web è molto lenta, ho la sensazione che venga filtrata, infatti quando faccio ricerche su google mi da risultati strani, kaspersky non riesce ad aggiornarsi e non riesco manco ad andare sul suo sito.

Cercando qua e la ho visto che sembra trattarsi del rootkit tidserv, ne parlano ad esempio qua (http://aumha.net/viewtopic.php?f=30&t=36917) e qua (http://forum.html.it/forum/showthread/t-1273891.html).

Che fare ? sto installando hijackthis e malwarebytes per una scansione intanto...

Non mi fa installare malwarebytes, ma ecco il log di hijackthis (lo allego)

Fai girare questo tool

Scarica SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) sul Desktop
Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premere un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovreste visualizzare il messaggio "Finished"
Premere un tasto per terminare lo script e ricaricare le icone del desktop
Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt

successivamente segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube (http://fileqube.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Ok ho fatto tutte le scansioni nell'ordine consigliato, ecco i log:

Log di SDFix:
http://www.fileqube.com/file/mUdcprwN154881

Log di MalwareBytes:
http://www.fileqube.com/file/oqokxtW154880

Log di A-Squared:
http://www.fileqube.com/file/eUymkI154883

Risultato di Kaspersky Virus Removal Tool (ho usato questo al posto della scansione online di F-Secure perché quest'ultima mi crashava causando schermata blu. Posto la parte "detected" del log perché il log intero sono 240 mega :D)

Scan
----
Scanned: 1536980
Detected: 3
Untreated: 0
Start time: 29/11/2008 13.43.23
Duration: 1 days 02.07.36
Finish time: 30/11/2008 15.50.59


Detected
--------
Status Object
------ ------
deleted: Trojan program Backdoor.Win32.TDSS.blh File: C:\SDFix\SDFix\backups\catchme.zip/TDSSkfkl.dll
deleted: Trojan program Backdoor.Win32.TDSS.asz File: C:\SDFix\SDFix\backups\catchme.zip/TDSSurkv.dll
deleted: Trojan program Backdoor.Win32.TDSS.atb File: C:\SDFix\SDFix\backups\catchme.zip/TDSSottp.dll


Log DrWeb CureIt:
http://www.fileqube.com/file/pZHdSwx154885

Log SysInspector:
http://www.fileqube.com/file/SrZiVc154886

Log HiJackThis:
http://www.fileqube.com/file/LNMORtHga154887

Log Gmer:
http://www.fileqube.com/file/ONVGpac154888
nella finestra di gmer vengono evidenziati in rosso:

Service system32\drivers\TDSSrfdc.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys



Library C:\Documents (*** hidden *** ) @ C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [1736] 0x07270000

Prevx CSI da come risultato "Clean".

1 Esegui Gmer, terminata la scansione seleziona il servizio evidenziato in rosso ed idenficato come hidden Service system32\drivers\TDSSrfdc.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys - tasto dx del muose e clic su DELETE SERVICE

2 Fai girare questo tool:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

3 Ripeti la scansione con A-Squared non hai messo in quarantena nulla

4 Allega correttamente il log di CureIt in formato .txt

5 Allega il log di Prevx CSI anche se il risultato è CLEAN

6 Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sotto indicata voce e clicca su Fix cheked

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemyfunny.info

Attendiamo i log, ciao.

Log di Gmer:
http://www.fileqube.com/file/mIRjfH155490
Mi ha dato questo errore però quando ho dato quel comando:
File "system32\drivers\TDSSrfdc.sys" couldn't be deleted. Error 0x00000003 !: Impossibile trovare il percorso specificato

Log di ComboFix:
http://www.fileqube.com/file/dqEuCX155518

Log A-Squared:
http://www.fileqube.com/file/JpkEMJmU155519

Log di CureIt:
http://www.fileqube.com/file/VtommPT155522

Log di PrevX:
http://www.fileqube.com/file/dqFKIqWq155523

Log di HijackThis dopo il fix:
http://www.fileqube.com/file/GmCSdQCJ155524

Grazie mille per l'aiuto :)

Mi alleghi un nuovo log di Gmer, grazie.

Mi alleghi un nuovo log di Gmer, grazie.

http://www.fileqube.com/file/GWZJHpN155698

Eccolo qui, fatto una scansione completa, grazie a te

http://www.fileqube.com/file/GWZJHpN155698

Eccolo qui, fatto una scansione completa, grazie a te

Ecco questo và già meglio, dovremmo essere ok, riscontri ancora problemi?

Ecco questo và già meglio, dovremmo essere ok, riscontri ancora problemi?

mah non saprei, problemi evidenti come le schermate blu e il filtraggio del traffico web non mi pare, però ad esempio con firefox quando apro certi siti vedo tutto in grassetto (ad esempio i risultati delle ricerche su google), cosa che prima del trojan non accadeva.

mah non saprei, problemi evidenti come le schermate blu e il filtraggio del traffico web non mi pare, però ad esempio con firefox quando apro certi siti vedo tutto in grassetto (ad esempio i risultati delle ricerche su google), cosa che prima del trojan non accadeva.

Bene per quanto concerne FF non credo che il problema sia riconducibile al virus, in ogni caso da Strumenti - Opzioni - Contenuti - Avanzate e metti il segno di spunta su Permetti alle pagine di scegliere................ clicca su Ok e vediamo che succede.

Bene per quanto concerne FF non credo che il problema sia riconducibile al virus, in ogni caso da Strumenti - Opzioni - Contenuti - Avanzate e metti il segno di spunta su Permetti alle pagine di scegliere................ clicca su Ok e vediamo che succede.


è già selezionata quell'opzione O.o

è già selezionata quell'opzione O.o

Facciamo che alleghi uno screenshot del problema su fileqube poi eventualmente chiedi nel 3d di competenza

Facciamo che alleghi uno screenshot del problema su fileqube poi eventualmente chiedi nel 3d di competenza

Intendi il 3d di Firefox nell'area utility ? Comunque il pc è ancora infetto temo, infatti come si può vedere nello screenshot stesso Kaspersky ha ripreso a rilevare dei "Phishing Attack" causati da "generic host process win32 services":

http://www.fileqube.com/file/DxJgkhEy157262

Se formatto risolvo oppure c'è il rischio che rimangano tracce in giro ?

se formatti pulisci tutto, ma sinceramente non vedo il perchè; mbam ancora è impossibile installarlo?

se formatti pulisci tutto, ma sinceramente non vedo il perchè; mbam ancora è impossibile installarlo?

Lo scopo sarebbe ripartire da un pc pulito e prendere migliori precauzioni, ad esempio una migliore gestione degli account e l'utilizzo di virtual machine per determinate operazioni.

Mbam clicco sull'exe dell'installer, dal task manager vedo il processo ma non succede nulla :D

hai provato a riscaricarlo?