Ciao a tutti,
E' un pò di tempo che mi si presenta un problema assai noioso. Sul pc di casa e' capitato un pò di giorni fà che durante l'utilizzo quotidiano di internet con firefox (su w7), cliccando ad esempio sui link delle pagine web, automaticamente una volta ogni tanto il browser mi reindirizzava aprendomi nuovi tab a pagine web casuali. Tipo con google cliccavo un link e lui mi apriva un nuovo tab con un sito a casaccio prontamente bloccato ad Adblock e NoScript (però il tab veniva comunque aperto).

La prima impressione ovviamente è stata quella del "ho qualche maledetto malware\virus" ed effettivamente l'antivirus successivamente (microsoft security essentials) ha rilevato la presenza del trojan Alureon.G poi prontamente rimosso. Il problema dei tab aperti però era rimasto. Quindi, armato di buona pazienza ho installato hijacking per il controllo, Malwarebytes, Spybot S&D, mrt di windows e rifatto le scansioni più e più volte anche in modalità provvisoria nonchè usato ccleaner e ATF-Cleaner per la pulizia generale. Tutte mi davano esito positivo, nessun virus\trojan\spyware nel computer o tutto pulito eppure in qualche modo così non è....

L'unica ipotesi possibile era quindi riconducibile in qualche modo ai dns (anche perchè dopo ogni pulizia i miei dns -opendns- venivano resettati dal protocollo tcp\ip) e che il virus anche se rimosso mi avesse comunque lasciato qualche bel regalino. Effettivamente, controllando, nei dns ho una sfilza allucinante di siti web sconosciuti ora inseriti. Ho provato più e più volte a cancellare la cache tramite flushdns ma, anche se avuto esito positivo, con un displaydns tutto era come prima. Ho provato a stoppare il servizio e cancellare ma nulla sempre li e sempre presente il noioso problema dei tab aperti in automatico...

(ah, un'altro problema è l'errore FFFFFFF di windows_update che da quanto ho capito è dovuto al fatto che causa virus\malware maligno non è possibile eseguire l'aggiornamento che in questo caso è riferito all'antivirus stesso fermo a 5 gg fa.. però lo stato del computer è su "protetto" ... mah!)

Non so piu che pesci pigliare... come posso cancellare questa maledetta cache dns? E, più importante, questo maledetto virus? -.-

Grazie in anticipo per le risposte.

Ciao prova ad eseguire i test di questa guida (http://www.hwupgrade.it/forum/showthread.php?t=1984665) per verificare l'eventuale presenza di Conficker/Downadup/Kido, in caso di pc infetto prosegui in quel 3d

Ciao prova ad eseguire i test di questa guida (http://www.hwupgrade.it/forum/showthread.php?t=1984665) per verificare l'eventuale presenza di Conficker/Downadup/Kido, in caso di pc infetto prosegui in quel 3d

Ciao wjmat grazie, tutte e due i test hanno dato esiti positivi:

nel primo vedo tutte le immagini e nel secondo:
University of Bonn: Conficker Online Infection Indicator:
clean Status: There are no signs for an infection.

direi non sia questo. Poco fa mi si è ripresentato il rilevamento del virus Alureon.F e prontamente rimosso in:

rootkit:Alureon->c:\windows\system32\drivers\iastorv.sys

nella cronologia è sempre lo stesso. La cosa strana è che ogni volta che viene eliminato mi si riazzerano anche i settaggi dns.
Cmq Si vede che è confinato lì, viene attivato e rivelato per poi essere rimosso, ma c'è una traccia in origine che permette di ricrearlo che non viene vista da nessun antivirus. Ho fatto stanotte 9 ore di scansione completa senza esito...

disattiva il ripristino configurazione di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23)
fai girare e carica il log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

disattiva il ripristino configurazione di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23)
fai girare e carica il log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

Fatto partire in modalità provvisoria combofix (in modalità normale mi andava in schermata blu al passaggio 6a). Una volta completato e riavviato come risposta subito l'antivirus mi ha avvisato della solita 1 minaccia rilevata, sempre la stessa. Mi ha azzerato i cache dns tcp\ip e solita apertura di tab appena aperto firefox.

Ti allego esattamente la finestra:

http://img205.imageshack.us/img205/3416/alureonf.jpg (http://img205.imageshack.us/i/alureonf.jpg/)

Posso inserire qui il file log di combofix?

Cmq, a prescindere le voci relative alla cartella drivers mi preoccupano :\

2010-03-21 06:34 . 2010-03-21 06:34 332352 ----a-w- c:\windows\system32\drivers\aosmsnow.sys
2010-03-21 06:20 . 2010-03-21 06:20 332352 ----a-w- c:\windows\system32\drivers\owzpakum.sys
2010-03-21 03:52 . 2010-03-21 03:52 332352 ----a-w- c:\windows\system32\drivers\gjhnksix.sys
2010-03-21 00:49 . 2010-03-21 00:49 332352 ----a-w- c:\windows\system32\drivers\njaocjyy.sys
2010-03-20 23:29 . 2010-03-20 23:29 332352 ----a-w- c:\windows\system32\drivers\wipgwmjq.sys
2010-03-20 22:18 . 2010-03-20 22:18 332352 ----a-w- c:\windows\system32\drivers\bqhteyrw.sys
2010-03-20 21:49 . 2010-03-20 21:51 -------- d-----w- c:\program files\SpywareGuard
2010-03-20 21:32 . 2010-03-20 21:32 332352 ----a-w- c:\windows\system32\drivers\eammjqot.sys
2010-03-20 21:21 . 2010-03-20 21:21 332352 ----a-w- c:\windows\system32\drivers\ujfzywuk.sys
2010-03-20 21:01 . 2010-03-20 21:01 332352 ----a-w- c:\windows\system32\drivers\yiocothm.sys
2010-03-20 21:00 . 2010-03-20 21:00 332352 ----a-w- c:\windows\system32\drivers\lgputari.sys
2010-03-18 07:42 . 2010-03-18 07:42 332352 ----a-w- c:\windows\system32\drivers\addubvaa.sys
2010-03-18 07:33 . 2010-03-18 07:33 286720 ----a-w- c:\windows\iun506.exe

2010-03-17 20:59 . 2010-03-17 20:59 332352 ----a-w- c:\windows\system32\drivers\lnqedetg.sys
2010-03-17 15:41 . 2010-03-17 15:41 332352 ----a-w- c:\windows\system32\drivers\zoaugnvu.sys
2010-03-17 14:47 . 2010-03-17 14:47 332352 ----a-w- c:\windows\system32\drivers\cjzxjcju.sys
2010-03-17 02:00 . 2010-02-11 07:10 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-03-17 00:07 . 2010-03-17 00:07 332352 ----a-w- c:\windows\system32\drivers\mwnuiqko.sys
2010-03-16 19:49 . 2010-03-16 19:49 332352 ----a-w- c:\windows\system32\drivers\gjutwuie.sys

etc..


Grazie per l'aiuto.
Ciao,
Daniele.

carica tutto il log su un server remoto indicato nelle regole di sezione

Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovarlo in C:\TDSSKiller..................log.txt

Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovarlo in C:\TDSSKiller..................log.txt

Grazie ad entrambi:

Log del ComboFix: ComboFix.txt (http://wikisend.com/download/557210/ComboFix.txt)

Log del TDSSKiller: TDSSKiller_log.txt (http://wikisend.com/download/926644/TDSSKiller_log.txt)

lo stesso TDSSKiller fatto dopo il riavvio (l'antivirus mi aveva rivelato di nuovo il virus nel file iastorv, e dopo riavvio ho provveduto a rieseguire anche una seconda scansione con TDSSKiller)
TDSSKiller.2.2.8_22.03.2010_09.16.26_log.txt (http://wikisend.com/download/486172/TDSSKiller.2.2.8_22.03.2010_09.16.26_log.txt)

Mi serve una copia backup del file iaStorV.sys ?

EDITATO i link, scusami

Grazie ad entrambi:

Log del ComboFix:

Log del TDSSKiller:

Mi serve una copia backup del file iaStorV.sys ?

Cortesemente edita il tuo post ed allega i log su uno dei Server Remoti indicati nelle regole di sezione.

Cortesemente edita il tuo post ed allega i log su uno dei Server Remoti indicati nelle regole di sezione.

Scusami, post sopra editato.

Scusami, post sopra editato.

Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita.

Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita.

Fatto ma non mi ha trovato nulla, eseguito anche al riavvio, rieseguito tddskiller e log identico all'antecedente... il problema che nessuna scansione antivirus mi rileva files infetti ma poi all'improvviso mi spunta la finestra relativa al file iastorv con conseguente reset dei dns e richiesta di riavvio per terminare la pulizia... :muro:

EDITO: Però finalmente l'update di windows è terminato con successo.. forse proprio lo stesso TDSSKiller mi ha aiutato :)

Grazie ancora aggiornerò in caso di riscontri negativi... speriamo di no ;)

carica anche un log di Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)e Prevx (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)
poi vediamo se preparare uno script per la rimozione manuale con combofix

carica anche un log di Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)e Prevx (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)
poi vediamo se preparare uno script per la rimozione manuale con combofix

Fatto ma non mi ha trovato nulla, eseguito anche al riavvio, rieseguito tddskiller e log identico all'antecedente... il problema che nessuna scansione antivirus mi rileva files infetti ma poi all'improvviso mi spunta la finestra relativa al file iastorv con conseguente reset dei dns e richiesta di riavvio per terminare la pulizia... :muro:

EDITO: Però finalmente l'update di windows è terminato con successo.. forse proprio lo stesso TDSSKiller mi ha aiutato :)

Grazie ancora aggiornerò in caso di riscontri negativi... speriamo di no ;)

Qualcosa non torna, oltre a quanto indicato produci il log di una scansione completa con CureIt -> qui trovi le specifiche http://www.hwupgrade.it/forum/showthread.php?t=1599737

Qualcosa non torna, oltre a quanto indicato produci il log di una scansione completa con CureIt -> qui trovi le specifiche http://www.hwupgrade.it/forum/showthread.php?t=1599737

Spero di no! Ho installato, mi ha fatto in automatico una scansione rapida automaticamente senza aver trovato nulla. Comunque questa notte lascerò fare la scansione completa a pc accesso a tutte le mie unità... aggiorno quando avrò finito postando nel caso relativo log.


carica anche un log di Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)e Prevx (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)
poi vediamo se preparare uno script per la rimozione manuale con combofix

Ora provvedo anche per gmer ed eventualmente anche Prevx (scusami ho letto dopo il messaggio).

Questo il log di gmer: gmerlog.log (http://wikisend.com/download/565266/gmerlog.log)

Qui il log di Prevx: prevx.log (http://wikisend.com/download/477664/prevx.log)

Sembra veramente scomparso... in più non ho più problemi di tab automatici e la lista DNS è finalmente pulita... boh

fai anche una nuova scansione con combo

Spero di no! Ho installato, mi ha fatto in automatico una scansione rapida automaticamente senza aver trovato nulla. Comunque questa notte lascerò fare la scansione completa a pc accesso a tutte le mie unità... aggiorno quando avrò finito postando nel caso relativo log.




Ora provvedo anche per gmer ed eventualmente anche Prevx (scusami ho letto dopo il messaggio).

Per scrupolo allegherei il log di 1 scansione completa con DrWeb CureIt + il log TDSSKiller

Per scrupolo allegherei il log di 1 scansione completa con DrWeb CureIt + il log TDSSKiller

Qui la nuova di TDSSKiller TDSSKiller.2.2.8_22.03.2010_16.58.25_log.txt (http://wikisend.com/download/864174/TDSSKiller.2.2.8_22.03.2010_16.58.25_log.txt)

Ok, le scansioni complete le lascio a questa notte perchè avendo 4 unità montate vorrei farle su tutte lasciando nel frattempo il pc inattivo.

Mi potreste invece spiegare il verdetto di TDDSkiller?

Perchè qui è scritto
16:58:26:569 4324 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
16:58:26:569 4324 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
16:58:26:569 4324 File objects infected / cured / cured on reboot: 0 / 0 / 0
e quindi mi fa capire che è pulito (?)

Ma il Verdict: 1 di ogni device scansionata invece indica che è stato trovato un virus per ognuna?

Grazie ancora,
Daniele.

Fatto ma non mi ha trovato nulla, eseguito anche al riavvio, rieseguito tddskiller e log identico all'antecedente... il problema che nessuna scansione antivirus mi rileva files infetti ma poi all'improvviso mi spunta la finestra relativa al file iastorv con conseguente reset dei dns e richiesta di riavvio per terminare la pulizia... :muro:

EDITO: Però finalmente l'update di windows è terminato con successo.. forse proprio lo stesso TDSSKiller mi ha aiutato :)

Grazie ancora aggiornerò in caso di riscontri negativi... speriamo di no ;)

Qui la nuova di TDSSKiller TDSSKiller.2.2.8_22.03.2010_16.58.25_log.txt (http://wikisend.com/download/864174/TDSSKiller.2.2.8_22.03.2010_16.58.25_log.txt)

Ok, le scansioni complete le lascio a questa notte perchè avendo 4 unità montate vorrei farle su tutte lasciando nel frattempo il pc inattivo.

Mi potreste invece spiegare il verdetto di TDDSkiller?

Perchè qui è scritto
16:58:26:569 4324 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
16:58:26:569 4324 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
16:58:26:569 4324 File objects infected / cured / cured on reboot: 0 / 0 / 0
e quindi mi fa capire che è pulito (?)

Ma il Verdict: 1 di ogni device scansionata invece indica che è stato trovato un virus per ognuna?

Grazie ancora,
Daniele.

Daniele mi servirebbe il log indicato in grassetto

1 significa che sono stati trovati due files infetti di cui 1 caricato in memoria

Daniele mi servirebbe il log indicato in grassetto

1 significa che sono stati trovati due files infetti di cui 1 caricato in memoria

Quella in "grassetto" rileggendo su era riferita a quella di HitMan pro? Se sì, questa non mi dà nessun log ma solo la scritta di "nessuna infezione" con relativo tasto Chiudi.

Ho questa nuova di COMBOFIX delle 17.27: ComboFix_22_03_17_27.txt (http://wikisend.com/download/953854/ComboFix_22_03_17_27.txt)

L'unica mancante è quella completa di Dr Web, se sufficiente la farei solo dell'unità C dove risiede Windows 7 che uso ora, va bene?

Quella in "grassetto" rileggendo su era riferita a quella di HitMan pro? Se sì, questa non mi dà nessun log ma solo la scritta di "nessuna infezione" con relativo tasto Chiudi.

Ho questa nuova di COMBOFIX delle 17.27: ComboFix_22_03_17_27.txt (http://wikisend.com/download/953854/ComboFix_22_03_17_27.txt)

L'unica mancante è quella completa di Dr Web, se sufficiente la farei solo dell'unità C dove risiede Windows 7 che uso ora, va bene?

No, mi riferisco a questo Fatto ma non mi ha trovato nulla, eseguito anche al riavvio, rieseguito tddskiller e log identico all'antecedente... ;)

Dal momento che lanci la scnasione con CureIt stanotte, io estenderei la ricerca a tutte le unità.

No, mi riferisco a questo

Dal momento che lanci stanotte, io estenderei la ricerca a tutte le unità.

QUI ----> TDSSKiller.2.2.8_22.03.2010_16.58.25_log.txt (http://wikisend.com/download/864174/TDSSKiller.2.2.8_22.03.2010_16.58.25_log.txt)

con tdsskiller è l'unica scansione disponibile, la fa tutta in automatico.
La scansione completa la eseguirò stanotte con dr web CureIT.

QUI ----> TDSSKiller.2.2.8_22.03.2010_16.58.25_log.txt (http://wikisend.com/download/864174/TDSSKiller.2.2.8_22.03.2010_16.58.25_log.txt)

con tdsskiller è l'unica scansione disponibile, la fa tutta in automatico.
La scansione completa la eseguirò stanotte con dr web CureIT.

Mi serviva la precedente, successivamente alla quale hai riavviato il PC.

Mi serviva la precedente, successivamente alla quale hai riavviato il PC.

Mmh con TDSSKiller in totale ne ho fatte 5; l'ultima pochi minuti fa, poi quella delle 16:58 (che hai visto sopra) e prima ancora alle 10:15 di stamane che ti allego qui sotto:

TDSSKiller.2.2.8_22.03.2010_10.15.21_log.txt (http://wikisend.com/download/434228/TDSSKiller.2.2.8_22.03.2010_10.15.21_log.txt)

Mmh con TDSSKiller in totale ne ho fatte 5; l'ultima pochi minuti fa, poi quella delle 16:58 (che hai visto sopra) e prima ancora alle 10:15 di stamane che ti allego qui sotto:

TDSSKiller.2.2.8_22.03.2010_10.15.21_log.txt (http://wikisend.com/download/434228/TDSSKiller.2.2.8_22.03.2010_10.15.21_log.txt)

Ok, era il log che volevo visionare, attendiamo CureIt appena puoi :)

Ok, era il log che volevo visionare, attendiamo CureIt appena puoi :)

Benissimo ci aggiorniamo allora a domattina! Grazie ancora per la pazienza e soprattutto per la disponibilità :)

Ciao,
Daniele.

grazie a tutti per le informazioni indirette......

avete una marcia in piu'...risolto anche io grazie al forum!
:read:

è un piacere :D