Salve, ieri il pc della mia ragazza, dopo una sessione di internet explorer ha iniziato a dare problemi...
Aperture di processi tipo: 5.exe 8.exe qtplugin.exe ed anche il simpatico Security Center dopo aver disabilitato AVG per usare il COMBOFIX (per via delle pagine dannose che si aprivano).
Uno dei processi svchosts addirittura arrivava ad usare il 30 40% di cpu e 200mb di memoria... (adesso fixando come scritto sotto, siamo a 0% e 70mb)

In seguito mi era anche sparito dai servizi (services.msc) il firewall ed il centro sicurezza, che ho in seguito ripristinato grazie a dei files di registro trovati in rete.

Avevo AVG 9.0 + Spybot SD attivi e AVG sembrava avvertire problemi al file svchost etc ma non poteva disinfettare...

Ho usato Malwarebytes e SuperAntiSpyware per andare sul sicuro, che dopo molto tempo hanno deletato quello che c'era in lista...

Dopo due scansioni di ognuno, ed essere passato ad AntiVir, devo dire che non ho piu messaggi d'infezioni etc (forse era meglio avg?)


Ho fatto tutto e di piu, MA a RANDOM si apre una pagina di explorer (Non una scheda su attuale browser aperto), Casuale, su siti sconosciuti che se non avessi rimesso l'antivirus mi avrebbero re-infettato con altre porcherie..

Cosa posso fare?
ho visto un topic simile al mio ma sembra si sia andati fuori tema...

Allego il log di Hijackthis per ulteriore aiuto!

hijackthis.log (http://wikisend.com/download/484484/hijackthis.log)


edito per dire che proprio adesso mi si è aperta questa finestra... (link modificato e tagliato per non danneggiare nessuno)http ://7search.com /scripts /validation/v1 /validate.aspx?x= Link tagliato per non danneggiare nessuno

Ciao

edita il tuo post eliminando/modificando il link magari dannoso
segui qui (http://www.hwupgrade.it/forum/showthread.php?t=1789446) la guida per la rimozione dei Rogue Software (finti programmi di sicurezza) e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Ciao

edita il tuo post eliminando/modificando il link magari dannoso
segui qui (http://www.hwupgrade.it/forum/showthread.php?t=1789446) la guida per la rimozione dei Rogue Software (finti programmi di sicurezza) e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

ho editato subito, però non credo sia un rogue...
ho specificato sopra che sono riuscito a sistemare il problema col security center...

Il problema è l'apertura di questi link a caso... e la disattivazione casuale del firewall di windows...

fai la scansione con Avira rescue System, per farlo segui questa guida:
http://www.hwupgrade.it/forum/showpost.php?p=22757132&postcount=13


poi proseguiamo con la guida degli infetti :)

fai la scansione con Avira rescue System, per farlo segui questa guida:
http://www.hwupgrade.it/forum/showpost.php?p=22757132&postcount=13


poi proseguiamo con la guida degli infetti :)

non avendo modo di masterizzare cosa posso fare?

Ciao

edita il tuo post eliminando/modificando il link magari dannoso
segui qui (http://www.hwupgrade.it/forum/showthread.php?t=1789446) la guida per la rimozione dei Rogue Software (finti programmi di sicurezza) e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Ecco svariati logs..!

Combofix log.txt (http://wikisend.com/download/450662/Combofix log.txt)


hijackthis.log (http://wikisend.com/download/590308/hijackthis.log)

mbam-log-2010-04-13 (20-57-32).txt (http://wikisend.com/download/461282/mbam-log-2010-04-13 (20-57-32).txt)

SUPERAntiSpyware Scan Log - 04-13-2010 - 21-10-38.log (http://wikisend.com/download/966286/SUPERAntiSpyware Scan Log - 04-13-2010 - 21-10-38.log)

A me sembrano essere pulito superantispyware, mentre gli altri qualcosa hanno tolto, tutto tranne che il problema di questa pagina random che si apre.

Non sono un neofita, ma quando non trovi processi visibili etc non so cosa fare...

Ho manualmente scoperto di avere un file che si attaccava all'userinit, sdra64.exe che non veniva neppure detectato ma ho trovato in rete come eliminarlo...

boh, chiedo aiuto a voi! a chi risolve il problema un premio..! :Prrr:

Ecco che lasciando fare ad Antivir (Avira), quindi senza chiudere al volo le pagine che si aprono... mi blocca questo virus JS/FakeAV.62361 !!!!!!

Neppure Malwarebyte me lo trova... forse perchè colpisce a caso e non c'era in quel momento della scansione..??

Ad ogni modo ho negato l'accesso con Avira, è possibile che ci sia qualche file che lo richiami e che sia Idle dentro il sistem?

help!

non avendo modo di masterizzare cosa posso fare?

visto che non dovresti masterizzarlo dal pc infetto potresti provare a masterizzarlo da un pc sano ossia a casa di un tuo amico/conoscente.. :boh:

potresti pubblicare un log di una scansione completa del pc fatta con avira? :)


eppure dalle tue parole sembra che nessuno vedesse qualcosa, ma cio non sembra essere vero:

ComboFix 10-04-11.06 - Chiara 13/04/2010 20.10.55.4.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.39.1040.18.2814.2318 [GMT 2:00]
Eseguito da: c:\documents and settings\utente\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000000-EE24-0012-424C-927CA4101600}

c:\documents and settings\All Users\Documenti\Settings
c:\windows\system32\etquhw5.dll
c:\windows\system32\fsc.txt
c:\windows\system32\ide.txt
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\qks.txt
c:\windows\system32\Thumbs.db


Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Versione database: 3980

Tipo di scansione: Scansione veloce

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

13/04/2010 20.57.32

Chiavi di registro infette:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.



non capisco di cosa ti lamenti se con malwarebytes e superantispyware fai la scansione veloce... perchè a questo non rifai queste due scansioni con malità completa e magari prosegui con il resto della guida?
non vorrei sminuire le tue grandi doti di "problem solving" ma se ti sei rivolta a noi un motivo ci sarà come del resto sarebbe lo stesso motivo per cui nella guida sono richieste 8 scansioni :)

ps: puoi benissimo usare superantispyware al posto di a-squared

visto che non dovresti masterizzarlo dal pc infetto potresti provare a masterizzarlo da un pc sano ossia a casa di un tuo amico/conoscente.. :boh:

potresti pubblicare un log di una scansione completa del pc fatta con avira? :)


eppure dalle tue parole sembra che nessuno vedesse qualcosa, ma cio non sembra essere vero:

ComboFix 10-04-11.06 - Chiara 13/04/2010 20.10.55.4.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.39.1040.18.2814.2318 [GMT 2:00]
Eseguito da: c:\documents and settings\utente\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000000-EE24-0012-424C-927CA4101600}

c:\documents and settings\All Users\Documenti\Settings
c:\windows\system32\etquhw5.dll
c:\windows\system32\fsc.txt
c:\windows\system32\ide.txt
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\qks.txt
c:\windows\system32\Thumbs.db


Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Versione database: 3980

Tipo di scansione: Scansione veloce

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

13/04/2010 20.57.32

Chiavi di registro infette:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.



non capisco di cosa ti lamenti se con malwarebytes e superantispyware fai la scansione veloce... perchè a questo non rifai queste due scansioni con malità completa e magari prosegui con il resto della guida?
non vorrei sminuire le tue grandi doti di "problem solving" ma se ti sei rivolta a noi un motivo ci sarà come del resto sarebbe lo stesso motivo per cui nella guida sono richieste 8 scansioni :)

ps: puoi benissimo usare superantispyware al posto di a-squared

Logs aggiornati e con scansioni Complete :)

ComboFix.txt (http://wikisend.com/download/557558/ComboFix.txt)

mbam-log-2010-04-14 (09-56-48).txt (http://wikisend.com/download/940130/mbam-log-2010-04-14 (09-56-48).txt)

SUPERAntiSpyware Scan Log - 04-14-2010 - 08-47-04.log (http://wikisend.com/download/497760/SUPERAntiSpyware Scan Log - 04-14-2010 - 08-47-04.log)

hijackthis.log (http://wikisend.com/download/463050/hijackthis.log)

Combofix avviato con il guard di avira disattivato.
Malwarebytes non ha trovato nulla.
SuperAntispyware non ha trovato nulla.
Hijackthis non so cosa dica...

Ho: Aggiornato Java SUN, nessun cambiamento;
Ho disinstallato Emule (e reinstallato in seguito)

Ma questa pagina casuale si apre sempre, è una specie di finto motore di search che se non lo blocca Avira, mi rimanda a fake antiviruses che mi creano casini...

Adesso faccio partire lo scan completo di Avira ok? :)


ps: il log di ComboFIx precedente (quello che mi hai quotato), lascialo perdere ormai, avevo scoperto di avere su system32 il file sdra64 che in rete è conosciuto come malware e Keylogger, nessun programma lo rilevava e l'ho cancellato manualmente disattivando l'handle e poi dal registro (Combofix avra' deletato il resto), cmq guarda il nuovo log di Combofix :(

Avira report!!

AVSCAN-20100414-143238-573F73B7.LOG (http://wikisend.com/download/965994/AVSCAN-20100414-143238-573F73B7.LOG)

Durante la scansione, una pagina si è aperta e Avira l'ha bloccata come quasi tutte...

e mi ha dato x2 volte questo intruso, ho selezionato nega accesso... comunque ritorna dopo un po...

Nel file 'C:\Documents and Settings\Chiara\Impostazioni locali\Temporary Internet Files\Content.IE5\WKAWOI9A\206adc3413db5b42a87f9972895791efb2c53008411[1].js'
è stato rilevato un virus o programma indesiderato 'JS/FakeAV.62361' [virus].
Azione eseguita: Nega accesso



Aiuto :(

ora se potresti seguire la guida per gli infetti ( GUIDA alla DISINFEZIONE per INFETTI (http://www.hwupgrade.it/forum/showthread.php?t=1599737) potrai essere sicuro che risolverai inquanto il primissimo passo è quello di eseguire atf-cleaner con il quale in semplicità potrai cancellare cache di InternetExplorer, cronologia di InternetExplorer, file temporanei, cookies
sicuramente risolverai il problema inquanto è una pagina scaricata da IE

io però farei anche le successive 8 giusto per scrupolo del resto se si fosse seguita dall'inizio a quest'ora si sarebbe già risolto :)

Piattaforma : Windows XP
Versione di Windows : (Service Pack 2) [5.1.2600]
la versione di avira è ancora la 9 ma dovresti upgradarlo alla 10 e windows dovresti assolutamente aggiornarlo a sp3, magari un firewall diverso da quello integrato in windows non guasterebbe :D

ora se potresti seguire la guida per gli infetti ( GUIDA alla DISINFEZIONE per INFETTI (http://www.hwupgrade.it/forum/showthread.php?t=1599737) potrai essere sicuro che risolverai inquanto il primissimo passo è quello di eseguire atf-cleaner con il quale in semplicità potrai cancellare cache di InternetExplorer, cronologia di InternetExplorer, file temporanei, cookies
sicuramente risolverai il problema inquanto è una pagina scaricata da IE

io però farei anche le successive 8 giusto per scrupolo del resto se si fosse seguita dall'inizio a quest'ora si sarebbe già risolto :)


la versione di avira è ancora la 9 ma dovresti upgradarlo alla 10 e windows dovresti assolutamente aggiornarlo a sp3, magari un firewall diverso da quello integrato in windows non guasterebbe :D

Perdonate la mia sbadatagine!!

Prima di tutto ciò, e dopo aver passato CCcleaner etc ho sempre usato ATF Cleaner!
Lo uso da un annetto e mi trovo benissimo!
Quali sono le altre 8 parti?

Provo ad aggiornare a SP3 allora...
Avira sul sito è alla versione 9... (quella free per intenderci!)

Edit: Ho trovato Avira 10, ma è in inglese... nulla contro l'inglese, lo parlo anche come seconda lingua ma non vorrei fosse ancora troppo "nuovo"

Ho una domandina da porre...

A cosa serve l'OpenDNS citato sulla guida?

Essendo server Americani non dovrei andare molto piu lentamente??
Inoltre ho Fastweb, funziona o stesso?

i server dns sono server che servono per tradurre gli indirizzi alfabetici in numerici ossia tradurre www.ilsitochevuoi.it in 10.x.y.z quindi come ogni connessione instaurata con il protocollo UDP è di tipo "domanda-risposta" e non una vera connessione permanente come accade per le connessioni tcp ad esempio quella della navigazione ossia TCP80 o TCP8080 .

detto questo la latenza di 20ms o 80 ms o 120ms non crea nessuna differenza rilevante all'utilizzatore.

lo scopo d' usare i dns di opendns.com è dettato dal fatto che integrano una blocklist per impedire comunicazioni e connessioni verso server ritenuti maligni o pericolosi pertanto se fosse in corso un'infezione questa non potrebbe rigenerarsi durante la disinfezione.
io server dns standard non offrono questo servizio!

funziona lo stesso anche su fastweb ed anzi a maggior ragione dovresti avere un router di tua proprietà da collegare al hag da avere così un ulteriore filtro, la lan fastweb è una gran vaccata che è ormai invasa dai più nefidi virus!!

i server dns sono server che servono per tradurre gli indirizzi alfabetici in numerici ossia tradurre www.ilsitochevuoi.it in 10.x.y.z quindi come ogni connessione instaurata con il protocollo UDP è di tipo "domanda-risposta" e non una vera connessione permanente come accade per le connessioni tcp ad esempio quella della navigazione ossia TCP80 o TCP8080 .

detto questo la latenza di 20ms o 80 ms o 120ms non crea nessuna differenza rilevante all'utilizzatore.

lo scopo d' usare i dns di opendns.com è dettato dal fatto che integrano una blocklist per impedire comunicazioni e connessioni verso server ritenuti maligni o pericolosi pertanto se fosse in corso un'infezione questa non potrebbe rigenerarsi durante la disinfezione.
io server dns standard non offrono questo servizio!

funziona lo stesso anche su fastweb ed anzi a maggior ragione dovresti avere un router di tua proprietà da collegare al hag da avere così un ulteriore filtro, la lan fastweb è una gran vaccata che è ormai invasa dai più nefidi virus!!

Ma non credo c'entri che la lan fw sia infestata...
Cioè basterebbe disinfettare scollegando il cavo di rete come ho fatto! :P
Mi sembra assurdo che mettendo due numerini si risolva tutto...

Comunque sembra che sia sparito... avendo messo il Service pack 3...
Dico sembra perchè non sto utilizzando molto explorer e quella santa della mia ragazza non c'è..!
A chi devo quindi il premio?? :Prrr: :oink:

Ah dimenticavo...

Può essere d'aiuto non aver settato IE7 come browser principale e che neppure mi avverta di ciò??

Un ultima cosa, ho trovato il nome PopupMgr sui siti consentiti dal Blocco PopUp di IE7, solo ed esclusivamente PopupMgr che prima durante le disinfezioni varie eliminavo sempre...

è un bene lasciarlo li dov'è oppure è maligno??

fotina a chi sa aiutarmi! :oink:

Ma non credo c'entri che la lan fw sia infestata...
Cioè basterebbe disinfettare scollegando il cavo di rete come ho fatto! :P
Mi sembra assurdo che mettendo due numerini si risolva tutto...
infatti i numerini non hanno il compito di risolvere tutto ma di evitare di reinfettarsi.. non so' da dove sei giunta alla conclusione "che tutto si risolve" grazie a quei due numerini :boh:


Un ultima cosa, ho trovato il nome PopupMgr sui siti consentiti dal Blocco PopUp di IE7, solo ed esclusivamente PopupMgr che prima durante le disinfezioni varie eliminavo sempre...

è un bene lasciarlo li dov'è oppure è maligno??

fotina a chi sa aiutarmi! :oink:
bhè che dire... tra a-squared, superantispyware, prevx, e.. equesto popupMgr, bhè io non avrei dubbi quale tenere e terrei i primi tre :boh:

ps: no grazie per la fotina, son a posto così graziiiiieeee

infatti i numerini non hanno il compito di risolvere tutto ma di evitare di reinfettarsi.. non so' da dove sei giunta alla conclusione "che tutto si risolve" grazie a quei due numerini :boh:



bhè che dire... tra a-squared, superantispyware, prevx, e.. equesto popupMgr, bhè io non avrei dubbi quale tenere e terrei i primi tre :boh:

ps: no grazie per la fotina, son a posto così graziiiiieeee

Ma... PopupMgr è sui siti consentiti dal popupblocker di WinXp, non è un antispyware!

Comunque con il SP3 ho risolto tutto, ma nessuno sa dirmi qualcosa about PopupMgr sui siti consentiti :(

è un sito maligno..

comunque IE non ti fa fare una navigazione sicura, con Firefox e 4 estensioni hai il mondo che ti sorride :)

è un sito maligno..

comunque IE non ti fa fare una navigazione sicura, con Firefox e 4 estensioni hai il mondo che ti sorride :)

ho provato a cercarlo ma non esiste come sito :/ :oink: