Salve,
da diversi giorni, Avira Free e Prevx3 mi segnalano il file C:\Windows\System32\uvcrjmd.r come pericoloso! :mad:
Avira lo mette in quarantena, ma riappare diverse volte al gg!
Windows 7 32 bit aggiornato, HitmanPro all'avvio, e passate di Malwarebytes non hanno risolto!
Ho fixato anche con Hijackthis le voce segnalate...rippare sempre :muro:
:help:

;39759827']Allega i relativi report, per favore (carica i report salvati su Wikisend (http://wikisend.com/) e pubblica il forumlink che verrà proposto per ognuno).

Non ho accesso al Wikisend da questo Pc :( , mi appoggio al mio dropbox:

[url]EDIT (Log HitManPro)
[url]EDIT (Log Malwarebytes)

Avira mi segnala trattasi del cavallo di troia "TR/Dropper.Gen" :mbe:

;39761931']1) attiva la licenza di HitmanPro (Impostazioni - scheda "Licenza") ed esegui la scansione.
2) al termine elimina tutto ciò che verrà rilevato.
Salva il report che verrà prodotto ed allegalo.

Scusa, ma ho la versione free...

;39762209']Come quasi tutti ..... attiva la licenza come spiegato ( è valida per 30 giorni :read: ) ed esegui la scansione richiesta.

Fatto! Mi trova il file citato, l'ho rimosso...così come lo rimuove Avira, ma poi torna....:muro:

;39762414']Dove è il report?.

Allora, ho fatto un pò di caos, scusate...
Ho disinstallato la versione che avevo di HitManPro e ho scaricato l'ultima.
Non posso attivare la licenza per 30 gg, perchè sono in un dominio e la licenza non lo permette.
HitManPro scansiona e mi ha trovato il file indicato prima, che Avira opportunamente mette in quarantena! Così come lo rileva Prevx 3.
Solo che ogni ora la segnalazione si ripete...

;39762560']Ovviamente .... ma questi particolari li fornite sempre dopo ...... e non era necessario riscaricarlo.

Non sapevo che la licenza fosse differente per i pc sotto dominio, sorry.
L'ho reinstallato perchè avevo una versione più vecchia!

1) allega il report più recente rilasciato da Avira;
Ok, faccio una scansione completa!

2) scarica Malwarebytes: da questa pagina ( http://it.malwarebytes.org/).
1) imposta la “Scansione completa” ed esegui la scansione.
2) al termine elimina tutto ciò che verrà rilevato.
Salva il report che verrà prodotto ed allegalo.

Il link non va!
Ho la v. 1.75.0.1300 e ho già scansionato e allegato il log, non andava bene? :confused:


Se è possibile, questa volta per allegare i report utilizza wikisend.

Impossibile, sorry (il proxy non me lo permette).

;39762790']Visto ora, me lo ero perso.
Vediamo il report di Avira, quando sarà disponibile.
E visto che dici che HitmanPro lo rileva, allega il report che ti avevo (già) chiesto, per cortesia.

HitManPro non sempre rileva il file...forse lo rileva se scansiono prima che lo elimini Avira...il log di HitManPro lo avevo già allegato, ma posso sempre rifarlo se serve.
Avira sta ancora scansionando.

;39763007']In quello che avevi allegato non c'è traccia del presunto malware, recupera il report relativo alla scansione in cui lo aveva individuato (lancia HitmanPro - clica su Impostazioni - scegli Cronologia ---> Tab Log e cerca quel report).

[url]Edit (HitManPro che rileva il file...)

[url]Edit (Log di Avira Free)

Ho trovato e rimosso un pò di porcheria e il Trojan non si è più visto, ma aspetto a cantar vittoria...

Avevo un sacco di Task pianificati e a me sconoscuti :mbe:

Eccolo! Rispuntato! :muro:
Ho visto che è riapparsa una pianificazione (Task) chiamata AT1:
Utilità di pianificazione: l'istanza "rundll32.exe" dell'attività "\At1" è stata avviata con ID processo 5660.
Azione: avvia programma rundll32.exe uvcrjmd.r,jooyc

;39763714']Incrocia le dita.

Rieccolo!

[url]Edit (Log HitManPro)

Il problema è questo:

Forensic Cluster
0.0s C:\Windows\System32\uvcrjmd.r
0.0s C:\Windows\Tasks\At1.job
0.2s C:\Windows\System32\Tasks\At1

Questi Task che si ripresentano! :muro:

;39765515']C:\Windows\System32\uvcrjmd.r
C:\Windows\Tasks\At1.job
C:\Windows\System32\Tasks\At1

Fai analizzare i tre file su Virustotal (https://www.virustotal.com/it/) e pubblica il corrispondente link al risultato che verrà rilasciato per ogni singolo file.

http://goo.gl/N02Aqj (At1)

http://goo.gl/nl2Zc9 (At1.job)

http://goo.gl/m4Wgib (uvcrjmd.r)

;39765849']Ora la cosa è più chiara.
Sarebbe? Cosa ne viene fuori da queste analisi?

Successivamente, scarica ed esegui Combofix: qui la guida (http://www.bleepingcomputer.com/combofix/it/come-usare-combofix)
1) al messaggio relativo alla presenza dell'Antivirus: ignora il messaggio e prosegui;
2) alla richiesta di installare la console di ripristino: non la installare.
Salva il report che verrà prodotto ed allegalo.
Una volta un rootkit mi ha costretto a formattare (non si avviava più Windows dopo aver passato diversi tool) e ricordo di aver provato questo Combofix, ma non ricordo se fosse l'ultimo programma usato...in ogni caso mi spaventa un pò...:rolleyes:

;39765991']Vorrai evitare di formattare nuovamente, spero (devi avere un abbonamento con i rootkit & compagnia bella; il computer è infettato da Conficker/Kido).

Bè certo, spero di non dover formattare...ma quella volta sono stato costretto da schermata blu a seguito di scansione...(Era Windows XP).

http://img40.imageshack.us/img40/7830/ek6l.jpg

;39766166']vedi qui (https://www.virustotal.com/it/file/3adf6f4ff8ad482fe67b96a6b848486382a3d5166e8b368061581b511c078f74/analysis/1374736276/).

Visto lo screen, fai girare Combofix.

Sì sì, ho editato il messaggio dopo aver visto bene le pagine di Virustotal...

Adesso lancio Combofix...se non mi vedete più chiamate i...carabinieri ;)

Lanciato ComboFix...dunque...dalla guida...non mi ha detto nulla circa la Console di Ripristino di Windows...poi è venuta fuori una maschera dove mi avvisa che c'è presenza di Rootkit (ben 14 exe!!!) e mi dice di riavviare (ho fatto screenshot).
Ho riavviato e non è successo nulla...mi aspettavo che Combofix ripartisse...che faccio adesso?

;39766489']Fai girare, prima TDSSKiller (http://support.kaspersky.com/5350?el=88446).

Poi, Combofix fallo girare in modalità provvisoria.

Porc! Ho letto e fatto quanto avevi scritto prima di editare...in ogni caso in modlità provvisoria Combofix ha portato a termine la scansione...

Adesso faccio girare ugualmente TDSSKiller.

In ogni caso il log di Combofix contiene molte info personali, cosa ti serve?

PEV.exe che mi ritrovo in c:\Windows ha a che fare con Combofix?

Lanciato TDSSKiller, non ha trovato nulla!

;39766862']Visto che hai delle remore a pubblicare un report, almeno cerca di far capire se ha rimosso l'infezione (non è possibile tirare ad indovinare).
Nessuno pretende si facciano magie ;)
Ho visto il combofix.txt, direi che la parte interessante dovrebbe essere questa:

ADS - Windows: deleted 192 bytes in 1 streams.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\{01A1A12D...C20BDF3855D9}.xps
.
. una 80-ina di righe molto simili
.
c:\users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\{ED021428...5FD8C1E8C5BD}.xps

c:\users\xxx\AppData\Roaming\inst.exe
c:\windows\host32.exe
c:\windows\localsys64.exe
c:\windows\system32\64dlls.exe
c:\windows\system32\intel64.exe
c:\windows\system32\lsjdfh.exe
c:\windows\system32\muzapp.exe
c:\windows\system32\ntos.exe
c:\windows\system32\oembios.exe
c:\windows\system32\sdra64.exe
c:\windows\system32\sdra73.exe
c:\windows\system32\swin32.exe
c:\windows\system32\test
c:\windows\system32\twex.exe
c:\windows\system32\twext.exe
c:\windows\system32\win32avs.exe
c:\windows\system32\wsnpoema.exe
c:\windows\wininit.ini


Si; ora esegui una scansione con Avira e verifica se continua a rilevare malware.

P.S.: per rimuovere Combofix: Start e nella casella di dialogo digita
combofix /uninstall (e cestina anche quel PEV.exe).

Ok, al momento non è riapparso, ma mai dire mai...
Tnx! Farò sapere :)

;39766941']Direi che ha fatto il suo bel lavoro.
Dovresti (sempre nel report, mi sembra verso il fondo) avere anche delle info in relazione ad eventuali rootkit rilevati .... controlla.

Non ho visto nulla del genere...

La scansione con Avira dovrebbe chiarire la questione.

Non ho fatto in tempo a lancirla, che ieri alle 14 è riapparso di nuovo! :muro:
Stamattina all'avvio del Pc, nulla, nemmeno nel Task c'è il job...vedremo tra un'oretta...appariva ogni ora, come da pianificazione :muro:

Già che ci siamo, scarica Hijackthis: da questa pagina (http://sourceforge.net/projects/hjt/).
Una volta installato:
1) Computer / disco locale C: / Programmi (oppure Programmi x86);
2) apri la cartella Hijackthis contenuta nella cartella TrendMicro;
3) tasto destro del mouse sulla icona e scegli “Esegui come amministratore”;
4) clicca sul tasto “Do a system scan and save a logfile”;
Salva e allega il report che verrà prodotto.

L'ho fatto passare gg fa, fixando le anomalie, ma lo rifaccio e posto...

Come allegare i log http://www.hwupgrade.it/forum/showthread.php?t=1751598

Allega un nuovo log di Combofix, serve anche un log di Gmer.

Come allegare i log http://www.hwupgrade.it/forum/showthread.php?t=1751598
Scusa, l'upload sul mio dropbox è scomodo per chi poi deve leggerli?

Allega un nuovo log di Combofix, serve anche un log di Gmer.

Gmer mi mette i brividi...quando ho scritto che Combofix mi aveva impallato tutto all'epoca, ricordavo male, fu proprio gmer...avevo preso un rootkit anche all'epoca...
Non ritengo responsabile Gmer, ma il rootkit...ovvio...

;39769951']Prenderei in considerazione un controllo con Kaspersky Rescue Disk (https://support.kaspersky.com/viruses/rescuedisk) (da non escludere che Avira stia rilevando un falso positivo).

Ok, provo!
Quindi uso la ISO via boot?

Scusa, l'upload sul mio dropbox è scomodo per chi poi deve leggerli?


Gmer mi mette i brividi...quando ho scritto che Combofix mi aveva impallato tutto all'epoca, ricordavo male, fu proprio gmer...avevo preso un rootkit anche all'epoca...
Non ritengo responsabile Gmer, ma il rootkit...ovvio...





Se così fosse Dropbox sarebbe incluso nelle Regole di sezione, per irmuovere Kido servono Combo e Gmer.

per irmuovere Kido servono Combo e Gmer.

Vedo se ricompare intanto...poi passo il kav_rescue_10 e poi....vediamo :(

Gmer non ha individuato nulla!
Combofix, questa volta ha funzionato da windows, non in modalità provvisoria.
Anche in questo caso, pulito! :mbe:

Ricomparso il file .r e il Job! :muro: :muro: :muro:

Per poterti rispondere ho bisogno di vedere entrambi i log :)

Per poterti rispondere ho bisogno di vedere entrambi i log :)

Allego i log delle ultime scansioni fatte con Gmer e Combofix!
Chiedo scusa anticipatamente se non ho usato i server free segnlatai nelle "Regole si sezione", ma il proxy mi inibisce l'accesso a tutti! E uno di quelli credo non sia più in funzione (http://fileqube.com/)

http://goo.gl/9v7CY8 (Gmer)

http://goo.gl/91d8gK (Combofix - fatto in mod. provvisoria)

La situazione è questa!

kav_rescue_10 ha rilevato il rootkit Kido, lo rimuove, ma al riavvio riappare!

O meglio, riappare solo se il PC è in rete! Se non è in rete Avira non lo rileva!

E ogni volta che viene rilevato (file in windows/system32) c'è sempre il Job pianificato!

A voi, grazie! :help:

Allego i log delle ultime scansioni fatte con Gmer e Combofix!
Chiedo scusa anticipatamente se non ho usato i server free segnlatai nelle "Regole si sezione", ma il proxy mi inibisce l'accesso a tutti! E uno di quelli credo non sia più in funzione (http://fileqube.com/)

http://goo.gl/9v7CY8 (Gmer)

http://goo.gl/91d8gK (Combofix - fatto in mod. provvisoria)

La situazione è questa!

kav_rescue_10 ha rilevato il rootkit Kido, lo rimuove, ma al riavvio riappare!

O meglio, riappare solo se il PC è in rete! Se non è in rete Avira non lo rileva!

E ogni volta che viene rilevato (file in windows/system32) c'è sempre il Job pianificato!

A voi, grazie! :help:


Allegali utilizzando la funzione Gestisci allegati, il proxy mi inibisce Dropbox. Comunque il problema a questo punto mi sembra legato ad cun PC infetto in rete.

http://wikisend.com/download/382676/gmer.log

http://wikisend.com/download/279970/combofix.txt

Ok adesso?

Anche io credo sia un Pc della rete. Ma può essere che questo Pc mi infetta creando dei file exe (che combofix mi individua e mi cancella) e pianificando un Job?

Grazie.

Nessuna traccia di Kido

Nessuna traccia di Kido

Significa che non sono infetto? Perché tutti i sw lo rilevano in certi momenti. Devo ricercare il problema sulla rete? Grazie.

Ho scansionato una serie di pc "sospetti" in rete...e puntualmente il kido è comparso!
Ho fatto passare il tool Kaspersky KK, che lo rimuove.
Mi chiedo, basta questo oltre al Symantec Antivirus (av installato sui Pc) o devo aspettarmi che riappaia?
Intanto sul mio pc più nessuna segnalazione...
Tnx!