[win XP] Smitfraud rognoso

[peterpanico]

Ciao.Nonostante abbia seguito i consigli presenti in altre discussioni. il problema Smitfraud rimane! Qualcuno può gentilmente aiutarmi?

Allego il log di hijackthis

Grazie in anticipo

[murack83pa]

come fai a sapere che il tuo problema è smitfraud?

dal log di hijackthis nn mi sembra che si rileva nulla, a parte l'assoluta necessità di aggiornare internet explorer

hai provato con smitfraudfix?
download:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

decomprimilo in una cartella a tua scelta estraendo tutti i file
Riavvia in modalità provvisoria
Apri la cartella che contiene SmitfraudFix, avvia smitfraudfix.cmd
Seleziona opzione #2 - Clean cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio.
Rispondi Sì ( Y) ad eventuali altre domande

eseguita tutta la scansione riavvia il pc normalmente. Posta sul forum il log della scansione.

[peterpanico]

Innanzi tutto grazie della risposta.
So che si tratta di smitfraud da spybot sd. Tra le svariatevprocedure che ho già tentato c'è anche quella che mi consigli, ma a scanso di equivoci ripeto e posto il risultato.
Grazie ancora

[murack83pa]

rincontrollando meglio il log di hijackthis, ho visto queste 2 voci:

Quote:

O15 - Trusted Zone: *.rossoalice.it

O15 - Trusted Zone: *.rossoalice.virgilio.it

le hai aggiunte tu ai siti attendibili?
nn mi convincono tanto.....

[peterpanico]

Ok, provo a rispondere con ordine:
le 2 voci relative ad alice sono attendibili;
ho appena rifatto la procedura che mi hai indicato, di cui allego il log, ma il ns. amico nn ne vuol sapere di andarsene (si riaprono le solite finestre di IE su siti di casinò online etc, e il file core.cache.dsk è tranquillo tranquillo nella sua solita postazione (c/windows/system32/drivers).
Inoltre prima di passare il tool smitfraudfix in mod provv, ho disattivato il ripristino di config di sist
Se mi risolvete siete da monumento...
Grazie comunque

[murack83pa]

x caso spybot ti trova esattamente la variante smitfraud-c?

[peterpanico]

http://www.fileup.itadib.com/downloa...4fFsGxx0jMNZn1
Ciao e scusate se sono scomparso ieri sera (inderogabili impegni familiari ).
Allora, il malware è proprio lui, smitfraud.c, e ti allego l'url del rapporto di spybot sd che lo cita.
Spero che possiate darmi una mano...

[murack83pa]

ok,
1. Scarica questo programma (SmitRem): DOWNLOAD
2. Doppio click sul file in modo da scompattare i file in una cartella
3. Riavvia facendo partire Windows in modalità provvisoria
4. Apri la cartella e doppio click sul file RunThis.bat
5. Segui le istruzioni del programma in modo che faccia lo scan e cancelli i file dannosi.

devi disattivare momentaneamente l'antivirus x poterlo scaricare e farlo girare

una volta utilizzato quel tool , segui la guida standard che ti ho indicato giù

[xcdegasp]

direi a questo punto di seguire interamente la procedura descritta in Guida alla Disinfezione per Infetti mantenendo l'ordine d'esecuzione dei programmi.



ps: va avvertito l'utente se si procede con modalità e sistemi differenti dall'approccio standard

[murack83pa]

Quote:

Originariamente inviato da xcdegasp

direi a questo punto di seguire interamente la procedura descritta in Guida alla Disinfezione per Infetti mantenendo l'ordine d'esecuzione dei programmi.



ps: va avvertito l'utente se si procede con modalità e sistemi differenti dall'approccio standard

hai ragione, un amico mio avevo la stessa variante di smitfraud-c e l'ha rimossa con quel tool, ecco xchè ho suggerito subito quel tool una volta avuto la conferma


@ Peterpanico:
utilizza quel tool, poi segui la guida alla disinfezione

NB: il ripristino va tenuto disattivato, è fondamentale
questi programmi c permettono di avere uno screen completo dell'infezione del tuo pc (oltre che a debellare molte infezioni), x eventuali dubbi o problemi, chiedi pure

precisazioni sui programmi della guida (che devono essere lasciati lavorare in pace, nn fare nulla al pc nel frattempo) :

1-riguardo ESET ADS REVEALER, nn ti preoccupare dei nomi che compaiono a fine scansione, cancella tutte le voci, nn elimini alcuni file,ok?

2- ASQUARED è un ottimo programma antispyware, installalo, lo aggiorni, e poi fai la scansione in deep scan, ci impiegherà un bel po di tempo, ma è importante, e posta qui il log(il rapporto di scansione)

3-PREVX CSI è un tool di rilevamento malware, ma nn rimuove nulla, a fine scansione nn devi scaricare la versione a pagamento x la rimozione, nn chiudere il programma, e vai su options e poi save log x poter poi pubblicare qui il log

4-come scansione online fai quella con bitdefender (l'unica che rimuove i virus insieme a quella di f-secure):
http://www.bitdefender.com/scan8/ie.html

5-hijackthis, lo devi "installare" in una sua cartella che puoi creare anche sul desktop, poi a fine scansione,salva in formato .txt il log che ti apparirà e poi lo alleghi qui

5-gmer una volta avviato, lo lasci lavorare in pace (questo vale x tutti i programmi) e a fine scansione clicca sul pulsante copy e poi apri il blocco note e gli dici incolli, cosi salvi il file in formato .txt e lo posti qui

stai attento a come posti i log, guarda qui:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post

[xcdegasp]

io però tra le scansioni web suggerirei kaspersky perchè riconosce più roba...
o al limite entrambe

[Nuz]

Quote:

Originariamente inviato da murack83pa

....scansione online fai quella con bitdefender (l'unica che rimuove i virus insieme a quella di f-secure).......

Altri servizi di scansione online che effettuano anche la rimozione:

http://wiki.castlecops.com/Online_antivirus_scans

[peterpanico]

grazie a tutti per i consigli, appena posso (stasera) seguirò con ordine le procedure indicate, postando i log ottenuti.
Grazie ancora

[peterpanico]

Ciao a tutti.
Il problema (apertura automatica di finestre di IE su siti di casinò online e di altra tipologia, anche ebay...) permane tuttora, nonostante abbia applicato alla lettera le procedure suggerite: scansione con kaspersky online, con bitdefender, e poi in mod provv, smitremfix, eset ads revealer, asquared, prevx csi, hyjack this, e per finire gmer.
Di seguito allego i log di tutte le scansioni.
Aiuto, non vorrei proprio formattare...
http://www.fileup.itadib.com/downloa...SPeUeUqVJ7tOfQ

http://www.fileup.itadib.com/downloa...283LLObUGCrEDl

[peterpanico]

Allego i log di hyjackthis , che non mi accettava nel post prec.
Grazie a tutti quelli che vorranno aiutarmi

[murack83pa]

manca il log di prex csi

asquared, kaspersky e mi pare pure bitdefender ovviamente hanno rilevato smitfraud e smitrem come malware, ma sono falsi positivi

bitdefender ha trovato un bel po di spazzatura nelle email: elimina un bel po di spam e poi ti consiglio di utilizzare il browser x leggere le email, indubbiamente molto piu sicuro

ora leggo il log di hijackthis

[murack83pa]

rifai il log di hijackthis in modalità normale

e aggiorna subito internet explorer:
DOWNLOAD

dopodichè,svuota la cache di java:

svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

[peterpanico]

Scappo a lavorare, continuo stasera
Grazie ancora

[peterpanico]

Ciao,
qui di seguito il log di Hijack appena fatto (non sono riuscito ad allegarlo..)
IE aggiornato (io in realtà uso firefox), e cache di Java svuotata, ma il maledetto è sempre lì.
http://www.fileup.itadib.com/downloa...7yHXYVKwdCDnSJ

[Chill-Out]

Per favore edita il log nel messaggio precedente ed allega un log di questo tool

ComboFix
Download: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza