[win XP] Problema Smitfraud-C

[scleone1987]

Oggi mi è comparso il problema che navigando con Internet Explorer mi escono tante finestre pop-up relative a siti diveri (come casino'). Ho fatto una scansione con Spybot S&D e mi ha rivelato il virus Smitfraud-C.CoreService in C:\Windows\System32\drivers\core.cache.dsk, che non riesco a cancellare nè con Spybot, nè con altri programmi antispyware come Ad-Aware o Spyware Doctore, nè con Kaspersky e nemmeno con programmi di rimozione "dedicati" a questo virus. Aiuto sto impazzendo come faccio a cancellarlo????

[Chill-Out]

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download: http://www.filehippo.com/download/83...b540/download/


ComboFix
Download: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

[scleone1987]

ecco i file da allegare. Cmq il problema si presenta ancora...

[Chill-Out]

Infatti il problema persiste qualcosa ne impedisce la cancellazione
C:\WINDOWS\system32\drivers\core.cache.dsk . . . . Eliminazione Fallita

allega un log di questo tool http://noahdfear.geekstogo.com/FindAWF.exe

[scleone1987]

ma devo cliccare l'opzione 1 nel tool?

[Chill-Out]

Quote:

Originariamente inviato da scleone1987

ma devo cliccare l'opzione 1 nel tool?

Si

[scleone1987]

se faccio l'opzione 1 sul desktop mi crea 2 file locate e Process mentre il programma ricerca prima le cartelle bak e poi i "duplicate files" e qui sta per un sacco di tempo sempre con lo stesso messaggio "searching for duplicate files - please wait"...è normale?
P.S. Grazie mille per il tuo aiuto!!!!

[scleone1987]

############

[Chill-Out]

Facciamo così elimina il log e hostalo su:
http://www.fileup.itadib.com/index.ph
volevo prendera la scorciatoia quindi proviamo l'utimo tool poi passiamo alla Guida alla disinfezione

SmitFraudFix
Scarica questo tool sul DeskTop e decomprimilo all'interno di una cartella che chiamerai per praticità SFF
Riavvia in modalità provvisoria F8
Apri la cartella che contiene SmitfraudFix ed avvia smitfraudfix.cmd
Seleziona opzione #2 Clean - cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio
Rispondi Sì (Y) ad eventuali altre domande
eseguita tutta la scansione dopo il riavvio del pc allega il log
Download: http://siri.urz.free.fr/Fix/SmitfraudFix.zip

[scleone1987]

Ecco il link per il report di AWF http://www.fileup.itadib.com/downloa...iCvGgaINRcTgxh

In allegato il report di Smitfraudfix.

[Bugs Bunny]

Posta un log di gmer e poi in avenger immetti questo script:

Quote:

Files to delete:
C:\WINDOWS\system32\drivers\core.sys
C:\WINDOWS\system32\drivers\core.cache.dsk

[xcdegasp]

@ Chill-Out:
devo riprenderti in merito al post numero 2 di questo thread.
se decidi di consigliare un tuo sistema devi informare in modo esplicito l'utente che non è il metodo "standard" di analisi preliminare.
nonostante sia la prima volta che leggo un tuo post formulato in questa maniera mi sembra giusto notificartelo

[Chill-Out]

Quote:

Originariamente inviato da xcdegasp

@ Chill-Out:
devo riprenderti in merito al post numero 2 di questo thread.
se decidi di consigliare un tuo sistema devi informare in modo esplicito l'utente che non è il metodo "standard" di analisi preliminare.
nonostante sia la prima volta che leggo un tuo post formulato in questa maniera mi sembra giusto notificartelo

Giusto nulla da eccepire, ma dato il carico di lavoro di questi ultimi giorni ho provato a prendere una scorciatoia, comunque la notifica è al post #9
Mi controlli è........

[scleone1987]

Quote:

Originariamente inviato da Bugs Bunny

Posta un log di gmer e poi in avenger immetti questo script:

Scusa l'ignoranza, ma come faccio a creare un log di GMER una volta aperto il programma? Io ho provato a fare una scansione nella sezione "Rootkit", ma una volta finita nella sezione Log non mi esce nessun Log.

[murack83pa]

Quote:

Originariamente inviato da scleone1987

Scusa l'ignoranza, ma come faccio a creare un log di GMER una volta aperto il programma? Io ho provato a fare una scansione nella sezione "Rootkit", ma una volta finita nella sezione Log non mi esce nessun Log.

a fine scansione di gmer, dovrebbe apparire in automatico una finestra notepad, che riporta il log....

x verificare ciò,sopra il pulsante scan, vedi se la voce "log" è spuntata, cosi come tutte le altre(devone essere tutte selezionate)

edit: apri gmer, verifica che le voci siano tutte selezionate, e poi clicca solo su scan, a fine scansione ti appare la finestra col log

[scleone1987]

Tutte le voci sopra "scan" sono spuntate, però non c'è una voce "Log"...

[Chill-Out]

Quote:

Originariamente inviato da scleone1987

Tutte le voci sopra "scan" sono spuntate, però non c'è una voce "Log"...

innazitutto dimmi se ha rilevato righe rosse, poi clicca su copy e copia e incolla nel Blocco Note il log e lo alleghi

[murack83pa]

Quote:

Originariamente inviato da scleone1987

Tutte le voci sopra "scan" sono spuntate, però non c'è una voce "Log"...

si, mi ricordavo male

[scleone1987]

Ecco il log di GMER http://www.fileup.itadib.com/downloa...28cpY8AQUuMNm7 (p.s. non ho notato alcuna riga rossa)
in allegato quello di avenger. Comunque dopo che avenger ha riavviato il computer e mi ha mostrato il log, connettendomi ad internet ed aprendo IE ho notato che il problema non è ancora risolto... (e il file core.cache.dsk è ancora presente in C:\Windows\system32\drivers)

[Chill-Out]

C:\WINDOWS\system32\drivers\atinxsxxx.sys eccolo il maledetto, adesso ti scrivo uno script per ComboFix ma se non dovesse funzionare è opportuno che tu segua la Guida alla Disinfezione