Programma Live Player ....jfheg.exe?

[paoladamiano]

Richiedo aiutino:
I calciatori della famiglia hanno scaricano il programma Live Player per vedere le partite di calcio sul pc. Non siamo riusciti a farlo funzionare. Disinstallo il programma dal pannello di controllo. Sul web trovo queste info da NOD32 http://www.nod32.it/threat-center/en...a1.php?id=1914 . Cerco meglio i file che si riferiscono a *live*player*.* dal cerca di Risorse del computer: cancello quelli che avevano una evidente relazione con il programma. "Blocco" su On Line Armor 3 programmi chiaramente inerenti a Live Player "Consentiti" oggi, cercandoli in ordine di data. Tra i programmi consentiti oggi ne lascio altri che considero sicuri (per alcuni ne ho cercato il nome su internet), ma ce n'è uno che mi puzza in c:\document&settings\Utente\Impostazioni locali\Dati applicazioni\jfheg.exe; l'ho analizzato su
virus Total = http://www.virustotal.com/it/analisi...ef6ab7401935b3 e su
VirScan = http://virscan.org/report/d3e83795b8...29850ecb3.html
La prima analisi lo indica pericoloso in 2 casi, per la seconda analisi è a posto.
Per adesso lo blocco su OnLineArmor in attesa di vostre indicazioni più precise: lo devo cancellare?
Inoltre questo programma Live Player è davvero pericoloso come indicato dal link di NOD32 (vedi sopre)?
Posso fare altro per evitare che tutte le porcherie che ha seminato facciano danni?
Grazie 1000 per l'aiuto che potrete darci.

PS Sto cercando di essere più concisa: si vede?

[wjmat]

ciao

sembrava che fosse un programma ok, poi mi sono imbattuto in questo
http://www.nod32.it/threat-center/en...a1.php?id=1914

i sintomi più famosi sono questi, verifica che in quella cartella ci siano i fratelli di quel .exe (abilita la visualizzazione dei files nascosti / di sistema)

Quote:

# %ProfiloUtente%\Local Settings\Application Data\[NOME FILE A CASO].dat
# %ProfiloUtente%\Local Settings\Application Data\[NOME FILE A CASO].exe (rilevato come Trojan Skintrim)
# %ProfiloUtente%\Local Settings\Application Data\[NOME FILE A CASO]_nav.dat
# %ProfiloUtente%\Local Settings\Application Data\[NOME FILE A CASO]_navps.dat

se li trovi disattiva il ripristino configurazione di sistema
fai pulizia con ATFCleaner
log classico di HiJackThis

[paoladamiano]

Quote:

Originariamente inviato da wjmat

ciao

sembrava che fosse un programma ok, poi mi sono imbattuto in questo
http://www.nod32.it/threat-center/en...a1.php?id=1914

i sintomi più famosi sono questi, verifica che in quella cartella ci siano i fratelli di quel .exe (abilita la visualizzazione dei files nascosti / di sistema)


se li trovi disattiva il ripristino configurazione di sistema
fai pulizia con ATFCleaner
log classico di HiJackThis

Li ho trovatì!
Per la cronaca si chiamano tutti jfheg.dat/.exe/_nav.dat/_navps.dat (magari non sempre verrà fuori questo nome) e sono stati tutti creati ieri nell'orario approssimativo del download del Live Player.
Ho disattivato il ripristino configurazione di sistema, ma prima di far girare l'ATFCleaner (peraltro già girato diverse volte ieri sera), e prima di fare il log HijackThis, devo cancellarli?
Attendo tua precisazione prima di procedere.
Grazie 1000

[Chill-Out]

Allega il log di HJT

[paoladamiano]

Aggiungo che ho trovato anche
%ProfiloUtente%\Local Settings\Temp\skin_dll.dat
%ProfiloUtente%\Local Settings\Temp\sqlite_dll.dat
Vale la stessa domansa di prima: li devo cancellare prima di procedere con ATF Cleaner e log HijackThis?
Resto in attesa prima di procedere

[Chill-Out]

Quote:

Originariamente inviato da paoladamiano

Aggiungo che ho trovato anche
%ProfiloUtente%\Local Settings\Temp\skin_dll.dat
%ProfiloUtente%\Local Settings\Temp\sqlite_dll.dat
Vale la stessa domansa di prima: li devo cancellare prima di procedere con ATF Cleaner e log HijackThis?
Resto in attesa prima di procedere

http://www.hwupgrade.it/forum/showpo...96&postcount=4

[paoladamiano]

Bene.
Senza cancellare ancora niente (i 6 files di cui sopra) , ho girato l'ATF Cleaner ed ecco il log Hijackthis = http://www.fileqube.com/file/gwnumiOn174099

[Chill-Out]

Fixa

Quote:

O4 - HKCU\..\Run: [jfheg] "c:\documents and settings\utente\impostazioni locali\dati applicazioni\jfheg.exe" jfheg

Fai girare questo tool:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza


Riepilogo log da allegare:
Combofix
Nuovo log HJT

[paoladamiano]

Eccomi.
Combofix = http://www.fileqube.com/file/LkVDQUz174109
Nuovo HijackThis = http://www.fileqube.com/file/kXahZplEk174110
Durante il giro di Combofix ho visto che ha cancellato i 4 files jfheg...., ma non mi sembra abbia cancellato i 2 skin_dll.dat e sqlife_dll.dat (di cui sopra).
Attendo istruzioni

[Chill-Out]

Quote:

Originariamente inviato da paoladamiano

Eccomi.
Combofix = http://www.fileqube.com/file/LkVDQUz174109
Nuovo HijackThis = http://www.fileqube.com/file/kXahZplEk174110
Durante il giro di Combofix ho visto che ha cancellato i 4 files jfheg...., ma non mi sembra abbia cancellato i 2 skin_dll.dat e sqlife_dll.dat (di cui sopra).
Attendo istruzioni

Per rimuovere eventuali residui è opportuno fare una scasione online con Eset http://www.eset.com/onlinescan/index.php

[paoladamiano]

Quote:

Originariamente inviato da Chill-Out

Per rimuovere eventuali residui è opportuno fare una scasione online con Eset http://www.eset.com/onlinescan/index.php

ESET On Line Scanner non ha trovato niente, ma ....
la prima volta l'ho fatto partire con l'Avira Guard in funzione; mentre andava Avira ha intercettato NOD48.tmp (TR/Unpacked.Gen Trojan) e NOD8AA.tmp (contains recognition pattern of the APPL/PsExec.E application), entrambi in c:\document and settings\Utente\Impostazioni locali\Temp: li ho messi entrambi in quarantena. A un certo punto ESET si è piantato per buoni 5 minuti.
Ho stoppato lo scan e sono ripartita con un nuovo Eset On Line Scanner dall’inizio, dopo aver disattivato l'Avira Guard.
Ho controllato skin_dll.dat + sqlite_dll.dat (nei Temp): non ci sono più.
Viste le segnalazioni di Avira Guard, ho fatto uno scan con Antivir Avira del quale carico il log = http://www.fileqube.com/file/EvTnVybW174153
Fra le altre cosette, ha messo in quarantena ComboFix.exe!!

A meno che non mi diciate diversamente, per le chiavi di registro non faccio niente.
Come va il pc: per aprire le pagine sul web ci mette un bel po'.
Che ne pensate? Attendo istruzioni
Davvero grazie come sempre

Morale: prima di scaricare un programma dal web, meglio informarsi un po'. Se questo fosse stato fatto in questo caso, il lavorio della vita moderna sarebbe stato diretto altrove

[wjmat]

combo ripristinalo oppure riscaricalo e rilancialo senza scansionare e poi lo rimuovi correttamente come da bigino in firma

[paoladamiano]

Quote:

Originariamente inviato da wjmat

combo ripristinalo oppure riscaricalo e rilancialo senza scansionare e poi lo rimuovi correttamente come da bigino in firma

Riabilitato e eliminato Combofix.
Confesso che quando l'ho lanciato non mi sono riletta le istruzioni e quindi, quando ora sono andata a riabilitare il ripristino di sistema, ho visto che era già riabilitato e che Combofix ha creato un punto di ripristino. Mah!? Spero non abbia conseguenze gravi. Per il momento tutto quello che funzionava prima, funziona anche adesso.
Davvero grazie, Ciao

Morale: non scaricare dal web programmi senza essersi prima documentati

[Chill-Out]

Quote:

Originariamente inviato da paoladamiano

Riabilitato e eliminato Combofix.
Confesso che quando l'ho lanciato non mi sono riletta le istruzioni e quindi, quando ora sono andata a riabilitare il ripristino di sistema, ho visto che era già riabilitato e che Combofix ha creato un punto di ripristino. Mah!? Spero non abbia conseguenze gravi. Per il momento tutto quello che funzionava prima, funziona anche adesso.
Davvero grazie, Ciao

Morale: non scaricare dal web programmi senza essersi prima documentati

Il ripristino è stato riattivato da Combo quindi nessuna anomalia

Quote:

Morale: non scaricare dal web programmi senza essersi prima documentati

Esattamente

[scaal]

Quote:

Originariamente inviato da wjmat

ciao

sembrava che fosse un programma ok, poi mi sono imbattuto in questo
http://www.nod32.it/threat-center/en...a1.php?id=1914

i sintomi più famosi sono questi, verifica che in quella cartella ci siano i fratelli di quel .exe (abilita la visualizzazione dei files nascosti / di sistema)


se li trovi disattiva il ripristino configurazione di sistema
fai pulizia con ATFCleaner
log classico di HiJackThis

mi sono ritrovato i 4 file installati da live-player, così ho fatto una scansione seguendo la "GUIDA ALLA DISINFESTAZIONE".

qui ci sono i file log delle scansioni dei vari programmi proposti dalla guida: http://www.mediafire.com/?sharekey=4...4e75f6e8ebb871

Che faccio ora? qualcuno può aiutarmi?
Grazie per il servizio che date

p.s. Riguardo le varie scansioni (che andavano fatte in ordine) non sono riuscito a fare quella on line con FSecure-online, perchè a un certo punto della scansione, per due volte, mi è uscita una schermata blu di errore che diceva che mancava il driver klyf.sys

[Chill-Out]

Ciao procedi come indicato qui

http://www.hwupgrade.it/forum/showpo...12&postcount=8

NB: manca anche la scansione con A-Squared

[scaal]

Ciao Chill Out, ho fatto come mi hai detto.
Dopo aver eseguito Combofix il pc si è riavviato. Ho aspettato che combofix finisse di fare il suo lavoro, quindi si è aperto il log, ma la prima finestra del programma (quella in dos con la scritta "attendere prego") è ancora lì e non si chiude...

I log di Combofix e Hijackthis sono qui: http://www.mediafire.com/?sharekey=4...4e75f6e8ebb871

Attendo istruzioni.
Grazie!

[Chill-Out]

Quote:

Originariamente inviato da scaal

Ciao Chill Out, ho fatto come mi hai detto.
Dopo aver eseguito Combofix il pc si è riavviato. Ho aspettato che combofix finisse di fare il suo lavoro, quindi si è aperto il log, ma la prima finestra del programma (quella in dos con la scritta "attendere prego") è ancora lì e non si chiude...

I log di Combofix e Hijackthis sono qui: http://www.mediafire.com/?sharekey=4...4e75f6e8ebb871

Attendo istruzioni.
Grazie!

1 Con il Browser chiuso esegui HJT clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sotto indicate voci e clicca su Fix checked

Quote:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - (no file)

2 Apri il blocco note e copia ed incolla queste righe:

Quote:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f759a93-28d4-11de-b12e-001617cf81f4}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{660f9f1a-5e49-11dd-a34f-001617cf81f4}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{841c5cec-6c20-11dd-a375-001617cf81f4}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{be85a9fe-921a-11dd-a390-001617cf81f4}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Riepilogo log da allegare:
Combofix
Nuovo log di HJT
A-Squared

Per cortesia hosta i log su un Server diverso dal precedente altrimenti non si capisce più nulla, aggiornami inoltre sullo stato di salute del PC

[scaal]

Ciao Chillout, dunque...

log combofix: http://www.fileqube.com/file/xOWNxT194432
log hijackthis: http://www.fileqube.com/file/EkhxGQSkp194434
log a-squared: http://www.fileqube.com/file/OZFyYRKa194435

per quanto riguarda il pc penso che goda di buona salute. Cioè.. è abbastanza veloce nell'apertura di finestre, file o programmi, se è questo che intendi...

...però un chek-up ogni tanto...

Attendo nuove. Grazie come sempre

[Chill-Out]

Quote:

Originariamente inviato da scaal

Ciao Chillout, dunque...

log combofix: http://www.fileqube.com/file/xOWNxT194432
log hijackthis: http://www.fileqube.com/file/EkhxGQSkp194434
log a-squared: http://www.fileqube.com/file/OZFyYRKa194435

per quanto riguarda il pc penso che goda di buona salute. Cioè.. è abbastanza veloce nell'apertura di finestre, file o programmi, se è questo che intendi...

...però un chek-up ogni tanto...

Attendo nuove. Grazie come sempre

Direi che siamo OK, ti suggerisco di leggere questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383