Virus Redirect

[Shady88]

ho un virus che mi fa il redirect da google, in pratica clicco su uno dei link dei risultati della ricerca ed il virus mi reindirizza a pagine come quelle di download di live player, Edit by Chill-Out , ecc
ho seguito per filo e per segno la guida alla disinfezione, oltretutto facendo anche una scansione con Ad-Aware a fine scansione(avevo letto su internet che era in grado di rimuovere un virus del genere, ma niente, perchè ho appena veriicato ed il virus ancora c'è)
vi posto i log richiesti per la guida alla disinfezione + per ultimo il log di ad aware
premetto che ho fatto l'analisi del log di hijackthis, ed ha trovato 2 cose sospette, ma conosco benissimo 1 dei componenti sospetti, ed è un componente del programma "http://www.4t-niagara.com/tray.html" 4t tray minimizer..l'altro exe sono del 90% convinto che sia un exe del programma di alice adsl, che mi serve quando uso emule, perchè mi apre le porte per il download da emule che, senza connettermi attraverso la connessione di alice, non va..
attendo impaziente un aiuto per sbarazzarmi del maledetto
ecco i link con tutti i log completi e "filtrati" come da richiesto...
grazie in anticipo per chi riesca a venire a capo al mio problema

Codice:

01 Malwarebytes Anti-Malware http://wikisend.com/download/918578/01 Malwarebytes Anti-Malware.txt
02 A-Squared Free http://wikisend.com/download/438074/02 A-Squared Free.txt
03 F-Secure OnLine Scanner http://wikisend.com/download/508912/03 F-Secure OnLine Scanner.txt
04 Dr.Web CureIt http://wikisend.com/download/445200/04 Dr.Web CureIt.txt
05 ESET SysInspector http://wikisend.com/download/461320/05 ESET SysInspector.xml
06 HiJackThis http://wikisend.com/download/457984/06 HiJackThis.log
07 Gmer http://wikisend.com/download/466984/07 Gmer.log
08 Prevx Screen http://wikisend.com/download/447654/08 Prevx Screen.bmp
09 Prevx Log http://wikisend.com/download/450624/09 Prevx Log.log
10 Ad-Aware http://wikisend.com/download/520582/10 Ad-Aware.txt

[Chill-Out]

Hai dimenticato il link a Mediafire

[Shady88]

01 Malwarebytes Anti-Malware http://wikisend.com/download/918578/01 Malwarebytes Anti-Malware.txt
02 A-Squared Free http://wikisend.com/download/438074/02 A-Squared Free.txt
03 F-Secure OnLine Scanner http://wikisend.com/download/508912/03 F-Secure OnLine Scanner.txt
04 Dr.Web CureIt http://wikisend.com/download/445200/04 Dr.Web CureIt.txt
05 ESET SysInspector http://wikisend.com/download/461320/05 ESET SysInspector.xml
06 HiJackThis http://wikisend.com/download/457984/06 HiJackThis.log
07 Gmer http://wikisend.com/download/466984/07 Gmer.log
08 Prevx Screen http://wikisend.com/download/447654/08 Prevx Screen.bmp
09 Prevx Log http://wikisend.com/download/450624/09 Prevx Log.log
10 Ad-Aware http://wikisend.com/download/520582/10 Ad-Aware.txt

ho modificato il mio messaggio eccoli qua

[Shady88]

qualcuno mi dice se cosa devo fare please?

[xcdegasp]

le scansioni vanno fatte una per volta!
rifai la scansione con a-squared inquanto non avevi fattola scansione DEEP

poi aggiorna malwarebytes e rifai la scansione completa

prevx mostra i seguenti oggetti:

Codice:

[BP] c:\windows\vfind.exe	[PX5: F8B1CE87006684ABCA8901BE6505AF008413DBFC]	Malware Group: High Risk Cloaked Malware

[b] c:\windows\system32\psf.exe	[PX5: 800CE99E00D2216A5080002DDDE82A00CE6C200F]	Malware Group: Medium Risk Malware

[b] c:\windows\system32\mvistasf.exe	[PX5: 99A4917F009305EE60AC003214323B00BCD05E92]	Malware Group: Medium Risk Malware

[BP] c:\portable\megaupload folder extract.exe	[PX5: 1BF19AEDA3180473C62605FC4243D700A935689D]	Malware Group: High Risk Worm

[b] c:\windows\system32\xpsf.exe	[PX5: 936A726B62BA31993077038A7683A700A4CF4F4D]	Malware Group: Medium Risk Malware

poi rifai la scansione con prevx

[Shady88]

Quote:

Originariamente inviato da xcdegasp

le scansioni vanno fatte una per volta!

ti garantisco che le ho fatte 1 per volta

Quote:

Originariamente inviato da xcdegasp

rifai la scansione con a-squared inquanto non avevi fattola scansione DEEP

ti garantisco che avevo fatto la scansione deep, ma a posto di asquared free avevo usato la versione trial del full

Quote:

Originariamente inviato da xcdegasp

poi aggiorna malwarebytes e rifai la scansione completa

ok

[Shady88]

ho rifatto le scansioni che mi hai gentilmente richiesto di rifare, ma tutte, a parte prevx, non rilevavano problemi...i files che prevx segnalava come virus (che sono gli stessi identici che sono nel primo log) li ho eliminati manualmente attraverso lo strumento di rimozione (fileassassin) di malwarebytes antimalware...ho controllato le cartelle dove erano situati e riavviando e navigando un po su internet qua e la, usando un po di applicazioni, i file infetti non sono ricomparsi, ma il redirect mel'ha fatto ancora nonostante tutto...
ora sto facendo una scansione con Spyware Doctor e, non per dire, sono a 22% di scansione e mi ha rilevato 9 infezioni..credo che risolverò il problema dopo che eliminerò tutte le infezioni che trova...ora dico, non voglio venire assolutamente a dirvi come fare il vostro "lavoro" (non lo dico come critica, sia chiaro), ma non credete che un programma come spyware doctor possa essere ritenuto valido al punto di aggiungerlo alla guida per la disinfezione? ripeto, non voglio venire a dirvi come fare il vostro lavoro, ci mancherebbe, ma a me è parso un elemento valido parlando di rilevamento ed eliminazione spyware, rootkit e malware, quindi fossi in voi lo terrei in considerazione..attendo una vostra risposta e, ripeto una volta ancora, che questa cosa che ho detto non possa risultare offensiva, era solo un mio parere di cui vorrei solo discutere con voi

ciao e buon "lavoro" e comunque grazie per l'aiuto fin d'ora datomi, da parte anche di tutti gli utenti a cui abbiate potuto dare il vostro aiuto e che sono riusciti a risolvere i loro problemi

grazie per l'attenzione

[xcdegasp]

il log di malwarebytes era sovrapposto a quello di a-squared che non riportava l'esecuzione come DEEP.

comunque avrai sicuramente ragione te quindi scarica e scansiona con ComboFix:
ComboFix -> Download
Rinomina il file appena scaricato con un nuome a tua scelta (esempio Prova.exe) poi fai doppio click su combofix.exe e segui le istruzioni.
Allega il report C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza compresi firewall e antispyware, spegni il wi-fi e stacca il cavo lan

[Shady88]

Quote:

Originariamente inviato da xcdegasp

il log di malwarebytes era sovrapposto a quello di a-squared che non riportava l'esecuzione come DEEP.

comunque avrai sicuramente ragione te quindi scarica e scansiona con ComboFix:
ComboFix -> Download
Rinomina il file appena scaricato con un nuome a tua scelta (esempio Prova.exe) poi fai doppio click su combofix.exe e segui le istruzioni.
Allega il report C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza compresi firewall e antispyware, spegni il wi-fi e stacca il cavo lan

allora ti allego i log delle scansioni che mi hai chiesto di rifare qualche messaggio fa con malwarebytes e asquared (quella di prevx nuova l'ho cancellata perchè quei file che rilevava infetti li ho eliminati manualmente tramite fileassassin) e il log che ho appena fatto di combofix
mi assicuri che il problema sia risolto?

http://www.mediafire.com/?sharekey=d...4e75f6e8ebb871

ps: grazie per l'aiuto

[xcdegasp]

a-squared li vedeva e hai eseguito la scansione di a-squared prima di malwarebytes:

Codice:

C:\Documents and Settings\Shady88\Cookies\shady88@atdmt[1].txt 	rilevati: Trace.TrackingCookie.atdmt!A2
C:\Portable\FastStone Capture 6.3 Portable\FSRecorder.exe 	rilevati: Worm.Win32.AutoRun!IK
C:\Programmi\Image-Line\FL Studio 8\FL.exe 	rilevati: Trojan.Win32.Buzus!IK
C:\Programmi\Image-Line\FL Studio 8\FL_3GB.exe 	rilevati: Trojan.Win32.Buzus!IK
G:\Multimedia & Altro\Programmi\Immagini\FastStone Capture 6.3\FastStone Capture 6.3.exe/FSRecorder.exe 	rilevati: Worm.Win32.AutoRun!IK
G:\Multimedia & Altro\Programmi\Immagini\FastStone Capture 6.3 Portable\FSRecorder.exe 	rilevati: Worm.Win32.AutoRun!IK

combofix ha rimosso:

Codice:

c:\documents and settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat

se tu dici che è tutto a posto lo è anche per me

[Shady88]

Quote:

Originariamente inviato da xcdegasp

a-squared li vedeva e hai eseguito la scansione di a-squared prima di malwarebytes:

Codice:

C:\Documents and Settings\Shady88\Cookies\shady88@atdmt[1].txt 	rilevati: Trace.TrackingCookie.atdmt!A2
C:\Portable\FastStone Capture 6.3 Portable\FSRecorder.exe 	rilevati: Worm.Win32.AutoRun!IK
C:\Programmi\Image-Line\FL Studio 8\FL.exe 	rilevati: Trojan.Win32.Buzus!IK
C:\Programmi\Image-Line\FL Studio 8\FL_3GB.exe 	rilevati: Trojan.Win32.Buzus!IK
G:\Multimedia & Altro\Programmi\Immagini\FastStone Capture 6.3\FastStone Capture 6.3.exe/FSRecorder.exe 	rilevati: Worm.Win32.AutoRun!IK
G:\Multimedia & Altro\Programmi\Immagini\FastStone Capture 6.3 Portable\FSRecorder.exe 	rilevati: Worm.Win32.AutoRun!IK

combofix ha rimosso:

Codice:

c:\documents and settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat

se tu dici che è tutto a posto lo è anche per me

eh purtroppo no..mel'ha appena rifatto

[wjmat]

• Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
• Apri il Blocco Note e incolla tutto il codice qui sotto

Quote:

Driver::
esihdrv

File::
c:\docume~1\Shady88\IMPOST~1\Temp\esihdrv.sys

• Salva il file sul Desktop come CFScript.txt
• Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
• al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

poi c'è questa chiave che non mi convince

Quote:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0SsiEfr.exe

[xcdegasp]

Quote:

Originariamente inviato da Shady88

eh purtroppo no..mel'ha appena rifatto

infatti, ma se non segui quello che ti diciamo...

[Shady88]

Quote:

Originariamente inviato da xcdegasp

infatti, ma se non segui quello che ti diciamo...

senti xcdegasp, ti garantisco che di tutto quello che mi hai scritto ho seguito tutto passo passo, scansioni del sistema sovrapposte non ne ho mai fatte..

allora sentite, visto che mi sono beccato in bagle perchè sono una testa di rapa, per non dire altro, appena me ne libero provvederò a rifare per filo e per segno la guida alla disinfezione daccapo, solo che le scansioni le effettuerò da modalità provvisoria ove possibile, qualche differenza se le faccio da modalità provvisoria?