[Vista] Sicuramente infetto,ma non so'da cosa!

[Fronk]

Salve a tutti!
Sul pc di mia sorella da un po'di tempo a questa parte cominciavano a comparire finestre in cui mi diceva che un "tal" programma voleva avviarsi e mi chiedeva se dare il via libera oppure no.Io logicamente rispondevo di no e chiudevo la finestra.
Il fatto è cominciato dopo che da qualche settimana era scaduta la versione di prova del norton che già era preinstallato all'acquisto del pc.
Mentre davo uno sguardo a che antivirus avrei dovuto rivolgermi per sostituire il norton,in questo periodo di tempo sono cominciati i problemi non tanto gravi nel senso che comunque si riesce ad utilizzare il pc senza rallentamenti e cose del genere ma sicuramente è entrato qualche virus.
Ho eseguito attentamente la guida alla disinfezione ma al termine della stessa guida diceva che una volta fatti tutti i controlli avrei dovuto aver compreso di che infezione si trattava e postare nella sezione giusta.Io vorrei far così ma onestamente non ho capito dove postare in quanto non ho capito di cosa si tratta.Se mi consigliate voi dove mi devo rivolgere...
Sotto allego tutte le scansioni richieste dalla guida:

Malwarebytes Anti-Malware : http://www.fileqube.com/file/dATXVwQGM204422

A-Squared Free v4.x : http://www.fileqube.com/file/mniKgaE204423

F-Secure OnLine : http://www.fileqube.com/file/YjGaaI204410

Dr.Web CureIT : http://www.fileqube.com/file/eNZDpWw204412
http://www.fileqube.com/file/lnYexnxFN204413 (in questa scansione mi era stato chiesto se volessi "curare" l'oggetto io ho accettato ma lo ha cancellato,non so'se era un oggetto importante)

ESET SysInspector : http://www.fileqube.com/file/ktuQvwV204415

HiJackThis : http://www.fileqube.com/file/GKCmKGqa204417

Gmer : Service (*** hidden *** ) [SYSTEM] kungsfncebldom <-- ROOTKIT !!!
http://www.fileqube.com/file/ZYXuVoKPD204434

Prevx 3.0 : http://www.fileqube.com/file/rLorSR204418
http://www.fileqube.com/file/OqoIevAh204424

Ditemi come agire.Grazie

[Chill-Out]

Ciao, ripeti scansione completa con MBAM e A2 dai log si evince che non hai messo in quarantena nulla, successivamente produci i seguenti log:

MBAM
A2
Gmer in formato .txt
Prevx per ottenerlo basta cliccare a fine scansione su Tools- Salva file di log

[Fronk]

Ho modificato i logs,avevo postato quelli sbagliati,infatti i file i programmi me li vedono in quarantena.
Solo il log di a-squared non so'se si legge,fatemi sapere.

[Chill-Out]

Quote:

Originariamente inviato da Fronk

Ho modificato i logs,avevo postato quelli sbagliati,infatti i file i programmi me li vedono in quarantena.
Solo il log di a-squared non so'se si legge,fatemi sapere.

Allega il log di Gmer, thx.

[Fronk]

Log allegato,non l'avevo messo perchè nella guida diceva di scrivere solo le parti segnate in rosso

[Chill-Out]

Fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Questo è ciò che recita la Guida, comunque adesso abbiamo anche il log

Quote:

a default le impostazioni sono già corrette basta premere "scan" e attendere che si apra un nuovo documento di testo con il log generato per salvarlo nel proprio pc e pubblicarlo nel thread, segnarsi le eventuali voci scritte in rosso all'interno della finestra di Gmer e indicarle nel thread.

[Fronk]

Ecco il log di ComboFix : http://www.fileqube.com/file/CYAErfC204444

Son successe due cose strane:
Mentre faceva la scansione (io mi ero allontanato)si è riavviato il pc penso sia stato il programma stesso,ma quando si è riavviato c'era la finestra che diceva di non utilizzare nessun programma mentre faceva la scansione,ma la riavvio logicamente si è anche riattivato Prevx (non so'se questo abbia influito sulla scansione)
Quando ho attivato internet mi ha avvisato che internet explorer non era più il broweser predefinito...cosa faccio?

[Fronk]

Quote:

a default le impostazioni sono già corrette basta premere "scan" e attendere che si apra un nuovo documento di testo con il log generato per salvarlo nel proprio pc e pubblicarlo nel thread, segnarsi le eventuali voci scritte in rosso all'interno della finestra di Gmer e indicarle nel thread.

Hai ragione non avevo fatto caso al fatto di pubblicarlo nel thread,avevo visto solo il fatto delle voci in rosso.

Ne approfitto per chiedere,visto che vorrei seguire la guida post disinfezione,come posso eliminare definitivamente norton dal pc.So'che è un po' complicato disinstallarlo correttamente e completamente,quindi chiedo notizie in merito.

[wjmat]

nel trattamento post disinfezione, c'è un link al post con il remover per norton

[Chill-Out]

Quote:

Originariamente inviato da Fronk

Ecco il log di ComboFix : http://www.fileqube.com/file/CYAErfC204444

Son successe due cose strane:
Mentre faceva la scansione (io mi ero allontanato)si è riavviato il pc penso sia stato il programma stesso,ma quando si è riavviato c'era la finestra che diceva di non utilizzare nessun programma mentre faceva la scansione,ma la riavvio logicamente si è anche riattivato Prevx (non so'se questo abbia influito sulla scansione)
Quando ho attivato internet mi ha avvisato che internet explorer non era più il broweser predefinito...cosa faccio?

Quote:

Originariamente inviato da Fronk

Hai ragione non avevo fatto caso al fatto di pubblicarlo nel thread,avevo visto solo il fatto delle voci in rosso.

Ne approfitto per chiedere,visto che vorrei seguire la guida post disinfezione,come posso eliminare definitivamente norton dal pc.So'che è un po' complicato disinstallarlo correttamente e completamente,quindi chiedo notizie in merito.

Bene, adesso allega un nuovo log di Gmer e Prevx 3.0

[Fronk]

Allora ecco i due log:

gmer : http://www.fileqube.com/file/IpYsPV204537

Prevx : http://www.fileqube.com/file/VnFpli204538
http://www.fileqube.com/file/vuwats204539

Mentre gmer sembra non abbia riscontrato nulla,mi sembra non ci siano voci in rosso,Prevx continua a trovare 7 infezioni...

[wjmat]

• Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
• Apri il Blocco Note e incolla tutto il codice qui sotto

Quote:

File::
c:\users\valeria\hmovhh.exe
c:\users\valeria\bxkuhk.exe
c:\users\valeria\wuhreh.exe

• Salva il file sul Desktop come CFScript.txt
• Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
• al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

fai anche una nuova scansione con mbam

[Fronk]

Fatto la procedura con combofix : http://www.fileqube.com/file/gLGXUuukF204588

Mbam non ha rilevato nulla : http://www.fileqube.com/file/qutEHn204589

Prevx invece continua a segnalarmi problemi : http://www.fileqube.com/file/nXiRcQ204590
http://www.fileqube.com/file/XqGtIoYFt204591

[Fronk]

Quote:

Originariamente inviato da wjmat

nel trattamento post disinfezione, c'è un link al post con il remover per norton

Si lo so',è un tool di norton stesso,ma è completamente efficace?
Poi bisogna prima disinstallarlo dalla lista dei programmi installati e poi usare il tool oppure usare direttamente il remover per norton?


Prima di postare domando: visto che sto facendo un servizio identico sul pc di mia cugina,posso scrivere direttamente in questa discussione già aperta o ne devo aprirne un'altra nuova?

[wjmat]

comincia a rimuoverlo nel modo classico

per l'altro pc sarebbe meglio un 3d dedicato con un titolo esplicativo del problema

[Chill-Out]

Quote:

Originariamente inviato da Fronk

Si lo so',è un tool di norton stesso,ma è completamente efficace?
Poi bisogna prima disinstallarlo dalla lista dei programmi installati e poi usare il tool oppure usare direttamente il remover per norton?


Prima di postare domando: visto che sto facendo un servizio identico sul pc di mia cugina,posso scrivere direttamente in questa discussione già aperta o ne devo aprirne un'altra nuova?

Allega un nuovo log di HijackThis

[Fronk]

Quote:

Originariamente inviato da Chill-Out

Allega un nuovo log di HijackThis

Ecco il log : http://www.fileqube.com/file/OOhmVJWXI204740

Quote:

Originariamente inviato da wjmat

per l'altro pc sarebbe meglio un 3d dedicato con un titolo esplicativo del problema

Si ok ma mi ritroverei nella stessa situazione in cui ho aperto questa discussione,cioè non so'precisamente come identificare il problema quindi dovrei mettere un titolo simile a questo di questo thread,in più anche questo pc utilizza Vista.Il problema è che io ho fatto le varie scansioni ma poi in base a cosa devo assegnare il titolo della discussione?Se una scansione mi segnala la presenza di malware ed un'altra la presenza di trojan...

[Chill-Out]

Dunque, la voce segnalata da Prevx

Quote:

c:\program files\yontoo layers client for internet explorer\yontooieclient.dll

non è un problema, comunque esegui HJT con il Browser chiuso, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

Quote:

O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo Layers Client for Internet Explorer\YontooIEClient.dll
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - hxxp://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?IT (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} - http://uc.sina.com.cn/download/live/weblive2.4.0.0.cab
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6715D12F-213F-4C6E-ACE1-8A363F550B96} (CPlayFirstDoggieDashControl Object) - http://webgames.d.tmsrv.com/c=9e38d6...=t_25oa_itca_w g/p/release/playfirst/wg_doggiedash/doggiedash/DoggieDash.1.0.0.6.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C237A80A-4C55-4C68-BAA9-CBE4408D12B2} (F-Secure Online Scanner 4.0 Launcher) - http://download.sp.f-secure.com/ols/...fslauncher.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab

Perchè aprire una nuova discussione approfittiamo di questa, quindi se desideri puoi allegare i log del PC della cugina

[Fronk]

Quote:

Originariamente inviato da Chill-Out

Dunque, la voce segnalata da Prevx



non è un problema, comunque esegui HJT con il Browser chiuso, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked


Perchè aprire una nuova discussione approfittiamo di questa, quindi se desideri puoi allegare i log del PC della cugina

Una cosa strana,ho fixato 2-3 volte le voci che mi hai "gentilmente" indicato ma ogni volta che rifaccio la scansione ricompaiono,da che dipende?
Quando dici di avere il Browser chiuso intendi che non ci devono essere aperte finestre di internet o che non deve essere proprio connesso?

Ok grazie allora a breve posto anche i log dell'altro pc.

[Fronk]

Allora ho rifatto la procedura in modalità provvisoria e sembra che sia andata a buon fine,ecco il risultato: http://www.fileqube.com/file/KHJOwlkM204758