azovheq.exe un processo misterioso

[Mezzanotte]

L'altro giorno, installando incautamente un codec proveniente da una fonte dubbia, sono rimasto vittima di un malaware che pressava firefox all'esecuzione di un file javascript (ovviamente negato). Dopo le scansioni di rito con antivirus e spybot ho dato un'occhiata ai processi attivi in background e subito mi è saltato all'occhio

azovheq.exe

la descrizione dice: Maskiseft Visual Studie 2010

e l'eseguibile si trova in utente\AppData\Roaming\Ykquybel

Considerando che non mi pareva di aver mai visto la voce prima di allora faccio una ricerca su google e... be' non trovo nulla. Nulla sull'eseguibile, nulla neanche con Maskiseft. Nulla nel senso di zero voci sul più grande motore di ricerca del pianeta. Possibile? Che roba è?

Se killo il processo lui riparte immediatamente.

[Mezzanotte]

Un piccolo aggiornamento: per il mio antivirus (Comodo) il file era ok, ma su VirusTotal 15 motori su 54 lo consideravano malevolo così ho provveduto a cancellarlo manualmente, anche perché risultava creato di ricente, guarda caso lo stesso giorno in cui mi sono beccato il malaware.

Il file però viene ricreato ogni volta.

[tallines]

Quote:

Originariamente inviato da Mezzanotte

L'altro giorno, installando incautamente un codec proveniente da una fonte dubbia.

Ciao, sempre scaricare tutto, dalle applicazioni, ai driver, ai codec.............dal sito della casa madre, onde evitare sorprese

Disattiva i punti di ripristino, scaricati Combofix e AdwCleaner sul desktop e li avvi da modalità provvisoria .
Prima avvia Combofix .

Per Adwcleaner seleziona Scansione e poi Pulisci .

[Mezzanotte]

Innanzitutto grazie per la sollecita risposta. Ho fatto tutto come dicevi. Entrambi i programmi hanno eliminato un po' di roba, compresa la cartella sospetta, ma dopo i riavii di rito il processo è ancora attivo e il file è stato ricreato nello stesso posto di prima. E ti assicuro che prima ho eliminato i salvataggi e disabilitato il ripristino, che infatti risulta ancora disattivato.

La macchina sembra funzionare bene, ma rimane l'incognita della sicurezza a questo punto. Ma la cosa che mi colpisce di più è che per google questa roba non esiste. Deve essere nuova nuova.

[tallines]

Quote:

Originariamente inviato da Mezzanotte

Innanzitutto grazie per la sollecita risposta. Ho fatto tutto come dicevi. Entrambi i programmi hanno eliminato un po' di roba, compresa la cartella sospetta, ma dopo i riavii di rito il processo è ancora attivo e il file è stato ricreato nello stesso posto di prima. E ti assicuro che prima ho eliminato i salvataggi e disabilitato il ripristino, che infatti risulta ancora disattivato.

Per caso.....la voce > Maskiseft Visual Studie 2010 non è che l' hai anche in programmi ? Prova a cercarla tramite Start/Cerca .

Pulisci i fle temporanei di internet & C con Atf Cleaner .

Lo scarichi sul dekstop, lo avvii con il classico doppio click, prima click sulla voce Select All e poi su Empty Selected .

Puoi usare anche CCleaner, solo alla voce Pulizia .

Elimina la cartella da dove si trova vai nel registro e cerca le voci che si riferiscono a questo file, applicazione o ............

Digita Regedit da Start/Cerca programmi e file .

Una volta nel registro vai alla voce Modifica/Trova .

Lascia l' ultima voce > Stringa intera, senza segno di spunta .

Digita una per volta queste tre voci, fino alla fine della ricerca in tutto il registro :

1 - azovheq.exe
2 - Maskiseft Visual Studie 2010
3 - Ykquybel

Ogni voce che viene individuata, sia a destra che a sinistra del registro e che fa riferimento alle tre voci, tasto destro del mouse sulla stessa/Elimina .

Chiudi il registro, non riavviare .

Le tre voci 1, 2 e 3 cercale anche in C, a cartelle nascoste, visibili .

Scaricati sul desktop RegSeeker freeware, è versione portable > http://www.hoverdesk.net/

Lo decomprimi, si crea una cartella, vai all' interno della cartella e avvii l' .exe .

Togli il segno di spunta alla voce > copia delle voci rimosse .

Vai alla voce Cronologia-Vecchie voci menu Start/Avvio, .

Quello che esce, vai su Seleziona/Seleziona tutto, Azione/Elimina i valori selezionati .

Adesso su RegSeeker vai alla voce Pulizia del registro e avviala .

Le voci che escono e che fanno riferimento al punto 1, 2 e 3 le elimini : selezioni la voce con il mouse/tasto destro/Elimina valore selezionato .

Riavvia il pc .

[Blue_screen_of_death]

Fai tutto quello che c'è scritto qui.

http://www.hwupgrade.it/forum/showthread.php?t=1599737

[homoinformatico]

Imho il nome del file viene generato casualmente (magari a partire da cose tipo l'id del disco), per cui Google non ne sa nulla per questo.

Sempre Imho il vero problema è di trovare la componente rootkit, che è quella che crea o scarica il virus vero e proprio e lo chiama in quel modo strano. Prova a montare il disco su un altro pc e fare da li la scansione e vedi se cambia qualcosa

[Mezzanotte]

Grazie, grazie a tutti per i consigli.

Prima di leggere gli ultimi post, non sapendo ancora bene come procedere, ho innalzato il livello di sicurezza generale del pc e isolato manualmente il processo sospetto, anche se non ho potuto eliminarlo e continuava a succhiare risorse in background.

Poi, con l'ultimo aggiornamento, l'antivirus ha centrato il diabolico azovheq.exe e lo ha quarantinato senza pietà eliminandolo dai processi attivi.

In alto i calici signori

[Blue_screen_of_death]

Alt. Se si trattava di rootkit, sei ancora infetto.

[tallines]

Quote:

Originariamente inviato da Mezzanotte

Poi, con l'ultimo aggiornamento, l'antivirus ha centrato il diabolico azovheq.exe e lo ha quarantinato senza pietà eliminandolo dai processi attivi.

In alto i calici signori

L' antivirus aggiornato ti ha beccato l' intruso

Però un giro con un anti rootkit lo farei o di nuovo con Combofix riscaricato, perchè in Combofix c'è già Gmer, che è un anti rootkit .

Tieni pulito il pc dai file temporanei di internet come suggerito al post n.5, sempre

[Mezzanotte]

Ma sopratutto siate diffidenti, aggiungerei io. I malintenzionati sono diventati ormai particolarmente subdoli. Nel mio caso mi sono imbattuto in un blog cinematografico (inglese) che offriva torrent di film non ancora distribuiti in Italia. Il blog appariva serissimo, stile professionale e curato, ogni film era categorizzato, aveva una completa scheda con i dati cinematografici e con le caratteristiche del rip e riportava non solo la trama ma perfino una recensione critica e commenti che ho letto e trovato molto pertinenti.

La cosa che doveva mettermi sull'avviso era la richiesta di installare un codec per visionare il file. Sentivo un vago odorino di bruciato ma la fonte mi sembrava ormai attendibile e la curiosità ha avuto la meglio.

Sembra fosse un trojan, ma farò anche diversi scan anti rootkit ovviamente.

[tallines]

Devi controllare i link dove entri, soprattutto quelli che non conosci e stare attento a cosa scarichi .