Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[Kis]

Con la lettura dei log nessuno mi consiglia un tool specifico? possiamo star tranquilli che dite?

l'unica cosa che mi prene è affiancare un buon antimalware a kav2012, i migliori non sono compatibili, mlawarebyte me l'ha disinstallato al riavvio

chi usa kav2012 che cosa affianca? io per anni sono stato con kav varie versione e un firewall e non ho mai avuto problemi, ma la botta di ieri non mi ha lasciato ottimista, sarà anche che il kav2009 era piuttosto vecchiotto

[Chill-Out]

Quote:

Originariamente inviato da Kis

Con la lettura dei log nessuno mi consiglia un tool specifico? possiamo star tranquilli che dite?

l'unica cosa che mi prene è affiancare un buon antimalware a kav2012, i migliori non sono compatibili, mlawarebyte me l'ha disinstallato al riavvio

chi usa kav2012 che cosa affianca? io per anni sono stato con kav varie versione e un firewall e non ho mai avuto problemi, ma la botta di ieri non mi ha lasciato ottimista, sarà anche che il kav2009 era piuttosto vecchiotto

Direi che siamo a posto, puoi affiancare al Kav, Hitman Pro per le scansioni on demand >> vedi Thread http://www.hwupgrade.it/forum/showthread.php?t=1825614

PS: la prossima volta allega i log su uno dei Server remoti indicati nelle Regole di sezione.

[Kis]

Quote:

Originariamente inviato da Chill-Out

Direi che siamo a posto, puoi affiancare al Kav, Hitman Pro per le scansioni on demand >> vedi Thread http://www.hwupgrade.it/forum/showthread.php?t=1825614

PS: la prossima volta allega i log su uno dei Server remoti indicati nelle Regole di sezione.

Thx chiill, molto gentile.

Volevo segnalare che ho capito anche dove ho preso il virus, sull'home di Toronews, sono un tifoso del toro e riandandoci con il portatile e kav2012 aggiornato non ho avuto problemi ma ha subito bloccato un trojan



Uploaded with ImageShack.us


ho affiancato Malwarebyte Pro disattivando però tutte le protezioni in tempo reale , così non ho problemi con il kav2012 escludendoli l'un l'altro nelle loro opzioni, inoltre faccio girare una portable di trojan killer 2.xx ma da troppi falsi positivi come setpwrcg.exe che è un eseguibile utility della dell!

darò un'occhiata a Hitman pro, ma a questo punto malwarebyte lo tengo proprio per le scansioni on demand


vi ringrazio di cuore come sempre da anni ricevo sempre aiuto dagli utenti di hw

[Kis]

Non so se sono Off Topic ma volevo provare per scrupolo Trojan Killer e saggiarne l'efficacia sul portatile che risulta pulito sia per kav2012 che per malwarebyte

è un software in vendita a 29€ con il logo Kaspersky trusted , della società Gridinsoft

il sito di riferimento è trojan-killer.net

copio dal loro sito:

Quote:

Trojan Killer è progettato specificamente per disabilitare / rimuovere malware senza che l'utente debba modificare manualmente i file di sistema o il Registro. Il programma elimina anche le modifiche del sistema aggiuntivi, alcuni Malware svolge cui vengono ignorati da alcuni scanner antivirus standard.
Trojan Killer scansione di tutti i file caricati all'avvio di Adware, Spyware, Trojan di accesso remoto, Worms internet e altro malware.
Trojan Killer opera nel campo della sicurezza del sistema per garantire la sicurezza per sistemi informatici. Proponiamo prodotti che consentono di sbarazzarsi di fastidiosi adware, strumenti grezzi malware e altri. E 'molto importante per ristabilire il controllo sul tuo computer il più presto possibile senza che nessuno utilizzerà i vostri dati.

Non è possibile che dia tutti questi falsi positivi, sono sicuro al 100% per le prime voci, sono eseguibili di alcune utility della dell, mentre sulla terz'ultima ho qualche perplessità, Sysinv.dll è un file che ho sempre avuto in più pc perchè giocavo a quake3 , mi sembra strano lo vedo come un win32/worm...

l'ultima voce è l'unica attendibile, potrebbe essere un trojan backdoor irc, visto che è un file warez.


By the way ho seri dubbi su questo software , attenti quindi quando lo usate, non rimuovete file se non ne siete sicuri.

allego il log

che ne pensate a riguardo?

.log]scan-2011-12-16 [19-26-21].log

[Chill-Out]

Quote:

Originariamente inviato da Kis

ho affiancato Malwarebyte Pro disattivando però tutte le protezioni in tempo reale , così non ho problemi con il kav2012 escludendoli l'un l'altro nelle loro opzioni, inoltre faccio girare una portable di trojan killer 2.xx ma da troppi falsi positivi come setpwrcg.exe che è un eseguibile utility della dell!

Dal momento che hai acquistato la versione PRO, non ha senso tenere disattivata la protezione in tempo reale (per le scansioni su richiesta andava benissimo la FREE). Riattiva la protezione in tempo reale ed escludi reciprocamente MBAM dal KIS.

Quote:

Originariamente inviato da Kis

Non so se sono Off Topic ma volevo provare per scrupolo Trojan Killer e saggiarne l'efficacia sul portatile che risulta pulito sia per kav2012 che per malwarebyte

è un software in vendita a 29€ con il logo Kaspersky trusted , della società Gridinsoft

il sito di riferimento è trojan-killer.net

copio dal loro sito:


[/url]

Non conosco il prodotto in questione ed il log non è disponibile.

[Kis]

Quote:

Originariamente inviato da Chill-Out

Dal momento che hai acquistato la versione PRO, non ha senso tenere disattivata la protezione in tempo reale (per le scansioni su richiesta andava benissimo la FREE). Riattiva la protezione in tempo reale ed escludi reciprocamente MBAM dal KIS.

attivata, l'avevo disabilitata perchè molti utenti avevano crash con kav2012 installato, a me tutto ok.

Quote:

Originariamente inviato da Chill-Out

Non conosco il prodotto in questione ed il log non è disponibile.

il log è ancora scaricabile strano

volevo dirti che ho ancora un trojan trovato oggi in C:\Documents and Settings\All Users\Dati applicazioni

kav l'ha rimosso e mi ha inoltro consiglia le seguenti cose:


1) Autorun dalle unità di rete abilitate....
2) esecuzione automatica dai dischi rigidi consentite
3) Autorun per supporti rimovibili abilitato


ho fixato tutto ;=)


update: continuo ad avere un block ip di malwarebytes
ecco il whois

IP address:
83.128.67.0
Server Location:
Oudenbosch, Noord-Brabant in Netherlands
ISP:
CAIW Diensten B.V.

ho la sensazione di avere ancora qualche backdoor o trojan

thx ancora

[CIA Unreal]

aiuto raga! Nel portatile regalato a mia madre una settimana fa è entrato windows 7 internet security 2012 ..ho fatto 20scansioni sia con avg sia con spybot ma niente! Non mi va sulla rete e non mi apre più quasi nulla.. Non so proprio come fare.. Qualcuno mi aiuta per favore?

[Chill-Out]

Quote:

Originariamente inviato da CIA Unreal

aiuto raga! Nel portatile regalato a mia madre una settimana fa è entrato windows 7 internet security 2012 ..ho fatto 20scansioni sia con avg sia con spybot ma niente! Non mi va sulla rete e non mi apre più quasi nulla.. Non so proprio come fare.. Qualcuno mi aiuta per favore?

Provato in Modalità provvisoria con supporto di rete ?

[Omnhio]

Continuo qui come suggerito da Chill-Out...la risposta è "Si anche in modalità provvisoria mi parte il ripristino del sistema dopo 4-5 righe che compaiono in sequenza. L'evoluzione e il finale sono sempre gli stessi: sistema operativo non trovato (lista vuota), avanti, Opzioni ripristino sistema, tutte falliscono!"

[Omnhio]

Per precisazione invio schermata FAC-SIMILE prima della schermata finale.



Ma ripeto: a me dà una lista vuota, a differenza dell'immagine qui sopra!

[Chill-Out]

Quote:

Originariamente inviato da Omnhio

Per precisazione invio schermata FAC-SIMILE prima della schermata finale.



Ma ripeto: a me dà una lista vuota, a differenza dell'immagine qui sopra!

Secondo me hai fatto qualche pasticcio col Dos

[Omnhio]

No, non credo di aver fatto pasticci col DOS, dato che da subito dopo l'infezione non partiva correttamente Windows 7 nè in modalità normale nè in modalità provvisoria!

Comunque sono riuscito a risolvere tramite vari passaggi che mi hanno portato a scoprire delle anomalie. Prima di tutto il trojan: DOS/Alureon.E, che si era infilato in una partizione creata ad HOC nel disco dati (nel mio caso E) e resa nascosta. Questo bastardone evidentemente non è riuscito a farlo nel disco primario di boot (C), forse perché SSD. Infatti quando, per sicurezza personale prima di fare altri test, ho voluto staccare fisicamente l'HDD di dati (E), nel successivo reboot dava il messaggio tipico di un MBR danneggiato (ma almeno caricava correttamente dall'SSD). Grazie al DVD originale di Win7 ho fatto il ripristino sistema, cliccando la prima opzione "Ripristino all'avvio", e stavolta l'ha fatto permettendomi quindi di accedere alla modalità provvisoria di Win7. Da qui ho potuto seguire tranquillamente la tua guida e tutto è andato bene.

Come però ho riattaccato l'HDD di dati era tornato tutto esattamente come prima! Praticamente si era imposto nel BIOS come disco principale di boot e ho dovuto modificare manualmente quest'opzione e infatti è poi tornato a rifunzionare. Ma non è finita qui. Dopo il corretto ripristino del sistema da Win7 in modalità normale vedevo un terzo HDD (la famosa partizione creata e nascosta) che però aveva preso la lettera E, modificando di conseguenza la "vera" (divenuta F) quindi sputtandomi tutti i collegamenti sul desktop e menù avvio! Ho dovuto riavviare con una distro Live di Linux (GPARTED) e cancellare brutalmente questa partizione che continuava a contenere il trojan.

Bene, sono ora giunto ad una situazione abbastanza normale. Mi rimane soltanto un avvio un pò strano: durante il boot si vede la scritta "Starting Windows" senza icona animata sopra e poi poco tempo dopo (un paio di secondi) appare la vecchia barra di caricamento gialla (in stile Vista per capirci), ma per il resto tutto è tornato alla normalità! Mah...

[Omnhio]

Aggiungo una precisazione per quanto riguarda la causa dell'infezione. Proprio adesso ha completato la scansione completa di tutti i dischi presenti nel mio pc ed ha rilevato due problemi che sono stati chiave per l'attacco (ovviamente ora li ha rimossi): un bel "Exploit:Java/CVE-2010-0840.MQ" seguito da "TrojanDownloader:Java/OpenConnection". In pratica la causa è stata una falla di Java che ha permesso all'hacker di aprire una connessione e scaricare arbitrariamente un trojan, il già citato "Trojan:DOS/Alureon.E"!

Il resto è storia...

[Chill-Out]

Quote:

Originariamente inviato da Omnhio

No, non credo di aver fatto pasticci col DOS, dato che da subito dopo l'infezione non partiva correttamente Windows 7 nè in modalità normale nè in modalità provvisoria!

Comunque sono riuscito a risolvere tramite vari passaggi che mi hanno portato a scoprire delle anomalie. Prima di tutto il trojan: DOS/Alureon.E, che si era infilato in una partizione creata ad HOC nel disco dati (nel mio caso E) e resa nascosta. Questo bastardone evidentemente non è riuscito a farlo nel disco primario di boot (C), forse perché SSD. Infatti quando, per sicurezza personale prima di fare altri test, ho voluto staccare fisicamente l'HDD di dati (E), nel successivo reboot dava il messaggio tipico di un MBR danneggiato (ma almeno caricava correttamente dall'SSD). Grazie al DVD originale di Win7 ho fatto il ripristino sistema, cliccando la prima opzione "Ripristino all'avvio", e stavolta l'ha fatto permettendomi quindi di accedere alla modalità provvisoria di Win7. Da qui ho potuto seguire tranquillamente la tua guida e tutto è andato bene.

Come però ho riattaccato l'HDD di dati era tornato tutto esattamente come prima! Praticamente si era imposto nel BIOS come disco principale di boot e ho dovuto modificare manualmente quest'opzione e infatti è poi tornato a rifunzionare. Ma non è finita qui. Dopo il corretto ripristino del sistema da Win7 in modalità normale vedevo un terzo HDD (la famosa partizione creata e nascosta) che però aveva preso la lettera E, modificando di conseguenza la "vera" (divenuta F) quindi sputtandomi tutti i collegamenti sul desktop e menù avvio! Ho dovuto riavviare con una distro Live di Linux (GPARTED) e cancellare brutalmente questa partizione che continuava a contenere il trojan.

Bene, sono ora giunto ad una situazione abbastanza normale. Mi rimane soltanto un avvio un pò strano: durante il boot si vede la scritta "Starting Windows" senza icona animata sopra e poi poco tempo dopo (un paio di secondi) appare la vecchia barra di caricamento gialla (in stile Vista per capirci), ma per il resto tutto è tornato alla normalità! Mah...

Sembrerebbe di si, dal momento che hai dovuto utilizzare il CD di installazione di Win per ripristinare il sistema. Comunque è da tempo che RogueAV e Alureon viaggiano in coppia.

Quote:

Originariamente inviato da Omnhio

Aggiungo una precisazione per quanto riguarda la causa dell'infezione. Proprio adesso ha completato la scansione completa di tutti i dischi presenti nel mio pc ed ha rilevato due problemi che sono stati chiave per l'attacco (ovviamente ora li ha rimossi): un bel "Exploit:Java/CVE-2010-0840.MQ" seguito da "TrojanDownloader:Java/OpenConnection". In pratica la causa è stata una falla di Java che ha permesso all'hacker di aprire una connessione e scaricare arbitrariamente un trojan, il già citato "TrojanOS/Alureon.E"!

Il resto è storia...

Per questo è importante tenere aggiornati i Plug-in

[lee 27]

allora ho rimosso i trojan con anti malware ma appena riavvio e clicco su impostazioni firewall mi compare questo messaggio c windows system32 firewallsettings.exe applicazione non trovata

[Chill-Out]

Quote:

Originariamente inviato da lee 27

allora ho rimosso i trojan con anti malware ma appena riavvio e clicco su impostazioni firewall mi compare questo messaggio c windows system32 firewallsettings.exe applicazione non trovata

Potresti allegare i log esattamente come indicato in prima pagina?

[Merimange]

Dunque come scritto ieri ho beccato uno di questi...il problema è che ( con Vista ) non riesco a disattivare il rispristino della configurazione di sistema: dopo che sono andato in pannello di controllo -> sistema -> protezione sistema si apre una finestra di "proprietà del sistema" che da quanto ho visto in rete dovrebbe avere 5 voci: nome computr, hardware, avanzate, protezione sistema ( da vui fare la spunta dei dischi disponibili ) e connessione remota. Il problema è che nella finestra che si apre a me sono solo 4 voci e manca proprio "protezione sistema"!
Dov'è l'arcano???

[lee 27]

cavolo, dopo aver cancellato i malware e dopo aver riavviato ogni volta che apro un programma mi compare la finestra apri con, e ogni volta devo andare a ricercare l'exe per farlo ripartire! cosa è successo? il prima possibile posto il log! cmq neanche io sono riuscito a disattivare il rispristino della configurazione di sistema

[Chill-Out]

Quote:

Originariamente inviato da Merimange

Dunque come scritto ieri ho beccato uno di questi...il problema è che ( con Vista ) non riesco a disattivare il rispristino della configurazione di sistema: dopo che sono andato in pannello di controllo -> sistema -> protezione sistema si apre una finestra di "proprietà del sistema" che da quanto ho visto in rete dovrebbe avere 5 voci: nome computr, hardware, avanzate, protezione sistema ( da vui fare la spunta dei dischi disponibili ) e connessione remota. Il problema è che nella finestra che si apre a me sono solo 4 voci e manca proprio "protezione sistema"!
Dov'è l'arcano???

Passa ai punti successivi

[lee 27]

alloooora ho fatto una seconda scansione stanotte e mi ha trovato altri due virus, li ho eliminati e magicamente i programmi adesso si riaprono tutti senza apri con, e l'icona di vista security 2012 che era in basso a destra non c'è più, come faccio a sapere se l'ho eliminato definitivamente?