Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[wjmat]

Quote:

Originariamente inviato da manuxla

Buongiorno a tutti,
da ieri viene visualizzato questo rogue, che mi ha anche fatto sparire avast
Ho cercato di rimuoverlo seguendo la vostra guida:
-disattivato ripristino configurazione sistema
-malwarebytes viene bloccato
-scansione in modalità provvisoria con a-square, ha rilevato una trentina di virus assortiti: backdoor, trojan e worm.
Li ho rimossi, ma le varie finestre di avvisi "antivirus xp 2010" continuano ad apparire, pertanto ho tentato di rimuoverle usando sdfix,il quale ha cancellato un rootkit; al termine ho installato anche xp virus alert, ma queste maledette finestre sono sempre li. Volevo rimuoverle manualmente ma appena cerco di impostare la lingua in inglese il pc si blocca.

Allego il log di hijackthis sperando possiate aiutarmi, grazie anticipatamente.

ciao

passa al post#3
http://www.hwupgrade.it/forum/showpo...13&postcount=3

[astuziadelmago]

Quote:

Originariamente inviato da Chill-Out

In funzione del SO

http://www.hwupgrade.it/forum/showthread.php?p=28208868

http://www.hwupgrade.it/forum/showthread.php?t=2016110

vedo che non racconto nulla di nuovo

Grazie ancora Chill !!!!

[Chill-Out]

Quote:

Originariamente inviato da astuziadelmago

vedo che non racconto nulla di nuovo

Grazie ancora Chill !!!!

Prego

[manuxla]

Quote:

Originariamente inviato da wjmat

ciao

passa al post#3
http://www.hwupgrade.it/forum/showpo...13&postcount=3

Buonasera,
ho terminato la disinfestazione e finalmente le finestrelle maledette sono scomparse
rkill da solo non è bastato, quindi ho utilizzato anche combofix che mi ha permesso l'avvio di malware.
Allego i vari log, così potete dirmi se è tutto risolto o se devo fare qualche altra disinfestazione.
Grazie per l'attenzione
http://www.filedropper.com/1rkill
http://www.filedropper.com/2combofix
http://www.filedropper.com/3mbam-log-2010-02-0216-55-46
http://www.filedropper.com/4mbam-log-2010-02-0216-56-04


Spero di non aver commesso errori questa volta.

[Chill-Out]

Quote:

Originariamente inviato da manuxla

Buonasera,
ho terminato la disinfestazione e finalmente le finestrelle maledette sono scomparse
rkill da solo non è bastato, quindi ho utilizzato anche combofix che mi ha permesso l'avvio di malware.
Allego i vari log, così potete dirmi se è tutto risolto o se devo fare qualche altra disinfestazione.
Grazie per l'attenzione

I log allegati come indicato in prima pagina, thx.

[mmmx]

Si avvia col titolo:
"XP Antispyware 2010" e con la grafica del centro sicurezza pc di win xp

Anche in modalità provvisoria si avvia appena cerco di far partire antimalawere o prevx o firefox o ccleaner o aft cleaner

Da task manager posso fermare la struttura processi ma appena mi muovo riparte.

Siccome avevo prevx attivo al momento dell'infezione questo è il link alla pagina di prevx

lo da segnalato il 3 febbraio 2010

http://info.prevx.com/aboutprogramte...1-F9A572966520

qualcuno sa dirmi come procedere?

Intanto provo questa guida:

http://tentativi.blogspot.com/2010/0...virus-pro.html

La guida sembra funzionare, a patto di capire come si può fare partire i programmi in quelle condizioni:

Io ho fatto così:

Intanto dovevo cancellare il file av.exe ma anche quando accedevo a esplora risorse il virus si attiva

Quindi con task manager aperto avviavo esplora risorse e appena partiva av.exe fermavo il processo (non la struttura processi altrimenti non partiva l'applicazione)

Trovato e cancellato av.exe se provi a far partire un programma, ad esempio regedit ti chiede l'applicazione con cui aprirlo... non funziona

Allora localizza sempre con esplora risorse l'eseguibile che vuoi eseguire, nel caso regedit.exe e clikka col tasto destro e seleziona "start"

In questo modo sono riuscito a cancellare le chiavi e far partire antimalawere

[wjmat]

Quote:

Originariamente inviato da mmmx

Si avvia col titolo:
"XP Antispyware 2010" e con la grafica del centro sicurezza pc di win xp

Anche in modalità provvisoria si avvia appena cerco di far partire antimalawere o prevx o firefox o ccleaner o aft cleaner

Da task manager posso fermare la struttura processi ma appena mi muovo riparte.

Siccome avevo prevx attivo al momento dell'infezione questo è il link alla pagina di prevx

lo da segnalato il 3 febbraio 2010

http://info.prevx.com/aboutprogramte...1-F9A572966520

qualcuno sa dirmi come procedere?

Il rescue disk di avira?

Oppure, posso accedere al disco da un'altra partizione e fare da lì la pulizia?

Intanto provo questa guida:

http://tentativi.blogspot.com/2010/0...virus-pro.html

ciao

perchè non seguire il 1° post?

[Mastermind06]

Quote:

Originariamente inviato da Chill-Out

Esattamente come indicato in Guida

Dopo qualche giorno ho potuto eseguire anche il log di Hjthis come richiesto dal punto successivo della guida.
Allego il log.

[mmmx]

Quote:

Originariamente inviato da wjmat

ciao

perchè non seguire il 1° post?

Perché anche AFT Cleaner e antimalawere e tutto il resto come tutte le applicazioni non partiva ma attivava il Rogue grazie alla chiave:

Codice:

HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command “(Default)” = “av.exe” /START “%1? %*

ciao

[Chill-Out]

Quote:

Originariamente inviato da mmmx

Perché anche AFT Cleaner e antimalawere e tutto il resto come tutte le applicazioni non partiva ma attivava il Rogue grazie alla chiave:

Codice:

HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command “(Default)” = “av.exe” /START “%1? %*

ciao

Segui le istruzioni date al Post # 3

[sidvizioso]

salve, sono stato infetto dall' "Antivirus XP 2010".
Ho seguito le procedure, tutto ok sembrerebbe ma alcune cose non sono tornate alla normalità:
il ripristino del sistema non mi è possibile disattivarlo/attivarlo perchè ogni eseguibile che tento di far partire, ad esempio anche da pannello di controllo, mi da errore "c:\windows\system32\rundll32.exe impossibile trovare il file", e appunto per questo molti eseguibili non si avviano, ho perso molti eseguili in avvio automatico, tra cui firewall e antivirus (anche se Antivir l'ho ripristinato, lo vedo nel taskmanager senza però l'icona nel tray) e quando clicco su un eseguibile che non sia di sistema mi apre sempre la schermata "apri con".

Ho provato ad utilizzare "WinRecover.exe" per ripristinare i collegamenti, eseguibili,pannello di controllo ecc ma non ha funzionato.

come posso procedere al ripristino di tale funzioni vitali?

ps credo che la mia infezione sia dovuta ad una falla di firefox 3.5.7, ho visto l'infezione in "realtime", praticamente firefox ha saturato la memoria, ma prima di crashare ha salvato il cattivone "av.exe" nel mio pc.

pps aiutatemi a riprisitnare queste funzioni senza formattare!!


edit:
ho trovato i fix per le associazioni dei file (http://www.hwupgrade.it/forum/showth...hp?p=28208868).
grazie mille

[wjmat]

Quote:

Originariamente inviato da sidvizioso

salve, sono stato infetto dall' "Antivirus XP 2010".
Ho seguito le procedure, tutto ok sembrerebbe ma alcune cose non sono tornate alla normalità:
il ripristino del sistema non mi è possibile disattivarlo/attivarlo perchè ogni eseguibile che tento di far partire, ad esempio anche da pannello di controllo, mi da errore "c:\windows\system32\rundll32.exe impossibile trovare il file", e appunto per questo molti eseguibili non si avviano, ho perso molti eseguili in avvio automatico, tra cui firewall e antivirus (anche se Antivir l'ho ripristinato, lo vedo nel taskmanager senza però l'icona nel tray) e quando clicco su un eseguibile che non sia di sistema mi apre sempre la schermata "apri con".

Ho provato ad utilizzare "WinRecover.exe" per ripristinare i collegamenti, eseguibili,pannello di controllo ecc ma non ha funzionato.

come posso procedere al ripristino di tale funzioni vitali?

ps credo che la mia infezione sia dovuta ad una falla di firefox 3.5.7, ho visto l'infezione in "realtime", praticamente firefox ha saturato la memoria, ma prima di crashare ha salvato il cattivone "av.exe" nel mio pc.

pps aiutatemi a riprisitnare queste funzioni senza formattare!!


edit:
ho trovato i fix per le associazioni dei file (http://www.hwupgrade.it/forum/showth...hp?p=28208868).
grazie mille

ciao

comincia a caricare i log delle scansioni

[b4tman]

http://www.hwupgrade.it/forum/showth...9#post30774209 è il link del primo post con varie info. Ho seguito la guida, ma Malwarebytes' Anti-Malware Free non lo installa, A-Squared Free a metà aggiornamento il pc si blocca.Con Dr.Web CureIt! ho fatto come descritto, e uguale con HijackThis. allego i log in uno zip, dato che sul sito http://www.fileqube.com/, durante l'upload mi porta alla pagina livedepot.net e quindi non riesce a finire. Aspetto qualche risposta, grazie in anticipo

[Chill-Out]

Quote:

Originariamente inviato da b4tman

http://www.hwupgrade.it/forum/showth...9#post30774209 è il link del primo post con varie info. Ho seguito la guida, ma Malwarebytes' Anti-Malware Free non lo installa, A-Squared Free a metà aggiornamento il pc si blocca.Con Dr.Web CureIt! ho fatto come descritto, e uguale con HijackThis. allego i log in uno zip, dato che sul sito http://www.fileqube.com/, durante l'upload mi porta alla pagina livedepot.net e quindi non riesce a finire. Aspetto qualche risposta, grazie in anticipo

No log compressi, segui i suggerimenti dati al Post # 3

PS: nelle Regole di sezione in firma trovi l'elenco dei Server Remoti dedicati ai log

[FraNzSkO_27]

salve ho fatto una scan con Hijack..solo che non sono molto esperto
c'è qualcuno che me la sa analizzare?
grazie

Quote:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20.31.41, on 07/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRAMMI\A-SQUARED FREE\A2FREE.EXE
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1265330478953
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1265371910687
O17 - HKLM\System\CCS\Services\Tcpip\..\{15E3328C-0090-4D7D-946D-5A5704FF8424}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 5390 bytes

Ho dubbi sul ctfom.exe

[Mastermind06]

Quote:

Originariamente inviato da Mastermind06

Dopo qualche giorno ho potuto eseguire anche il log di Hjthis come richiesto dal punto successivo della guida.
Allego il log.

Qualcuno mi sa aiutare a continuare?

[wjmat]

Quote:

Originariamente inviato da FraNzSkO_27

salve ho fatto una scan con Hijack..solo che non sono molto esperto
c'è qualcuno che me la sa analizzare?
grazie

ciao

i log vanno caricati secondo le regole di sezione
per hjt c'è un 3d dedicato
che sintomi hai? se quelli del primo post, segui tutta la procedura e carica i log richiesti

[wjmat]

Quote:

Originariamente inviato da Mastermind06

Qualcuno mi sa aiutare a continuare?

il log è pulito

[Mastermind06]

Quote:

Originariamente inviato da wjmat

il log è pulito

Procedo con il post infezione?

[wjmat]

Quote:

Originariamente inviato da Mastermind06

Procedo con il post infezione?

se non riscontri altri problemi si