infetto dopo avvio di un .exe

[chiodo92]

Ho combinato un guaio al pc di un mio amico, e ora devo risolverlo: girando per il suo pc ho trovato un file(msetup.exe), l'ho aperto ed è uscita una finestra in dos che ha creato alcune applicazioni nei file temporanei(A52-tmp.exe, A52-tmpapi.exe e un altro file con estensione sconosciuta); pur avendoli eliminati, ogni volta che vado in una cartella o navigo nel web viene fuori una finestra di questo tipo http://www.fileqube.com/shared/QVGpQ23598. Ho fatto varie scansioni; ecco i risultati:

prevxcsi: http://csia0.prevx.com/individualcsi...SIPLUS&CMD=LSR


Non sono riuscito a scansionare il sistema con gmer, domani torno dal mio amico e la faccio. Intanto provate a capire cosa può essere...grazie

[wjmat]

riedita il post allegando il log con la funzione gestisci allegati

poi forse per questo tipo di infezione riesci ad evitare tutta la guida semplicemente con combofix

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall.
Scarica da qui Combofix
Scollegati da internet -> Chiudi ogni altra finestra o programma
Lancialo-> Aspetta che appaia una finestra in cui ti chieda di digitare 1 per continuare-> Digita 1-> Attendi la scansione evitando di fare qualsiasi altra operazione -> Dai conferma nel caso ti chieda di rimuovere alcuni driver -> Al termine verrà mostrato il log che si trova in C:\ComboFix.txt.-> Caricalo secondo le modalità

[chiodo92]

Quote:

Originariamente inviato da wjmat

riedita il post allegando il log con la funzione gestisci allegati

poi forse per questo tipo di infezione riesci ad evitare tutta la guida semplicemente con combofix

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall.
Scarica da qui Combofix
Scollegati da internet -> Chiudi ogni altra finestra o programma
Lancialo-> Aspetta che appaia una finestra in cui ti chieda di digitare 1 per continuare-> Digita 1-> Attendi la scansione evitando di fare qualsiasi altra operazione -> Dai conferma nel caso ti chieda di rimuovere alcuni driver -> Al termine verrà mostrato il log che si trova in C:\ComboFix.txt.-> Caricalo secondo le modalità

come mi hai chiesto ecco il log di combofix; da quanto ne ho capito io, non ha trovato niente di pericoloso...

[wjmat]

Ha cancellato solo un paio di cose...

Ora segui bene la GUIDA alla DISINFEZIONE per INFETTI ed esegui tutte le scansioni nell'ordine indicato.

Dato che le scansioni dovranno essere approfondite, e quindi lunghe, dai prima una bella ripulita al sistema con due semplici programmi. CCleaner e ATF Cleaner

• Scarica da qui la versione slim di CCleaner.
  Installalo e lancialo -> Vai su Opzioni -> Impostazioni -> Attiva la voce Cancellazione sicura (lenta) -> Vai su Avanzate -> Togli la spunta alla voce Cancella solo file più vecchi di 48 ore -> Vai su Pulizia -> Metti la spunta su Avanzate -> Premi invio ogni volta che ti mostra l'avviso mentre si attivano automaticamente tutte le voci -> Infine clicca su Avvia pulizia
• Scarica da qui ATF Cleaner per una velocissima pulizia complementare.
  Nella prima schermata -> Select All -> Empty Selected
  Se utilizzi Firefox nel menù Firefox -> Select All -> NO -> Empty Selected
  Se utilizzi Opera nel menù Opera -> Select All -> NO -> Empty Selected

CARICA CORRETTAMENTE I LOG SECONDO QUESTE REGOLE
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive
Clicca su Gestisci allegati -> Sfoglia -> Carica
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.


Ricapitolando vogliamo in ordine:
-log di A-squared scansione deep aggiornato ad oggi
-log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
-log di Dr.Web CureIT scaricato oggi
-log di ESET SysInspector
-log di HiJackThis
-log di Gmer
-log di PrevxCSI

[chiodo92]

ecco i log che mi avete chiesto...

prevxcsi: http://csia0.prevx.com/individualcsi...SIPLUS&CMD=LSR

gmer: http://www.fileqube.com/shared/YmBDPf24270

eset sysinspector: http://www.fileqube.com/shared/SPsDegx24272

dr.web cureit: http://www.fileqube.com/shared/BauMa24271

f-secure e a-squared devono ancora finire, ma come vedete dai log di prevxcsi e dr.web è stato trovato un malware!! Con dr.web è stato eliminato e sembra tutto risolto!! Grazie! Quando finiranno le scansioni di f-secure e a-squared editerò il post con i loro log...Intanto grazie




edit: il problema si ripresenta, ma solo in parte, cioè navigando nel web con internet explorer...cos'altro può essere?

[wjmat]

cosa conosci di tutte queste schifezze?

Codice:

O2 - BHO: Video BHO - {681147C4-D615-461A-960F-655871E315C3} - C:\WINDOWS\vidk16.dll
O2 - BHO: Video - {95E1D855-9232-48F7-80D9-1ADB65B7939C} - C:\WINDOWS\tokru.dll
O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.scaricandomp3.com/link/" (file missing)
O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.scaricandomp3.com/link/" (file missing)
O9 - Extra button: AccesoDir3 - {2B44FD33-B048-4B2B-88D5-4B80AB018F29} - C:\WINDOWS\system32\AccesoDir3 (file missing)
O9 - Extra button: Scaricando MP3 - {810B72CB-566A-409B-B6A3-31F720C16FAE} - C:\WINDOWS\system32\Scaricando MP3 (file missing)
O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.cercasulweb.com/itmp3/" (file missing)
O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.cercasulweb.com/itmp3/" (file missing)
O9 - Extra button: ScaricaMP3 - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\eliana\Dati applicazioni\ScaricaMP3.exe (file missing)
O9 - Extra button: Cersa Sul Web - {F4445FEB-6D20-47CB-9ACF-9D142A7F680A} - C:\WINDOWS\system32\Cersa Sul Web (file missing)
O9 - Extra button: (no name) - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.terra.es/3" (file missing)
O9 - Extra 'Tools' menuitem: AccesoDir3 - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.terra.es/3" (file missing)
O16 - DPF: {B33E9AC8-169E-4346-BCD9-C98A8BE3F1E9} - http://www.piclens.com/shared/plinstll.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

sarebbe opportune rispettare l'ordine della guida....
quindi HJT e prevx li rifai anche alla fine

[chiodo92]

Quote:

Originariamente inviato da wjmat

cosa conosci di tutte queste schifezze?

Codice:

O2 - BHO: Video BHO - {681147C4-D615-461A-960F-655871E315C3} - C:\WINDOWS\vidk16.dll
O2 - BHO: Video - {95E1D855-9232-48F7-80D9-1ADB65B7939C} - C:\WINDOWS\tokru.dll
O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.scaricandomp3.com/link/" (file missing)
O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.scaricandomp3.com/link/" (file missing)
O9 - Extra button: AccesoDir3 - {2B44FD33-B048-4B2B-88D5-4B80AB018F29} - C:\WINDOWS\system32\AccesoDir3 (file missing)
O9 - Extra button: Scaricando MP3 - {810B72CB-566A-409B-B6A3-31F720C16FAE} - C:\WINDOWS\system32\Scaricando MP3 (file missing)
O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.cercasulweb.com/itmp3/" (file missing)
O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.cercasulweb.com/itmp3/" (file missing)
O9 - Extra button: ScaricaMP3 - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\eliana\Dati applicazioni\ScaricaMP3.exe (file missing)
O9 - Extra button: Cersa Sul Web - {F4445FEB-6D20-47CB-9ACF-9D142A7F680A} - C:\WINDOWS\system32\Cersa Sul Web (file missing)
O9 - Extra button: (no name) - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.terra.es/3" (file missing)
O9 - Extra 'Tools' menuitem: AccesoDir3 - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.terra.es/3" (file missing)
O16 - DPF: {B33E9AC8-169E-4346-BCD9-C98A8BE3F1E9} - http://www.piclens.com/shared/plinstll.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

I file "scaricaMP3" et simili li conosco, li ho sempre avuti e non mi hanno mai dato problemi...creano solo dei collegamenti nei preferiti di internet explorer.
I primi due file non li conosco, infatti F-Secure ha appena finito la scansione e li ha individuati e cancellati...adesso sembra davvero tutto apposto, ma staremo a vedere, intanto grazie! Allego log di F-secure: http://www.fileqube.com/shared/XZdlpL24318

[forum1]

Quote:

Originariamente inviato da chiodo92

I file "scaricaMP3" et simili li conosco, li ho sempre avuti e non mi hanno mai dato problemi...creano solo dei collegamenti nei preferiti di internet explorer.
I primi due file non li conosco, infatti F-Secure ha appena finito la scansione e li ha individuati e cancellati...adesso sembra davvero tutto apposto, ma staremo a vedere, intanto grazie! Allego log di F-secure: http://www.fileqube.com/shared/XZdlpL24318

perfetto se li hai sempre avuti e non ti hanno mai dato problemi

[chiodo92]

Quote:

Originariamente inviato da forum1

perfetto se li hai sempre avuti e non ti hanno mai dato problemi

scusa eh, ma non vedo quale sia problema. Quelli non sono virus, ho scritto che creano solo dei collegamenti nei preferiti di ie; la prox volta spiegati meglio, grazie...

[murack83pa]

Quote:

Originariamente inviato da chiodo92

scusa eh, ma non vedo quale sia problema. Quelli non sono virus, ho scritto che creano solo dei collegamenti nei preferiti di ie; la prox volta spiegati meglio, grazie...

forse questa notizia ti da piu l'idea:
http://generazionenet.itadib.com/sic...ware-t695.html

per tu saperlo: i trojan vengono chiamati cosi perchè camuffano la loro presenza e i loro effetti....

un paio di cose:

1-la scansione di asquared in DEEP SCAN di tutto il sistema?

2- devi scansione con f-secure tuttto il pc...e nn solo c:\windows...i malware nn si posizionano solo li...

[chiodo92]

Quote:

Originariamente inviato da murack83pa

forse questa notizia ti da piu l'idea:
http://generazionenet.itadib.com/sic...ware-t695.html

per tu saperlo: i trojan vengono chiamati cosi perchè camuffano la loro presenza e i loro effetti....

un paio di cose:

1-la scansione di asquared in DEEP SCAN di tutto il sistema?

2- devi scansione con f-secure tuttto il pc...e nn solo c:\windows...i malware nn si posizionano solo li...

Sapevo cos'è un trojan, ma se non mi ha dato mai problemi nel corso di un mese circa significa che non è un trojan, altrimenti si sarebbe fatto sentire. Poi:

1-la scansione di a-squared non l'ho puù fatta perchè con prevxcsi e dr.web avevo trovato il problema...

2-con f-secure avevo già fatto una scansione completa di tutto il sistema, ma poi cercando di eliminare i virus il pc si è riavviato dando una schermata d'errore, quindi ho riavviato e ho rifatto la scansione, ma solo sulla cartella di windows...ha trovato lo stesso numero di virus e malware che aveva trovato prima facendo la scansione completa...

[murack83pa]

Quote:

Originariamente inviato da chiodo92

Sapevo cos'è un trojan, ma se non mi ha dato mai problemi nel corso di un mese circa significa che non è un trojan, altrimenti si sarebbe fatto sentire.

hai idee un po confuse sul concetto di trojan...

trojan: cavallo di troia...il nome deriva dal fatto che le sue funzionalità sono nascoste...

fonte: wikipedia...

[wjmat]

nuovi log di prevx e hjt che vediamo come sei messo ora

[chiodo92]

Quote:

Originariamente inviato da wjmat

nuovi log di prevx e hjt che vediamo come sei messo ora

prevxcsi: http://csia0.prevx.com/individualcsi...SIPLUS&CMD=LSR

Tutto ok?

[murack83pa]

Quote:

Originariamente inviato da chiodo92

prevxcsi: http://csia0.prevx.com/individualcsi...SIPLUS&CMD=LSR

Tutto ok?

fixa queste voci:

Quote:

O2 - BHO: (no name) - {681147C4-D615-461A-960F-655871E315C3} - (no file)
O2 - BHO: (no name) - {95E1D855-9232-48F7-80D9-1ADB65B7939C} - (no file)
O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.scaricandomp3.com/link/" (file missing)
O9 - Extra 'Tools' menuitem: Scaricando MP3 - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.scaricandomp3.com/link/" (file missing)
O9 - Extra button: AccesoDir3 - {2B44FD33-B048-4B2B-88D5-4B80AB018F29} - C:\WINDOWS\system32\AccesoDir3 (file missing)
O9 - Extra button: Scaricando MP3 - {810B72CB-566A-409B-B6A3-31F720C16FAE} - C:\WINDOWS\system32\Scaricando MP3 (file missing)
O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.cercasulweb.com/itmp3/" (file missing)
O9 - Extra 'Tools' menuitem: Cersa Sul Web - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.cercasulweb.com/itmp3/" (file missing)
O9 - Extra button: ScaricaMP3 - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\eliana\Dati applicazioni\ScaricaMP3.exe (file missing)
O9 - Extra button: Cersa Sul Web - {F4445FEB-6D20-47CB-9ACF-9D142A7F680A} - C:\WINDOWS\system32\Cersa Sul Web (file missing)
O9 - Extra button: (no name) - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.terra.es/3" (file missing)
O9 - Extra 'Tools' menuitem: AccesoDir3 - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.terra.es/3" (file missing)

riguardo quello che avevi:
http://www.malwarelist.org/startup/scheda.asp?num=3726

senti, siccome ho visto alcuni bho che si riferisco al smitfraud...fai girare questo tool x verifica:

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

disattiva il tuo antivirus prima

Doppio click su smitfraudfix.exe
Premete un tasto per continuare per arrivare alle opzioni offerte dal tool
Per avviare la ricerca selezionate 1 e premete il tasto ENTER della vostra tasiera

Finita la ricerca verrà visualizzato un log con i risultati dell'analisi che verrà automaticamente salvato alla radice del disco con il nome di rapport.txt

postami il rapporto per vedere se ha rilevato qualkosa

[chiodo92]

Quote:

Originariamente inviato da murack83pa

fixa queste voci:


riguardo quello che avevi:
http://www.malwarelist.org/startup/scheda.asp?num=3726

senti, siccome ho visto alcuni bho che si riferisco al smitfraud...fai girare questo tool x verifica:

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

disattiva il tuo antivirus prima

Doppio click su smitfraudfix.exe
Premete un tasto per continuare per arrivare alle opzioni offerte dal tool
Per avviare la ricerca selezionate 1 e premete il tasto ENTER della vostra tasiera

Finita la ricerca verrà visualizzato un log con i risultati dell'analisi che verrà automaticamente salvato alla radice del disco con il nome di rapport.txt

postami il rapporto per vedere se ha rilevato qualkosa

ho fixato le voci. Riguardo al trojan, è un dialer quindi con la linea adsl che ho non ha effetto...comunque meglio toglierlo...
Allego scansione smitfraudfix

[murack83pa]

ok, mi sembra tutto pulito...

ultimi accorgimenti:
1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)


2-svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

fai una passata generale con CCLEANER cosi come spiegato nella guida


solo un consiglio: valutarei seriamente di cambiare antivirus....purtroppo avast nn è all'altezza della sua fama, ma sopratutto c'è un antivirus free di gran lunga migliore: avira antivir...sempre tra i primi come migliore antivirus in quasi tutti i recenti test, dietro solo a kaspersky o nod32....

ha solo una pecca: è in inglese, ma ti assicuro che di facile comprensione, qui sul forum è presente un ottima guida, facile da capire..

se ti interessa cmq per ora c'è in promozione avira premium, che protegge anche dagli spyware e protegge dalla navigazione web e che presto, a fine maggio si dice, uscire anche in versione italiana...

https://license.avira.com/en/promoti...tr05zwftftgnqr

[chiodo92]

ok, grazie di tutto a tutti!!

[wjmat]

Dai un'occhiata al Trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.