Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[mnjaco]

Ragazzi, non so piu che pesci prendere
Ho un notebook acer 5920G con Windows 7 su c: e Windows Xp Pro su d:.
Ho beccato il maledetto rogue chiamato Antimalware Doctor....e sono 3 giorni che cerco di debellarlo inutilmente!
Ho seguito passo passo tutte le istruzioni della guida anti-rogue su questo post:
- disabilitato ripristino del sistema
- pulito cache con apposito tool suggerito
- eseguiti i vari tool, e per sicurezza anche la combofix
- poi reinstallato avg 11 e malwarebytes
Oggi sembrava tutto ok...tutte le "stranezze" sembravano risolte, ma c'era ancora una lentezza sospetta!
A un certo punto, con avg 11 e malwarebytes in esecuzione, non si apriva piu nulla, nè i programmi, nè gestione risorse, pannello controllo....nulla.
Ho disinstallato da provvisoria gli antivirus.....e gia la disinstallazione normale dava dei problemi, e ho dovuto usare dei programmi specifici di rimozione...poi una volta rimossi da lì non sono più riuscito ad installarli, venivano bloccate le installazioni!

Ho rifatto il combofix
Log: Edit

Poi ho provato con il kaspersky virus removal tool, dove ho segnalato il problema e dal supporto mi hanno inviato un codice da copiare incollare nel tool, che ho eseguito....ha fatto delle operazioni e al riavvio sono riuscito a installare kaspersky 2011.

Ora non so cosa fare...non so se stare tranquillo...kaspersky ha fatto una prima scansione e non ha trovato nulla.
Ma anche prima, con avg e malwarebytes le scansioni erano negative....eppure il problema è risaltato fuori, quando sembrava tutto andare bene!
Vi posto anche un log di hijackthis:
Log: Edit

Cosa devo fare per essere sicuro al 100%?
Ho anche paura che se resto così ci sia qualcosa ancora nascosta, e qualche trojan in grado di carpire le mie pass e i miei dati sensibili.
Vi prego, datemi un consiglio...

[mnjaco]

Con kav 2011 e malwarebytes 1.46 attivi e resident.....
Se provo a fare RKILL (come da tool suggerito nella guida), t utt'ora mi da quest log:

Services Stopped:
Processes terminated by Rkill or while it was running:

C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe

Rkill completed on 22/10/2010 at 18:41:22.

Se scansione DllHost.exe con Kav e con Malwarebytes mi dice che non è un virus!

Cosa ancora più strana è che l'icona di DllHost ha un "lucchettino"...se con tasto dx vado su Prorietà, nel tab Sicurezza mi dice:

Nessuna autorizzazione assegnata per l'oggetto.

Avviso: ciò costituisce un potenziale problema di sicurezza, poiché qualsiasi utente con accesso all'oggetto è in grado di acquisirne la proprietà. È consigliabile che il proprietario dell'oggetto assegni al più presto le autorizzazioni appropriate.

Sono paranoico io o c'è qualcosa di molto strano?

[Chill-Out]

Quote:

Originariamente inviato da mnjaco

Cosa devo fare per essere sicuro al 100%?
Ho anche paura che se resto così ci sia qualcosa ancora nascosta, e qualche trojan in grado di carpire le mie pass e i miei dati sensibili.
Vi prego, datemi un consiglio...

Ciao! Ti suggerisco di seguire la Guida in prima pagina ed allegare i log per il controllo come indicato.

Quote:

Originariamente inviato da mnjaco

Con kav 2011 e malwarebytes 1.46 attivi e resident.....
Se provo a fare RKILL (come da tool suggerito nella guida), t utt'ora mi da quest log:

Services Stopped:
Processes terminated by Rkill or while it was running:

C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe

Rkill completed on 22/10/2010 at 18:41:22.

Se scansione DllHost.exe con Kav e con Malwarebytes mi dice che non è un virus!

Cosa ancora più strana è che l'icona di DllHost ha un "lucchettino"...se con tasto dx vado su Prorietà, nel tab Sicurezza mi dice:

Nessuna autorizzazione assegnata per l'oggetto.

Avviso: ciò costituisce un potenziale problema di sicurezza, poiché qualsiasi utente con accesso all'oggetto è in grado di acquisirne la proprietà. È consigliabile che il proprietario dell'oggetto assegni al più presto le autorizzazioni appropriate.

Sono paranoico io o c'è qualcosa di molto strano?

La risposta è qui:

Quote:

Processes terminated by Rkill or while it was running:

oltre ad indicare i processi da lui terminati, ti indica quali processi sono terminati mentre lui era in esecuzione come nel tuo caso.

[omihalcon]

Ho avuto anch' io il problema di quest' ultimo "falso antivirus" con diverse persone.
In un caso sono riuscito a toglierlo benche' in modalita' normale NON FUNZIONASSE NESSUN TOOLS E NORMAN CLEANER NON FUNZIONA IN MODALITA' PROVVISORIA, ma per fortuna il cliente non avendo cliccato su niente con il combofix in modalita' provvisoria + Malwarebyte MBAM ed e' andato a posto.

Nel secondo caso invece dato che l' utente era una "furba" ha cliccato e si e' contagiata davvero tanto. Con Combofix non sono riuscito a fare nulla perche' mi dava "accesso negato" durante l' esecuzione sia in modalita' normale che in provvisoria anche fuori dominio -> rimozione Virus con altro Pc con security essentials ha rimosso qualcosa ma purtroppo dato che il cliente vuole soluzioni e non perdite di tempo altrimenti non paga il tempo impiegato ma scassa i c°gli°#i in continuazione, si e' fatto prima a reinstallare l' O.S.

In un altro caso invece l' antivirus ha rimosso il file malevolo ma ho trovato anche un rootkit al boot sempre con il security essentials sul pc del laboratorio che non si rimuoveva ma anche facendo il GHOST per salvataggio dati su un HD nuovo il sistema non partiva piu'.
La soluzione dato che e' un rootkit e' stata di formattare a basso livello il disco originale con il tool del costruttore, SOPRATTUTTO l' MBR e poi reinstallare il sistema operativo.

[mnjaco]

Allora, sembra che abbia risolto con il Kaspersky Removal Tool...dove gli altri fallivano, grazie a lui e al servizio assistenza Kaspersky ho inviato un log dedl mio sistema e dopo pochissimo mi è arrivato un codice da incollare e eseguire sul removal tool, che pare abbia bloccato il virus e permesso di installare kaspersky e tutti gli altri programmi.

Dopodichè ho seguito per filo e per segno le istruzioni della guida (tolto il ripristino, pulito cache, eseguito in ordine malwarebytes, eminsoft, cureit e hijackthis), ed ecco qui i log:

Malwarebytes: http://wikisend.com/download/493844/mbam-log.txt
(N.B. il file explorer.exe che ha ripulito su C: era il Combofix)
Eminsoft: http://wikisend.com/download/552230/a2scan_10.txt
Cureit: http://wikisend.com/download/458254/cureit.txt (solo i risultati)
Hijackthis: http://wikisend.com/download/465844/hijackthis.txt

Il pc sembra funzionare correttamente....e c'è Kaspersky in esecuzione e, per ora, anche Malwarebytes Anti-Malware.

Secondo voi sono a posto o ci sono delle cose da fixare?
Posso ripristinare il Ripristino Configurazione di Sistema ora, o ancora no?

Altra cosa.....per "ri-ottimizzare" il sistema e pulire un po' di schifezze e residui, volevo provare ad utilizzare
AVG Pc Tuneup 2011....è ok secondo voi, o c'è di meglio?

[mnjaco]

nessuno sa darmi un consiglio?

[Chill-Out]

Quote:

Originariamente inviato da mnjaco

nessuno sa darmi un consiglio?

Non mi sono dimenticato, appena posso controllo i log

[mnjaco]

Quote:

Originariamente inviato da Chill-Out

Non mi sono dimenticato, appena posso controllo i log

grazie!
anche se puoi darmi un consiglio sulla riattivazione del Ripristino di Windows e su Avg Pc Tuneup 2011

[Chill-Out]

Quote:

Originariamente inviato da mnjaco

grazie!
anche se puoi darmi un consiglio sulla riattivazione del Ripristino di Windows e su Avg Pc Tuneup 2011

- Con il Browser chiuso esegui HJT clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked

Quote:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} (VodClient Control Class) - hxxp://www.vexcast.com/download/vexcast.cab

- Puoi riabilitare il Ripristino conf.sistema

- Per quanto concerne AVG c'è di meglio, ti suggerisco la lettura di http://www.hwupgrade.it/forum/showthread.php?t=1726383 e http://www.hwupgrade.it/forum/showthread.php?t=2011681

[sarettadf85]

Quote:

Originariamente inviato da Chill-Out

Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

Grazie lo stesso, ho dovuto formattare il pc :-(
Praticamente qualunque procedimento era assolutamente bloccato dal virus...
A presto!

[mnjaco]

Quote:

Originariamente inviato da Chill-Out

- Con il Browser chiuso esegui HJT clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked



- Puoi riabilitare il Ripristino conf.sistema

- Per quanto concerne AVG c'è di meglio, ti suggerisco la lettura di http://www.hwupgrade.it/forum/showthread.php?t=1726383 e http://www.hwupgrade.it/forum/showthread.php?t=2011681

Grazie

[Chill-Out]

Quote:

Originariamente inviato da sarettadf85

Grazie lo stesso, ho dovuto formattare il pc :-(
Praticamente qualunque procedimento era assolutamente bloccato dal virus...
A presto!

Succede.

[Chill-Out]

Quote:

Originariamente inviato da mnjaco

Grazie

Prego

[Berserklot]

Beccato anche io...ma possibile che pur seguendo i passaggi [compreso RKill], la scansione di Malwarebyte duri soltanto 2 secondi per poi chiudersi da solo?

[Chill-Out]

Quote:

Originariamente inviato da Berserklot

Beccato anche io...ma possibile che pur seguendo i passaggi [compreso RKill], la scansione di Malwarebyte duri soltanto 2 secondi per poi chiudersi da solo?

Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt + il log di RKill

[PaoloFiabeschi]

Ciao ragazzi, premetto che è la prima volta che mi iscrivo e partecipo ad un Forum, ma evidentemente sono di fronte ad un vicolo cieco.
Vediamo un pò da dove iniziare...Porgo il mio caso alla vostra attenzione:

Qualche giorno fa mi son beccato uno di questi Rogue, se non ricordo male si chiamava Antimalware Doctor, immediatamente ho fatto una scansione con Malwarebytes' Anti-Malware al termine della quale tutto sembrava (o meglio era) sistemato. Di Antimalware Doctor non c'era più traccia ed il computer girava come al solito.
Per "scrupolo" decisi di fare un'altra scansione con Combofix.
A questo punto son iniziati i problemi...
Dopo aver riavviato il computer provai a connettermi ad internet ma non ci riuscì in quanto mi dava l'errore 721 (se non ricordo male), insomma per non dilungarmi, la mia connessione incominciò a darmi una serie di errori (N.B. Ho un modem Michelangelo USB Cx), e allora leggendo quà e là qualcosina nei forum, trovai una procedura che pensavo faccesse al caso mio...(ma ora credo che sia stata la causa di tutti i mali)
Vi riporto testualmente ciò che c'era scritto e che io passo passo ho (e)seguito:

"Per risolvere il problema, disinstallare il protocollo TCP/IP, rimuovere la seconda periferica WAN Miniport IP e reinstallare il protocollo TCP/IP.
Per effettuare questa operazione, attenersi alla seguente procedura:
1. Disinstallare il protocollo TCP/IP e riavviare.
2.Hardware>Gestione periferiche>Mostra periferiche nascoste. In corrispondenza di Schede di rete non dovrebbe esserci alcuna periferica WAN Miniport IP. Se è elencata procedere in questo modo (Cosa che ho fatto):
3. entrare nell' Editor di registro ed individuare la seguente sottochiave del Registro di Sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\ 4D36E972-E325-11CE-BFC1-08002BE10318
4. scegliere Esporta file del Registro di sistema dal menu Registro, digitare backup-key nella casella Nome file, quindi scegliere Salva.

NOTA: E' possibile ripristinare le modifiche apportate alla chiave di registro facendo doppio clic sul file bacup-key.reg salvato (Cosa che alla fine ho fatto)
5. Fare clic su ciascuna sottochiave del registro corrispondente a questa chiave e visualizzare la colonna Dati del valore DriverDesc per determinare quali sottochiavi corrispondono a WAN Miniport (IP), (nel mio caso era la 0006).
10. fare clic con il pulsante destro sulla sottochiave i cui dati del valore DriverDesc sono WAN Miniport (IP), quindi scegliere Elimina.
11. Chiudere l'editor di registro.
12. Andare su Hardware>Gestione Periferiche>Mostra periferiche nascoste
13. in corrispondenza di Schede di rete fare clic con il destro su Wan Miniport (IP), quindi scegliere Disinstalla.
14. reinstallare il protocollo TCP/IP.
15. Reimpostare il modem (nel mio caso l'ho disinstallato e reinstallato, come ho fatto altre volte per risolvere problemini con la connessione)
16. Verificare la connettività a Internet.

Ed ecco qual'è il problema che tutt'ora mi affligge:
Reinstallando il mio modem Michelangelo USB Cx l'istallazione non crea l'interfaccia della connessione remota!!!
Il modem risulta connesso ma se vado in risorse di rete non trovo la connessione Michelangelo Usb Adsl, ci sono soltanto due connessioni alle reti locali LAN.
Ho provato svariate volte a reinstallare il modem ma niente.
Percio' prima di seguire la vostra procedura completa per l'eliminazione del Rogue (che probabilmente è già bello e sparito) ho voluto fare un quadro completo della mia situazione.
Spero che mi possiate aiutare non so più che fare.
Vi ringrazio anticipatamente!

[Chill-Out]

Quote:

Originariamente inviato da PaoloFiabeschi

Ed ecco qual'è il problema che tutt'ora mi affligge:
Reinstallando il mio modem Michelangelo USB Cx l'istallazione non crea l'interfaccia della connessione remota!!!
Il modem risulta connesso ma se vado in risorse di rete non trovo la connessione Michelangelo Usb Adsl, ci sono soltanto due connessioni alle reti locali LAN.
Ho provato svariate volte a reinstallare il modem ma niente.
Percio' prima di seguire la vostra procedura completa per l'eliminazione del Rogue (che probabilmente è già bello e sparito) ho voluto fare un quadro completo della mia situazione.
Spero che mi possiate aiutare non so più che fare.
Vi ringrazio anticipatamente!

Ciao e benvenuto, se il rogue è stato debellato come tu stesso affermi, questo non è il Thread corretto in quanto l'errore 721 fa riferimento ad una errata configurazione del router o ad un guasto delle stesso....etc. Ti suggerisco pertanto Networking e sicurezza previa lettura di http://www.hwupgrade.it/forum/showthread.php?t=1674081

[PaoloFiabeschi]

Pardon devo ancora capire la logica di questo forum! Quindi che dici posso aprire questa discussione del thread "Networking in generale" ?

[Gilpow]

Salve ragazzi, da tre giorni a questa parte ho un virus nel pc e sto tentando di rimuoverlo, ma ho alcuni dubbi.
1) Non sono sicura di che tipo di virus si tratta, i sintomi sono impossibilità di visualizzare risorse e connessioni di rete, messaggi di errore quali "si è verificato un errore in generic host process" ecc, alcune applicazioni impossibili da avviare e reindirizzamento improvviso verso un una pagina che inizia con "wait a minute!" poi finge di scansionare il pc, di trovare virus e mi invita a scaricare antivirus. Il fatto è che, per bloccare sto bastardo devo terminare in fretta il processo Firefox, ricorrendo a ctrl+alt+canc, quindi non ho mai potuto leggere bene che finto antivirus fosse (il file che invitava a scaricare si chiamava instant.exe).. ma insomma posso stare certa che è un Rogue e quindi seguire la procedura descritta nel vostro thread?
2) Nella 'Guida alla disinfezione per infetti' raccomandate nella fase preliminare di "Selezionare la voce "Disattiva ripristino configurazione di sistema"" ora, è possibile che a me fosse già selezionata? Cioè il segno di spunta nella casella 'Disattiva ripristino configurazione di sistema' DEVE essere presente secondo la vostra raccomandazione, giusto? C'è uno screenshot che mostra la casella SENZA segno di spunta, la cosa mi confonde..
3) Sia nella guida alla disinfezione per infetti che in quella alla rimozione dei rogue elencate vari file da scaricare (tipo Malwarebytes' Anti-Malware Free, Emsisoft Anti-Malware 5.0, Dr.Web CureIt!, HijackThis). Io devo scaricarli tutti e seguire la procedura sotto indicata? E soprattutto devo postare il file log prodotto da OGNUNA di queste applicazioni in QUESTO thread?

Perdonate la mia niubbità

[Chill-Out]

Quote:

Originariamente inviato da Gilpow

Salve ragazzi, da tre giorni a questa parte ho un virus nel pc e sto tentando di rimuoverlo, ma ho alcuni dubbi.
1) Non sono sicura di che tipo di virus si tratta, i sintomi sono impossibilità di visualizzare risorse e connessioni di rete, messaggi di errore quali "si è verificato un errore in generic host process" ecc, alcune applicazioni impossibili da avviare e reindirizzamento improvviso verso un una pagina che inizia con "wait a minute!" poi finge di scansionare il pc, di trovare virus e mi invita a scaricare antivirus. Il fatto è che, per bloccare sto bastardo devo terminare in fretta il processo Firefox, ricorrendo a ctrl+alt+canc, quindi non ho mai potuto leggere bene che finto antivirus fosse (il file che invitava a scaricare si chiamava instant.exe).. ma insomma posso stare certa che è un Rogue e quindi seguire la procedura descritta nel vostro thread?
2) Nella 'Guida alla disinfezione per infetti' raccomandate nella fase preliminare di "Selezionare la voce "Disattiva ripristino configurazione di sistema"" ora, è possibile che a me fosse già selezionata? Cioè il segno di spunta nella casella 'Disattiva ripristino configurazione di sistema' DEVE essere presente secondo la vostra raccomandazione, giusto? C'è uno screenshot che mostra la casella SENZA segno di spunta, la cosa mi confonde..
3) Sia nella guida alla disinfezione per infetti che in quella alla rimozione dei rogue elencate vari file da scaricare (tipo Malwarebytes' Anti-Malware Free, Emsisoft Anti-Malware 5.0, Dr.Web CureIt!, HijackThis). Io devo scaricarli tutti e seguire la procedura sotto indicata? E soprattutto devo postare il file log prodotto da OGNUNA di queste applicazioni in QUESTO thread?

Perdonate la mia niubbità

Ciao e benvenuto, scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

successivamente segui la Guida in prima pagina, ovvero questa http://www.hwupgrade.it/forum/showpo...93&postcount=1
facendo esattamente quanto indicato.