Virus che ti indirizza su altre pagine web

[lucas72]

Ciao

Oggi ero a casa di un amica che aveva il pc invaso da virus.
Non riusciva a navigare in internet perchè era indirizzata altrove (si apriva anche una pagina di google strana che riportava nel titolo errore 404).

Ho fatto una scansione con hijackthis (non posso postare i dati perchè non avevo con me la penna usb) che ha rilevato gli indirizzi dei siti da eliminare (tutti o1 google.fr o qualcosa) file sospetti quanti ne vuoi e soprattutto uno che si trovava nella cartella "program data" ma che non sono riuscito ad eliminare in quanto non era visibile (anche se la visualizzazione dei file nascosti era attivata).
Ho visto che questo virus ha creato in system32/driver/etc un file "hosts.new", l'ho aperto e in effetti dentro c'era la lista dei siti di cui sopra, invece del file host originale nessuna traccia.

Ho provato ad eliminare questo file, ma veniva ricreato sistematicamente con dentro la lista degli indirizzi, ho provato pure un paio di trucchetti ma niente. L'antivirus (avast) sembra impotente (e anche disabilitato) e il task manager (volevo controllare i processi) non si apre.

Domani se ho tempo vado con una live di linux.
Voi avete consigli da darmi (magari avete capito anche di quale virus si tratta) nel frattempo?

Grazie

[Chill-Out]

Quote:

Originariamente inviato da lucas72

Ciao

Oggi ero a casa di un amica che aveva il pc invaso da virus.
Non riusciva a navigare in internet perchè era indirizzata altrove (si apriva anche una pagina di google strana che riportava nel titolo errore 404).

Ho fatto una scansione con hijackthis (non posso postare i dati perchè non avevo con me la penna usb) che ha rilevato gli indirizzi dei siti da eliminare (tutti o1 google.fr o qualcosa) file sospetti quanti ne vuoi e soprattutto uno che si trovava nella cartella "program data" ma che non sono riuscito ad eliminare in quanto non era visibile (anche se la visualizzazione dei file nascosti era attivata).
Ho visto che questo virus ha creato in system32/driver/etc un file "hosts.new", l'ho aperto e in effetti dentro c'era la lista dei siti di cui sopra, invece del file host originale nessuna traccia.

Ho provato ad eliminare questo file, ma veniva ricreato sistematicamente con dentro la lista degli indirizzi, ho provato pure un paio di trucchetti ma niente. L'antivirus (avast) sembra impotente (e anche disabilitato) e il task manager (volevo controllare i processi) non si apre.

Domani se ho tempo vado con una live di linux.
Voi avete consigli da darmi (magari avete capito anche di quale virus si tratta) nel frattempo?

Grazie

Ciao, scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, che trovi in C:\TDSSKiller..................log.txt

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt deve essere hostato su uno dei server remoti elencati nelle Regole di sezione.

[lucas72]

ok

questo il file di log:

http://wikisend.com/download/484720/....46.29_log.txt


grazie

[Chill-Out]

Quote:

Originariamente inviato da lucas72

ok

questo il file di log:

http://wikisend.com/download/484720/....46.29_log.txt


grazie

Fai girare Combofix esattamente come qui indicato http://www.hwupgrade.it/forum/showthread.php?t=1984665

[lucas72]

Quote:

Originariamente inviato da Chill-Out

Fai girare Combofix esattamente come qui indicato http://www.hwupgrade.it/forum/showthread.php?t=1984665

intanto ho fatto una bella pulizia dei file indicati da Hijackthis con la live di linux. Sembra adesso che il pc vada bene.

Ho rifato la scansione con hijackthis e mi riporta ancoea questo come sospetto (che ho cancellato con linux)..mica avrò fatto una castronata e cancellato un file di windows?

Ho provato a disinstallare avast ma non me lo fa fare. Ho installato Avira antivir ma se provo ad avviarlo una finestra di errore mi dice:

"Operazioen annullata. Sul computer sono attive delle restrizioni. Contattare l'amministratore del sistema".

Grazie

Grazie

[lucas72]

questo il log di combofix:

http://wikisend.com/download/509842/ComboFix.txt

[Chill-Out]

Quote:

Originariamente inviato da lucas72

questo il log di combofix:

http://wikisend.com/download/509842/ComboFix.txt

Apri il Blocco note e copia ed incolla questa righe:

Quote:

Driver::
ymuid

File::
C:\Windows\system32\drivers\ymuid.sys

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt.

[lucas72]

Quote:

Originariamente inviato da Chill-Out

Apri il Blocco note e copia ed incolla questa righe:




Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, come sempre allega il log che trovi in C:\ComboFix.txt.

L'avevo già cancellato con linux questo file:

C:\Windows\system32\drivers\ymuid.sys

Combofix sembra aver messo a posto le cose adesso. Si avvia anche l'antivirus ora. Grazie.
L'unico problema (ma non so se era presente anche prima) e che non si avvia il firewall di windows.- Se ci provo si apre un messaggio di errore.
Magari installo un firewall tipo zone alarm.
Se hai altro da aggiungere....

Grazie ancora

ps: ma questo virus già lo conoscevi o hai interpretato bene il primo log che ho inviato?

[Chill-Out]

Quote:

Originariamente inviato da lucas72

L'avevo già cancellato con linux questo file:

C:\Windows\system32\drivers\ymuid.sys

Combofix sembra aver messo a posto le cose adesso. Si avvia anche l'antivirus ora. Grazie.
L'unico problema (ma non so se era presente anche prima) e che non si avvia il firewall di windows.- Se ci provo si apre un messaggio di errore.
Magari installo un firewall tipo zone alarm.
Se hai altro da aggiungere....

Grazie ancora

ps: ma questo virus già lo conoscevi o hai interpretato bene il primo log che ho inviato?

Indipendetemente dal file è necessario deletare il Driver, mi allegheresti l log.

[lucas72]

Quote:

Originariamente inviato da Chill-Out

Indipendetemente dal file è necessario deletare il Driver, mi allegheresti l log.

quale log

quello dopo aver trascinato CFScript.txt sull'icona di ComboFix?

Ho capito bene?

ps: al momento non ho il pc infetto sottomano. Appena possibile lo posto.


Grazie dell'assistenza

[Chill-Out]

Quote:

Originariamente inviato da lucas72

quale log

quello dopo aver trascinato CFScript.txt sull'icona di ComboFix?

Ho capito bene?

ps: al momento non ho il pc infetto sottomano. Appena possibile lo posto.


Grazie dell'assistenza

Si esatto, intendo quel log.

[lucas72]

Quote:

Originariamente inviato da Chill-Out

Si esatto, intendo quel log.

si lo so è passato un po' di tempo.

Questo il log (l'ho trovato nella cartella di combofix invece che in c:..boh!?

http://wikisend.com/download/959180/ComboFix.txt

[Chill-Out]

Quote:

Originariamente inviato da lucas72

si lo so è passato un po' di tempo.

Questo il log (l'ho trovato nella cartella di combofix invece che in c:..boh!?

http://wikisend.com/download/959180/ComboFix.txt

A posto.

[lucas72]

Quote:

Originariamente inviato da Chill-Out

A posto.

Grazie per l'aiuto!

Ciao.

[Chill-Out]

Quote:

Originariamente inviato da lucas72

Grazie per l'aiuto!

Ciao.

Prego, ciao.