[INFO] Nuova infezione ancora senza nome...

[dimoraptor]

Quote:

Originariamente inviato da Bugs Bunny

hai ancora il vundo. segui questa guida:

http://www.hwupgrade.it/forum/showthread.php?t=1603273

per l'antivirus ci sono i thread ufficiali(sezione guida ai programmi)

grazie ora seguo la guida

[OliVale]

Quote:

Originariamente inviato da Riverside

...
In ogni caso, tienimi aggiornato sulla questione.

Ciao Riverside, saluti a tutti Non sono più riuscita a passare dal mio amico né a darvi aggiornamenti causa surplus di lavoro in questa settimana... però ci siamo sentiti per telefono con l'amico "convalescente" e pare che Spyware Terminator, Avira e aSquared abbiano segnalato in questi giorni solo dei cookies, anche domenica scorsa erano solo cookies che avevano rilevato le scansoni.... Pensavo di provare a passare un'ultima volta a recuperare due log recenti di Gmer e di HTHIS per un'ultima verifica finale, posso postarli qui come links a files appena li recupero?
Poi direi che se è tutto a posto faccio un bel riassunto!!!
Se vedo che non riesco a passare dal mio amico in breve tempo eventualmente posto prima il riassunto...
Ancora grazie mille!!

[OliVale]

Saluti e auguri di buon anno a tutti! Finalmente riesco a sedermi due minuti con tranquillità davanti al PC per fare un riassunto di questa per me anomala avventura, per fortuna finita bene grazie al VOSTRO PREZIOSO AIUTO!

Iniziamo dall'inizio: i sintomi strani trovati sul PC erano i seguenti:
poco dopo l'avvio compariva una finestra che segnalava un Virus Alert Infection e con solo il pulsante Ok che invitava a scaricare un virus remover, senza fare riferimento a nessun software antivirus/antimalware in particolare.

Poi periodicamente comparivano delle finestrelle gialle simili (ma non proprio uguali) ai balloons di avviso di WinXP nell'angolo in basso a destra vicino all'ora di sistema, anch'essi che segnalavano varie forme di infezione (Trojan-Spy.win32@mx oppure PSW.x_Vir trojan o Spyware.Cyberlog-X), senza però identificare l'origine della segnalazione. Gli avvisi erano scritti in inglese e pieni di errori di scrittura e tutte le scritte invitano a cliccare per scaricare fantomatici anti-malware o malware remover non meglio identificati...
Trovati molti files strani:
nella cartella windows:
mrofinu572.exe.tmp
mrofinu572.exe
mrofinu1000106.exe
17PHolmes572.exe
nella cartella System32:
una dozzina di files .dll con nome lungo da 5 a 8 caratteri a caso, del tipo jkkjjhh.dll oppure qadfwjdc.dll o gebyw.dll non cancellabili nemmeno dalla modalità provvisoria.
sul desktop si ricreavano ad ogni riavvio due icone con links:
Live Safety Center
Online Security Guide
che assomigliavano mostruosamente alle icone del firewall di Windows ma con colori diversi, e che puntavano entrambi ad un dominio htepo.com con a seguire codici che non son riuscita a trascrivere.
e anche un rMa01yy1065.exe che non ricordo dov'era salvato...
All'interno di IE si era installata una fantomatica "Security Toolbar 7.1" per IE che non si riusciva a disabilitare, e che era collegata al file infetto AJNCIXPJ.DLL identificato più tardi da PrevX CSI come Trojan.Zlob.
Ho cercato di seguire le "Regole di Sezione" del Forum, utilizzando i programmi nell'ordine indicato, e ho installato Firefox da usare al posto di IE per sicurezza.
Ho eseguito CCleaner, ho disattivato il ripristino di sistema, ho fatto la scansione con HiJackThis ma non ha funzionato il Fix dei problemi legati ai files che non riuscivo a cancellare. ho fatto la scansione online con A-squared Anti Malware e sul PC con Avast! aggiornato (che però ho subito disinstallato e sostituito con Avira Antivir su consiglio di xcdegasp). Ho provato ad usare anche Gmer ma non partiva.
Poi ho utilizzato PREVXCSIfree che ha identificato Trojan.Vundo (che ho eliminato con il Removal Tool della Symantec, ma che successivamente si è ripresentato di nuovo) e Trojan.Zlob.
Chill-Out ha ipotizzato la presenza anche di Trojan-Downloader.Win32.Agent.emo
La scansione con DR.Web ha evidenziato, ma non pulito, il Trojan.Winpop.origin e ha invece eliminato C:\WINDOWS\system32\rMa01yy\rMa01yy1065.exe identificato come Trojan.Downloader.24715
A questo punto però i sintomi problematici erano ancora presenti, nonostante alcuni files infetti eliminati.
Ho proseguito quindi così, secondo i consigli di Riverside:
ho cancellato il contenuto della cartella Prefetch di Windows, ho pulito gli ADS utilizzando l'opzione della Misc Tool Section di HJThis, ho rifatto la pulizia totale e approfondita con CCleaner, ho eseguito Panda Antirootkit, e alla fine ho ripostato il log di JHThis per un controllo. Apparentemente a questo punto sembrava che i files problematici fossero spariti, ma i sintomi problematici c'erano ancora.
Allora seguendo sempre i suggerimenti di Riverside, ho eseguito Elistarta e Sysclean Trendmicro, e qualcosa di pulizia finalmente ha funzionato! Anche se qualcosa ha resistito all'eliminazione, legato al Vundo, i sintomi delle finestrelle gialle e delle icone simil-winSecurity erano a questo punto sparite.
Una ulteriore scansione approfondita con A_Squared ha eliminati files riferiti a Trojan-Downloader.Win32.ConHook.hl e a Trojan-Downloader.Win32.ConHook.hl
A seguire ho eseguito le istruzioni di Chill-out facendo girare VundoFix, FixVundo, VirtumundoBeGone, e COMBOFIX.
A questo punto finalmente le cose si sono avviate a conclusione positiva, salvo qualche piccolo fix andato a buon fine subito.
Ho così protetto poi il PC del mio amico con i seguenti programmi, seguendo i consigli degli esperti:
Avira Antivir Personal Edition Free
Comodo Firewall
Spyware Terminator
AdAware
ASquared Free
Panda Antirootkit
Ho poi creato un utente senza privilegi di amministratore e l'ho predisposto con Firefox ultima versione per la navigazione.
Da una successiva scansione con Avira Antivir appena aggiornato è stato trovato ed eliminato TR/Fotomoto.F.1 insieme ad altri files collegati ancora a Vundo, e Riverside mi ha fatto eseguire anche MSNFIX TOOL.
Una nuova scansione con VundoFix ha trovato e rimosso un riferimento a TR/Vundo.A5 e una nuova scanzione con Elistarta ha trovato e rimosso un riferimento a Spam-MailBot.
A questo punto tutto sembra risolto. Sono passate alcune settimane, il mio amico utilizza sempre l'utente non admin per navigare e una volta alla settimana esegue scansione con Antivir a con A2Free e gli ho detto che se trova qualcosa di diverso da cookies di avvisarmi, e per ora ci siamo sentiti solo per gli auguri di Natale e di Capodanno
Perciò a questo punto vi posso solo dire

GRAZIE MILLE DI TUTTO!!
SIETE DAVVERO MITICI!!

Saluti a tutti
Valeria

[Riverside]

Quote:

Originariamente inviato da OliVale

Sono passate alcune settimane, il mio amico utilizza sempre l'utente non admin per navigare e una volta alla settimana esegue scansione con Antivir a con A2Free e gli ho detto che se trova qualcosa di diverso da cookies di avvisarmi, e per ora ci siamo sentiti solo per gli auguri di Natale e di Capodanno

dopo quello che hai fatto, Valeria, il tuo amico, almeno un invito a cena, te lo dovrebbe
porca la miseria, non ci sono più i galantuomini di una volta

[OliVale]

Bè, il mio amico è un signore sessantenne felicemente sposato
Comunque in realtà una cena me l'ha offerta, l'ultima volta che sono passata a controllare il PC ai primi di dicembre, l'ha preparata la sua dolce mogliettina: tomini caldi con speck, tartine al salmone e ai wurstel e micropanini ai salumi vari, compreso un mitico salame di Varzi originale!
A parte tutto, per gli amici non sto a guardare il ritorno...anche se fa piacere un ringraziamento speciale
Lo stesso che vi meritate Voi che avete sempre una pazienza infinita con tutti e consigli sempre utilissimi e di vitale importanza!
Alla prossima occasione! Anche se mi piacerebbe non incontrare mai più virus e schifezze varie...so che il pericolo è sempre in agguato...argh!
Ciao a tutti!
Valeria

[juninho85]

io dico che sto sessantenne è troppo arzillo,ecco dove sta il problema

[Chill-Out]

Quote:

Originariamente inviato da juninho85

io dico che sto sessantenne è troppo arzillo,ecco dove sta il problema

non è mai troppo tardi

[gigi0000]

E' proprio una peste bubbonica 'sto SoleLunaAntivirus.

RAGAZZI VOI SIETE BRAVISSIMI ma io sono piuttosto imbranato, pertanto, dopo aver letto attentamente tutta la faccenda, mi permetto di chiedervi se non fosse possibile, alla luce dell'esperienza condotta con successo, di sintetizzare il tutto in maniera operativa adeguata, non solamente agli smanettoni, ma anche agli imbranati come me.
Ve ne sarei molto grato e, credo, forse tantissimi sarebbero disposti a farvi il monumento.
Pendo dalle vostre labbra! Saluti. gigi.

[murack83pa]

Quote:

Originariamente inviato da gigi0000

.....

beh... parti dalla guida alla disinfezione
e posta tutti i log dei programmi richiesti

c'è da dire che in questo caso, l'utente era infetto anche da vundo...vediamo cosa hai tu....

precisazioni sui programmi della guida (che devono essere lasciati lavorare in pace, nn fare nulla al pc nel frattempo) :

1-riguardo ESET ADS REVEALER, nn ti preoccupare dei nomi che compaiono a fine scansione, cancella tutte le voci, nn elimini alcuni file,ok?

2- ASQUARED è un ottimo programma antispyware, installalo, lo aggiorni, e poi fai la scansione in deep scan, ci impiegherà un bel po di tempo, ma è importante, e posta qui il log(il rapporto di scansione)

3-PREVX CSI è un tool di rilevamento malware, ma nn rimuove nulla, a fine scansione nn devi scaricare la versione a pagamento x la rimozione, nn chiudere il programma, e vai su options e poi save log x poter poi pubblicare qui il log

4-come scansione online fai quella con bitdefender (l'unica che rimuove i virus insieme a quella di f-secure):
http://www.bitdefender.com/scan8/ie.html

5-hijackthis, lo devi "installare" in una sua cartella che puoi creare anche sul desktop, poi a fine scansione,salva in formato .txt il log che ti apparirà e poi lo alleghi qui

5-gmer una volta avviato, lo lasci lavorare in pace (questo vale x tutti i programmi) e a fine scansione clicca sul pulsante copy e poi apri il blocco note e gli dici incolli, cosi salvi il file in formato .txt e lo posti qui

stai attento a come posti i log, guarda qui:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post

[gigi0000]

Intanto infinite grazie per la tempestiva risposta.
Ho cominciato a fare qualche cosa, come da istruzione e da guida. ma ho dovuto interrompere e temo di non avere la possibilità di proseguire per qualche giorno, ma non ibtendo certamente demordere.
Conto di riprendere non appena possibile relazionando in merito.
A presto.