Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR ha introdotto con Magic6 Pro la funzione Magic Portal che consente, tramite intelligenza artificiale, di suggerire scorciatoie agli utenti in modo da permettere di passare e accedere facilmente ai servizi tra app e dispositivi con un semplice tocco. Vi spieghiamo qui come funziona
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 20-03-2010, 18:46   #1
Danyz81
Senior Member
 
L'Avatar di Danyz81
 
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
VIRUS SUBDOLO.

Ciao a tutti,
E' un pò di tempo che mi si presenta un problema assai noioso. Sul pc di casa e' capitato un pò di giorni fà che durante l'utilizzo quotidiano di internet con firefox (su w7), cliccando ad esempio sui link delle pagine web, automaticamente una volta ogni tanto il browser mi reindirizzava aprendomi nuovi tab a pagine web casuali. Tipo con google cliccavo un link e lui mi apriva un nuovo tab con un sito a casaccio prontamente bloccato ad Adblock e NoScript (però il tab veniva comunque aperto).

La prima impressione ovviamente è stata quella del "ho qualche maledetto malware\virus" ed effettivamente l'antivirus successivamente (microsoft security essentials) ha rilevato la presenza del trojan Alureon.G poi prontamente rimosso. Il problema dei tab aperti però era rimasto. Quindi, armato di buona pazienza ho installato hijacking per il controllo, Malwarebytes, Spybot S&D, mrt di windows e rifatto le scansioni più e più volte anche in modalità provvisoria nonchè usato ccleaner e ATF-Cleaner per la pulizia generale. Tutte mi davano esito positivo, nessun virus\trojan\spyware nel computer o tutto pulito eppure in qualche modo così non è....

L'unica ipotesi possibile era quindi riconducibile in qualche modo ai dns (anche perchè dopo ogni pulizia i miei dns -opendns- venivano resettati dal protocollo tcp\ip) e che il virus anche se rimosso mi avesse comunque lasciato qualche bel regalino. Effettivamente, controllando, nei dns ho una sfilza allucinante di siti web sconosciuti ora inseriti. Ho provato più e più volte a cancellare la cache tramite flushdns ma, anche se avuto esito positivo, con un displaydns tutto era come prima. Ho provato a stoppare il servizio e cancellare ma nulla sempre li e sempre presente il noioso problema dei tab aperti in automatico...

(ah, un'altro problema è l'errore FFFFFFF di windows_update che da quanto ho capito è dovuto al fatto che causa virus\malware maligno non è possibile eseguire l'aggiornamento che in questo caso è riferito all'antivirus stesso fermo a 5 gg fa.. però lo stato del computer è su "protetto" ... mah!)

Non so piu che pesci pigliare... come posso cancellare questa maledetta cache dns? E, più importante, questo maledetto virus? -.-

Grazie in anticipo per le risposte.
Danyz81 è offline   Rispondi citando il messaggio o parte di esso
Old 20-03-2010, 20:23   #2
wjmat
Senior Member
 
L'Avatar di wjmat
 
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
Ciao prova ad eseguire i test di questa guida per verificare l'eventuale presenza di Conficker/Downadup/Kido, in caso di pc infetto prosegui in quel 3d
wjmat è offline   Rispondi citando il messaggio o parte di esso
Old 20-03-2010, 22:08   #3
Danyz81
Senior Member
 
L'Avatar di Danyz81
 
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
Quote:
Originariamente inviato da wjmat Guarda i messaggi
Ciao prova ad eseguire i test di questa guida per verificare l'eventuale presenza di Conficker/Downadup/Kido, in caso di pc infetto prosegui in quel 3d
Ciao wjmat grazie, tutte e due i test hanno dato esiti positivi:

nel primo vedo tutte le immagini e nel secondo:
Codice:
University of Bonn: Conficker Online Infection Indicator:
clean Status: There are no signs for an infection.
direi non sia questo. Poco fa mi si è ripresentato il rilevamento del virus Alureon.F e prontamente rimosso in:

Codice:
rootkit:Alureon->c:\windows\system32\drivers\iastorv.sys
nella cronologia è sempre lo stesso. La cosa strana è che ogni volta che viene eliminato mi si riazzerano anche i settaggi dns.
Cmq Si vede che è confinato lì, viene attivato e rivelato per poi essere rimosso, ma c'è una traccia in origine che permette di ricrearlo che non viene vista da nessun antivirus. Ho fatto stanotte 9 ore di scansione completa senza esito...

Ultima modifica di Danyz81 : 20-03-2010 alle 22:10.
Danyz81 è offline   Rispondi citando il messaggio o parte di esso
Old 21-03-2010, 00:34   #4
wjmat
Senior Member
 
L'Avatar di wjmat
 
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
disattiva il ripristino configurazione di sistema
fai girare e carica il log di Combofix (leggi bene le info)
wjmat è offline   Rispondi citando il messaggio o parte di esso
Old 21-03-2010, 08:17   #5
Danyz81
Senior Member
 
L'Avatar di Danyz81
 
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
Quote:
Originariamente inviato da wjmat Guarda i messaggi
disattiva il ripristino configurazione di sistema
fai girare e carica il log di Combofix (leggi bene le info)
Fatto partire in modalità provvisoria combofix (in modalità normale mi andava in schermata blu al passaggio 6a). Una volta completato e riavviato come risposta subito l'antivirus mi ha avvisato della solita 1 minaccia rilevata, sempre la stessa. Mi ha azzerato i cache dns tcp\ip e solita apertura di tab appena aperto firefox.

Ti allego esattamente la finestra:



Posso inserire qui il file log di combofix?

Cmq, a prescindere le voci relative alla cartella drivers mi preoccupano :\

Codice:
2010-03-21 06:34 . 2010-03-21 06:34	332352	----a-w-	c:\windows\system32\drivers\aosmsnow.sys
2010-03-21 06:20 . 2010-03-21 06:20	332352	----a-w-	c:\windows\system32\drivers\owzpakum.sys
2010-03-21 03:52 . 2010-03-21 03:52	332352	----a-w-	c:\windows\system32\drivers\gjhnksix.sys
2010-03-21 00:49 . 2010-03-21 00:49	332352	----a-w-	c:\windows\system32\drivers\njaocjyy.sys
2010-03-20 23:29 . 2010-03-20 23:29	332352	----a-w-	c:\windows\system32\drivers\wipgwmjq.sys
2010-03-20 22:18 . 2010-03-20 22:18	332352	----a-w-	c:\windows\system32\drivers\bqhteyrw.sys
2010-03-20 21:49 . 2010-03-20 21:51	--------	d-----w-	c:\program files\SpywareGuard
2010-03-20 21:32 . 2010-03-20 21:32	332352	----a-w-	c:\windows\system32\drivers\eammjqot.sys
2010-03-20 21:21 . 2010-03-20 21:21	332352	----a-w-	c:\windows\system32\drivers\ujfzywuk.sys
2010-03-20 21:01 . 2010-03-20 21:01	332352	----a-w-	c:\windows\system32\drivers\yiocothm.sys
2010-03-20 21:00 . 2010-03-20 21:00	332352	----a-w-	c:\windows\system32\drivers\lgputari.sys
2010-03-18 07:42 . 2010-03-18 07:42	332352	----a-w-	c:\windows\system32\drivers\addubvaa.sys
2010-03-18 07:33 . 2010-03-18 07:33	286720	----a-w-	c:\windows\iun506.exe

2010-03-17 20:59 . 2010-03-17 20:59	332352	----a-w-	c:\windows\system32\drivers\lnqedetg.sys
2010-03-17 15:41 . 2010-03-17 15:41	332352	----a-w-	c:\windows\system32\drivers\zoaugnvu.sys
2010-03-17 14:47 . 2010-03-17 14:47	332352	----a-w-	c:\windows\system32\drivers\cjzxjcju.sys
2010-03-17 02:00 . 2010-02-11 07:10	293376	----a-w-	c:\windows\system32\browserchoice.exe
2010-03-17 00:07 . 2010-03-17 00:07	332352	----a-w-	c:\windows\system32\drivers\mwnuiqko.sys
2010-03-16 19:49 . 2010-03-16 19:49	332352	----a-w-	c:\windows\system32\drivers\gjutwuie.sys
etc..


Grazie per l'aiuto.
Ciao,
Daniele.

Ultima modifica di Danyz81 : 21-03-2010 alle 08:36.
Danyz81 è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 00:31   #6
wjmat
Senior Member
 
L'Avatar di wjmat
 
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
carica tutto il log su un server remoto indicato nelle regole di sezione
wjmat è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 00:35   #7
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovarlo in C:\TDSSKiller..................log.txt
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 08:58   #8
Danyz81
Senior Member
 
L'Avatar di Danyz81
 
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
Quote:
Originariamente inviato da Chill-Out Guarda i messaggi
Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovarlo in C:\TDSSKiller..................log.txt
Grazie ad entrambi:

Log del ComboFix: ComboFix.txt

Log del TDSSKiller: TDSSKiller_log.txt

lo stesso TDSSKiller fatto dopo il riavvio (l'antivirus mi aveva rivelato di nuovo il virus nel file iastorv, e dopo riavvio ho provveduto a rieseguire anche una seconda scansione con TDSSKiller)
TDSSKiller.2.2.8_22.03.2010_09.16.26_log.txt

Mi serve una copia backup del file iaStorV.sys ?

EDITATO i link, scusami

Ultima modifica di Danyz81 : 22-03-2010 alle 09:25.
Danyz81 è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 09:04   #9
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da Danyz81 Guarda i messaggi
Grazie ad entrambi:

Log del ComboFix:

Log del TDSSKiller:

Mi serve una copia backup del file iaStorV.sys ?
Cortesemente edita il tuo post ed allega i log su uno dei Server Remoti indicati nelle regole di sezione.
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 09:40   #10
Danyz81
Senior Member
 
L'Avatar di Danyz81
 
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
Quote:
Originariamente inviato da Chill-Out Guarda i messaggi
Cortesemente edita il tuo post ed allega i log su uno dei Server Remoti indicati nelle regole di sezione.
Scusami, post sopra editato.
Danyz81 è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 09:56   #11
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da Danyz81 Guarda i messaggi
Scusami, post sopra editato.
Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita.
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 10:18   #12
Danyz81
Senior Member
 
L'Avatar di Danyz81
 
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
Quote:
Originariamente inviato da Chill-Out Guarda i messaggi
Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita.
Fatto ma non mi ha trovato nulla, eseguito anche al riavvio, rieseguito tddskiller e log identico all'antecedente... il problema che nessuna scansione antivirus mi rileva files infetti ma poi all'improvviso mi spunta la finestra relativa al file iastorv con conseguente reset dei dns e richiesta di riavvio per terminare la pulizia...

EDITO: Però finalmente l'update di windows è terminato con successo.. forse proprio lo stesso TDSSKiller mi ha aiutato

Grazie ancora aggiornerò in caso di riscontri negativi... speriamo di no
Danyz81 è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 10:31   #13
wjmat
Senior Member
 
L'Avatar di wjmat
 
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
carica anche un log di Gmer e Prevx
poi vediamo se preparare uno script per la rimozione manuale con combofix
wjmat è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 10:54   #14
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da wjmat Guarda i messaggi
carica anche un log di Gmer e Prevx
poi vediamo se preparare uno script per la rimozione manuale con combofix
Quote:
Originariamente inviato da Danyz81 Guarda i messaggi
Fatto ma non mi ha trovato nulla, eseguito anche al riavvio, rieseguito tddskiller e log identico all'antecedente... il problema che nessuna scansione antivirus mi rileva files infetti ma poi all'improvviso mi spunta la finestra relativa al file iastorv con conseguente reset dei dns e richiesta di riavvio per terminare la pulizia...

EDITO: Però finalmente l'update di windows è terminato con successo.. forse proprio lo stesso TDSSKiller mi ha aiutato

Grazie ancora aggiornerò in caso di riscontri negativi... speriamo di no
Qualcosa non torna, oltre a quanto indicato produci il log di una scansione completa con CureIt -> qui trovi le specifiche http://www.hwupgrade.it/forum/showthread.php?t=1599737
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 12:18   #15
Danyz81
Senior Member
 
L'Avatar di Danyz81
 
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
Quote:
Originariamente inviato da Chill-Out Guarda i messaggi
Qualcosa non torna, oltre a quanto indicato produci il log di una scansione completa con CureIt -> qui trovi le specifiche http://www.hwupgrade.it/forum/showthread.php?t=1599737
Spero di no! Ho installato, mi ha fatto in automatico una scansione rapida automaticamente senza aver trovato nulla. Comunque questa notte lascerò fare la scansione completa a pc accesso a tutte le mie unità... aggiorno quando avrò finito postando nel caso relativo log.


Quote:
Originariamente inviato da wjmat Guarda i messaggi
carica anche un log di Gmer e Prevx
poi vediamo se preparare uno script per la rimozione manuale con combofix
Ora provvedo anche per gmer ed eventualmente anche Prevx (scusami ho letto dopo il messaggio).

Ultima modifica di Danyz81 : 22-03-2010 alle 12:20.
Danyz81 è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 13:06   #16
Danyz81
Senior Member
 
L'Avatar di Danyz81
 
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
Questo il log di gmer: gmerlog.log

Qui il log di Prevx: prevx.log

Sembra veramente scomparso... in più non ho più problemi di tab automatici e la lista DNS è finalmente pulita... boh

Ultima modifica di Danyz81 : 22-03-2010 alle 13:09.
Danyz81 è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 16:15   #17
wjmat
Senior Member
 
L'Avatar di wjmat
 
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
fai anche una nuova scansione con combo
wjmat è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 16:43   #18
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da Danyz81 Guarda i messaggi
Spero di no! Ho installato, mi ha fatto in automatico una scansione rapida automaticamente senza aver trovato nulla. Comunque questa notte lascerò fare la scansione completa a pc accesso a tutte le mie unità... aggiorno quando avrò finito postando nel caso relativo log.




Ora provvedo anche per gmer ed eventualmente anche Prevx (scusami ho letto dopo il messaggio).
Per scrupolo allegherei il log di 1 scansione completa con DrWeb CureIt + il log TDSSKiller
__________________
Try again and you will be luckier.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 17:09   #19
Danyz81
Senior Member
 
L'Avatar di Danyz81
 
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
Quote:
Originariamente inviato da Chill-Out Guarda i messaggi
Per scrupolo allegherei il log di 1 scansione completa con DrWeb CureIt + il log TDSSKiller
Qui la nuova di TDSSKiller TDSSKiller.2.2.8_22.03.2010_16.58.25_log.txt

Ok, le scansioni complete le lascio a questa notte perchè avendo 4 unità montate vorrei farle su tutte lasciando nel frattempo il pc inattivo.

Mi potreste invece spiegare il verdetto di TDDSkiller?

Perchè qui è scritto
Codice:
16:58:26:569 4324	Memory objects infected / cured / cured on reboot:	0 / 0 / 0
16:58:26:569 4324	Registry objects infected / cured / cured on reboot:	0 / 0 / 0
16:58:26:569 4324	File objects infected / cured / cured on reboot:	0 / 0 / 0
e quindi mi fa capire che è pulito (?)

Ma il Verdict: 1 di ogni device scansionata invece indica che è stato trovato un virus per ognuna?

Grazie ancora,
Daniele.
Danyz81 è offline   Rispondi citando il messaggio o parte di esso
Old 22-03-2010, 17:22   #20
Chill-Out
Moderatore
 
L'Avatar di Chill-Out
 
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
Quote:
Originariamente inviato da Danyz81 Guarda i messaggi
Fatto ma non mi ha trovato nulla, eseguito anche al riavvio, rieseguito tddskiller e log identico all'antecedente... il problema che nessuna scansione antivirus mi rileva files infetti ma poi all'improvviso mi spunta la finestra relativa al file iastorv con conseguente reset dei dns e richiesta di riavvio per terminare la pulizia...

EDITO: Però finalmente l'update di windows è terminato con successo.. forse proprio lo stesso TDSSKiller mi ha aiutato

Grazie ancora aggiornerò in caso di riscontri negativi... speriamo di no
Quote:
Originariamente inviato da Danyz81 Guarda i messaggi
Qui la nuova di TDSSKiller TDSSKiller.2.2.8_22.03.2010_16.58.25_log.txt

Ok, le scansioni complete le lascio a questa notte perchè avendo 4 unità montate vorrei farle su tutte lasciando nel frattempo il pc inattivo.

Mi potreste invece spiegare il verdetto di TDDSkiller?

Perchè qui è scritto
Codice:
16:58:26:569 4324	Memory objects infected / cured / cured on reboot:	0 / 0 / 0
16:58:26:569 4324	Registry objects infected / cured / cured on reboot:	0 / 0 / 0
16:58:26:569 4324	File objects infected / cured / cured on reboot:	0 / 0 / 0
e quindi mi fa capire che è pulito (?)

Ma il Verdict: 1 di ogni device scansionata invece indica che è stato trovato un virus per ognuna?

Grazie ancora,
Daniele.
Daniele mi servirebbe il log indicato in grassetto

1 significa che sono stati trovati due files infetti di cui 1 caricato in memoria
__________________
Try again and you will be luckier.

Ultima modifica di Chill-Out : 22-03-2010 alle 17:26.
Chill-Out è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
Recensione HONOR Pad 9: ampio display e audio top per il tablet per l'intrattenimento Recensione HONOR Pad 9: ampio display e audio to...
Xbox Series X si veste di bianco, ma &eg...
La Porsche Boxster elettrica beccata in ...
L'iPad da 10,9" (Wi-Fi, 64GB) è sceso a ...
Dell, calo del mercato PC: licenziati 13...
Alfa Romeo Milano, scopriamo profilo e l...
Hisense vende un TV FHD 32 pollici con Q...
Cisco Webex anche in auto: ora è ...
Phil Schiller, il boss dell'App Store di...
Lola in Formula E insieme a Yamaha, due ...
Motorola MA1 è l'accessorio ideale per u...
Tineco e aspirapolveri senza fili, la nu...
Blocco note, c'è un modo per ripr...
Relic Entertainment dice addio a SEGA: l...
SPATIUM M580 FROZR, il nuovo SSD PCIe Ge...
Le schede video NVIDIA GeForce RTX con i...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 12:44.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www3v