|
|
|
|
Strumenti |
20-03-2010, 18:46 | #1 |
Senior Member
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
|
VIRUS SUBDOLO.
Ciao a tutti,
E' un pò di tempo che mi si presenta un problema assai noioso. Sul pc di casa e' capitato un pò di giorni fà che durante l'utilizzo quotidiano di internet con firefox (su w7), cliccando ad esempio sui link delle pagine web, automaticamente una volta ogni tanto il browser mi reindirizzava aprendomi nuovi tab a pagine web casuali. Tipo con google cliccavo un link e lui mi apriva un nuovo tab con un sito a casaccio prontamente bloccato ad Adblock e NoScript (però il tab veniva comunque aperto). La prima impressione ovviamente è stata quella del "ho qualche maledetto malware\virus" ed effettivamente l'antivirus successivamente (microsoft security essentials) ha rilevato la presenza del trojan Alureon.G poi prontamente rimosso. Il problema dei tab aperti però era rimasto. Quindi, armato di buona pazienza ho installato hijacking per il controllo, Malwarebytes, Spybot S&D, mrt di windows e rifatto le scansioni più e più volte anche in modalità provvisoria nonchè usato ccleaner e ATF-Cleaner per la pulizia generale. Tutte mi davano esito positivo, nessun virus\trojan\spyware nel computer o tutto pulito eppure in qualche modo così non è.... L'unica ipotesi possibile era quindi riconducibile in qualche modo ai dns (anche perchè dopo ogni pulizia i miei dns -opendns- venivano resettati dal protocollo tcp\ip) e che il virus anche se rimosso mi avesse comunque lasciato qualche bel regalino. Effettivamente, controllando, nei dns ho una sfilza allucinante di siti web sconosciuti ora inseriti. Ho provato più e più volte a cancellare la cache tramite flushdns ma, anche se avuto esito positivo, con un displaydns tutto era come prima. Ho provato a stoppare il servizio e cancellare ma nulla sempre li e sempre presente il noioso problema dei tab aperti in automatico... (ah, un'altro problema è l'errore FFFFFFF di windows_update che da quanto ho capito è dovuto al fatto che causa virus\malware maligno non è possibile eseguire l'aggiornamento che in questo caso è riferito all'antivirus stesso fermo a 5 gg fa.. però lo stato del computer è su "protetto" ... mah!) Non so piu che pesci pigliare... come posso cancellare questa maledetta cache dns? E, più importante, questo maledetto virus? -.- Grazie in anticipo per le risposte. |
20-03-2010, 20:23 | #2 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Ciao prova ad eseguire i test di questa guida per verificare l'eventuale presenza di Conficker/Downadup/Kido, in caso di pc infetto prosegui in quel 3d
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
20-03-2010, 22:08 | #3 | |
Senior Member
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
|
Quote:
nel primo vedo tutte le immagini e nel secondo: Codice:
University of Bonn: Conficker Online Infection Indicator: clean Status: There are no signs for an infection. Codice:
rootkit:Alureon->c:\windows\system32\drivers\iastorv.sys Cmq Si vede che è confinato lì, viene attivato e rivelato per poi essere rimosso, ma c'è una traccia in origine che permette di ricrearlo che non viene vista da nessun antivirus. Ho fatto stanotte 9 ore di scansione completa senza esito... Ultima modifica di Danyz81 : 20-03-2010 alle 22:10. |
|
21-03-2010, 00:34 | #4 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
disattiva il ripristino configurazione di sistema
fai girare e carica il log di Combofix (leggi bene le info)
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
21-03-2010, 08:17 | #5 | |
Senior Member
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
|
Quote:
Ti allego esattamente la finestra: Posso inserire qui il file log di combofix? Cmq, a prescindere le voci relative alla cartella drivers mi preoccupano :\ Codice:
2010-03-21 06:34 . 2010-03-21 06:34 332352 ----a-w- c:\windows\system32\drivers\aosmsnow.sys 2010-03-21 06:20 . 2010-03-21 06:20 332352 ----a-w- c:\windows\system32\drivers\owzpakum.sys 2010-03-21 03:52 . 2010-03-21 03:52 332352 ----a-w- c:\windows\system32\drivers\gjhnksix.sys 2010-03-21 00:49 . 2010-03-21 00:49 332352 ----a-w- c:\windows\system32\drivers\njaocjyy.sys 2010-03-20 23:29 . 2010-03-20 23:29 332352 ----a-w- c:\windows\system32\drivers\wipgwmjq.sys 2010-03-20 22:18 . 2010-03-20 22:18 332352 ----a-w- c:\windows\system32\drivers\bqhteyrw.sys 2010-03-20 21:49 . 2010-03-20 21:51 -------- d-----w- c:\program files\SpywareGuard 2010-03-20 21:32 . 2010-03-20 21:32 332352 ----a-w- c:\windows\system32\drivers\eammjqot.sys 2010-03-20 21:21 . 2010-03-20 21:21 332352 ----a-w- c:\windows\system32\drivers\ujfzywuk.sys 2010-03-20 21:01 . 2010-03-20 21:01 332352 ----a-w- c:\windows\system32\drivers\yiocothm.sys 2010-03-20 21:00 . 2010-03-20 21:00 332352 ----a-w- c:\windows\system32\drivers\lgputari.sys 2010-03-18 07:42 . 2010-03-18 07:42 332352 ----a-w- c:\windows\system32\drivers\addubvaa.sys 2010-03-18 07:33 . 2010-03-18 07:33 286720 ----a-w- c:\windows\iun506.exe 2010-03-17 20:59 . 2010-03-17 20:59 332352 ----a-w- c:\windows\system32\drivers\lnqedetg.sys 2010-03-17 15:41 . 2010-03-17 15:41 332352 ----a-w- c:\windows\system32\drivers\zoaugnvu.sys 2010-03-17 14:47 . 2010-03-17 14:47 332352 ----a-w- c:\windows\system32\drivers\cjzxjcju.sys 2010-03-17 02:00 . 2010-02-11 07:10 293376 ----a-w- c:\windows\system32\browserchoice.exe 2010-03-17 00:07 . 2010-03-17 00:07 332352 ----a-w- c:\windows\system32\drivers\mwnuiqko.sys 2010-03-16 19:49 . 2010-03-16 19:49 332352 ----a-w- c:\windows\system32\drivers\gjutwuie.sys Grazie per l'aiuto. Ciao, Daniele. Ultima modifica di Danyz81 : 21-03-2010 alle 08:36. |
|
22-03-2010, 00:31 | #6 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
carica tutto il log su un server remoto indicato nelle regole di sezione
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
22-03-2010, 00:35 | #7 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovarlo in C:\TDSSKiller..................log.txt
__________________
Try again and you will be luckier.
|
22-03-2010, 08:58 | #8 | |
Senior Member
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
|
Quote:
Log del ComboFix: ComboFix.txt Log del TDSSKiller: TDSSKiller_log.txt lo stesso TDSSKiller fatto dopo il riavvio (l'antivirus mi aveva rivelato di nuovo il virus nel file iastorv, e dopo riavvio ho provveduto a rieseguire anche una seconda scansione con TDSSKiller) TDSSKiller.2.2.8_22.03.2010_09.16.26_log.txt Mi serve una copia backup del file iaStorV.sys ? EDITATO i link, scusami Ultima modifica di Danyz81 : 22-03-2010 alle 09:25. |
|
22-03-2010, 09:04 | #9 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Cortesemente edita il tuo post ed allega i log su uno dei Server Remoti indicati nelle regole di sezione.
__________________
Try again and you will be luckier.
|
22-03-2010, 09:40 | #10 |
Senior Member
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
|
|
22-03-2010, 09:56 | #11 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita.
__________________
Try again and you will be luckier.
|
22-03-2010, 10:18 | #12 | |
Senior Member
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
|
Quote:
EDITO: Però finalmente l'update di windows è terminato con successo.. forse proprio lo stesso TDSSKiller mi ha aiutato Grazie ancora aggiornerò in caso di riscontri negativi... speriamo di no |
|
22-03-2010, 10:31 | #13 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
carica anche un log di Gmer e Prevx
poi vediamo se preparare uno script per la rimozione manuale con combofix
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
22-03-2010, 10:54 | #14 | ||
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Quote:
__________________
Try again and you will be luckier.
|
||
22-03-2010, 12:18 | #15 | |
Senior Member
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
|
Quote:
Ora provvedo anche per gmer ed eventualmente anche Prevx (scusami ho letto dopo il messaggio). Ultima modifica di Danyz81 : 22-03-2010 alle 12:20. |
|
22-03-2010, 13:06 | #16 |
Senior Member
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
|
Questo il log di gmer: gmerlog.log
Qui il log di Prevx: prevx.log Sembra veramente scomparso... in più non ho più problemi di tab automatici e la lista DNS è finalmente pulita... boh Ultima modifica di Danyz81 : 22-03-2010 alle 13:09. |
22-03-2010, 16:15 | #17 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
fai anche una nuova scansione con combo
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
22-03-2010, 16:43 | #18 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
22-03-2010, 17:09 | #19 | |
Senior Member
Iscritto dal: Jul 2006
Città: Roma
Messaggi: 755
|
Quote:
Ok, le scansioni complete le lascio a questa notte perchè avendo 4 unità montate vorrei farle su tutte lasciando nel frattempo il pc inattivo. Mi potreste invece spiegare il verdetto di TDDSkiller? Perchè qui è scritto Codice:
16:58:26:569 4324 Memory objects infected / cured / cured on reboot: 0 / 0 / 0 16:58:26:569 4324 Registry objects infected / cured / cured on reboot: 0 / 0 / 0 16:58:26:569 4324 File objects infected / cured / cured on reboot: 0 / 0 / 0 Ma il Verdict: 1 di ogni device scansionata invece indica che è stato trovato un virus per ognuna? Grazie ancora, Daniele. |
|
22-03-2010, 17:22 | #20 | ||
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Quote:
1 significa che sono stati trovati due files infetti di cui 1 caricato in memoria
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 22-03-2010 alle 17:26. |
||
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 12:44.