VIRUS SUBDOLO.

[Danyz81]

Ciao a tutti,
E' un pò di tempo che mi si presenta un problema assai noioso. Sul pc di casa e' capitato un pò di giorni fà che durante l'utilizzo quotidiano di internet con firefox (su w7), cliccando ad esempio sui link delle pagine web, automaticamente una volta ogni tanto il browser mi reindirizzava aprendomi nuovi tab a pagine web casuali. Tipo con google cliccavo un link e lui mi apriva un nuovo tab con un sito a casaccio prontamente bloccato ad Adblock e NoScript (però il tab veniva comunque aperto).

La prima impressione ovviamente è stata quella del "ho qualche maledetto malware\virus" ed effettivamente l'antivirus successivamente (microsoft security essentials) ha rilevato la presenza del trojan Alureon.G poi prontamente rimosso. Il problema dei tab aperti però era rimasto. Quindi, armato di buona pazienza ho installato hijacking per il controllo, Malwarebytes, Spybot S&D, mrt di windows e rifatto le scansioni più e più volte anche in modalità provvisoria nonchè usato ccleaner e ATF-Cleaner per la pulizia generale. Tutte mi davano esito positivo, nessun virus\trojan\spyware nel computer o tutto pulito eppure in qualche modo così non è....

L'unica ipotesi possibile era quindi riconducibile in qualche modo ai dns (anche perchè dopo ogni pulizia i miei dns -opendns- venivano resettati dal protocollo tcp\ip) e che il virus anche se rimosso mi avesse comunque lasciato qualche bel regalino. Effettivamente, controllando, nei dns ho una sfilza allucinante di siti web sconosciuti ora inseriti. Ho provato più e più volte a cancellare la cache tramite flushdns ma, anche se avuto esito positivo, con un displaydns tutto era come prima. Ho provato a stoppare il servizio e cancellare ma nulla sempre li e sempre presente il noioso problema dei tab aperti in automatico...

(ah, un'altro problema è l'errore FFFFFFF di windows_update che da quanto ho capito è dovuto al fatto che causa virus\malware maligno non è possibile eseguire l'aggiornamento che in questo caso è riferito all'antivirus stesso fermo a 5 gg fa.. però lo stato del computer è su "protetto" ... mah!)

Non so piu che pesci pigliare... come posso cancellare questa maledetta cache dns? E, più importante, questo maledetto virus? -.-

Grazie in anticipo per le risposte.

[wjmat]

Ciao prova ad eseguire i test di questa guida per verificare l'eventuale presenza di Conficker/Downadup/Kido, in caso di pc infetto prosegui in quel 3d

[Danyz81]

Quote:

Originariamente inviato da wjmat

Ciao prova ad eseguire i test di questa guida per verificare l'eventuale presenza di Conficker/Downadup/Kido, in caso di pc infetto prosegui in quel 3d

Ciao wjmat grazie, tutte e due i test hanno dato esiti positivi:

nel primo vedo tutte le immagini e nel secondo:

Codice:

University of Bonn: Conficker Online Infection Indicator:
clean Status: There are no signs for an infection.

direi non sia questo. Poco fa mi si è ripresentato il rilevamento del virus Alureon.F e prontamente rimosso in:

Codice:

rootkit:Alureon->c:\windows\system32\drivers\iastorv.sys

nella cronologia è sempre lo stesso. La cosa strana è che ogni volta che viene eliminato mi si riazzerano anche i settaggi dns.
Cmq Si vede che è confinato lì, viene attivato e rivelato per poi essere rimosso, ma c'è una traccia in origine che permette di ricrearlo che non viene vista da nessun antivirus. Ho fatto stanotte 9 ore di scansione completa senza esito...

[wjmat]

disattiva il ripristino configurazione di sistema
fai girare e carica il log di Combofix (leggi bene le info)

[Danyz81]

Quote:

Originariamente inviato da wjmat

disattiva il ripristino configurazione di sistema
fai girare e carica il log di Combofix (leggi bene le info)

Fatto partire in modalità provvisoria combofix (in modalità normale mi andava in schermata blu al passaggio 6a). Una volta completato e riavviato come risposta subito l'antivirus mi ha avvisato della solita 1 minaccia rilevata, sempre la stessa. Mi ha azzerato i cache dns tcp\ip e solita apertura di tab appena aperto firefox.

Ti allego esattamente la finestra:



Posso inserire qui il file log di combofix?

Cmq, a prescindere le voci relative alla cartella drivers mi preoccupano :\

Codice:

2010-03-21 06:34 . 2010-03-21 06:34	332352	----a-w-	c:\windows\system32\drivers\aosmsnow.sys
2010-03-21 06:20 . 2010-03-21 06:20	332352	----a-w-	c:\windows\system32\drivers\owzpakum.sys
2010-03-21 03:52 . 2010-03-21 03:52	332352	----a-w-	c:\windows\system32\drivers\gjhnksix.sys
2010-03-21 00:49 . 2010-03-21 00:49	332352	----a-w-	c:\windows\system32\drivers\njaocjyy.sys
2010-03-20 23:29 . 2010-03-20 23:29	332352	----a-w-	c:\windows\system32\drivers\wipgwmjq.sys
2010-03-20 22:18 . 2010-03-20 22:18	332352	----a-w-	c:\windows\system32\drivers\bqhteyrw.sys
2010-03-20 21:49 . 2010-03-20 21:51	--------	d-----w-	c:\program files\SpywareGuard
2010-03-20 21:32 . 2010-03-20 21:32	332352	----a-w-	c:\windows\system32\drivers\eammjqot.sys
2010-03-20 21:21 . 2010-03-20 21:21	332352	----a-w-	c:\windows\system32\drivers\ujfzywuk.sys
2010-03-20 21:01 . 2010-03-20 21:01	332352	----a-w-	c:\windows\system32\drivers\yiocothm.sys
2010-03-20 21:00 . 2010-03-20 21:00	332352	----a-w-	c:\windows\system32\drivers\lgputari.sys
2010-03-18 07:42 . 2010-03-18 07:42	332352	----a-w-	c:\windows\system32\drivers\addubvaa.sys
2010-03-18 07:33 . 2010-03-18 07:33	286720	----a-w-	c:\windows\iun506.exe

2010-03-17 20:59 . 2010-03-17 20:59	332352	----a-w-	c:\windows\system32\drivers\lnqedetg.sys
2010-03-17 15:41 . 2010-03-17 15:41	332352	----a-w-	c:\windows\system32\drivers\zoaugnvu.sys
2010-03-17 14:47 . 2010-03-17 14:47	332352	----a-w-	c:\windows\system32\drivers\cjzxjcju.sys
2010-03-17 02:00 . 2010-02-11 07:10	293376	----a-w-	c:\windows\system32\browserchoice.exe
2010-03-17 00:07 . 2010-03-17 00:07	332352	----a-w-	c:\windows\system32\drivers\mwnuiqko.sys
2010-03-16 19:49 . 2010-03-16 19:49	332352	----a-w-	c:\windows\system32\drivers\gjutwuie.sys

etc..


Grazie per l'aiuto.
Ciao,
Daniele.

[wjmat]

carica tutto il log su un server remoto indicato nelle regole di sezione

[Chill-Out]

Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovarlo in C:\TDSSKiller..................log.txt

[Danyz81]

Quote:

Originariamente inviato da Chill-Out

Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovarlo in C:\TDSSKiller..................log.txt

Grazie ad entrambi:

Log del ComboFix: ComboFix.txt

Log del TDSSKiller: TDSSKiller_log.txt

lo stesso TDSSKiller fatto dopo il riavvio (l'antivirus mi aveva rivelato di nuovo il virus nel file iastorv, e dopo riavvio ho provveduto a rieseguire anche una seconda scansione con TDSSKiller)
TDSSKiller.2.2.8_22.03.2010_09.16.26_log.txt

Mi serve una copia backup del file iaStorV.sys ?

EDITATO i link, scusami

[Chill-Out]

Quote:

Originariamente inviato da Danyz81

Grazie ad entrambi:

Log del ComboFix:

Log del TDSSKiller:

Mi serve una copia backup del file iaStorV.sys ?

Cortesemente edita il tuo post ed allega i log su uno dei Server Remoti indicati nelle regole di sezione.

[Danyz81]

Quote:

Originariamente inviato da Chill-Out

Cortesemente edita il tuo post ed allega i log su uno dei Server Remoti indicati nelle regole di sezione.

Scusami, post sopra editato.

[Chill-Out]

Quote:

Originariamente inviato da Danyz81

Scusami, post sopra editato.

Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita.

[Danyz81]

Quote:

Originariamente inviato da Chill-Out

Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita.

Fatto ma non mi ha trovato nulla, eseguito anche al riavvio, rieseguito tddskiller e log identico all'antecedente... il problema che nessuna scansione antivirus mi rileva files infetti ma poi all'improvviso mi spunta la finestra relativa al file iastorv con conseguente reset dei dns e richiesta di riavvio per terminare la pulizia...

EDITO: Però finalmente l'update di windows è terminato con successo.. forse proprio lo stesso TDSSKiller mi ha aiutato

Grazie ancora aggiornerò in caso di riscontri negativi... speriamo di no

[wjmat]

carica anche un log di Gmer e Prevx
poi vediamo se preparare uno script per la rimozione manuale con combofix

[Chill-Out]

Quote:

Originariamente inviato da wjmat

carica anche un log di Gmer e Prevx
poi vediamo se preparare uno script per la rimozione manuale con combofix

Quote:

Originariamente inviato da Danyz81

Fatto ma non mi ha trovato nulla, eseguito anche al riavvio, rieseguito tddskiller e log identico all'antecedente... il problema che nessuna scansione antivirus mi rileva files infetti ma poi all'improvviso mi spunta la finestra relativa al file iastorv con conseguente reset dei dns e richiesta di riavvio per terminare la pulizia...

EDITO: Però finalmente l'update di windows è terminato con successo.. forse proprio lo stesso TDSSKiller mi ha aiutato

Grazie ancora aggiornerò in caso di riscontri negativi... speriamo di no

Qualcosa non torna, oltre a quanto indicato produci il log di una scansione completa con CureIt -> qui trovi le specifiche http://www.hwupgrade.it/forum/showthread.php?t=1599737

[Danyz81]

Quote:

Originariamente inviato da Chill-Out

Qualcosa non torna, oltre a quanto indicato produci il log di una scansione completa con CureIt -> qui trovi le specifiche http://www.hwupgrade.it/forum/showthread.php?t=1599737

Spero di no! Ho installato, mi ha fatto in automatico una scansione rapida automaticamente senza aver trovato nulla. Comunque questa notte lascerò fare la scansione completa a pc accesso a tutte le mie unità... aggiorno quando avrò finito postando nel caso relativo log.

Quote:

Originariamente inviato da wjmat

carica anche un log di Gmer e Prevx
poi vediamo se preparare uno script per la rimozione manuale con combofix

Ora provvedo anche per gmer ed eventualmente anche Prevx (scusami ho letto dopo il messaggio).

[Danyz81]

Questo il log di gmer: gmerlog.log

Qui il log di Prevx: prevx.log

Sembra veramente scomparso... in più non ho più problemi di tab automatici e la lista DNS è finalmente pulita... boh

[wjmat]

fai anche una nuova scansione con combo

[Chill-Out]

Quote:

Originariamente inviato da Danyz81

Spero di no! Ho installato, mi ha fatto in automatico una scansione rapida automaticamente senza aver trovato nulla. Comunque questa notte lascerò fare la scansione completa a pc accesso a tutte le mie unità... aggiorno quando avrò finito postando nel caso relativo log.




Ora provvedo anche per gmer ed eventualmente anche Prevx (scusami ho letto dopo il messaggio).

Per scrupolo allegherei il log di 1 scansione completa con DrWeb CureIt + il log TDSSKiller

[Danyz81]

Quote:

Originariamente inviato da Chill-Out

Per scrupolo allegherei il log di 1 scansione completa con DrWeb CureIt + il log TDSSKiller

Qui la nuova di TDSSKiller TDSSKiller.2.2.8_22.03.2010_16.58.25_log.txt

Ok, le scansioni complete le lascio a questa notte perchè avendo 4 unità montate vorrei farle su tutte lasciando nel frattempo il pc inattivo.

Mi potreste invece spiegare il verdetto di TDDSkiller?

Perchè qui è scritto

Codice:

16:58:26:569 4324	Memory objects infected / cured / cured on reboot:	0 / 0 / 0
16:58:26:569 4324	Registry objects infected / cured / cured on reboot:	0 / 0 / 0
16:58:26:569 4324	File objects infected / cured / cured on reboot:	0 / 0 / 0

e quindi mi fa capire che è pulito (?)

Ma il Verdict: 1 di ogni device scansionata invece indica che è stato trovato un virus per ognuna?

Grazie ancora,
Daniele.

[Chill-Out]

Quote:

Originariamente inviato da Danyz81

Fatto ma non mi ha trovato nulla, eseguito anche al riavvio, rieseguito tddskiller e log identico all'antecedente... il problema che nessuna scansione antivirus mi rileva files infetti ma poi all'improvviso mi spunta la finestra relativa al file iastorv con conseguente reset dei dns e richiesta di riavvio per terminare la pulizia...

EDITO: Però finalmente l'update di windows è terminato con successo.. forse proprio lo stesso TDSSKiller mi ha aiutato

Grazie ancora aggiornerò in caso di riscontri negativi... speriamo di no

Quote:

Originariamente inviato da Danyz81

Qui la nuova di TDSSKiller TDSSKiller.2.2.8_22.03.2010_16.58.25_log.txt

Ok, le scansioni complete le lascio a questa notte perchè avendo 4 unità montate vorrei farle su tutte lasciando nel frattempo il pc inattivo.

Mi potreste invece spiegare il verdetto di TDDSkiller?

Perchè qui è scritto

Codice:

16:58:26:569 4324	Memory objects infected / cured / cured on reboot:	0 / 0 / 0
16:58:26:569 4324	Registry objects infected / cured / cured on reboot:	0 / 0 / 0
16:58:26:569 4324	File objects infected / cured / cured on reboot:	0 / 0 / 0

e quindi mi fa capire che è pulito (?)

Ma il Verdict: 1 di ogni device scansionata invece indica che è stato trovato un virus per ognuna?

Grazie ancora,
Daniele.

Daniele mi servirebbe il log indicato in grassetto

1 significa che sono stati trovati due files infetti di cui 1 caricato in memoria