[risolto][win XP] bankfraud.ra bankfraud.ri bayfraud.gw

[Duddas]

Ciao a tutti..
una scansione cn kasperski online mi ha trovato questi trojan che nn riesco ad eliminare... cs posso fare??? vi incollo il log di kasperski e di hijack

grazie anticipatamente

[murack83pa]

x favore, modifica il tuo post come da regole di sezione, grazie

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post

[murack83pa]

edit.

[lancetta]

comincia a buttare tutte ste email infette allega i log comi ti ha indicato il buon Murack e comincia con la procedure per gli infetti così abbiamo un quadro preciso
http://www.hwupgrade.it/forum/showthread.php?t=1589984
http://www.hwupgrade.it/forum/showthread.php?t=1599737

[Duddas]

ok ho aggiunto i log in formato .txt.. veramente gli ho usati tutti quegli software... e anche altri... ma niente da fare...l'avevo già letta la guida alla disinfestazione che in altri casi ho trovato utilissima in altri meno...in questo nessun riscontro

[Chill-Out]

C:\Programmi\Enigma Software Group\SpyHunter\SpyHunter3.exe

disinstalla questa porcheria da Pannello di controllo - Installazione applicazioni

poi procediamo, sarebbe opportuno allegare anche i log mancanti inerenti la Guida alla disinfezione

[Riverside]

Quote:

Originariamente inviato da Duddas

ok ho aggiunto i log in formato .txt.. veramente gli ho usati tutti quegli software... e anche altri... ma niente da fare...l'avevo già letta la guida alla disinfestazione che in altri casi ho trovato utilissima in altri meno...in questo nessun riscontro

Scansione da Bitdefender scanner online.
Al termine allegare sia il log che il report html rilasciati.

[Duddas]

per adesso vi mando sl i report di bitdefender e prevxcsi xkè sn quelli che mi sn rimasti sul pc. se pensate che gli altri siano proprio necessari li riscaricherò. Cmq niente da fare... AVG free continua a darmi un messaggio di infezione di un virus con il nome di un codice numerico sempre diverso...
cm faccio a sapere quale sn le mail infette????

io avrei una soluzione...distruggere il pc cn una mazza chiodata... ma preferirei fosse l'ultima alternativa...

http://www.fileup.itadib.com/downloa...epAENB6PUU6cvL

[murack83pa]

ovviamente il ripristino configurazione sistema è disattivato, giusto?

[Duddas]

si è disattivto ma anche se fosse attivato nn vedo cm potrebbe interagire... spiegatemi xkè oltre a fare quello che mi dite cm un automa vorrei anche capire e possibilmente imparare

[lancetta]

perchè gli eseguibili infetti si introducono anche lì
butta le email: From Bastardidentro, rocco/[From Security Center, From (Mrs.) Irena Kovac. queste risultano infette (se guardi il log di kasper le vedi)

[murack83pa]

Quote:

Originariamente inviato da Duddas

si è disattivto ma anche se fosse attivato nn vedo cm potrebbe interagire... spiegatemi xkè oltre a fare quello che mi dite cm un automa vorrei anche capire e possibilmente imparare

nel ripristino configurazione sistema molto spesso si annidano virus e worm: sono cartelle molto delicate, e spesso, se nn lo si è disattivato, una volta eliminato il file infetto, il virus si annida nel ripristino e al successivo riavvio rispunta...

infatti la scansione antivirus deve essere sempre fatta a ripristino disattivato xchè queste cartelle sono cartelle protette dal sistema, che spesso gli antivirus nn riescono ad esaminare compiutamente....ecco perchè i virus si annidano li....da ciò si spiega la necessità di disattivarlo

[lancetta]

Hai disinstallato spy hunter? disinstallalo e scarica Avenger da qua AVENGER
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

Quote:

C:\Documents and Settings\R\Desktop\Free-SpyHunter-Scanner-Install.exe

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui
fai girare nell'ordine:
SMITHFRAUD
http://siri.geekstogo.com/SmitfraudFix.exe
Salvalo sul desktop, apri la cartella SmitfraudFix, avvia SmithFraudFix. scegli l'opzione 1 (scrivere 1 e premere ENTER),
salva il log che ti dà dove dovrebbe indicarti quello che ha trovato, riavvia in provvisoria (F8 al boot)riapri la cartella SmitfraudFix, avvia SmithFraudFix.cmd,
scegliere l'opzione 2 (scrivere 2 e premere ENTER), digiti Y(yes) alla domanda "Vuoi pulire il registro?", in caso venisse chiesto di rimpiazzare eventuali
files .dll digiti Y(yes), salva il nuovo log riavvia il pc, è probabile che se avevi uno sfondo lo devi reimpostare.

ROGUEREMOVER
Scarica http://www.majorgeeks.com/RogueRemover_d5360.html installalo, doppio click su RogueRemover.exe (fallo aggiornare)->scan e segui le
istruzioni a video

Combofix
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.


vediamo di stroncare sto finto antispy

[Duddas]

per la cronaca ho disinstallato proprio thunderbird e le relative cartelle e ho usato ccleaner quindi addio mail infette spero... finito di mandare questo mex faccio cm mi avete detto
cmq ho cancellato spy hunter prima
AVG free mi ha segnalato il programma Spyfraudfix cm un virus ma ho fatto ignora

[murack83pa]

Quote:

Originariamente inviato da Duddas

per la cronaca ho disinstallato proprio thunderbird e le relative cartelle e ho usato ccleaner quindi addio mail infette spero... finito di mandare questo mex faccio cm mi avete detto
cmq ho cancellato spy hunter prima
AVG free mi ha segnalato il programma Spyfraudfix cm un virus ma ho fatto ignora

mentre fai girare questi programmi, disabilita momentaneamente l'antivirus

[Chill-Out]

Quote:

Originariamente inviato da Duddas

per la cronaca ho disinstallato proprio thunderbird e le relative cartelle e ho usato ccleaner quindi addio mail infette spero... finito di mandare questo mex faccio cm mi avete detto
cmq ho cancellato spy hunter prima
AVG free mi ha segnalato il programma Spyfraudfix cm un virus ma ho fatto ignora

Cancella anche l'installer
C:\Documents and Settings\R\Desktop\Free-SpyHunter-Scanner-Install.exe

[Riverside]

Quote:

Originariamente inviato da Duddas

AVG free mi ha segnalato il programma Spyfraudfix cm un virus ma ho fatto ignora

Fai girare, oltre agli altri segnalati:

● KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

PROCEDURA DI DISINSTALLAZIONE DI KASPERSKY VIRUS REMOVAL TOOL:

● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta risolto il probema

● TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download
Compatibilità: [b]Windows XP

Devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● verrà generato un log in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato
salva il log che verrà rilasciato

Allega i due log richiesti

[Duddas]

sn lieto di risentirvi dp che combofix mi ha fatto essiccare davanti al pc...
ho fatto tutto cm mi avete detto
ho fatto anche di + ho utilizzato GMER che nn avevo ancora utilizzato
il virus persiste cn tenacia... adesso vi lascio i report di tutti i programmi che ho utilizzato e vado a mangiare... questo è l'ultimo mex di oggi.
il 3 programma che mi hai consigliato ha dato esito positivo... tutto regolare (per lui)
per la cronaca nel smitfraudfix AVG mi ha trovato un trojan... cm se quello che avevo nn bastasse...
trojan.horse VB.CEC

grazie ancora buon fortuna a voi e buon appetito a me...


http://www.fileup.itadib.com/downloa...CHQaEvN6d7w5EM Gmer
http://www.fileup.itadib.com/downloa...L0mCqdL2KDLKTt Combofix
http://www.fileup.itadib.com/downloa...dhJSorPdXtd5ZB Smithfraudfix

[lancetta]

Quote:

Originariamente inviato da Duddas

sn lieto di risentirvi dp che combofix mi ha fatto essiccare davanti al pc...
ho fatto tutto cm mi avete detto
ho fatto anche di + ho utilizzato GMER che nn avevo ancora utilizzato
il virus persiste cn tenacia... adesso vi lascio i report di tutti i programmi che ho utilizzato e vado a mangiare... questo è l'ultimo mex di oggi.
il 3 programma che mi hai consigliato ha dato esito positivo... tutto regolare (per lui)
per la cronaca nel smitfraudfix AVG mi ha trovato un trojan... cm se quello che avevo nn bastasse...
trojan.horse VB.CEC

grazie ancora buon fortuna a voi e buon appetito a me...


http://www.fileup.itadib.com/downloa...CHQaEvN6d7w5EM Gmer
http://www.fileup.itadib.com/downloa...L0mCqdL2KDLKTt Combofix
http://www.fileup.itadib.com/downloa...dhJSorPdXtd5ZB Smithfraudfix

hai l'obfuscated e tracce di vundo

[lancetta]

fai così:Scarica Avenger da qua AVENGER
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

Quote:

Files to delete:
C:\$$CORSE.TMP
C:\~~TEMP.BMP
C:\~~ESP.DIS
C:\~~COMP.DIS
C:\WINDOWS\Setup1.exe

File to move:
C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe | C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\ATI Technologies\ATI.ACE\bak\cli.exe | C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\bak\avgas.exe | C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Grisoft\AVG7\bak\avgcc.exe | C:\Programmi\Grisoft\AVG7\avgcc.exe
C:\Programmi\MemoRex\bak\MemoRexStart.exe | C:\Programmi\MemoRex\MemoRexStart.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe | C:\Programmi\Grisoft\AVG Free\avgcc.exe

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

poi scarica QUESTO TOOL lo avvii si aprirà un finestra dos che chiederà di digitare un tasto qualunque,(anche invio)al termine, FindAWF ti proporrà un log aprendo una pagina del block notes,posta qui il risultato.
ed un log di hijackthis