Aiuto, sono ancora infetto?

[roBErto_1615]

Salve a tutti,
vorrei sottoporvi il mio caso per capire se effettivamente sono nella sezione giusta (ovviamente spero di no)
Il mio S.O. è Vista Home Premium OEM su macchina Compaq di un paio di annetti fa se non di più (MB asustek- Narra3, cpu Athlon 4400 dual core con 2 GB DDR2) che ha sempre fatto dignitosamente il suo lavoro.
Pochi giorni fa ho cominciato a notare che:
- tentando di aprire il task manager con la tipica procedura alt+ctrl+canc l'app stessa si apriva nel system tray solament e e non c'era verso di "alzarla";
- non riuscivo a masterizzare in quanto non mi venivano visti i drives o meglio avevo il messaggio che era impossibile accedervi in quanto "probabilmente" non avevo le autorizzazioni necessarie (io usavo un'app della rocket division, starburn che credevo in versione free ma mi era scaduto il periodo trial e quindi pur avendola sostituita con un altro prog. free incappavo nello stesso problema, poi reinstallando il prog della stessa marca finalmente in vers. free riuscivo UNICAMENTE CON ESSO STESSO a masterizzare;
-infine, e questa è storia di ieri, mi sono accorto di avere un impiego esagerato di cpu pur a pc inutilizzato (50%), aprendo Dtask manager ho constatato che si trattava di un svchost a cui facevano riferimento due sottoprocessi task eng (modulo di gestione dell'utilità di pianificazione), se provavo a killare il processo la cpu tornava ad un utilizzo normale ma l'explorer non funzionava più, guardando a quel punto il processo explorer mi sono accorto che faceva capo a Explorer.exe, o Explorer.EXE, a volte li avevo presenti entrambi... E se provavo a killarli mi ritornavano tali e quali, tra l'altro i tentativi di portare a termine una scansione con avira 9 sono stati vani, anche in modalità provvisoria, arrivando al massimo al 16%, abbastanza comunque per individuare i seguenti files:

c:\windows\system32\ovfsthxcecfwqpo.dll
c:\windows\system32\ovfsthxcixnqnkn.dll
c:\windows\system32\ovfsthxgaeykdti.dat
c:\windows\system32\ovfsthxqisretej.dll
c:\windows\system32\ovfsthxsxwrgxqb.dat

classificandoli come files nascosti, senza però essere in grado di eliminarli.
Ho potuto altresì stabilire che scollegarsi dalla rete non rimuoveva il problema...
Dopo varie elucubrazioni e (patetici) tentativi, avendo comunque letto varie cose in questa sezione, anche se non proprio corrispondenti a quanto mi sta/va accadendo, ho deciso di provare combofix e questo piccolo grande programma mi ha rassettato il sistema!!! Infatti anche combofix ha trovato i succitati files e dopo averli catalogati come attività rootkit li ha fatti fuori insiema a molte altre cose..

Ora però mi rendo conto che quando avvio il sistema mi ritrovo ancora che explorer fa capo a c:\windows\Explorer.exe senza però avere impieghi anomali di cpu, ho anche visto che killando explorer con taskmanager (non dtaskmanager: chi ha detto che quest'ultimo è più potente della tool di windows??) non mi si riattiva automaticamente ma sono io a doverlo fare e, facendo riferimento al path autentico dell'esplora risorse, esso parte in maniera corretta e il problema sembra finire lì...
A questo punto mi chiedo: sono a posto? Oltretutto avendo notato che il processo sedicente explorer che si avvia ad accensione pc varia nella sua denominazione (p. es. Explorer.exe o Explorer.EXE) mi chiedo ancora SONO A POSTO???
Grazie a chi vorrà aiutarmi

[bozzato]

explorer.exe deve starci come processo ativo...è di vitale importanza...cmq per essere sicuro di aver il pc pulito segui la guida alla disinfezione per infetti...

[marcosco]

Quote:

Originariamente inviato da roBErto_1615

Salve a tutti,
vorrei sottoporvi il mio caso per capire se effettivamente sono nella sezione giusta (ovviamente spero di no)
Il mio S.O. è Vista Home Premium OEM su macchina Compaq di un paio di annetti fa se non di più (MB asustek- Narra3, cpu Athlon 4400 dual core con 2 GB DDR2) che ha sempre fatto dignitosamente il suo lavoro.
Pochi giorni fa ho cominciato a notare che:
- tentando di aprire il task manager con la tipica procedura alt+ctrl+canc l'app stessa si apriva nel system tray solament e e non c'era verso di "alzarla";
- non riuscivo a masterizzare in quanto non mi venivano visti i drives o meglio avevo il messaggio che era impossibile accedervi in quanto "probabilmente" non avevo le autorizzazioni necessarie (io usavo un'app della rocket division, starburn che credevo in versione free ma mi era scaduto il periodo trial e quindi pur avendola sostituita con un altro prog. free incappavo nello stesso problema, poi reinstallando il prog della stessa marca finalmente in vers. free riuscivo UNICAMENTE CON ESSO STESSO a masterizzare;
-infine, e questa è storia di ieri, mi sono accorto di avere un impiego esagerato di cpu pur a pc inutilizzato (50%), aprendo Dtask manager ho constatato che si trattava di un svchost a cui facevano riferimento due sottoprocessi task eng (modulo di gestione dell'utilità di pianificazione), se provavo a killare il processo la cpu tornava ad un utilizzo normale ma l'explorer non funzionava più, guardando a quel punto il processo explorer mi sono accorto che faceva capo a Explorer.exe, o Explorer.EXE, a volte li avevo presenti entrambi... E se provavo a killarli mi ritornavano tali e quali, tra l'altro i tentativi di portare a termine una scansione con avira 9 sono stati vani, anche in modalità provvisoria, arrivando al massimo al 16%, abbastanza comunque per individuare i seguenti files:

c:\windows\system32\ovfsthxcecfwqpo.dll
c:\windows\system32\ovfsthxcixnqnkn.dll
c:\windows\system32\ovfsthxgaeykdti.dat
c:\windows\system32\ovfsthxqisretej.dll
c:\windows\system32\ovfsthxsxwrgxqb.dat

classificandoli come files nascosti, senza però essere in grado di eliminarli.
Ho potuto altresì stabilire che scollegarsi dalla rete non rimuoveva il problema...
Dopo varie elucubrazioni e (patetici) tentativi, avendo comunque letto varie cose in questa sezione, anche se non proprio corrispondenti a quanto mi sta/va accadendo, ho deciso di provare combofix e questo piccolo grande programma mi ha rassettato il sistema!!! Infatti anche combofix ha trovato i succitati files e dopo averli catalogati come attività rootkit li ha fatti fuori insiema a molte altre cose..

Ora però mi rendo conto che quando avvio il sistema mi ritrovo ancora che explorer fa capo a c:\windows\Explorer.exe senza però avere impieghi anomali di cpu, ho anche visto che killando explorer con taskmanager (non dtaskmanager: chi ha detto che quest'ultimo è più potente della tool di windows??) non mi si riattiva automaticamente ma sono io a doverlo fare e, facendo riferimento al path autentico dell'esplora risorse, esso parte in maniera corretta e il problema sembra finire lì...
A questo punto mi chiedo: sono a posto? Oltretutto avendo notato che il processo sedicente explorer che si avvia ad accensione pc varia nella sua denominazione (p. es. Explorer.exe o Explorer.EXE) mi chiedo ancora SONO A POSTO???
Grazie a chi vorrà aiutarmi

explorer.exe con estensione minuscola situato in C:\windows=processo legittimo,explorer.EXE con estensione maiuscola situato da un'altra parte=troyan.Fai una scansione con hijackthis e posta il log.ciao

[roBErto_1615]

Quote:

Originariamente inviato da marcosco

explorer.exe con estensione minuscola situato in C:\windows=processo legittimo,explorer.EXE con estensione maiuscola situato da un'altra parte=troyan.Fai una scansione con hijackthis e posta il log.ciao

http://www.fileqube.com/shared/ZWzhfiGt1458977

http://www.fileqube.com/shared/pjLaJPl1458976

Questi logs a pc appena avviato e dopo la sostituzione dell'explorer.exe come ho descritto.

Ma scusate: è dunque una cosa nota della presenza di trojan o altra immondizia che operano una specie di hijack all'explorer? se sì qualcuno riesce ad indicarmi gli strumenti per la loro rimozione pls?
Grazie per l'interessamento

[wjmat]

carica il log di combofix se ce l'hai ancora

[roBErto_1615]

Quote:

Originariamente inviato da wjmat

carica il log di combofix se ce l'hai ancora

http://www.fileqube.com/shared/tUbkv1458997

http://www.fileqube.com/shared/bdrZh1458998

Eccolo, ho anche allegato il log dei files messi in quarantena..

Grazie.

[wjmat]

per sicurezza, come già indicato al post 2 segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione

[roBErto_1615]

Quote:

Originariamente inviato da wjmat

per sicurezza, come già indicato al post 2 segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio), e secondo le regole di sezione

Ok grazie, sto procedendo in maniera organizzata secondo le indicazioni però avrei una domandina
. non è che posso evitare di mettere in quarantena della tracce(sto parlando di a-2) che sono relative ad apps indispensabili e che ho ragione di credere innucue? Entro nello specifico: la scansione mi sta trovando un sacco di tracce relative ad ultra VNC che è di vitale importanza per poter gestire in remoto il pc di mia moglie che sta molto lontana e che usa il pc stesso solo per la videoconferenza con me..
Come mi devo comportare?
Grazie di nuovo

[wjmat]

i programmi di controllo remoto li segnala sempre dannosi, non eliminarli se li hai scaricati da fonti ufficiali

[roBErto_1615]

Quote:

Originariamente inviato da wjmat

i programmi di controllo remoto li segnala sempre dannosi, non eliminarli se li hai scaricati da fonti ufficiali

Ottimo allora sono a posto, tra l'altro ho notato che l'app. non li propone nemmeno spuntati, magari perchè di rischi medio.

Grazie

[roBErto_1615]

Chiedo scusa,
sto or ora usando il removal tool di Kaspersky ma vi sembra normale che stia macinando da 1 ora, mi abbia controllato 120.00 files e stia ancora all'1%???
N.B. gli sto facendo fare la scansione del disco di sistema, con svariate apps, d'accordo, vari giochi ma per un totale di 60 GB ca.

[wjmat]

può essere tutto, tu fallo girare e non fare altro

[roBErto_1615]

Quote:

Originariamente inviato da wjmat

può essere tutto, tu fallo girare e non fare altro

Scusa ma non posso credere che vada tutto bene dopo tutta la notte che gira e non procede di un solo punto percentuale con i files sedicentemente controllati che sono svariate centinaia di migliaia, andrà in looping, non so, so solo che l'unico modo per farlo procedere è clickare skip quando l'opzione si presenta, chiudere la scansione, riaprirla, consentire che riprenda da dove viene interrotta e allora sì vedo progredire la percentuale di scansione ma anche così facendo non sono riuscito ad andare oltre il 25%..

[wjmat]

se internet funziona opta per la scansione con fsecure

[roBErto_1615]

Quote:

Originariamente inviato da wjmat

se internet funziona opta per la scansione con fsecure

Ah bè sìsì quella l'avevo già fatta e non mi ha trovato nulla, volevo solo fare qualcosa in più per cercare di risolvere questo mio problema che, almeno apparentemente, non mi dà grande noia, non riduce le prestazione del pc e comunque è "aggirabile" chiudendo con task manager (win) il processo explorer che fa capo appunto a explorer.Exe o Explrorer.Exe e una volta riavviato riporta come riferimento il giusto explorer.exe...

[xcdegasp]

Quote:

Originariamente inviato da roBErto_1615

Ah bè sìsì quella l'avevo già fatta e non mi ha trovato nulla, volevo solo fare qualcosa in più per cercare di risolvere questo mio problema che, almeno apparentemente, non mi dà grande noia, non riduce le prestazione del pc e comunque è "aggirabile" chiudendo con task manager (win) il processo explorer che fa capo appunto a explorer.Exe o Explrorer.Exe e una volta riavviato riporta come riferimento il giusto explorer.exe...

fai una scansione con malwarebytes, a-squared e prevx (in questo ordine) e vediamo un po' che succede

[roBErto_1615]

Quote:

Originariamente inviato da xcdegasp

fai una scansione con malwarebytes, a-squared e prevx (in questo ordine) e vediamo un po' che succede

fatta pure quella, però il prevx mi lascia un tantino perplesso: mi ha trovato 3 positivi: ff_setup (eliminato) combofix ( ) e prevx stesso ( )

[roBErto_1615]

Sto facendo una passata con Dr. Web, anch'esso mi dà come positivo combofix e anche DTaskManager, possibile??

[wjmat]

dovresti caricarci i log
comunque si, è probabile che vengano segnalati

[roBErto_1615]

http://www.fileqube.com/shared/kQmNe1461676
http://www.fileqube.com/shared/EDPVmAjD1461680
http://www.fileqube.com/shared/zDgOcunli1461679
http://www.fileqube.com/shared/nthSDlsMn1461682
http://www.fileqube.com/shared/SBasW1461681
http://www.fileqube.com/shared/CWdMf1461678

ecco i miei logs aspetto il vostro parere

Grazie ancora