Trojan SHeur 2 insistente

[---JoE---]

Ciao,
Allego il log di hijackthis, e vi espongo il problema:

praticamente, nonostante scansioni in modalità normale o provvisoria con AVG (a volte trovandolo e a volte no) ogni tanto all'avvio del pc ricompariva l'avviso di AVG che era stato trovato e bloccato (SHEur2).

Il pc è finito quindi nelle mie mani per sistemarlo...
Alla fine ho svuotato la quarantena di AVG (non vi dico quanta roba c'era dentro ),ho cancellato con ccleaner tutti i files temporanei in modalità provvisoria e ho fatto una scansione con Trojan Remover (che ha trovato e fixato solo una chiave di registro relativa a un certo virus "nissan.exe" rimosso tempo fa).
Poi ancora scansioni di AVG senza trovare nulla, e anche Spybot S&D non trova nulla.
Googlando un po' ho letto che è abbastanza difficile da rimuovere definitivamente questo virus, quindi nonostante gli avvisi non siano più comparsi vorrei un vostro parere in merito (dovendo restituire il pc alla proprietaria)...

Se non basta il log di hijackthis e avete altri consigli a riguardo sono tutto occhi.
Grazie mille in anticipo!

[Chill-Out]

Se desideri effettuare un controllo approfondito segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[---JoE---]

ok grazie della risposta cercherò di provvedere...

in ogni caso il log di hijackthis in sé non contiene anomalie... (?)

[Chill-Out]

Quote:

Originariamente inviato da ---JoE---

ok grazie della risposta cercherò di provvedere...

in ogni caso il log di hijackthis in sé non contiene anomalie... (?)

Il solo log di HJT non è sufficiente ad eradicare l'infezione (se presente), sarebbe opportuno allegare il log di AVG.

[---JoE---]

Ciao, sto seguendo la guida, primo aggiornamento:

- Ieri sera la scansione di Malwarebytes Anti-Malware ha trovato il solito nissan.exe.vir Messo in quarantena e poi eliminato.
- Questa sera A-Squared ha trovato 6 elementi "dannosi". Due li ha messi correttamente in quarantena (secondo me sono falsi positivi, sono file dell'HP ma lascio a te giudicare meglio). Gli altri 4 elementi non riesce a metterli in quarantena. Posto due screenshot, uno con i 4 file e uno con un esempio del tipo di errore che dà cercando di metterli in quarantena.
http://img709.imageshack.us/img709/9062/a2scan.png
http://img682.imageshack.us/img682/5218/a2scanerror.png

Ecco invece i log delle due scansioni:
Malwarbytes: mbam-log-2010-01-26 (00-38-01).txt
A-Squared: a2scan_100126-192823.txt

Mi scuso per lo "scaglionamento" delle scansioni (). Avrei aspettato di avere tutti i log ma mi preoccupano quei due file dell'HP (se sono falsi positivi non vorrei che facessero casino riavviando non trovandoli)!
Appena possibile continuo con la guida, grazie ciao!

[Chill-Out]

Quote:

Originariamente inviato da ---JoE---

Ciao, sto seguendo la guida, primo aggiornamento:

- Ieri sera la scansione di Malwarebytes Anti-Malware ha trovato il solito nissan.exe.vir Messo in quarantena e poi eliminato.
- Questa sera A-Squared ha trovato 6 elementi "dannosi". Due li ha messi correttamente in quarantena (secondo me sono falsi positivi, sono file dell'HP ma lascio a te giudicare meglio). Gli altri 4 elementi non riesce a metterli in quarantena. Posto due screenshot, uno con i 4 file e uno con un esempio del tipo di errore che dà cercando di metterli in quarantena.
http://img709.imageshack.us/img709/9062/a2scan.png
http://img682.imageshack.us/img682/5218/a2scanerror.png

Ecco invece i log delle due scansioni:
Malwarbytes: mbam-log-2010-01-26 (00-38-01).txt
A-Squared: a2scan_100126-192823.txt

Mi scuso per lo "scaglionamento" delle scansioni (). Avrei aspettato di avere tutti i log ma mi preoccupano quei due file dell'HP (se sono falsi positivi non vorrei che facessero casino riavviando non trovandoli)!
Appena possibile continuo con la guida, grazie ciao!

Tutti FP

Quote:

Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.dl.tvunetworks.com!A2
C:\HP\BIN\EndProcess.exe rilevati: Riskware.Win32.KillApp!A2
C:\HP\HPQWare\EasySetup\SetACL.exe rilevati: Riskware.Win32.ACLSet!A2

onde ragion per cui questi li puoi ripristinare dalla quarantena

Quote:

C:\HP\HPQWare\EasySetup\SetACL.exe In quarantena Riskware.Win32.ACLSet!A2
C:\HP\BIN\EndProcess.exe In quarantena Riskware.Win32.KillApp!A2

[---JoE---]

Prima di tutto grazie per la risposta tempestivissima

Ho riscontrato un problema con F-Secure scanner e i junction points di Vista... Ho lasciato il pc in scansione questa notte ed è rimasto bloccato al 33% scansionando cartelle tipo C:\Users\{user}\Local Settings\Application Data e simili... alla fine ho annullato e dato che aveva comunque trovato uno spyware l'ho fatto rimuovere... dici di ripetere la scansione escludendo le cartelle interessate?

[Chill-Out]

Quote:

Originariamente inviato da ---JoE---

Prima di tutto grazie per la risposta tempestivissima

Ho riscontrato un problema con F-Secure scanner e i junction points di Vista... Ho lasciato il pc in scansione questa notte ed è rimasto bloccato al 33% scansionando cartelle tipo C:\Users\{user}\Local Settings\Application Data e simili... alla fine ho annullato e dato che aveva comunque trovato uno spyware l'ho fatto rimuovere... dici di ripetere la scansione escludendo le cartelle interessate?

In alternativa è previsto il Kaspersky Removal Tool

[---JoE---]

Quote:

Originariamente inviato da Chill-Out

In alternativa è previsto il Kaspersky Removal Tool

ah già, non ci avevo fatto caso
eseguito senza trovare nulla comunque... procedo con il resto....

[---JoE---]

Aggiornamento:

- Kaspersky Removal Tool non ha trovato nulla di anomalo.

- Dr.Web CureIT appena avviato ha fatto da solo una scansione rapida in cui mi ha detto di aver modificato il file HOSTS... in quarantena ha messo quello vecchio... Poi ho eseguito la scansione completa tramite la quale mi ha segnalato problemi nella folder di backup di Spybot S&D... il programmino per snellire il log mi da errore ("impossibile trovare il file", anche se l'ho nominato correttamente)... ho preso comunque nota dei percorsi dal log, che sono:

Codice:

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus
C:\Documents and Settings\All Users\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus
C:\ProgramData\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus
C:\Users\All Users\Application Data\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus
C:\Users\All Users\Dati applicazioni\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus
C:\Users\All Users\Spybot - Search & Destroy\Backups\regLocal.reg probabile infezione da SCRIPT.Virus

- ESET SysInspector: SysInspector-PC-GIULIA-100130-1046.xml

- Hijackthis: hijackthis.log

- Gmer lo lancio, lascio le impostazioni come sono e seleziono Scan... Il problema è che dopo poco crasha e fa crashare tutto il pc, che va riavviato... Ho fatto due tentativi, entrambi finiti in questo modo
Edit: terzo tentativo, questa volta addirittura si è bloccato tutto senza effettuare la scansione: ho aperto il programma, poi mi sono assentato qualche minuto e al ritorno la cpu pompava a 100% e sistema inutilizzabile :|

[Chill-Out]

Allega tutti i log disponibili, se Gmer crasha passa al punto successivo.

[---JoE---]

Eseguito anche prevx, ultimo punto della guida... Il sistema è risultato pulito (http://img532.imageshack.us/img532/1527/prevxscreen.png)

Edit: son riuscito a filtrare il log cureit, link sotto

[---JoE---]

CureIT: cureit filtrato.txt

[Chill-Out]

Non emerge nessuna traccia di questo fantomatico Trojan ti suggerisco di disinstallare Spybot - Search & Destroy, successivamente segui questa Guida

NB: devi aggiornare il SO al SP2 e IE alla versione 8

[---JoE---]

Ok, grazie mille del supporto, pensavo fosse un buon programma Spybot S&D

[Chill-Out]

Quote:

Originariamente inviato da ---JoE---

Ok, grazie mille del supporto, pensavo fosse un buon programma Spybot S&D

Una volta era considerato un buon programma, buon proseguimento.