Si apre una pagina Web a caso..!

[MrPatato]

Salve, ieri il pc della mia ragazza, dopo una sessione di internet explorer ha iniziato a dare problemi...
Aperture di processi tipo: 5.exe 8.exe qtplugin.exe ed anche il simpatico Security Center dopo aver disabilitato AVG per usare il COMBOFIX (per via delle pagine dannose che si aprivano).
Uno dei processi svchosts addirittura arrivava ad usare il 30 40% di cpu e 200mb di memoria... (adesso fixando come scritto sotto, siamo a 0% e 70mb)

In seguito mi era anche sparito dai servizi (services.msc) il firewall ed il centro sicurezza, che ho in seguito ripristinato grazie a dei files di registro trovati in rete.

Avevo AVG 9.0 + Spybot SD attivi e AVG sembrava avvertire problemi al file svchost etc ma non poteva disinfettare...

Ho usato Malwarebytes e SuperAntiSpyware per andare sul sicuro, che dopo molto tempo hanno deletato quello che c'era in lista...

Dopo due scansioni di ognuno, ed essere passato ad AntiVir, devo dire che non ho piu messaggi d'infezioni etc (forse era meglio avg?)


Ho fatto tutto e di piu, MA a RANDOM si apre una pagina di explorer (Non una scheda su attuale browser aperto), Casuale, su siti sconosciuti che se non avessi rimesso l'antivirus mi avrebbero re-infettato con altre porcherie..

Cosa posso fare?
ho visto un topic simile al mio ma sembra si sia andati fuori tema...

Allego il log di Hijackthis per ulteriore aiuto!

hijackthis.log


edito per dire che proprio adesso mi si è aperta questa finestra... (link modificato e tagliato per non danneggiare nessuno)http ://7search.com /scripts /validation/v1 /validate.aspx?x= Link tagliato per non danneggiare nessuno

[wjmat]

Ciao

edita il tuo post eliminando/modificando il link magari dannoso
segui qui la guida per la rimozione dei Rogue Software (finti programmi di sicurezza) e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità

[MrPatato]

Quote:

Originariamente inviato da wjmat

Ciao

edita il tuo post eliminando/modificando il link magari dannoso
segui qui la guida per la rimozione dei Rogue Software (finti programmi di sicurezza) e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità

ho editato subito, però non credo sia un rogue...
ho specificato sopra che sono riuscito a sistemare il problema col security center...

Il problema è l'apertura di questi link a caso... e la disattivazione casuale del firewall di windows...

[xcdegasp]

fai la scansione con Avira rescue System, per farlo segui questa guida:
http://www.hwupgrade.it/forum/showpo...2&postcount=13


poi proseguiamo con la guida degli infetti

[MrPatato]

Quote:

Originariamente inviato da xcdegasp

fai la scansione con Avira rescue System, per farlo segui questa guida:
http://www.hwupgrade.it/forum/showpo...2&postcount=13


poi proseguiamo con la guida degli infetti

non avendo modo di masterizzare cosa posso fare?

[MrPatato]

Quote:

Originariamente inviato da wjmat

Ciao

edita il tuo post eliminando/modificando il link magari dannoso
segui qui la guida per la rimozione dei Rogue Software (finti programmi di sicurezza) e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità

Ecco svariati logs..!

Combofix log.txt


hijackthis.log

mbam-log-2010-04-13 (20-57-32).txt

SUPERAntiSpyware Scan Log - 04-13-2010 - 21-10-38.log

A me sembrano essere pulito superantispyware, mentre gli altri qualcosa hanno tolto, tutto tranne che il problema di questa pagina random che si apre.

Non sono un neofita, ma quando non trovi processi visibili etc non so cosa fare...

Ho manualmente scoperto di avere un file che si attaccava all'userinit, sdra64.exe che non veniva neppure detectato ma ho trovato in rete come eliminarlo...

boh, chiedo aiuto a voi! a chi risolve il problema un premio..!

[MrPatato]

Ecco che lasciando fare ad Antivir (Avira), quindi senza chiudere al volo le pagine che si aprono... mi blocca questo virus JS/FakeAV.62361 !!!!!!

Neppure Malwarebyte me lo trova... forse perchè colpisce a caso e non c'era in quel momento della scansione..??

Ad ogni modo ho negato l'accesso con Avira, è possibile che ci sia qualche file che lo richiami e che sia Idle dentro il sistem?

help!

[xcdegasp]

Quote:

Originariamente inviato da MrPatato

non avendo modo di masterizzare cosa posso fare?

visto che non dovresti masterizzarlo dal pc infetto potresti provare a masterizzarlo da un pc sano ossia a casa di un tuo amico/conoscente..

potresti pubblicare un log di una scansione completa del pc fatta con avira?


eppure dalle tue parole sembra che nessuno vedesse qualcosa, ma cio non sembra essere vero:

Codice:

ComboFix 10-04-11.06 - Chiara 13/04/2010  20.10.55.4.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.39.1040.18.2814.2318 [GMT 2:00]
Eseguito da: c:\documents and settings\utente\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000000-EE24-0012-424C-927CA4101600}

c:\documents and settings\All Users\Documenti\Settings
c:\windows\system32\etquhw5.dll
c:\windows\system32\fsc.txt
c:\windows\system32\ide.txt
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\qks.txt
c:\windows\system32\Thumbs.db

Codice:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Versione database: 3980

Tipo di scansione: Scansione veloce

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

13/04/2010 20.57.32

Chiavi di registro infette:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

non capisco di cosa ti lamenti se con malwarebytes e superantispyware fai la scansione veloce... perchè a questo non rifai queste due scansioni con malità completa e magari prosegui con il resto della guida?
non vorrei sminuire le tue grandi doti di "problem solving" ma se ti sei rivolta a noi un motivo ci sarà come del resto sarebbe lo stesso motivo per cui nella guida sono richieste 8 scansioni

ps: puoi benissimo usare superantispyware al posto di a-squared

[MrPatato]

Quote:

Originariamente inviato da xcdegasp

visto che non dovresti masterizzarlo dal pc infetto potresti provare a masterizzarlo da un pc sano ossia a casa di un tuo amico/conoscente..

potresti pubblicare un log di una scansione completa del pc fatta con avira?


eppure dalle tue parole sembra che nessuno vedesse qualcosa, ma cio non sembra essere vero:

Codice:

ComboFix 10-04-11.06 - Chiara 13/04/2010  20.10.55.4.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.39.1040.18.2814.2318 [GMT 2:00]
Eseguito da: c:\documents and settings\utente\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000000-EE24-0012-424C-927CA4101600}

c:\documents and settings\All Users\Documenti\Settings
c:\windows\system32\etquhw5.dll
c:\windows\system32\fsc.txt
c:\windows\system32\ide.txt
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\qks.txt
c:\windows\system32\Thumbs.db

Codice:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Versione database: 3980

Tipo di scansione: Scansione veloce

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

13/04/2010 20.57.32

Chiavi di registro infette:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

non capisco di cosa ti lamenti se con malwarebytes e superantispyware fai la scansione veloce... perchè a questo non rifai queste due scansioni con malità completa e magari prosegui con il resto della guida?
non vorrei sminuire le tue grandi doti di "problem solving" ma se ti sei rivolta a noi un motivo ci sarà come del resto sarebbe lo stesso motivo per cui nella guida sono richieste 8 scansioni

ps: puoi benissimo usare superantispyware al posto di a-squared

Logs aggiornati e con scansioni Complete

ComboFix.txt

mbam-log-2010-04-14 (09-56-48).txt

SUPERAntiSpyware Scan Log - 04-14-2010 - 08-47-04.log

hijackthis.log

Combofix avviato con il guard di avira disattivato.
Malwarebytes non ha trovato nulla.
SuperAntispyware non ha trovato nulla.
Hijackthis non so cosa dica...

Ho: Aggiornato Java SUN, nessun cambiamento;
Ho disinstallato Emule (e reinstallato in seguito)

Ma questa pagina casuale si apre sempre, è una specie di finto motore di search che se non lo blocca Avira, mi rimanda a fake antiviruses che mi creano casini...

Adesso faccio partire lo scan completo di Avira ok?


ps: il log di ComboFIx precedente (quello che mi hai quotato), lascialo perdere ormai, avevo scoperto di avere su system32 il file sdra64 che in rete è conosciuto come malware e Keylogger, nessun programma lo rilevava e l'ho cancellato manualmente disattivando l'handle e poi dal registro (Combofix avra' deletato il resto), cmq guarda il nuovo log di Combofix

[MrPatato]

Avira report!!

AVSCAN-20100414-143238-573F73B7.LOG

Durante la scansione, una pagina si è aperta e Avira l'ha bloccata come quasi tutte...

e mi ha dato x2 volte questo intruso, ho selezionato nega accesso... comunque ritorna dopo un po...

Nel file 'C:\Documents and Settings\Chiara\Impostazioni locali\Temporary Internet Files\Content.IE5\WKAWOI9A\206adc3413db5b42a87f9972895791efb2c53008411[1].js'
è stato rilevato un virus o programma indesiderato 'JS/FakeAV.62361' [virus].
Azione eseguita: Nega accesso



Aiuto

[xcdegasp]

ora se potresti seguire la guida per gli infetti ( GUIDA alla DISINFEZIONE per INFETTI potrai essere sicuro che risolverai inquanto il primissimo passo è quello di eseguire atf-cleaner con il quale in semplicità potrai cancellare cache di InternetExplorer, cronologia di InternetExplorer, file temporanei, cookies
sicuramente risolverai il problema inquanto è una pagina scaricata da IE

io però farei anche le successive 8 giusto per scrupolo del resto se si fosse seguita dall'inizio a quest'ora si sarebbe già risolto

Quote:

Piattaforma : Windows XP
Versione di Windows : (Service Pack 2) [5.1.2600]

la versione di avira è ancora la 9 ma dovresti upgradarlo alla 10 e windows dovresti assolutamente aggiornarlo a sp3, magari un firewall diverso da quello integrato in windows non guasterebbe

[MrPatato]

Quote:

Originariamente inviato da xcdegasp

ora se potresti seguire la guida per gli infetti ( GUIDA alla DISINFEZIONE per INFETTI potrai essere sicuro che risolverai inquanto il primissimo passo è quello di eseguire atf-cleaner con il quale in semplicità potrai cancellare cache di InternetExplorer, cronologia di InternetExplorer, file temporanei, cookies
sicuramente risolverai il problema inquanto è una pagina scaricata da IE

io però farei anche le successive 8 giusto per scrupolo del resto se si fosse seguita dall'inizio a quest'ora si sarebbe già risolto


la versione di avira è ancora la 9 ma dovresti upgradarlo alla 10 e windows dovresti assolutamente aggiornarlo a sp3, magari un firewall diverso da quello integrato in windows non guasterebbe

Perdonate la mia sbadatagine!!

Prima di tutto ciò, e dopo aver passato CCcleaner etc ho sempre usato ATF Cleaner!
Lo uso da un annetto e mi trovo benissimo!
Quali sono le altre 8 parti?

Provo ad aggiornare a SP3 allora...
Avira sul sito è alla versione 9... (quella free per intenderci!)

Edit: Ho trovato Avira 10, ma è in inglese... nulla contro l'inglese, lo parlo anche come seconda lingua ma non vorrei fosse ancora troppo "nuovo"

[MrPatato]

Ho una domandina da porre...

A cosa serve l'OpenDNS citato sulla guida?

Essendo server Americani non dovrei andare molto piu lentamente??
Inoltre ho Fastweb, funziona o stesso?

[xcdegasp]

i server dns sono server che servono per tradurre gli indirizzi alfabetici in numerici ossia tradurre www.ilsitochevuoi.it in 10.x.y.z quindi come ogni connessione instaurata con il protocollo UDP è di tipo "domanda-risposta" e non una vera connessione permanente come accade per le connessioni tcp ad esempio quella della navigazione ossia TCP80 o TCP8080 .

detto questo la latenza di 20ms o 80 ms o 120ms non crea nessuna differenza rilevante all'utilizzatore.

lo scopo d' usare i dns di opendns.com è dettato dal fatto che integrano una blocklist per impedire comunicazioni e connessioni verso server ritenuti maligni o pericolosi pertanto se fosse in corso un'infezione questa non potrebbe rigenerarsi durante la disinfezione.
io server dns standard non offrono questo servizio!

funziona lo stesso anche su fastweb ed anzi a maggior ragione dovresti avere un router di tua proprietà da collegare al hag da avere così un ulteriore filtro, la lan fastweb è una gran vaccata che è ormai invasa dai più nefidi virus!!

[MrPatato]

Quote:

Originariamente inviato da xcdegasp

i server dns sono server che servono per tradurre gli indirizzi alfabetici in numerici ossia tradurre www.ilsitochevuoi.it in 10.x.y.z quindi come ogni connessione instaurata con il protocollo UDP è di tipo "domanda-risposta" e non una vera connessione permanente come accade per le connessioni tcp ad esempio quella della navigazione ossia TCP80 o TCP8080 .

detto questo la latenza di 20ms o 80 ms o 120ms non crea nessuna differenza rilevante all'utilizzatore.

lo scopo d' usare i dns di opendns.com è dettato dal fatto che integrano una blocklist per impedire comunicazioni e connessioni verso server ritenuti maligni o pericolosi pertanto se fosse in corso un'infezione questa non potrebbe rigenerarsi durante la disinfezione.
io server dns standard non offrono questo servizio!

funziona lo stesso anche su fastweb ed anzi a maggior ragione dovresti avere un router di tua proprietà da collegare al hag da avere così un ulteriore filtro, la lan fastweb è una gran vaccata che è ormai invasa dai più nefidi virus!!

Ma non credo c'entri che la lan fw sia infestata...
Cioè basterebbe disinfettare scollegando il cavo di rete come ho fatto! :P
Mi sembra assurdo che mettendo due numerini si risolva tutto...

Comunque sembra che sia sparito... avendo messo il Service pack 3...
Dico sembra perchè non sto utilizzando molto explorer e quella santa della mia ragazza non c'è..!
A chi devo quindi il premio??

[MrPatato]

Ah dimenticavo...

Può essere d'aiuto non aver settato IE7 come browser principale e che neppure mi avverta di ciò??

Un ultima cosa, ho trovato il nome PopupMgr sui siti consentiti dal Blocco PopUp di IE7, solo ed esclusivamente PopupMgr che prima durante le disinfezioni varie eliminavo sempre...

è un bene lasciarlo li dov'è oppure è maligno??

fotina a chi sa aiutarmi!

[xcdegasp]

Quote:

Originariamente inviato da MrPatato

Ma non credo c'entri che la lan fw sia infestata...
Cioè basterebbe disinfettare scollegando il cavo di rete come ho fatto! :P
Mi sembra assurdo che mettendo due numerini si risolva tutto...

infatti i numerini non hanno il compito di risolvere tutto ma di evitare di reinfettarsi.. non so' da dove sei giunta alla conclusione "che tutto si risolve" grazie a quei due numerini

Quote:

Originariamente inviato da MrPatato

Un ultima cosa, ho trovato il nome PopupMgr sui siti consentiti dal Blocco PopUp di IE7, solo ed esclusivamente PopupMgr che prima durante le disinfezioni varie eliminavo sempre...

è un bene lasciarlo li dov'è oppure è maligno??

fotina a chi sa aiutarmi!

bhè che dire... tra a-squared, superantispyware, prevx, e.. equesto popupMgr, bhè io non avrei dubbi quale tenere e terrei i primi tre

ps: no grazie per la fotina, son a posto così graziiiiieeee

[MrPatato]

Quote:

Originariamente inviato da xcdegasp

infatti i numerini non hanno il compito di risolvere tutto ma di evitare di reinfettarsi.. non so' da dove sei giunta alla conclusione "che tutto si risolve" grazie a quei due numerini



bhè che dire... tra a-squared, superantispyware, prevx, e.. equesto popupMgr, bhè io non avrei dubbi quale tenere e terrei i primi tre

ps: no grazie per la fotina, son a posto così graziiiiieeee

Ma... PopupMgr è sui siti consentiti dal popupblocker di WinXp, non è un antispyware!

Comunque con il SP3 ho risolto tutto, ma nessuno sa dirmi qualcosa about PopupMgr sui siti consentiti

[xcdegasp]

è un sito maligno..

comunque IE non ti fa fare una navigazione sicura, con Firefox e 4 estensioni hai il mondo che ti sorride

[MrPatato]

Quote:

Originariamente inviato da xcdegasp

è un sito maligno..

comunque IE non ti fa fare una navigazione sicura, con Firefox e 4 estensioni hai il mondo che ti sorride

ho provato a cercarlo ma non esiste come sito :/