infettato da TR/Sirefef.BV.2 AIUTO

[Epimeteo70]

Da qualche giorno Avira mi segnalava di aver trovato un virus di nome TR/Sirefef.BV.2 e al principio mi sono limitato, per un paio di giorni, a spostarlo in quarantena, ma Avira continuava imperterrito a trovare dll dello stesso virus, così ho fatto una ricerca su internet e ho scoperto che tale virus è una bella rogna che in pratica modificherà i miei browser per eseguire azioni pericolose nel mio sistema... questo trojan a quanto pare per evitare di essere scoperto dagli antivirus cambia continuamente nomi e file location, generando nomi casuali... ho anche trovato una guida per rimuoverlo manualmente, ma bisognerebbe conoscere quei nomi casuali e quindi è praticamente impossibile... per ora l'unico inconveniente causato da questo virus è che Avira me ne segnala continuamente la presenza ogni volta con un nome diverso, ogni volta che lo sposto in quarantena ne scova un altro.
Ho quindi seguito la vostra guida alla disinfestazione che già avevo fatto qualche anno fa per winferno... però non è andata proprio liscia come l'altra volta, nel senso che il computer, durante la scansione con alcuni antivirus della vostra lista, si è impallato, ho dovuto spesso riavviare, rilanciare l'antivirus per vederlo reimpallarsi di nuovo... scendo nei dettagli:

1- Malwarebytes = è andata bene e il file log è questo:
http://www.mediafire.com/?18yl33lr54wimhm

2- Emisoft Anti-Malware = anche qui tutto bene, ecco il log:
http://www.mediafire.com/?wtfytjl6ktcuvl9

3- F-Secure OnLIne = ecco qui il primo casino... durante la scansione il computer si impalla, si blocca tutto, neanche la freccetta del mouse si muove e devo riavviare... lo rilancio, stesso risultato, tutto impallato... quindi sono andato avanti saltando questo passo... forse è colpa del virus visto che a quanto si dice in giro su inernet colpice i browsers... non so.

4- Dr.Web = quando l'ho lanciato mi ha detto che prima avrebbe fatto una scansione veloce finita la quale avrei potutto farne una completa... io l'ho lasciato fare e appena finita la veloce, tra l'altro col rilevamento di un centinaio di files da curare o spostare, ho subito lanciato la completa che è durata tutta la notte... ma al mattino ho scoperto che si era impallato tutto di nuovo senza finire la scansione... ho recuperato un solo log che non so se appartenga alla scansione veloce o alla completa interrotta... il problema è che non riesco a scaricare ParserLog perchè mi da errore nel trovare la pagina di download, quindi non lo allego visto che pesa un botto di mega.

5- ESET SysInspector = tutto liscio, ecco il log:
http://www.mediafire.com/?4c0f91zxcbda849

6- HijackThis = ecco il log:
http://www.mediafire.com/?5hq0ujyp3kedczw

7- Gmer = un disastro... dopo ore e ore di scansione, quasi una giornata, mi si impalla di nuovo... tutto perso... disperazione, sconforto... in pratica mi esce un avviso, ho scoperto dopo più di uno, comunque tutti con lo stesso allarme cambiando solo il nome del file... quello che ho potuto leggere e trascrivere prima di riavviare è questo:
"impossibile salvare tutti i dati del file \$Directory. I dati sono andati persi. La causa dell'errore potrebbe essere un errore hardware o della connessione di rete. Provate a salvare il file altrove."... c'era l'opzione ok per chiudere il messaggio, ma tutto era impallato, il mouse non funzionava e ho dovuto riavviare... durante il riavvio mi sono accorto che sotto ce ne erano altri identici ma col nome del file diverso... tutto perso, non ci riprovo e vado avanti.

8- Prevx 3.0 = tutto liscio, solo che non riesco a fotografare lo schermo... in pratica mi risulta sempre tutto bianco con qualsiasi metodo ci provi... credo che qualcosa s'è scassato coi vari riavvii forzati e per un motivo che ignoro non posso più fare un'immagine di schermo... cmq riportava un'unica infezione, la seguente:
"cacaonew06c871.exe in c:\Documents and Settings\stefano... High Risk Fraudulent..."
questo il log:
http://www.mediafire.com/?q5r19gdo6dpasz8

A questo punto non so che fare e se questo lavoro di scansione a metà possa essere cmq utile... c'è di buono che Avira non mi segnala più continuamente la presenza di quel virus, ma noto che il computer è più lento e che qualcosa s'è corrotto o rovinato come la possibilità di fotografare lo schermo... non so... spero possiate aiutarmi e vi ringrazio in anticipo.

[Epimeteo70]

ma nessuno è in grado di aiutarmi? i dati non sono sufficienti? qualsiasi risposta a questo punto è ben gradita, grazie.

[xcdegasp]

l'infezione ha avuto luogo da un crack che hai applicato per raggirare qualche licenza ed è un'infezione un po' tosta.

prima di proseguire oltre ti chiedo di eseguire una scansione completa (ovviamente eliminando cio che trova) con avira rescue system oppure con Guida a Kaspersky Rescue Disk. non è necessario salvare il log ma se riesci a salvarlo è tutto di guadagnato.
ovviamente lo devi masterizzare su un pc sano.

poi proviamo a riseguire la guida, non ti faccio fixare ora delle cose in hijackthis perchè sarebbe solo tempo perso per via che non abbiamo scalfito l'infezione. spero che i dns siano stato impostati come da guida.

[Epimeteo70]

Quote:

Originariamente inviato da xcdegasp

l'infezione ha avuto luogo da un crack che hai applicato per raggirare qualche licenza ed è un'infezione un po' tosta.

prima di proseguire oltre ti chiedo di eseguire una scansione completa (ovviamente eliminando cio che trova) con avira rescue system oppure con Guida a Kaspersky Rescue Disk. non è necessario salvare il log ma se riesci a salvarlo è tutto di guadagnato.
ovviamente lo devi masterizzare su un pc sano.

poi proviamo a riseguire la guida, non ti faccio fixare ora delle cose in hijackthis perchè sarebbe solo tempo perso per via che non abbiamo scalfito l'infezione. spero che i dns siano stato impostati come da guida.

ultimamente non ho aggirato niente, comunque se non ho capito male, mi scarico avira rescue system, lo masterizzo su un DvD, riavvio il comp dal DvD che lo contiene, seguo la guida eliminando, torno al mio pc... capito bene?

quando parli di dns a che ti riferisci? secondo la guida io mi sono limitato a disattivare il ripristino conf di sistema e a pulire con ATF-cleaner... poi ho lanciato gli antivirus.

[Riku]

Imposta i seguenti server dns:
208.67.222.222
208.67.220.220

Guida:https://store.opendns.com/setup/

[Epimeteo70]

Quote:

Originariamente inviato da Riku

Imposta i seguenti server dns:
208.67.222.222
208.67.220.220

Guida:https://store.opendns.com/setup/

ah... la guida alla disinfestazione non ne parlava... e a che servono? non capisco...

[Riku]

C'è nella guida, sopra ATF-Cleaner.

[xcdegasp]

questi dns possiedono una blacklist di siti considerati pericolosi quindi dovrebbero aiutare nelle fasi della disinfezione impedendo al virus di riscaricare i componenti che pian piano verranno rimossi.
si parla dei dns proprio sotto il ripristino di sistema

[Epimeteo70]

Quote:

Originariamente inviato da xcdegasp

questi dns possiedono una blacklist di siti considerati pericolosi quindi dovrebbero aiutare nelle fasi della disinfezione impedendo al virus di riscaricare i componenti che pian piano verranno rimossi.
si parla dei dns proprio sotto il ripristino di sistema

scusa, ma non so come non c'ho fatto caso... forse per via dell'opzione che li precede che recita "nel caso non si potesse operare la disattivazione ecc.."... per qualche motivo, chissà perchè, li ho considerati facenti parte di quel caso... cmq grazie per la spiegazione, apprezzo poter anche solo in generale capirci qualcosa, lo apprezzo molto grazie.

Ho aperto i dns con successo, ho scaricato avira rescue system, ma non sono sicuro sul come procedere... l'ho capita così: masterizzo avira rescue system su un CD, lancio il computer da quel CD, scansiono ed elimino, torno al mio computer... scusate se chiedo continuamente conferme, ma essendo solo un grafico per me il computer è solo uno strumento di cui capisco molto poco, quindi dalla mia ignoranza scaturisce una grande insicurezza... ho capito bene? procedo?

[Epimeteo70]

vi prego, ho bisogno di una conferma... ho capito bene? (leggi sopra) procedo?

[xcdegasp]

da un pc indenne da infezione (o comunque apparentemente indenne) scarica avira rescue system, lo masterizzi nsu cd.
poi quel cd lo inserisci nel pc infetto e avvii il pc da cd, scansioni ed elimini tutto cio che trova.
togli il cd e riavvii normalmente il pc infetto

[Epimeteo70]

Allora, ho provato sia con avira rescue system sia con Kaspersky, ma il risultato è sempre lo stesso... quando comincia a lanciare dal CD si blocca per un errore e mi dice così:
"THE SYSTEM MEMORY MANAGER (EMM386.EXE) HAS DETECTED AN ERROR CAUSED BY A FAULT IN ONE OF THE DEVICE DRIVERS OR PROGRAMS LOADED IN THE SYSTEM. DUE THIS FAULT THE SYSTEM IS PROBABLY IN AN UNSTABLE STATE, AND YOU ARE THEREFORE RECOMMENDED TO REBOOT THE COMPUTER IMMEDIATELY. IF THE PROBLEM PERSIST, TRY TO ISOLATE WICH PROGRAM IS AT FAULT..."
Quindi l'unica scelta che mi rimane è riavviare... mi succede con entrambi i rescue e ho masterizzato inutilmente tante versioni... non capisco dove sbaglio e qual'è il problema.

A questo punto, visto che col computer ci lavoro, rifaccio tutta la procedura di disinfestazione, stavolta coi dns aperti, e vediamo se risolvo... che ne dite?

[Epimeteo70]

che faccio a questo punto???... ripeto la disinfestazione?

perfavore, se non lavoro non mangio... ditemi qualcosa sul come procedere, qualsiasi cosa, grazie.

[Riku]

Prova a far girare combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe e allega il log che trovi in C:\ComboFix.txt.

ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza.

[Eliozzi]

L'ho levato oggi dal pc di mia zia, su cui avevo già da tempo installato Avira free. A sentir lei se l'è beccato clickando su una email inviata da uno dei suoi contatti di outlook.
Ad ogni modo, l'antivirus era aggiornato al 29 marzo (il virus pare l'abbia invece preso il 30 sera), ed in quelle condizioni la scansione del sistema era del tutto inutile: cpu al 100% e cmq non si faceva in tempo a rimuovere il Sirefef che si moltiplicava tra le dll. A ben vedere però sul taskmanager c'erano in esecuzione 3-4 istanze di un file ".com" con nome "random" (non me lo sono segnato, cmq l'avevo cercato su google e non risultava nulla), che era impossibile terminare che subito si riaprivano assieme ad una pagina di explorer che portava a siti di cucina, integratori o antiallergici.
A quel punto mi sono accorto che l'antivirus non era completamente aggiornato, ed ho forzato l'aggiornamento. Fatto quello Avira ha subito rilevato quella robaccia che era in esecuzione: un downloader (che erano quei processi che non si riusciva a chiudere) ed un rootkit. Rimossi quelli la cpu è tornata a livelli normali, ho fatto ripartire la scansione completa che ha finito di rimuovere il tutto, ed ora sembra non ci siano più problemi. Non credo sia rilevante, comunque subito dopo l'aggiornamento dell'antivirus ho scollegato internet, per sicurezza, e l'ho riattivato solo a scansione ultimata.
Prova a rimettere Avira, quello free, ed aggiornalo!

PS: purtroppo non ho appresso riferimenti precisi agli altri 2 virus che stavano assieme al Sirefef. Prova a fare come ti ho detto, e se non risolvi te li vado a recuperare: tanto me li ero scritti sul pc di mia zia. Magari ricordamelo via messaggio privato ;-)

[Epimeteo70]

intanto vorrei ringraziare di cuore Riku e Eliozzi per l'interessamento... in una situazione del genere sentire un parere, anche solo ipotetico, è di grande conforto, grazie... ho lanciato Avira aggiornato e il risultato è stato nessun virus trovato, niente... infatti è dalla fine di tutto il processo di disinfestazione che Avira non mi segnala più la presenza di dll, cosa che prima mi faceva di continuo senza sosta... credo che qualcosa sia stato rimosso... non contento ho riscannerizzato anche con quegli antivirus che nella prima disinfestazione avevo fallito... quindi con F-secure online stavolta lo scan è arrivato fino in fondo senza trovare nessun virus... con gmer invece a fine scansione, credo, si è presentato lo stesso problema con lo stesso avviso: "impossibile salvare tutti i dati del file nome-file. I dati sono andati persi. La causa dell'errore potrebbe essere un errore hardware o della connessione di rete. Provate a salvare il file altrove."... come prima si è bloccato tutto e ho dovuto riavviare... in conclusione, visto che Avira non mi segnala segnala più niente, visto che anche S-secure non trova niente, visto che non mi si aprono con mozilla finestre o altre anomalie, credo che il problema in qualche modo sia risolto... a questo punto passo al dopo disinfestazione o per sicurezza rilancio tutti gli altri antivirus per vedere se il pericolo è scampato???

[xcdegasp]

puoi pubblicare il log di quest'ultima scansione?

[Epimeteo70]

Quote:

Originariamente inviato da xcdegasp

puoi pubblicare il log di quest'ultima scansione?

Avira e F-secure nessun rilevamento, gmer s'è impallato tutto e ho dovuto riavviare quindi niente log.... ho rilanciato anche Malwarebytes dopo e ha trovato solo i files che erano già in quarantena e li ho eliminati... credo che siano stati dr web e HijackThis a risolvere il problema perchè dopo di loro nessun segnale del virus... se vuoi li rilancio.

[Eliozzi]

Ciao,
ho recuperato quei dati: c'erano dldr.obvod.k.1 e rootkit.gen8.
Il sirefef come ti dicevo si rimuoveva tranquillamente, ed era proprio la stessa versione che ti sei beccato, ma puntualmente tornava per la presenza di quegli altri due che erano in esecuzione. In pratica anche se nel tuo caso non fossero stati proprio quelli ad installarti il sirefef, già il fatto che non lo trovi più mi sembra indice che "sei pulito"

[xcdegasp]

puoi pubblicare il log di avira, anche una scansione a vuoto può essere utilissima purchè in modalità completa