PDA

Visualizza versione completa : Virus e Spyware Virus fetente che riappare



Ale
26-09-10, 22: 20
Salve gente, in genere il mio pc è sempre ben protetto e non ho mai questi problemi ma purtroppo l'ha usato qualcun'altro e ha scaricato un file che probabilmente era zeppo di schifezze ... :shock

Nod32 mi ha già eliminato diversi elementi in questi ultimi due giorni come potete vedere dall'immagine della cartella quarantena allegata

Ma tutt'ora ogni tanto firefox mi apre delle pagine diverse da quelle che imposto e da lì viene sempre fuori alla fine una segnalazione di virus quarantinato :boh

Scannerizzando con l'antispyware di Outpost, più quello di Malwarebytes e con Nod32 non mi rilevano al momento altre schifezze ma è evidente che i precedenti tentativi di pulire il pc non hanno ancora avuto successo ...

Allego anche il file di Hijackthis, spero possiate aiutarmi :tong2690691

LadyHawke
27-09-10, 08: 05
Ciao Ale,

comincia con il fixare queste voci di HJT:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {878A0D61-48D2-11D3-A75D-00A0245382DE} (WebIdCli Class) - http://documenti.******-rete.com/dims/WICli.cab

poi una pulizia dei file temporanei con ATF-Cleaner (http://www.atribune.org/ccount/click.php?id=1) o se lo hai già installato, con CCleaner

Dai anche un'occhiata con HostXpert (http://www.funkytoad.com/download/HostsXpert.zip) se nel file Hosts ci sono voci strane (http://www.collectiontricks.it/forum/security/Ct275-editare-e-correggere-il-file-hosts.html), nel qual caso ripristina con il programma stesso un file Hosts pulito


:bai

Asterix
27-09-10, 08: 22
Ciao

sono un po' fuori da questo settore in quanto è da qualche anno che la mia attenzione è rivolta altrove comunque a mio avviso:



verificare se sei stato tu ad installare la cosa altrimenti cerca tra le applicazioni il disinstalla e poi eventualmente fixa

C:\Programmi\Governor of Poker 2 Premium Edition\GovernorofPoker2_PE.exe
O9 - Extra button: PokerStars.it - {C4046502-6524-4d87-896C-878F57D1FF07} - C:\Programmi\PokerStars.IT\PokerStarsUpdate.exe


Verifcare se li hai messi tu in Trusted zone del tuo browser altrimenti fixa


O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)





a mio avviso possono essere fixate in quanto riferimenti a norton (se non ho errato nella ricerca)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) (ex norton)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)


Se non utilizzi puoi fixare

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {4D054067-DE3A-48F9-B19B-BCD229B9AE8D} (PrinterHelpEtcActiveX Control) - http://www.samsungdp.com/printerhelp/ActiveX/DrPrinter.cab
O16 - DPF: {878A0D61-48D2-11D3-A75D-00A0245382DE} (WebIdCli Class) - http://documenti.******-rete.com/dims/WICli.cab

Spero possa tornarti utile.

:bai

OPS anticipato dalla nostra lady

Ale
27-09-10, 09: 32
Salve ragazzi, sempre efficenti e preziosi :bai

Ho fixato tutte le voci tranne alcune che conosco essere lì per un motivo :eye Mi ero poi dimenticato di dire che ovviamente ad ogni giro faccio pulizia con ccleaner e RegSeeker come buona abitudine :sisi

Per quanto riguarda, Lady, Hostexpert ho fatto un giro col programnma però devo trovare un attimo di tempo per capire come funziona, magari stasera ci riprovo ...

Domanda: se Hijackthis mi rileva delle voci di programmi che sono certo non avere più nel pc le dovrei poter fixare tranquillamente, confermate ?

Ciao e grazie :bai

LadyHawke
27-09-10, 12: 13
Le voci che sai non necessarie le puoi fixare, per il programma, e per lo scopo attuale, è semplicissimo:

http://dl.dropbox.com/u/5750857/hostxpert.jpg


:bai

Ale
27-09-10, 15: 11
Aperto hostsexpert in realtà si presenta una schermata come la tua seguita però da centinaia di linee delle quali ti riporto inizio e fine nelle due immagini allegate.

Quando tento di utilizzare il tasto restore mi dice

ERROR: Cannot create file:\C\WINDOWS\systrem32\DRIVERS\ETC\hosts

:boh

LadyHawke
27-09-10, 15: 41
Ok, è tutto a posto: quelle righe sono state inserite a protezione da Spybot Search & Destroy, ma non lo avevo visto nel log quindi non ho pensato ad avvisarti che sarebbero state legittime.
Ti si aprono ancora pagine indesiderate?


:bai

Ale
27-09-10, 16: 12
In effetti Spybot l'ho disinstallato da un po .. per ora non ho più visto pagine che si aprono da sole e sono quasi due ore che il pc è on line, sperem ! :fleurs

Grazie ancora per adesso :bai

Ale
27-09-10, 23: 00
Purtroppo stasera Nod mi ha rilevato un nuovo malware e dopo aver bloccato un tentativo di connessione con un sito mi ha segnalato come da allegato.

Stavolta sembra si tratti di una variante del win32/agent.ocg trojan

Mi sa che è una di quelle robaccie che si riformano al riavvio perché oltretutto ha ricominciato a volte a bloccarsi poco dopo il login come faceva prima ... :boh

Che ne pensate di questi (http://forums.techarena.in/networking-security/1161090.htm) suggerimenti ? Il nome è leggermnente differente (ODG anziché OCG) ma forse non cambia molto ...

Asterix
28-09-10, 07: 55
Ciao

una scansione con Malwarebytes male non fa, ma tu la scansione l'hai già fatta,

io ti consiglierei anche Kaspersky Rescue Disk 10 (http://support.kaspersky.com/faq/?qid=208282173) o Kaspersky Virus Removal Tool 2010 (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/).

Il primo ti crea un cd in questo modo puoi analizzare il disco senza avviare il S.O.

:bai

Ale
28-09-10, 09: 45
Virus removal mi ha trovato un Rootkit.win32.TDSS.d e con lo strumento apposito sembra sia riuscito a rimuoverlo per ora.

Grazie *, speriamo sia finita ora :eye

Clairvoyant
28-09-10, 23: 44
Ciao Ale.:bgg2

Il tool del quale parli è questo (http://support.kaspersky.com/viruses/solutions?qid=208280684)?
Quel malware è una brutta bestia, ne avevamo accenato qui (http://www.collectiontricks.it/forum/technews/Ct2211-rootkit-tdl3-windows-x64-non-piu-immune-come-riconoscere-linfezione.html).
Ti consiglio di dare una controllata anche con GMER (http://www.gmer.net/) se già non lo hai fatto.

Facci sapere.:eye

:bai

Ale
30-09-10, 00: 10
Ciao Clayr e bentrovato amico mio :bgg2

Si, il tool era proprio quello e sembra che abbia fatto il suo dovere assieme ai preziosi suggerimenti dovrei essere salvo ora :tong2

Comunque per scrupolo ho provato GMER ma mi da errore durante l'esecuzione terminando il programma :boh

Ciauz :bai

EDIT

Questo GMER mi ha fatto riavviare due, tre volte bloccando il pc ... poi cosa strana mentre tentavo di riavviare mi è apparsa una schermata che mi diceva che il programma "Forest Parent" era in attessa di chiusura: ma che diavolo è sto forest parent ????? :shock:shock:shock

EDIT

Comunque ho rifatto diverse scansioni e non mi viene segnalato nulla. Resta la curiosità di capire che coisa sia Forest Parent :oo2

Clairvoyant
30-09-10, 21: 07
Se GMER non lo rileva dovresti essere a posto.

Forest Parent non so cosa sia:boh, riesci a ricavarne il percorso?

:bai2

Ale
01-10-10, 08: 23
GMER proprio non riesce a girare, mi da errore e il programma viene terminato. Per Forest Parent no, non c'è traccia sul pc ... appare la finestra mentre sto per arrestare il sistema per pochi attimi.

Clairvoyant
01-10-10, 22: 06
Ciao Ale.

GMER non si avvia oppure si blocca in fase di scansione?

Se non si avvia disattiva le protezioni in real time di Antivirus e Firewall e prova ad avviarlo in questi 3 modi:

click Dx sull' .exe ed Esegui come amministratore..
click Dx sull' .exe, rinominalo con un nome casuale e lancialo
eseguilo con Windows in modalità provvisoria


Se si avvia e successivamente si blocca impostalo come da immagine sotto riportata, chiudi e rilancialo.

http://img.bleepingcomputer.com/gmer/uncheck-gmer.jpg

In ogni caso fai anche una scansione con DDS (http://download.bleepingcomputer.com/sUBs/dds.scr) e con SysInspector (http://www.eset.com/download/free-antivirus-utilities) ed allegaci i logs generati.


:bai


P.S. : avevi già eseguito le scansioni consigliate da Asterix?

Ale
02-10-10, 10: 28
Ciao Clayr, si ho fatto tutto cio mi hanno suggerito Asterix e Lady e il problema infatti sembrerebbe risolto. L'unico dubbio è sto Forest Parent che continuo a non capire da dove scappi fuori :boh

Gmer in pratica appena lo apro inizia a scansionare e dopo un po mi da errore e il programma termina. Come Amministratore ho il problema che mi chiede una password che io non credo aver mai settato e se lascio vuoto il campo mi da errore ...

Comunque era solo uno scrupolo in più visto che di pagine strambe aperte a casaccio non ne ho più viste ...

:bai

EDIT

Ancora una volta dopo che tento di riavviare dopo che GMER si è bloccato è ricompoarsa la finerstra del prog in attesa di chiusura e iun realtà il nome non è Forest Parent ma bensì Foster Parent :ehmm

Clairvoyant
02-10-10, 19: 55
Caio Ale.

Ma se non alleghi i logs di DDS e SysInspector che ti avevo chiesto come possiamo vedere da dove arriva?:tong2

Comunque per il problema del prompt di Foster Parent prova ad andare da regedit in HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars, dovresti trovare una voce Fosters...eliminala.
Se non trovi l' occorrenza da lì, cercala con il "Trova..." da regedit.

Per il problema della password, imho occorre resettarla, ma per quello è meglio aprire un topic specifico nella sezione software.

:bai

Ale
03-10-10, 01: 02
Ciao Clayr, mi era sfuggita la tua richiesta :ehmm comunque la chiave del registro indicata non risulta :boh e niente più pagine indesiderate

:bai