Aggiornamento automatico a PDF Creator-sospetto virus-

[ebox07]

Qualche ora fa,ho fatto l'aggiornamento automatico alla versione 1.3.2 di PDF Creator,ed al momento dell'installazione mi è comparsa una finestra popup di Avast 7 in cui c'era scritto che era stato bloccato l'accesso ad un sito contenente trojan adware.
Mi sono insospettito ed ho voluto fare una scansione con IObit Malware fighter,e mi ha trovato 31 oggetti dannosi,in cui vi erano due trojan e 29 adware.
Successivamente ho fatto la scansione con Superantispyware,e mi sono stati rilevati 4 Hijack.deskbar.
Ho fatto poi la scansione con Malware bytes e non mi sono stati rilevati elementi dannosi.
Infine ho fatto una scansione quasi completa con GMer e non mi sono stati rilevati problemi specifici evidenziati in rosso,tuttavia,successivamente ho fatto la scansione con mbr rootkit di GMer ed il log del risultato è stato:

device: opened successfully
user: error reading MBR
error: Read Handle non valido.
kernel: error reading MBR

A me sembra che una volta comparisse solamente la scritta opened successfully,quando non c'erano problemi.
Ecco,per ora non ho ancora controllato se il mio PC ha accusato problemi,e vi chiedo gentilmente se qualcuno
è a conoscenza di tale probabile virus in PDF Creator(in rete mi sembra sia stato chiamato Candy) e se ha dei suggerimenti specifici da darmi,prima che possao sorgere eventuali gravi problemi.
Nel frattempo vi invito a fare attenzione a tale software,che io sino a poco tempo fa avevo sempre utilizzato senza alcun problema.

 

[FDAC]

PDF creator è un software legittimo. Al massimo, avrà installato, col tuo consenso, qualche toolbar poco gradita.
Sicuramente il problema, se veramente presente, è molto più radicato.


Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● una volta avviato clicca il pulsante Accetto: conferma cliccando Ok due volte
● segui le istruzioni che verranno rilasciate per eseguire la scansione:
"Tipicamente non impiega più di 10 minuti
Su pc molto infetti il tempo di scansione può raddoppiare facilmente"
● nel caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare (clicca il pulsante No)
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato dopo l'utilizzo del programma stesso.
Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, dovrai avviarla manualmente dalle Risorse del computer.

Infine:
Scarica Kaspersky TDSS Killer: http://support.kaspersky.com/downloads/utils/tdsskiller.exe
● posiziona il file scaricato sul Desktop
● clicca due volte sul file TDSSKiller.exe per avviare l'applicazione
● successivamente premi il pulsante Start scan

Nota - riguardo al programma:
● non cliccare sul pulsante Stop scan per nessun motivo, la scansione si interromperebbe

Giunti a questo punto, inizia la scansione del sistema alla ricerca di software malevolo:
● se viene trovato un file infetto, l'azione di default sarà Cure: clicca quindi su Continua
● se viene trovato un file sospetto, l'azione di default sarà Skip: clicca quindi su Continua
● se non viene rilevato nulla, chiudi semplicemente il programma al termine della scansione

Una volta terminata la scansione, si presenterà una di queste due opzioni:
● non è necessario il riavvio del sistema: allega il Report situato nel Disco Locale C:\, di nome TDSSKiller.[Version]_[Date]_[Time]_log.txt
● è necessario riavviare il sistema: clicca su Riavvia ora, infine allega il risultato della scansione (si trova nello stesso percorso menzionato poco fa')

 

[ebox07]

Purtroppo ,anche seguendo alla lettera tutti i tuoi utili suggerimenti,non ho ancora risolto il problema FDAC,ed il log di mbr.exe è un forte segnale di presenza di rootkit mbr.
Continuo a fare scansioni con Superantispyware,e ad ogni riavvio ricompaiono le solite 4 minacce,dal nome Hijacker.Deskbar
Ne sono comparse alcune anche con Malwarebytes.
Sono perfettamente d'accordo con te FDAC,non credo affatto che PDF Creator abbia installato tale rootkit,ed a pensarci bene,prima l'aggiornamento
me lo faceva fare da un altro sito:ma non è facile fare attenzione a troppe cose,e così il rootkit si è installato.
Per ora il sistema sembra funzionare bene,e gradirò qualsiasi altro utile suggerimento dovesse arrivare.
Più tardi attuerò i tuoi consigli in modalità provvisoria,ma non so a quanto potrà servire,in quanto ho eseguito il file mbr.exe in modalità provvisoria,ed è uscito il solito log:brutto segnale.
Ciao e grazie FDAC

 

[ebox07]

Innanzitutto comincio col fare una precisazione,ossia che essendo molto probabile che si tratti di un virus MBR,forse non dovrebbe avere eccessiva valenza che la scansione sia fatta in modalità normale o provvisoria,in quanto l'mbr non appartiene al sistema operativo.
Non ho testato la funzionalità dei programmi,ma ho utilizzato quasi tutti i tool consigliati nel forum,e nessuno ha rilevato alcuna traccia di virus,fatta eccezione di Avast anti rootkit.Dopo poco che era partita la scansione un file è stato evidenziato in rosso,ma io,a causa che mi ero distratto da altre attività,invece di lasciare finire la scansione e salvare il log,ho cliccato su exit,perchè non mi ricordavo se Avast anti rootkit l'avevo lanciato con i privilegi di amministratore(ho fatto ciò,per fare una scansione più accurata).Subito dopo ho avviato molte volte Avast anti rootkit con i privilegi di amministratore,ma non è stato mai più evidenziato alcun file in rosso.
Attualmente nessun antivirus mi segnala files infetti,fatta eccezione di superantispyware che continua a segnalarmi i soliti 4 files "Browser Hijacker.Deskbar" ed altri 4 "Adware cookie",i quali ogni volta vengono rimossi ed al riavvio si reinstallano.
Spero che qualcuno riesca a darmi qualche preziosissimo consiglio.
Grazie

 

[ebox07]

Ho riscaricato PDF Creator tool,la versione sospetta è la più recente,ossia la 1.3.2(prima mi ero trovato sempre benissimo con tale applicazione)ed Avast mi ha nuovamente mostarato la finestra popup in cui c'era scritto che con la sua azione ha impedito il pc di visitare un sito affetto dal seguente virus:
"NSIS:Adware-DT [Adw]"
Ho provato nuovamente ad installare pdf creator,ma questa volta chiudendo la connessione Internet,e mi è comparsa la scritta che l'installazione di tale software non poteva continuare,perchè non vi era la connessione ad Internet.Il sospetto sta nel fatto che il file da me scaricato non era di qualche centinaio di KB,ma bensì di circa 17 Mb.
Inoltre,facendo una ricerca in rete,vi è qualche altro sito che parla dei sospetti avuti da me,confermatimi dalle scansioni di ben tre antivirus(Io Malware Fighter,Malware bytes e SuperAntispyware)ed da mbr.exe(prima non avevo mai avuto problemi con il mbr).Inoltre,ci tengo a precisare che io non sono abituato a visitare siti dannosi,siti affetti da virus.
Ognuno può fare le sue conclusioni,ma io non mi fido più ad installare tale softaware o ad aggiornarlo,lì dove ho installato le versioni precedenti.
Io non posso dire con certezza che PDF Creator sia veramente affetto da virus,però se lo fosse per davvero sarebbe una grossa delusione per me,in quanto vi sono numerose persone che hanno usufruito e continuano ad usufruire di tantissime valide ed utilissime applicazioni sviluppate no profit o low profit,che si sono rivelate e continuano a rivelarsi di grande utilità per loro.
Ciao a tutti

 

[FDAC]

Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe
● posiziona il tool sul Desktop
● termina tutti i programmi attivi, comprese le pagine Internet
● avvia il tool con un doppio click
● clicca, in basso a sinistra, sul pulsante Start
● scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi
● attendi pazientemente il termine delle operazioni
● clicca, in basso a destra, sul pulsante Exit
● una volta terminate le operazioni, chiudi il programma

Nota - riguardo al programma:
TFC by OldTimer serve ad eliminare i file temporeanei di tutti gli utenti, con facilità e velocemente

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe
● posiziona il tool sul Desktop
● chiudi tutti i programmi attivi
● avvia il tool con un doppio click
● clicca sul pulsante CleanUp!
● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Nota - riguardo al programma:
OTC by OldTimer serve ad eliminare i programmi che abbiamo utilizzato per la pulizia (ComboFix in particolare) in modo automatico e preciso: al riavvio non noterai più l'icona di ComboFix, è del tutto normale

Quindi:
Scarica DoctorWeb CureIt: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
● posiziona il tool sul Desktop
● avvia il programma con un doppio click
● alla prima ed alla seconda finestra che appare, clicca sul pulsante OK
● clicca sul pulsante Avvia, per avviare una scansione preliminare
● clicca sul pulsante Sì
● attendi pazientemente il termine della scansione

Una volta eseguiti i passaggi indicati sopra:
● clicca, in alto, su Opzioni
● scegli la voce Modifica impostazioni
● clicca sul pulsante Scan e togli la spunta da Analisi Euristica
● torna alla finestra principale del programma
● seleziona tutte le unità disponibili
● un click sulla freccia verde a destra, per avviare una scansione completa
● attendi pazientemente il termine della scansione
● allega il Report del programma; lo trovi qui:
C:\Documents and Settings\nomeutente\DoctorWeb\CureIt.log

 

[ebox07]

Grazie moltissimo FDAC.Non ho mai provato TFC,invece gli altri tools da te suggeriti li avevo già provati ieri,senza alcun esito(ho individuato un altro thread sul forum che fa al caso mio).Comunque,vado di nuovo riprovare i tool da te suggeriti,non si sa mai.
Breve riepilogo:
1)Ho mosso una barra di ricerca da firefox(mi sembra si chiamasse Search the web) che mi era sembrata sospetta,e da allora la scansione di Superantispyware non ha più evidenziato la presenza dei famosi virus Browser Hijacker.Deskbar.
Ora vengono evidenziati dei cookie non eccessivamente dannosi,ed io li elimino saltuariamente.
Certo però,che io non avevo mai avuto durante le mie scansioni,neppure un cookie.
2)E' assai probabile(oserei dire quasi certo)che il virus è da MBR,infatti l'esito di mbr.exe è sempre lo stesso,ossia:


Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover
Windows 6.1.7601

device: opened successfully
user: error reading MBR
error: Read Handle non valido.
kernel: error reading MBR

3)Il solo tool anti rootkit che ha individuato qualcosa di sospetto è stato aswMBR,ma ho cliccato su exit senza savare il log,e da allora non ha evidenziato più niente.
4)Fatta eccezione di un avvio ulteriormente ritardato,non mi sembra vi siano applicazioni non funzionanti(tra l'altro accedo tranquillamente all'ambiente Windows).
Conclusione:
Spero vivamente di risolvere tale problema(che può rivelarsi insidioso) con qualche tool adeguato,altrimenti spero di riuscire a fare una delle seguenti cose:

-Ricreare l'mbr(in tal caso aspetto gli ultimi consigli dagli esperti del forum)tra l'altro posseggo anche i DVD di ripristino,da me creati dopo l'acquisto di tale notebook.

-Comprarmi un OS X originale,e fare una partizione con l'mbr in OS X.Sarebbe bello riuscire ad avere WIndows 7 su una partizione e Lion OS X oppure il più recente Mountain Lion OS X,sull'altra.In tal caso dovrei spostarmi su un altro thread del forum per ricevere assistenza.

-Modificare la master boot table,ed in tal caso avrei bisogno di un aiuto più sostanzioso,in quanto non ho la più pallida idea di come comportarmi.

-Certo ho molto rammarico se considero che tale virus è già da moltissimo tempo che è in circolazione e non è stato individuato alcun tool che lo rimuova in modo definitivo.
Grazie ancora FDAC

 

[FDAC]

Per prima cosa, salva per precauzione tutti i tuoi dati in una periferica esterna. (Chiavetta, HD esterno, DVD ecc)
L'operazione che farai, è piuttosto delicata, per cui è meglio cautelarsi.

Inserisci il DVD nel lettore, e riavvia il pc. (se invece di caricare il DVd, si carica il S.O, significa che dovrai agire sul bios, per farlo partire come azione primaria.

Se viene caricato il DVD:
Segui le indicazioni a video, immettete la lingua, la tastiera, etc… fatto ciò vai su ripristina sistema e scegli prompt dei comandi.
Tramite i comandi dos, posizionati in questa cartella: (dove C: sta ad indicare la partizione primaria)
C:\Windows\system32
da qui effettua il ripristino del MBR (master boot record) digitando il seguente comando:
bootrec.exe /fixmbr (attenzione devi creare uno spazio dopo aver digitato bootrec.exe)

Clicca invio e poi digita questo altro comando:
bootrec.exe /fixboot (attenzione: devi creare uno spazio dopo avere digitato bootrec.exe )

Clicca invio.
Poi digita exit clicca invio.
Il pc dovrebbe riavviarsi.
Ricorda però, prima del riavvio, di togliere il DVD recovery disc dal lettore dvd.

L'importante è che tu riesca ad arrivare al prompt dei comandi ( da Opzioni ripristino di sistema)
E poi che tu esegua le MIE indicazioni.

Se hai dubbi, fermati, e chiedi.

 

[ebox07]

Grazie FDAC,prima di fare come mi hai suggerito ho pensato di tentare ancora due strade(nel frattempo sto scansionando il pc con altri tools remover).
I tools che ho deciso di provare(nel frattempo sto provando esetsyscan)sono sophos Virus removal tool,sanity e unhide.
Le ultime strade che ho deciso di percorrere,prima di effettuare un eventuale ripristino del mbr sono:
1)Scollegare il mio HD dal notebook "EasyNote TJ75" e montarlo sul mio pc,ma non so come fare:
Hai dei suggerimenti da darmi?
Qualcuno ha dei suggerimenti da darmi?
Esistono forse dei tools che possono farmi montare l'HD interno del mio notebook al PC Desktop e farlo apparire come periferica USB?
Ecco,io credo che scansionando l'HD del mio notebook a sistema non avviato possa essere un vantaggio maggiore...
2)Un tool antivirus già aggiornato che si avvia da CD.

Inoltre,ho scaricato anche Avenger,ma non so come si usa...Se dovessi postare il logo di Hijackthis,non potrebbe rivelarsi utile?

Forse l'azione di tale virus è stata causata solamente in parte dall'installazione di PDF creator,in quanto dopo la
rimozione della barra di ricerca a cui avevo accennato sopra,non mi sono più stati segnalati i file infetti Browser Hijacker.Deskbar...
Io spero che tutti sappiano prendere con cautela tali informazioni,per il bene di tutti,infatti chiedo ai moderatori se possono aprire un thread in cui chiunque può postare le sue esperienze in merito all'installazione di softwares sospetti od inequivocabilmente dannosi.In tal modo forse si può dare un aiuto in più agli altri utenti...
Ciao e grazie per gli utili suggerimenti datimi sinora FDAC

 

[FDAC]

TDSS Killer l'hai eseguito? non ha rilevato nulla?

Unhide, serve per rendere visibili i file nascosti da una particolare infezione (ransomware).
Avenger per eseguire particolari script, non so chi te lo abbia consigliato.
Sanity non l'ho mai sentito, cos'è?

 

[ebox07]

TDSS killer l'ho eseguito,ma non ha rilevato nulla.
Avenger,unhide e Sanity li conoscevo da alcuni anni.
Di Avenger avevo letto il manuale,però non l'ho mai utilizzato...
Ieri la scansione di esetsyscan mi ha rilevato 8 virus,di cui 6 inerenti babylon toolbar e 2 inerenti win32 trojan(ora non ricordo il nome...).
Stamane sono andato su disinstalla un programma,ed ho visto installate 3-4 applicazioni molto sospette,sempre inerenti la ricerca sul web.
Ora non ricordo i nomi precisi,ma una forse si chiamava power search,e quando sono andato per rimouvere tale applicazione è comparsoun popup di avast,con la scritta che era stato individuato un rootkit.
Avast si è riavviato per la eliminazione di tale rootkit,ed io ho preferito la scansione al riavvio,ma non sono stati individuati altri files dannosi.
Allo stato attuale,gli unici problemi che ho avuto sono che in 3-5 circostanze al massimo,mi si sono aperte delle pagine web,di cui una ieri sera,nel mentre sono entrato in chat su un forum(era una pagina di incontri per matrimoni-il browser era IE).Tale forum è pulitissimo,non è uno di quei forum a rischio.
Stamane,dopo che ho cercato di aprire la cartella di HDD scan(portable)a causa del fatto che uhnide mi aveva lasciato files dappertutto e volevo ripulirli,il notebook si è bloccato,e successivamente si è aperta una pagina web vuota(purtroppo la rimozione del rootkit l'avevo già fatta).
Le altre pagine che si sono aperte non le ricordo più.
Sembra che si sia nuovamente "rivelocizzato" l'avvio del notebook...
Purtroppo ho lanciato nuovamente mbr.exe dall'unità C,ed il respponso è il medesimo,ossia:

device: opened successfully
user: error reading MBR
error: Read Handle non valido.
kernel: error reading MBR

Prima di prendere delle decisioni "estreme" preferirei provare strade meno rischiose,quali ad esempio quella di scansionare l'HDD
del netbook tramite PC(ho letto sul forum che esiste un tool che fa vedere l'HDD di un notebook come se fosse una periferica USB,ed in tal modo si può collegare al PC.
Inoltre,posso sempre provare qualche CD reskue...
Grazie per le risposte FDAC,e sepro che tu abbia ancora qualche prezioso suggerimento da darmi.

 

[R16]

Mai visto un topic così "pasticciato".
Io non ho capito un tubo.
Manco il S.O che è in uso sono riuscito a capire . (mi sarà sfuggito)
L'unica cosa che mi sembra (ma non sono sicuro) di aver capito, è che stiamo parlando di un S.O non originale.

-Comprarmi un OS X originale

Deduco che il pc infetto non lo sia.

Inoltre, non si è visto uno straccio di log.
Eh sì che le scansioni, sembra siano state eseguite, ma....... qualcuno ha visto un log ?

Eh sì....qui bisogna avere la bacchetta magica di mago Merlino.:asd:

 

[ebox07]

Il sistema operativo è Windows 7 64 bit.

Problemi riscontrati:
Avvio rallentato del Notebook.
Inaspettata apertura di pagine Internet(in poche circostanze).

Attualmente SuperantiSpyware continua,di tanto in tanto,
a rilevare elementi segnati come Adware,quali ad esempio Heineken2
solution,Weboramait ed altri di cui non ricordo il nome.
Ieri ho comunque fatto una ricerca in internet,ed i nomi che apparivano
nei files Adware rilevati da SuperantiSpyware,sono tutti inerenti
statistiche...

Il test mbr continua a dare il solito esito:

device: opened successfully
user: error reading MBR
error: Read Handle non valido.
kernel: error reading MBR

Avast ha individuato un rootkit,ed esetsyscan dei trojan.
Non sapevo che log allegare,pertanto ne ho allegato più di uno,e spero che tra quelli che ho allegato
ve ne sia qualcuno che vada bene.
Grazie per la probabile l'attenzione prestatami.

 

[R16]

Salve.
Adesso, si possono avere le idee più chiare.
1) l' MBR è a posto.
2)

Il test mbr continua a dare il solito esito:

Per forza, stai applicando un test, di 32 bit con un S.O a 64 bit.
Non può essere attendibile.
Un test più serio (MBRCheck) dice il contrario.
In definitiva ebox07, il pc ha problemi di connessione:

TCP: Interfaces\{7263EE6B-1B85-4FA3-BB5D-111D2B62F17E}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{C704B00B-705E-470B-B01A-FA9A01CE668E}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{D4523D4B-5B1C-46B0-BCB4-DADC90C2FB42}: NameServer = 176.31.229.24,176.31.229.25
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~2\Crawler\ctbr.dll

E qualche rimasuglio da levare.
Ad ogni modo, lascio proseguire FDAC per il buon proseguimento della bonifica, per non creare confusione.

 

[ebox07]

In effetti all'avvio il PC era già lento prima.
Molto lento a stabilire la connessione in Internet(ho un'adsl Vodafone,ma con altri PC non ho problemi).
Grazie per l'aiuto R16.