pensavo di averli debellati ma sono tornati... Trojan e Backdoor

[Morghana]

Sera a tutti, da qualche giorno, dopo aver cliccato (maledetta me..) un file.exe scaricato dal mulo, si aprono siti a vanvera, formando una cartella in documents&setting/user e dei file .exe non cancellabili , neanche da termina processi del task manager. Allora cerco su google (ci impiego un po' perchè il pc è lentissmo) un qualche forum e trovo questo... spulcio questa sezione e mi scarico i programmi menzionati per la pulizia... (combofix e malwarebytes - il ccleaner già ce l'ho).
Seguo la guida (me la stampo pure, così disattivo pure la connessione internet)...riesco a cancellare i file suddetti e anche la cartella. Alla fine utilizzo eset online scanner, ma mi rivela ancora i maledetti trojan e backdoor ( ammetto che fino ad ora quei file.exe e la cartella non mi si è riformata)... Però Eset sembra riscontri più file infetti del malwarebytes :look:...

Allego quel che serve (vedi guida)
Il file mbam-log è qua
Grazie a tutti
Morgh/Chiara

 

[Morghana]

scusate allego anche l'altro file di HijackThis....
Notte a tutti
Morg/Chiara

 

[e_ale92]

ciao chiara,
le scansioni le hai fatte in modalità provvisoria??
il pc dopo la pulizia è ancora lento?

 

[Morghana]

Ciao Ale,
non riesco ad entrare in modalità provvisoria, la schermata è troppo veloce o quando c'è da scegliere l'opzione la tastiera è spenta e non potendo scegliere quella opzione si avvia in modo normale. Ho però disabilitato la connessione internet... Il pc non sembra lento, ma la scansione online (ESET) mi rivela ancora molte infezioni...

 

[e_ale92]

Spoiler

h**p://w*w.megalab.it/2556/2/come-avviare-il-computer-in-modalita-provvisoria

lì trovi una guida per entrare in modalità provvisoria... entra e scansiona con malwarebytes e combofix. quando hai finito, scansiona con eset e vedi se risolvi.

p.s. durante le scansioni disabilità l'antivirus, anche se in modalità provvisoria non dovrebbe partire lo stesso.

 

[Morghana]

entrata in mod provvisoria con l'msconfig
allego il file di malware.

 

[Morghana]

Spoiler

h**p://w*w.megalab.it/2556/2/come-avviare-il-computer-in-modalita-provvisoria

...........scansiona con eset e vedi se risolvi.

......

ma la scansione con eset in modalità provvisoria mi sa che non va ( visto che la connessione a internet non ce l'ho), o mi sbaglio?

 

[e_ale92]

già hai ragione... l'avevo dimenticato.
vabbè scansiona con il tuo antivirus... quale hai?

 

[Morghana]

avira - le info sul mio sistema le ho allegate hehehe

 

[e_ale92]

ok... scansiona con quello.

cmq da malwarebytes risultava una infezione che è stata eliminata... scansiona con avira e poi lo chiudi e scansiona anche con combofix se non lo hai già fatto.

quando hai finito, riavvia e vedi come va...

 

[Morghana]

ok grazie Ale :-) se ho problemi continuo a scrivere qui

 

[e_ale92]

ok!

 

[FDAC]

Ciao.
Disinstalla quanto prima Sophos Anti-Virus, due antivirus fanno a botte fra di loro. Tieni solo Avira.

Poi;

Script personalizzato di ComboFix

Avviso: non eseguire ComboFix di tua iniziativa; questo tool non è un giocattolo e non è adatto ad un uso quotidiano.

Apri il Block Note: Start> Tutti i programmi> Accessori> Blocco note
● all'interno del nuovo documento di testo, copia ed incolla le seguenti righe:

Folder::
C:\stdtsa
c:\documents and settings\Chiara\Dati applicazioni\LimeRunner
c:\documents and settings\Chiara\Impostazioni locali\Dati applicazioni\AresXZ
c:\documents and settings\Chiara\Impostazioni locali\Dati applicazioni\ca221ad5
c:\programmi\14715
c:\documents and settings\Chiara\Dati applicazioni\4C014
c:\documents and settings\Chiara\Dati applicazioni\Search Settings
c:\windows\system32\config\systemprofile\Dati applicazioni\Application Updater
c:\programmi\IObit Toolbar
c:\programmi\Application Updater
c:\programmi\File comuni\Spigot
c:\documents and settings\Chiara\Impostazioni locali\Dati applicazioni\OpenCandy
c:\documents and settings\Chiara\Dati applicazioni\OpenCandy
c:\documents and settings\Chiara\Dati applicazioni\searchquband
c:\documents and settings\Chiara\Impostazioni locali\Dati applicazioni\Conduit

File::
c:\programmi\File comuni\Spigot\Search Settings\SearchSettings.exe
c:\programmi\Application Updater\ApplicationUpdater.exe
c:\windows\system32\sdccoinstaller.dll

DDS::
uInternet Settings,ProxyOverride = 127.0.0.1;*.local
uInternet Settings,ProxyServer = http=127.0.0.1:62323

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]

Driver::
Application Updater

● chiama questo file CFScript.txt, e posizionalo sul Desktop

Molto importante! Disabilita temporaneamente il tuo antivirus e firewall prima di seguire la procedura indicata. Potrebbero infatti interferire con ComboFix o rimuovere alcuni dei suoi file incorporati che possono portare a risultati imprevedibili.
Facendo riferimento all'immagine presente qui sotto, trascina con il puntatore del mouse CFScript.txt sull'icona di ComboFix
ComboFix ora eseguirà una scansione del tuo sistema. Una volta terminata, potrebbe riavviare automaticamente il sistema: in caso contrario, procedi tu manualmente.
A questo punto, il programma produrrà un Report. Copia ed incolla il log nel tuo prossimo post.

http://img155.imageshack.us/img155/4837/cfscriptop0.gif

Nota - riguardo alla procedura:
● non toccare assolutamente il mouse e la tastiera durante la scansione: potrebbe interrompersi

 

[e_ale92]

:cav: non avevo visto Sophos nel log di hijackthis...

@FDAC: cosa fa lo script personalizzato?

 

[FDAC]

Elimina i rimasugli delle infezioni che non sono state eliminate da malwarebytes e risultano ancora presenti (in particolare application updater e search settings).