sdra64.exe

[giàvista]

salve a tutti. vi seguo saltuariamente da un pò di tempo, ma non pensavo che avrei avuto bisogno, e invece mi son dovuto iscrivere perchè da un paio di giorni sono alle prese con un virus.
non sto a raccontarvi tutto quello che ho fatto, alla fine dopo
diverse scansioni, l'antivirus (avast) ha scoperto il virus sdra64.exe.
anche dopo averlo cancellato, questo crea continuamente malware.
cercando info su internet, avevo trovato un modo per eliminarlo
definitivamente, ma per farlo dovrei andare nel registro di sistema,
il problema è che non posso accedervi, e neanche al
task manager (neanche facendo ctrl+alt+canc), in tutti e due i casi mi
esce questo avviso:

qualcuno mi può aiutare? ciao

p.s.:volevo seguire la guida per ripulire un pc infetto, ma il collegamento a combofix, non funzia. non so se gli allegati sono di aiuto.

Visualizza allegato 12044

Visualizza allegato 12045

 

[JeanGrey]

Ciao giàvista, allega un log di hijackthis
http://www.tomshw.it/forum/sicurezza/106542-guida-hijackthis-come-creare-e-allegare-il-log.html

 

[giàvista]

eccolo:

Visualizza allegato 12053

 

[tecnico24]

Il log presenta alcune infezioni...Avvia Hijackthis e fixa queste voci:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O4 - HKCU\..\Run: [?????????] ??????????????e

O3 - Toolbar: QQ??? - {29CF293A-1E7D-4069-9E11-E39698D0AF95} - C:\Program Files\Tencent\QQToolbar\IEBar.dll

O2 - BHO: (no name) - {669751ED-D558-49AE-B01A-3B374CC7910E} - C:\PROGRA~1\TENCENT\SSPlus\SSup.dll

O2 - BHO: Internet Explorer Plugin - {5C3FE57F-D2F2-4646-B8B1-41587E8ED385} - yszpoj.dll (file missing)

O2 - BHO: QQ??? - {29CF293A-1E7D-4069-9E11-E39698D0AF95} - C:\Program Files\Tencent\QQToolbar\IEBar.dll

R3 - URLSearchHook: Tencent SearchHook - {DB8B2393-7A6C-4C76-88CE-6B1F6FF6FFE9} - C:\Program Files\TENCENT\SSPlus\SAddr.dll

Scaricati Atf Cleaner
*Avvialo , clicca su "select all" e poi su "empty selected".

Finito questo , Riavvia il pc ;)

 

[JeanGrey]

Con tutte le applicazioni chiuse e disconnesso da internet
Tasto destro su Hijackthis, esegui come amministratore
Clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

R3 - URLSearchHook: Tencent SearchHook - {DB8B2393-7A6C-4C76-88CE-6B1F6FF6FFE9} - C:\Program Files\TENCENT\SSPlus\SAddr.dll
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,userinit.exe
O2 - BHO: QQ??? - {29CF293A-1E7D-4069-9E11-E39698D0AF95} - C:\Program Files\Tencent\QQToolbar\IEBar.dll
O2 - BHO: Internet Explorer Plugin - {5C3FE57F-D2F2-4646-B8B1-41587E8ED385} - yszpoj.dll (file missing)
O2 - BHO: (no name) - {669751ED-D558-49AE-B01A-3B374CC7910E} - C:\PROGRA~1\TENCENT\SSPlus\SSup.dll
O3 - Toolbar: QQ??? - {29CF293A-1E7D-4069-9E11-E39698D0AF95} - C:\Program Files\Tencent\QQToolbar\IEBar.dll
O4 - HKCU\..\Run: [?????????] ??????????????e
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Usa questa utility come amministratore per disinstallare correttamente Norton
Come scaricare ed eseguire l'utilità di disinstallazione Norton

Scarica Malwarebytes, installa il programma ed aggiorna le firme.
Malwarebytes Anti-Malware - Free software downloads and software reviews - CNET Download.com
Nella scheda scansione, seleziona "scansione completa"
Allega il rapporto.

 

[giàvista]

Il log presenta alcune infezioni...Avvia Hijackthis e fixa queste voci:
Scaricati Atf Cleaner
*Avvialo , clicca su "select all" e poi su "empty selected".

Finito questo , Riavvia il pc ;)

il link non è valido, comunque l'ho provato ma non ha funzionato.

questo è il log di Malwarebytes:

Visualizza allegato 12057

 

[giàvista]

adesso sono andato nella cartella in cui compaiono i file infetti, l'ho scansionato con malwarebytes e non mi ha dato risultati, invece scansionandola con avast mi trova i malware. come mai?
poi avevo due curiosità: da cosa si capisce che un file è infetto, guardando il log di hijack?
nel log di malwarebytes, nella voce file infetti c'è la cartellla /lowsec/, perchè non la vedo con l'esplora risorse?

p.s.:la cartella in questione è C:/ProgramData/Microsoft/Windows/WER/ReportQueque. da quel poco che capisco, sembrerebbero file di aggiornamento di vista, e le prime volte pensavo ad un falso allarme, anche perchè, per strana coincidenza, l'ultimo aggiornamento l'ho scaricato l'11/12.

 

[JeanGrey]

Ciao, l'ultimo log che hai allegato è identico al primo di hijackthis.

Allega un nuovo log di hijackthis ed il rapporto di Malwarebytes.

 

[giàvista]

ho allegato il rapporto sbagliato :cav:
eccoli tutti e due:

Visualizza allegato 12067

Visualizza allegato 12068

 

[JeanGrey]

Ripeti la scansione con Malwarebytes e rimuovi quanto trovato.

Disattiva momentaneamente l'antivirus
Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Se usi Vista: Tasto destro, esegui come amministratore
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

 

[giàvista]

allora, ho installato combofix, però è apparsa solo una finestra per accetttare
la "non garanzia", nessuna finestra per scegliere alternative, quindi niente
recovery console. alla fine è apparsa una finestra tipo ms-dos, e ha fatto tutto da solo.
alla fine della scansione, si è riavviato, ma in C , non ho trovato il rapporto Combofix.txt.
io allegherei la cartella, ma sono 16 mega.

 

[giàvista]

oggi ho riprovato a usare combofix, e ha fatto il rapporto che ho allegato.
ho seguito le istruzioni della guida "come ripulire ....", alla fine ho riavviato il pc, ma come al solito è scattato subito l'antivirus.
scansionando la solita cartella (ReportQueque) mi ha trovato 4 malware del tipo Rootkit (Win32:Alureon.ETK), e mi chiedevo se la cosa non fosse collegata agli avvisi automatici della microsoft. è da un paio di settimane, infatti, che all'accensione mi appare qualche avviso di errore, del tipo "ERecoveryService" ha smesso di funzionare, e un'altro che non ricordo.
comunque, il registro di sistema e il task manager sono ancora inibiti. ciao

Visualizza allegato 12078

 

[JeanGrey]

Salva il documento che ti allego CFScript
Con il mouse trascina il file CFScript.txt sull'icona rossa di Combofix

Lascia lavorare il programma
Verrà creato un nuovo log combofix.txt
Allega il rapporto per un controllo.

Esegui queste due scansioni online
Free Online Virus Scan | BitDefender Online Scanner
Windows Live OneCare Safety scanner: analisi gratuita in linea per la protezione e l'integrità del PC

 

[giàvista]

ecco il rapporto. volevo dirti che ho fatto la scansione con Eset, e il risultato è stato nullo. domani provo quelli che mi hai consigliato. intanto il registro di sistema e il task sono tornati a funzionare (finalmente). però al riavvio ancora mi scatta l'antivirus. mi ero dimenticato di dire un'altra cosa: mi aveva cancellato anche i punti di ripristino, adesso sono andato un attimo nella gestione per vedere se erano ricomparsi ma niente da fare. però non ci sono neanche i punti di ripristino che aveva creato combofix, come mai?

p.s.:ti allego anche un file.txt di quelli che si creano nella famosa cartella. ho notato che ad ogni avvio del computer si creano almeno 3 cartelle. ma cosa sono?

Visualizza allegato 12087

Visualizza allegato 12088

ho fatto le scansioni on-line. bit-defender non ha trovato nulla (sotto c'è il report), e windows live ha fatto qualcosa, ma non ha rilasciato dettagli.

Visualizza allegato 12097

ho riavviato il pc, e come al solito è apparso un messaggio di errore, seguito dall'avviso dell'antivirus. ti allego un log di avast.

Visualizza allegato 12098

 

[giàvista]

piccolo aggiornamento. ho finalmente capito a cosa si riferiscono i messaggi di errore: sono applicazioni relative al software Acer installato nel pc. solo che io ho disabilitato tutto all'avvio, e quindi non capisco perchè tentino di avviarsi, e non capisco che problema ci sia, visto che nessun programma dell'Acer, anche lanciato manualmente, mi dà sempre errore.
ad ogni messaggio di errore viene creata una cartella "Report" in cui ci sono i file .hdmp che Avast riconosce come infetti, perchè il sistema cerca di inviare la segnalazione a Microsoft. dite che posso segnalarli all'antivirus come falso positivo?

EDIT
stavo leggendo delle risposte in un forum, quando ad un tratto (senza che facessi niente) è scattato l'antivirus avvertendomi che un file nella cartella Temp era infettato dal virus Win32:VundoHH. dopo averlo bloccato sono andato nella cartella, e c'era questo file, più un'altro simile e due cartelle che prima non c'erano. ho scansionato i due file simili e le due cartelle, e solo il file di prima risultava infetto. quando l'ho cancellato è sparita anche una cartella, poi ho aperto l'altra e c'era il file svchost.exe. l'ho scansionato di nuovo con avast, e non trovava niente, poi l'ho fatto con malwarebytes (anche l'altro file) e tutti e due sono risultati infetti, e li ho eliminati. fatto questo sono andato nella cartella System32, e , sorpresa, c'era di nuovo il file sdra.exe. l'ho scansionato con tutti e due i tools, ed è risultato innocuo, ma non ho aspettato che si attivasse: visto che non potevo eliminarlo (mi diceva che era in uso da un programma), ho eliminato prima la stringa dal registro di sistema, ho riavviato il pc e poi l'ho eliminato dalla cartella con malwarebytes, che stranamente adesso lo vedeva come virus.
adesso che faccio?

p.s.:ci sono due cose che non capisco; la data di creazione del file risale al 21/09/2009, com'è possibile se si è manifestato solo adesso? poi, dando un'occhiata ai file della cartella System32, ho trovato un'immagine (maee.jpg) creata il giorno in cui mi è apparso il primo avviso, cioè il 16/12, il fatto è che non riesco ad aprirla con nessun editor. l'ho scansionata, e sembra innocua, eppure ho il dubbio che sia in qualche modo collegata ai virus.