PROBLEMA Tr Atraps gen 2

[nimoe]

Ciao a tutti, da ieri sera con l'aggiornamento di Avira mi è apparso questo malware chiamato tr Atraps gen2, ho letto nel vostro forum alcune soluzioni e allego i report di combofix e Wikisend: free file sharing service e di TdssKiller Wikisend: free file sharing service sapete dirmi se è tutto ok? Ho installato anche Superantispireweare e Malewarebites, per ora la minaccia appare solo all'avvio del pc ma vorrei eliminarla senza dover formattare (cosa che non so fare).

Grazie a chiunque mi dia una mano!

 

[R16]

Ciao.
Rifai la scansione con TDSSKiller.
Quando il tool ti segnala questa voce:

\Device\Harddisk0\DR0 ( Rootkit.Boot.Sinowal.b ) - User select action: Skip

Invece di usare l'opzione "Skip" usa l'opzione "Cure".
Quando ha finito riavvia il pc.
Rifai la scansione con TDSSKiller.
Posta il log.

Controlla se la minaccia compare ancora all'avvio.

 

[nimoe]

Ciao.
Rifai la scansione con TDSSKiller.
Quando il tool ti segnala questa voce:

Invece di usare l'opzione "Skip" usa l'opzione "Cure".
Quando ha finito riavvia il pc.
Rifai la scansione con TDSSKiller.
Posta il log.

Controlla se la minaccia compare ancora all'avvio.

Perfetto, ho messo in "Cure" il tool e con il riavvio e la nuova scansione non appaiono più problemi, sarò salva? L'unica cosa che rimane e mi fa segnalare il malware è una chat che si è istallata chiamata Chatzum e che non si vuol eliminare! Grazie per ora!

 

[R16]

Ciao.
Per favore NON quotare le mie risposte.
Grazie.

Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.

 

[nimoe]

Scusami per averti quotato! Ho sbagliato tasto...
Ecco i log dopo la scansione con Otl:
Wikisend: free file sharing service
Wikisend: free file sharing service

 

[R16]

Intanto che controllo i log puoi fare questa scansione:
Scarica Adwcleaner sul desktop:
http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner
Avvialo e clicca sul pulsante "Elimina".
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.

P.S:
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

:OTL
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://search.chatzum.com/?q={searchTerms}
FF - prefs.js..keyword.URL: "http://utils.chatzum.com/?url="
FF - prefs.js..network.proxy.http_port: 58505
O3 - HKU\S-1-5-21-2977799581-4035143105-1253291673-1006\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}
O3 - HKU\S-1-5-21-2977799581-4035143105-1253291673-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F}
O4 - HKLM..\Run: [TFncKy] TFncKy.exe File not found
[2012/01/27 16.37.50 | 000,008,340 | ---- | C] () -- C:\Documents and Settings\admin\Impostazioni locali\Dati applicazioni\46edeb1d
[2012/08/11 21.16.01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\admin\Dati applicazioni\BSplayer Pro
:Files
C:\Documents and Settings\admin\Impostazioni locali\Dati applicazioni\46edeb1d
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:commands
[purity]
[emptytemp]
[RESETHOSTS]
[start explorer]
[CLEARALLRESTOREPOINTS]
[Reboot]

Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
Vedi se il problema è risolto.

 

[nimoe]

intanto ti allego il primo log Wikisend: free file sharing service e procedo col resto!

- - - Updated - - -

il secondo procedimento mi fa impallare il pc...ci ho provato due volte ma non sembra stia lavorando...al nuovo riavvio c'è solo maleweare bites che mi dice che è stato tentato un accesso a un sito poco sicuro senza che io sia connessa. Questo avviso sparisce appena mi connetto..devo cancellare la miriade di anti spyware istallati?

 

[R16]

Prova in Modalità provvisoria.

 

[DanielaZ]

anch'io ho questo problema con Tr atraps gen2 e ho letto i vostri post.. ho provato a scansionare il pc con Otl come da voi suggerito. A chi posso mandare i due file? Purtroppo non sono molto pratica di computer e non so come si utilizzano... ringrazio in anticipo chi mi risponderà!

 

[tecnico24]

anch'io ho questo problema con Tr atraps gen2 e ho letto i vostri post.. ho provato a scansionare il pc con Otl come da voi suggerito. A chi posso mandare i due file? Purtroppo non sono molto pratica di computer e non so come si utilizzano... ringrazio in anticipo chi mi risponderà!

Apri una nuova discussione ed esponi il problema.

 

[nimoe]

Ciao, ci risiamo....allego la scansione con otl!devo rifare tutto il procedimento dall'inizio???Wikisend: free file sharing service

 

[tecnico24]

Apri una nuova discussione esponendo il problema ed allegando i report , lasciamo stare questa , anzi la chiudo.