Trojan.downloader rilevato continuamente da Malwarebyes

[kika90]

Salve a tutti ragazzi sono nuova in questo forum. Avrei un problemino: da più di un mese Malwarebytes mi rileva una chiave di registro infetta, in particolare:

HKEY_CURRENT_USER\Software\MSSec

Sposto in quarantena, rimuovo ed è tutto ok...dopo un pò, per es. il giorno dopo riappare...dopo aver eliminato l'infezione se rifaccio la scansione non rileva più nulla...Avira non trova nulla....se apro il TaskManager non c'è alcun processo che si chiama MSSec...non so che fare..
inoltre se apro il regedit e cerco la chiave suddetta (quando c'è) a protocol c'è una serie lunghissima di lettere, simboli e numeri...

Help :help:

 

[FDAC]

Ciao. Il problema è comune a tutti -o quasi- gli utenti di MBAM.
Pare esserci un bug appunto, che speriamo verrà risolto nelle prossime versioni del programma.
Per il momento, non ti resta che aggiungere quella chiave alle infezioni del programma; in tal modo, non ti darà più fastidio.
Ciao!

 

[kika90]

solo una cosa: ho notato analizzando il computer con Svchost Viewer che sotto ad un processo host (svchost.exe) c'è scritto WinDefend....
Solo che su internet leggo che windefend.exe è un virus...ma è la stessa cosa??? :boh:

 

[FDAC]

Ciao.
Prova questa scansione, per verificare eventuali rimasugli di Rogue Sofwares.

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● segui le istruzioni che verranno rilasciate per eseguire la scansione
● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.
Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno

 

[kika90]

Oddioooooooooooooo che pauraaaaa...:shock:
temevo di morire...ho fatto tutto solo che appena ha finito combofix ed è uscito il log non stavo più riuscendo a far nulla sul computer...non si apriva il pannello di controllo, non riuscivo ad usare l'Antivirus (diceva che era stata cancellata una chiave)....che brutti momenti...poi ho riavviato :asd: e tutto ooook! :blush:

ecco qui il log:
combofix.txt

Ma combofix non si installa vero? basta che cancello il file che ho scaricato no?

PS. Grazie mille per la pazienza :D davvero gentile!!!
Ah un'ultima cosa: cosa devo fare con l'icona internet che è uscita sul desktop? la cancello?

 

[FDAC]

Disinstalla DownloadAccelerator (non serve a nulla i download vanno uguali e contiene spyware..).
Disinstalla a-squared Free (hai già avira e malwarebytes).

ComboFix ha fatto un pò di pulizia ma bisogna ancora finire di lavorare..

Script personalizzato di ComboFix

Avviso: non eseguire ComboFix di tua iniziativa; questo tool non è un giocattolo e non è adatto ad un uso quotidiano.

Apri il Block Note: Start> Tutti i programmi> Accessori> Blocco note
● all'interno del nuovo documento di testo, copia ed incolla le seguenti righe:

Folder::
C:\$AVG
c:\users\Enrica\AppData\Roaming\AVG2012
c:\programdata\AVG2012
c:\windows\system32\drivers\AVG
c:\program files\AVG
c:\users\Enrica\AppData\Roaming\BitDefender
c:\programdata\BitDefender
c:\program files\BitDefender
c:\program files\Common Files\BitDefender

File::
c:\program files\bitdefender_free_v10.exe
c:\windows\System32\SoundSchemes.exe
c:\windows\System32\soundschemes2.exe

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000000
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B3688A53-AB2A-4b1d-8CEF-8F93D8C51C24}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]

RegNull::
[HKEY_USERS\S-1-5-21-1285470896-1821701869-342598082-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{634551A5-3A07-CF3B-6DCC-1393F750ED0C}*]

● chiama questo file CFScript.txt, e posizionalo sul Desktop

Molto importante! Disabilita temporaneamente il tuo antivirus e firewall prima di seguire la procedura indicata. Potrebbero infatti interferire con ComboFix o rimuovere alcuni dei suoi file incorporati che possono portare a risultati imprevedibili.
Facendo riferimento all'immagine presente qui sotto, trascina con il puntatore del mouse CFScript.txt sull'icona di ComboFix
ComboFix ora eseguirà una scansione del tuo sistema. Una volta terminata, potrebbe riavviare automaticamente il sistema: in caso contrario, procedi tu manualmente.
A questo punto, il programma produrrà un Report. Copia ed incolla il log nel tuo prossimo post.

http://img155.imageshack.us/img155/4837/cfscriptop0.gif

Nota - riguardo alla procedura:
● non toccare assolutamente il mouse e la tastiera durante la scansione: potrebbe interrompersi. Se dovesse succedere, apri il Task Manager (Ctrl + Alt + Canc), clicca sul tab Processi e termina tutti i processi findstr, find, sed o swreg. In tal modo ComboFix dovrebbe avviarsi correttamente
● se dovesse succedere ciò, vorrei sapere cortesemente quale processo hai dovuto terminare

 

[kika90]

Ciao :)
Secondo te potrebbe essere sufficiente solo la scansione con Combofix che ho fatto? perchè ho paura di fare pasticci se continuiamo... non vorrei mettere fuori uso il mio computer...

ma davvero Download Accelerator Plus ha spyware?? io mi ci trovo bene :(...fa la differenza: impiego il doppio del tempo a scaricare lo stesso file senza...cmq a-squared l'avevo già disinstallato qualche giorno fa, era rimasta solo una cartella con i report...

 

[FDAC]

Si, è necessario eseguire lo script per rimuovere le infezioni presenti.

 

[kika90]

Ciao!!! :)
Allora ho fatto la scansione che mi hai detto :ok:
Dimenticavo di dirti che, sia alla prima scansione che abbiamo fatto che a questa, all'inizio (verso lo stage_2) è uscito un messaggio dei problemi di windows che diceva che pev.3XE aveva smesso di funzionare....anche questa volta ho cliccato su chiudi programma altrimenti non continuava la scansione. Poi dato che mi avevi detto che non avrei dovuto usare mouse sono andata al taskmanager solo che non c'era nessuno dei processi che mi avevi indicato e la scansione ha comunque continuato il suo corso.
Il computer non si è riavviato quindi dopo l'emissione del report ho riavviato io.

solo una cosa: ora il computer mi sembra un pochino più rallentato di prima!

Eccoti il log: ComboFix.txt

 

[FDAC]

Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe
● posiziona il tool sul Desktop
● termina tutti i programmi attivi, comprese le pagine Internet
● avvia il tool con un doppio click
● clicca, in basso a sinistra, sul pulsante Start
● scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi
● attendi pazientemente il termine delle operazioni
● clicca, in basso a destra, sul pulsante Exit
● una volta terminate le operazioni, chiudi il programma

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe
● posiziona il tool sul Desktop
● chiudi tutti i programmi attivi
● avvia il tool con un doppio click
● clicca sul pulsante CleanUp!
● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Al termine, dovrai aprire il Pannello di Controllo, cliccare su Opzioni cartella, aprire il tab Visualizzazione e mettere la spunta su Nascondi i file protetti di sistema (consigliato) e Nascondi le estensioni per i tipi di file conosciuti.

Allega un log aggiornato di Hijackthis.
Francesco

 

[kika90]

Ciao Francesco scusa il ritardo.
Allora appena finita la scansione con TFC è uscito l'avviso "TFC ha smesso di Funzionare"...ho cliccato su chiudi programma e contemporaneamente è sparita l'icona di Avira. ho riavviato.
ho eseguito OTC e tutto ok ho riavviato..

poi sono andata a fare la scansione con hijackthis solo che non mi ha permesso di farla quindi l'ho disinstallato, l'ho riscaricato e ho tentato di installarlo nuovamente solo che non mi permetteva di installarlo per "i criteri imposti dall'amministratore".
che succede?

 

[kika90]

ok ok non so come ce l'ho fatta :asd:
ecco il log di hijackthis: hijackthis.log

Grazie mille :D

PS: TFC posso cancellarlo?

 

[FDAC]

Cancella pure TFC. Poi;

Avvia HiJackThis e:
● clicca sul pulsante Do a system scan only/Scan
● metti la spunta accanto ad ogni singola voce indicata sotto
● spuntate le voci, termina tutti i programmi attivi, comprese le pagine Internet
● clicca, in basso a sinistra, sul pulsante Fix checked; potrebbe comparire un'ulteriore finestra durante il fix delle voci: clicca su Sì
Queste sono le voci da fixare:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start http://www.avg.com/it.special-uninstallation-feedback-lsf?lic=TlVIRDQtWUg5UEUtTzNQNEUtUVJERUstR0RKWjctVk9YVUw"&"inst=NzctNzUzMDYwNzk2LVNUMTJGT0krMS1ERFQrMC1FVUxBKzEtU1QxMkFQUCsx"&"prod=55"&"ver=2012.0.1809"&"mid=e09ef51723ac47d1a766d15262265805-7e53b66ef405a1b8bf738a34ad4eac47d9ec39f6


Poi; start, tutti i programmi, accessori, esegui e digita;
sc delete eRecoveryService
premi invio


Il PC come va?

 

[kika90]

ciao Francesco :D
scusa il ritardo...ho fixato ciò che mi hai detto e sembra essere tutto ok...il computer va bene è bello che si spenga un pochino più velocemente; il problema sta all'avvio: a volte ci mette molto..
ad ogni modo grazie mille della cordialità, precisione e repentinità nelle risposte sei un grande! :ok:

 

[FDAC]

E di che?
Alla prossima.

Francesco