Virus seguito da ripristino...e puf....

[Cotechino]

Salve a tutti.Sono nuovo. Sono convinto che siate i soli a potermi aiutare :) ho sempre trovato utilissimo questo sito e ho deciso di registrarmi.

In effetti ciò che descriverò qui non è un vero e proprio problema ma piu un dubbio che mi assale,quasi una paranoia....Mi spiego.

Poche ore fa ho installato un programma,che ad un certo punto ha chiesto di istallare dei programmi nella libreria windows per poter proseguire. Acconsento, e,ora che ci penso STRANAMENTE, mi ha chiesto di riavviare il computer.... dico stranamente,perchè di solito sono le disinstallazioni che chiedono il riavvio, e da quanto ricordi solo l'installazione degli aggiornamenti di windows richiedono un riavvio....e soprattutto,perchè diavolo deve installare dei programmi nella libreria?

Beh,non l'avessi mai fatto. Il computer si è riavviato iniziando con una schermata blu che parlava di "problemi a riavviare windows" e "attendere". Mi portava dunque,in maniera piuttosto lenta, alla pagina di scelta utente, e dopo aver inserito la password,dopo pochi secondi ero ributtato fuori, e sotto il mio nome utente,poco sotto il nome e poco sopra lo spazietto per inserire la password, c'era scritto utente bloccato... Riavvio il tutto,rimetto la password, windows sembra partire, ma lo schermo resta tutto nero. ctrl+alt+canc funziona, e trovo diversi programmi attivi che non posso terminare perchè "non autorizzato"....

Capito piu o meno che mi son beccato un virus, come ho letto in giro,ho avviato la modalità provvisoria, scoprendo che:

a)L'avast è stato fermato, e non posso in alcun modo farlo partire nonostante i click,e lo scan è piu lento del solito. La protezione non è in tempo reale.
b)Il windows defender è stato distrutto
c)Altri programmi di protezione non sono utilizzabili
d)Internet è bloccato
e)I processi di formattazione non sono abilitati
f)dal task manager non posso fare nulla

Elimino i file che secondo me erano responsabili dell'installazione, e poi riavvio il computer impostando un punto di ripristino consigliato (mezz'ora prima, ma non ricordo esattamente il momento in cui avevo installato il virus).

Insomma, per farla breve,nonostante abbia impostato il punto di ripristino,il computer si è riavviato,mi ha portato nuovamente all'utente,password, e di nuovo schermo nero... ho tentato di bloccare qualche processo dal task manager, ma si riavviavano tutti...mentre ero li,pronto a spegnere il computer e a portarlo dal tecnico, d'improvviso la schermata di windows si accende, appare il pop up "ripristino completato", e ora sembra sia tutto a posto...

Il dubbio è....ho scannnerizzato immediatamente con avast,ma non mi risultano virus... il computer sembra andare bene,senza rallentamenti, e con antivirus a defender totalmente attivati... Ma siamo sicuri che il virus ora non è dentro qualche cartella che se la ride, e magari aspetta che inserisca dati di carte di credito e password? Insomma,non è possibile che c'ho qualche spy nel computer? Un virus tanto ben programmato da insediarsi e poi far tornare tutto normale facendomi credere di non avere piu nulla di malevolo nel computer? Se faccio un altro ripristino di sistema magari a ieri sera, è sicuro che il virus poi non ci sia piu?

Scusate il papiro....

 

[Cotechino]

Il dubbio nasce prevalentemente dal fatto che il punto di ripristino era fin troppo vicino al momento in cui stavo inconsapevolmente installando un virus. Non posso tornare "ancora piu indietro" o perlomeno sapere come fare a capire se il mio computer al momento è "pulito"? so già che il tecnico per una controllatina del computer di 10 minuti mi chiederà soldi, e non mi va di pagarlo se in effetti non fa nulla che io non possa fare grazie al vostro aiuto :)

 

[pegifr]

Ciao cotechino :)

Facciamoci un'idea della situazione:

Scarica DeFogger > http://download.bleepingcomputer.com/jpshortstuff/Defogger.exe
Salvalo sul desktop ed eseguilo come amministratore (su vista e seven).
Clicca su Disable. Conferma. Premi OK. Chiudi la schermata precedente. Verrà prodotto un log sul desktop (DeFogger_Disable.txt). Se ti viene richiesto il riavvio, accetta.

Poi, disattiva tutti i programmi di sicurezza e:

Scarica DDS > http://www.bleepingcomputer.com/download/anti-virus/dds
Clicca su Download Now. Salvalo sul desktop ed eseguilo come amministartore (su vista e seven).
Aspetta la fine della scansione. Si apriranno due reports: DDS.txt ed Attach.txt
Salvali ed allegali per un controllo.

E poi:
Scarica Rootkit Unhooker > http://www.kernelmode.info/ARKs/RKUnhookerLE.EXE
Non utilizzarlo se hai un sistema operativo a 64 bit.
Salvalo sul desktop ed eseguilo come amministratore (su vista e seven).
Vai nella scheda Report e clicca Scan. Seleziona solo Drivers e Stealth Code. Clicca OK.
Alla fine della scansione, clicca su File > Save Report
Allega il log Report.txt per un controllo.

NB. Se dovessi ricevere questo messaggio:
"Rootkit Unhooker ha rilevato un parassita dentro di sé!
Si consiglia di rimuovere il parassita, okay?"

Clicca su Annulla, quindi Accetto

Logs da allegare:
DeFogger_Disable.txt
DDS.txt
Attach.txt
Report.txt

Potresti indicare anche quale programma ti avrebbe arrecato questi danni?

 

[Cotechino]

---------------------------------------------------


Il sito mi da come "dannoso e da fixare"

"RO....bla bla bla...Daemon Search"

Fixato,ma la mia paura è che ci sia altro che non va... sarò paranoico,ma ieri ho installato spybot e ho fatto uno scan. Ha eliminato diversi cookies,la facemoods (le faccine per facebook) invece non può essere rimossa,ma in effetti ho trovato questo programmino/applicazione nel computer...non credo faccia danni.

All'avvio stamattina, dopo il caricamento windows (che mi sembra leggermente piu lento rispetto all'inizio,il computer ha 2 settimane) si è avviato come previsto lo scan di spybot,ma tutto ciò è accaduto con sfondo nera, lo stessa che mi si presentava dopo aver acchiappato quel maledetto virus dopo aver tentato di accedere al desktop dopo aver inserito il nome utente...annullato lo scan è tornato tutto alla normalità.

Il computer sembra a posto insomma,nessun rallentamento ne tantomeno finestre strane o pagine internet non richieste,nessun pop up.
All'accesso, il nome utente risulta "normale", inserisco la password, ed entro nel computer. L'impostazione risparmio batteria però,dopo minuti di non utilizzo del computer mi riporta alla schermata di selezione utente...sotto il mio nome (Federico) risulto "bloccato",ma posso inserire la password ed accedere comunque al desktop. Se clicco su "cambia utente", mi porta sempre su di me "Federico",ma questa volta sotto il nome non c'è scritto "bloccato",inserisco la password e via,sono nel computer.insomma,sembra che io abbia 2 utenti, uno con la scritta "bloccato" e l'altro no.

Avast e altri antivirus non mi hanno trovato nulla nel computer.


Rispondo alle domande:
Il programma che mi ha arrecato tale danno non è un programma,ma un gioco.
Prima che mi banniate, sappiate che il gioco è freeware da qualche anno,lo si può scaricare in maniera del tutto gratuita e in maniera legale, si chiama "RISE & FALL". Poichè qualche anno prima l'avevo scaricato da un sito (sempre periodo legale eh!)e messo su dvd, ho pensato bene (male) di provarlo sul mio nuovo portatile (sul vecchio non l'avevo provato). Installazione partita, poi mi ha chiesto se poteva installare file nella libreria di windows, mi ha chiesto di riavviare, e tak, virus,amministratore bloccato,antivirus disattivati,firewall disattivati...e beh,il resto l'ho detto.

Domande:
Scusa l'inesperienza,ma i log che ottengo da dds e defogger vuoi che li posti qui o stesso i programmi analizzeranno i miei log?

 

[Cotechino]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:58:48, on 07/03/2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16722)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files (x86)\Internet Download Manager\IEMonitor.exe
C:\Program Files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe
C:\Program Files (x86)\Internet Download Manager\IDMan.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPCON/6
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPCON/6
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/HPCON/6
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files (x86)\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Guida per l'accesso a Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [HP Quick Launch] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe
O4 - HKLM\..\Run: [Norton Online Backup] C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuClient.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [HPAdvisorDock] C:\Program Files (x86)\Hewlett-Packard\HP Advisor\Dock\HPAdvisorDock.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [IDMan] C:\Program Files (x86)\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: Scarica con IDM - C:\Program Files (x86)\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Scarica con IDM contenuti video FLV - C:\Program Files (x86)\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Scarica tutti i link con IDM - C:\Program Files (x86)\Internet Download Manager\IEGetAll.htm
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll

 

[Cotechino]

O23 - Service: Andrea RT Filters Service (AERTFilters) - Andrea Electronics Corporation - C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Easybits Services for Windows (ezSharedSvc) - EasyBits Software AS - C:\Windows\System32\ezSharedSvcHost.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\HP Games\HP Game Console\GameConsoleService.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: HP Health Check Service - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: HP Wireless Assistant Service - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe
O23 - Service: HP Quick Synchronization Service (HPDrvMntSvc.exe) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe
O23 - Service: HP Software Framework Service (hpqwmiex) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HPWMISVC - Unknown owner - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Norton Online Backup (NOBU) - Symantec Corporation - C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: RtVOsdService Installer (RtVOsdService) - Realtek Semiconductor Corp. - C:\Program Files\Realtek\RtVOsd\RtVOsdService.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

 

[pegifr]

Ciao cotechigno :)

Il log di HJT forse te lo avevano chiesto su un altro forum ma comunque non mostra nessuna infezione attiva.
Allega i rapporti degli altri programmi se ti va...
E poi fai una scansione con MBAM.

Scarica Malwarebytes’ Anti-Malware > http://www.malwarebytes.org/mbam.php
Clicca su download free version. Collega eventuali dispositivi di massa USB.
Installalo, avvialo ed aggiornalo (è importante).
Esegui la scansione completa del sistema selezionando tutte le unità ed elimina tutti gli elementi identificati.
Completa la rimozione col riavvio se richiesto.
Salva il log della scansione ed allegalo (si trova nel Tab "log").

 

[Cotechino]

Ti ringrazio per la risposta. In realtà siete l'unico forum a cui faccio riferimento, ho preso l'iniziativa di usare l'hijackthis perchè leggevo ovunque nei topic che è la cosa giusta da fare per capire un pò la situazione :)
Comunque malwarebytes mi ha rilevato un trojan, mentre l'altro non so cosa sia. In ogni caso li ho eliminati entrambi. Secondo te è finita qui o dovrei fare altro?
A pensarci però,la cosa strana è che avast non me l'aveva rilevato :O ne tantomeno spybot....ma che cavolo :boh:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 5981

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07/03/2011 18:31:44
mbam-log-2011-03-07 (18-31-34).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 340802
Tempo trascorso: 40 minuti, 35 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 1
Cartelle infette: 0
File infetti: 1

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\Users\Federico\downloads\wrar393it\Default.SFX (Trojan.Backdoor) -> No action taken.

 

[Cotechino]

ah,questo è il log successivo,li risultava come "nessuna azione intrapresa"

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 5981

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07/03/2011 18:32:06
mbam-log-2011-03-07 (18-32-06).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 340802
Tempo trascorso: 40 minuti, 35 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 1
Cartelle infette: 0
File infetti: 1

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\Users\Federico\downloads\wrar393it\Default.SFX (Trojan.Backdoor) -> Quarantined and deleted successfully.

Secondo te cos'è quel regfile relativo al command? insomma, io vorrei esser certo di aver eliminato quel virus che mi ha costretto a ripristinare il pc da una situazione precedente :look: ?

 

[Cotechino]

altra domanda:dopo aver eliminato quel trojan con il malware, la cartella in cui era inserito ora è pulita, o devo eliminare anche la cartella?

 

[FDAC]

Ciao. Quel trojan è stato eliminato, e non devi fare altro.
Procedi cosi:

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Posiziona ComboFix sul Desktop ed esegui queste operazioni preliminari:
● disconnettiti da Internet
● sconnetti, fisicamente, il modem/router dal Computer

E' assolutamente necessario, se attivo:
● disattivare l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattivare il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix: per lanciare ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di ComboFix e, dal menù contestuale, scegli la voce Esegui come Amministratore
● segui le istruzioni che verranno rilasciate per eseguire la scansione
● verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● verranno creati alcuni file sul Desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
● ricollega, fisicamente, il modem/router al Computer
● connettiti a Internet
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

 

[pegifr]

Ciao cotechino :)
Stando al rapporto di MBAM non c’è nessun problema.

Per quanto riguarda il primo rilevamento ti ha ripristinato un valore del registro modificato che riguarda l’associazione dei files, impostandoti appunto il valore di default quindi va bene. Spesso un malware attua questa modifica per assicurarsi di essere eseguito.

Il file eliminato, invece, è un falso positivo. E’ un file di WinRar che serve per la gestione dei files autoestraenti.
MBAM lo rileva quando si trova dove non si dovrebbe trovare… quindi se te lo ha tolto dalla directory di WinRar devi reinstallare il programma se invece era vagante, come io credo, il programma non ha subito nessun danno e puoi anche cancellare la cartella. Tuttavia ti basta provare a creare un file autoestraente per vedere se WinRar è stato menomato in questa funzione o meno.

Per me Combofix va eseguito quando ci sono i presupposti quindi stando a quello che hai postato non c’è necessità. L’unico trojan backdoor che vedo al momento è FDAC…

 

[FDAC]

L’unico trojan backdoor che vedo al momento è FDAC…

E io, stando a quanto dice MalwareBytes, ne vedo uno che non è FDAC.

Comunque, sul computer di Cotechino ci puo' fare quello che vuole: se vuole trovarsi infettato fra un po' di giorni, questa è la giusta strada.

Ciao e fine Off Topic.

 

[pegifr]

Ehi FDAC, MBAM mi ha trovato le stesse infezioni di Cotechino dopo un paio di semplicissime modifiche.
ImageShack® - Online Photo and Video Hosting :shock:

Mi ritroverò anch'io col pc "infettato tra un paio di giorni"?

 

[Cotechino]

Vi ringrazio tantissimo per l'aiuto :) però questo scontro tra utenti "che ne sanno" mi mette in confusione :O