Olimpo Informatico

[CptHook]

Nota per il moderatore: cancella pure in caso sia già trattato altrove.

Stamattina, appena accesa la macchina e arrivato al Desktop e collegato alla rete, mi sono trovato in basso a dx del monitor un messaggio di allarme che mi diceva che erano stati trovati 4 virus/spyware e, contemporaneamente, mi si installava un programma sconosciuto e non richiesto che prometteva mirabilie se lo installavo per togliermi questi problemi.

Come ho tentato l'accesso a Internet via Explorer mi si è aperta una finestra d'allarme di Microsoft che mi informava, tanto per farvela breve, che mi si era installata un virus, definito W32.MYZOR.FK@yf.

La prima reazione, dopo aver fatto inutilmente girare i due antivirus (ZoneLabs e AVG 7.0.FREE) è stata di andare senza indugio a rompere l'anima di prima mattina telefonando aun amico softwarista.

La diagnosi telefonica non è stata incoraggiante, l'ho "visto" scuotere il capo e oltretutto era anche lui alquanto incasinato.

Per fortuna viviamo in questo "nuovo mondo mirabile" e, scoraggiato e preoccupato all'idea di ri-formattare la macchina ri-formattata 6 settimane fa, ho fatto una ricerca sul Web usando come chiave il nome del virus.

Sono stato MOOOLTO fortunato, diciamo pure che ho avuto una fortuna mondiale perché ho trovato un forum nel quale due finlandesi discutevano del problema una variante recentissima del W32.MYZOR e, principalmente, della soluzione.

Insomma, per farvela breve, me la sono cavata con due ore di lavoro accanito fra scansioni, ricerche e affini.

Grazie agli sconosciuti finnici ho scaricato un programma gratuito che si chiama SmithFraudFix che ha risolto il tutto in circa 10 minuti.

Questo sito è il "delinquente" (l'ho scritto spaziato per non farlo cliccare neppure involontariamente):

http: // www . securityuptodate . com

Qui c'è la "polizia":

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Salvarlo sul Desktop,
aprirlo con WinZip,
aprire la cartella risultante SmitfraudFix,
scegliere l'opzione 1 (scrivere 1 e premere ENTER),
salvare il rapporto ottenuto (è un piccolo file .txt),
nella maggior parte dei casi basta riavviare la macchina in modalità provvisoria (F8 all'avvio di Windows),
poi, arrivati al Desktop, riaprire la cartella SmitfraudFix,
scegliere l'opzione 2 (scrivere 2 e premere ENTER),
rispondere Y(es) alla domanda "Vuoi pulire il registro?",
in caso venisse chiesto di rimpiazzare eventuali files .dll rispondere Y(es),
salvare l'eventuale nuovo rapporto rapport.txt,
riavviare la macchina,
arrivati al Desktop, se avevate un wallpaper dovrete re-inserirlo.


L'argomento è esaustivamente trattato in inglese qui:
http://www.short-media.com/forum/showthread.php?t=45700



Saluti a tutti, Hook

[holifay]

Grazie per la tua segnalazione, che mi offre l'occasione per parlare di questo fix molto utile e complimenti per essere riuscito a rimuoverlo

In effetti ne avevamo già parlato, ma solo marginalmente: se ne era già imbattuta (scornata? ) la nostra Madvero.

Smifraud è un piccolo tool nato per rimuovere una serie di varianti di spyware noti come W32/SmitFraud che fingono di essere software per la sicurezza. Si installano solitamente attraverso l'esecuzione di controlli ActiveX, navigando con Internet Explorer in siti che "ne propongono" il download. Sono difficili da rimuovere perchè infettano la WININET.DLL ed è per questo che è nato quel fix.

Un altro similare, nel caso che quello si rilevi inefficace è Smitrem.exe.

I sintomi che è necessario uno di questi due fix è la presenza di uno di questi falsi programmi antispyware:

[CptHook]

[paolobar]

Grazie hook,grazie,io,che non capisco nulla di pc,sono riuscito,grazie al tuo suggerimento,di debellare il virus in questione (w 32.myzor.fk @ yf).
L'unico appunto per gli inesperti come me è quello di seguire alla lettera il suggerimento di hook,solo che dovete zippare smitfraudfix e creare una cartella sul desktop(è piu' comodo),poi aprire la "cartella" che s'è venuta a creare,e zippare smithfraudfix col logo della corona dentata.Fatto cio',continuare a seguire il suggerimento di hook.
Spero di essere stato chiaro.
Paolo

[Cauna]

Non ciò capito un acca!!!!
Potete essere più chiari e spiegare il dafarsi passo dopo passo?
Grazie.

[Smjert]

Quello che devi fare è scritto qua:

[Cauna]

Sei un brav'uomo.
Grazie infinite.

[chemicalbit]

[Smjert]

[chemicalbit]

[Smjert]

ah ok, sono stato un po' troppo sospettoso

[Elvis]

Grazie cpthook, con il tuo aiuto anche io sono riuscito rimuovere la canaglia... sei un vero esorcista di spyware... noi tutti ti ringraziamo...

[fede_ugo]

ragazzi io ho avuto sto virus ho eseguito le operazioni da voi elencate e sembrerebbe essere scomparso...
vi allego il file rapport che lo salvato


SmitFraudFix v2.124

Scan done at 13.44.20,68, 25/11/2006
Run from C:\Documents and Settings\Ugolin\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOCUME~1\ALLUSE~1\MENUAV~1\Online Security Guide.url Deleted
C:\DOCUME~1\ALLUSE~1\MENUAV~1\Security Troubleshooting.url Deleted
C:\Programmi\Super Codec\ Deleted
C:\Programmi\Virus-Bursters\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



che dite?

[Typhoon90]

[Smjert]

@Typhoon90: Forse tu sei arrivato troppo tardi, Holifay è una ex Mod del forum, sezione Sicurezza&Privacy.

@fede_ugo : Se hai fatto solo la scansione non basta, ti riporto quello che devi fare

[CptHook]

[criu]