Olimpo Informatico

[bea]

ciao a tutti ho un problema scansionando con superantispiware e mi ha rilevato 2 trojan dropper gen e un trojan dns changer codec dice che me li elimina ma poi come accendo il pc uno me lo trovo sempre nel log di superantispiware c era scritto qst lel log di superantispyware Trojan.DNSChanger-Codec
HKU\S-1-5-21-4145813751-3626821847-1112377415-1003\Software\fcn
ho fatto anche una scansione con Malwarebytes' Anti-Malware e mi ha rilevato qst :
Chiavi di registro infette: 1
Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
controllando il registro c è realmente questa cartella e dentro di essa ci sono 5 voci che sono
1)predefinito reg_sz valore non impostato
2)cnid reg_sz qnKX=kCURgGWhXEGXgcPKA
3)did reg_sz 131300107
4)gid reg_sz 1704
poi ho fatto con Malwarebytes e Kaspersky Virus removal Tool facendo la pulizia in modalità provvisoria finito ciò ho avviato windows normalmente ho fatto di nuovo fatto la scansione con superantispyware e il trojan c è sempre solo che le voci che prima c erano nel registro ora non ci sono + ho fatto la scansione anche con mbam anche qua lo rileva lo mette in quarantena ma il trojan cè sempre nel log mi scrive
Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
seguendo il percorso che dice non esiste qst cartella grazie a chi potrà aiutarmi

[Riverside]

Ciao Bea come stai? tutto ok? intanto dimmi che sistema operativo è in uso.
Per il resto, rifacciamo l'intera procedura.

[bea]

[Riverside]

Bea contento di rileggerti, davvero.
Un paio di controlli facciamoli lo stesso.
Intanto allega il log di combofix se lo hai ancora [lo trovi in C:]
Una domanda: utilizzi pendrive o HD esterni?.
Poi, segui questa procedura:
1) tieni conto che diversi software li hai già installati, quindi non hai la necessità di reinstallarli. L'unico che ti suggerisco di disinstallare e reinstallare è Superantispyware (te lo avevo fatto installare, a suo tempo, su G-net); da allora è stata rilasciata una versione tradotta in ITA;
2) ricontrolla, anche, la configurazione di CCleaner perché ho apportato un paio di modifiche.

1) Disattiva il Ripristino configurazione di sistema:
● Start
● Pannello di controllo
● seleziona Sistema e manutenzione
● seleziona l?icona Sistema
● nel menu a sinistra clicca su Protezione sistema
● togli la spunta alle voci che fanno riferimento ai dischi ai quali disattivare il Ripristino configurazione di sistema [di norma è C:/]
● conferma, la modifica, con Applica e poi con OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino alla risoluzione del probema

Scarica ed installa SuperAntispyware Free Edition: clicca qui per il download
Una volta installato, configuralo in questo modo:
● imposta la lingua ITA
● alla richiesta di aggiornamento delle definizioni consenti l'aggiornamento
● nelle quattro finestre successive clicca su Avanti ed alla quinta su fine
● nella finestra Protezione homepage clicca sul tasto Protezione
● nella maschera principale clicca su Preferenze
● nella sezione Opzioni di Avvio togli la spunta alle prime tre voci e clicca sul tasto Ferma
● nella maschera principale clicca su tasto Scansione del Computer
● nella maschera successiva metti la spunta alle unità disco da sottoporre a scansione e, a destra, spunta la voce Fai una scansione completa
● clicca su Avanti per avviare la scansione
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Scarica ed installa MalwareBytes: clicca qui per il download
● esegui una scansione completa del sistema
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Eseguiti tutti i passaggi precendenti:
Scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta) e nel menu a tendina seleziona la voce DOD 520.22-M (3 passaggi)
poi clicca su:
● Avanzate togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia e clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce Estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Scarica ed installa Hijackthis: clicca qui per il download
● lancia Hijackthis e pulisci gli ADS (esclusivamente se la partizione e in NTFS):
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
● rilancia Hijackthis
● clicca su Do a system scan and save a logfile
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

allega, in questa sequenza, tutti i log che hai salvato

● SuperAntispyware
● MalwareBytes
● Hijackthis

Per allegare i log utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il link che verrà rilasciato dopo il caricamento di ogni singolo file.

[bea]

ciao piacere tutto mio! mi metto subito all opera e ti farò sapere grazieeeeeeeee si uso sia pen drive che hd esterno

[bea]

inizio col mandarti il log di combofix
http://wikisend.com/download/444502/logComboFix.txt

[Riverside]

[bea]

Controllato il log di Combofix Bea dove ti sei infilata per ridurti cosi? [/quote]
sto scansionando appena finito ti mando tutto guarda non so dv l ho beccato non entro in siti diversi dai miei amici ma l ho preso solo io. io entro su messenger sulla posta di alice e su facebook io dubito di averlo preso su facebook mi è capitato tempo fa di ricevere un video da un amico nella posta di facebook non me lo faceva visualizzare mi diceva di scaricare adobe flashplayer e cosi ho fatto il giorno dopo mi è arrivato qst mess da un altro amico che diceva
è stato scoperto da pochi giorni un virus che è approdato sul socialnetwork Facebook!! si chiama KOOB FACE!!!
L'azione dannosa del virus comincia quando al nostro account Facebook viene recapitato un messaggio da un utente a noi sconosciuto che ci invita a visionare un filmato che potrebbe interessarci. Per rendere tutto piu credibile il filmato è contornato di tanti commenti!!! i quali servono a scagionarlo dal fatto che potrebbe essere un virus!!! ecco i dettagli:

Se decidiamo di guardare il video, subito verremo avvisati che non abbiamo il FLASH PLAYER (software che ci permette di visionare i contenuti multimediali sull'web) aggiornato, quindi vi chiederà di premere su un pulsante DOWNLOAD per scaricare l'aggiornamento del FLASH se infatti decidiamo di download del file sul nostro computer verrà scaricato il file FLASH_UPDATE.EXE che non contiene ASSOLUTAMENTE NESSUN AGGIORNAMENTO del player ma bensì un virus dal nome

W32/koobface.worm

una volta eseguito il worm(virus) prendera' possesso del sistema!!! per prima cosa tenterà di connettersi ad uno dei seguenti indirizzi:

y171108.com
aibcviena.org
mediabspl.com

siti dai quali scarichera altro materiale nocivo per i nostri computer!!!!
inoltre dal sito img.123greetings.com scaricherà in automantico un immagine dal nome joke.gif
infine si colleghera ai siti

ipluginu.cn o currentsession.net dai quali avvierà il download di un'altro virus che utilizzera come supporto al primo gia scaricato!!!

BackDoor-AWQ.b

nella directory principale del sistema ovvero su "C:\Windows\System32" verranno create le cartelle "splm" e "nScan" contenenti entrambe una serie di virus!! altri file nocivi invece verranno creati nella directory principale! "C:\Windows", inoltre il virus modifichera il registro di sitema al quale dira di farlo avviare all'accensione della macchina e di nascondere i file infetti agli antivirus!!! in fine il sig.virus potra prendere i vostri dati personali (nomi utente, password, nr di carte di credito ecc ecc) e inviarli in remoto allo sviluppatore!!!! a breve mettero a disposizione la procedura per poter eliminare la minaccia!!!!
io penso di aver beccato quello anche xkè finchè non sono riuscita a toglierlo mi chideva sempre di installare adobe flashplayer tu cosa dici sarà stato quello???grazie infinite del grande aiuto

[Riverside]

Bea, termina le scansioni e vediamo come andare avanti.
Comunque è altamente probabile che il virus tu lo abbia preso proprio su Facebook.

[bea]

[bea]

allega, in questa sequenza, tutti i log che hai salvato
ciao riverside finiti tutti i log te li posto
● SuperAntispyware
http://wikisend.com/download/519064/SUPERAntiSpyware Scan Log - 05-18-2009 - 21-17-36.log
● MalwareBytes
http://wikisend.com/download/634500/mbam-log-2009-05-19 (07-53-57).txt
● Hijackthis[/b]
http://wikisend.com/download/467322/hijackthis.log

[bea]

Scarica Panda Research USB Vaccine: clicca qui per il download
Il tool è standalone, quindi non necessita di installazione
● estrai l'archivio sul Deskop
● lancia il tool
● per disattivare l'autorun è sufficiente cliccare sul tasto Vaccinate computer
● per riattivare l'autorun, basterà riavviare il programma e cliccare sul tasto Remove vaccine
Quando hai terminato le scansioni, pubblica i log che ti ho richiesto.
Dopo ti farò collegare le periferiche esterne e scansionare anche quelle.

per questo programma l ho già scaricato aspetto che poi mi dici come usarlo grazie infinite della pazienza

[Riverside]

[bea]

Bea, collega le periferiche di archiaviazione esterne e sottoponile a scansione sia con MalwareBytes che con Superantispyware (dopo averli aggiornati, entrambi) ed allega il relativi log.[/quote]
ok grazieeeeeeeeee

[bea]

ciao scansionate le periferiche di archiaviazione esterne qua i log
Malwarebytes disco esterno
http://wikisend.com/download/932690/mbam-log-2009-05-19_(16-49-40) disco esterno.txt

Malwarebytes pendrive 1
http://wikisend.com/download/601278/mbam-log-2009-05-19_(16-56-57) pendrive 1.txt

Malwarebytes pendrive 2
http://wikisend.com/download/461676/mbam-log-2009-05-19_(16-54-54) pendrive 2.txt

SUPERAntiSpyware disco esterno e 1 pendrive
http://wikisend.com/download/500048/SUPERAntiSpyware Scan Log - 05-18-2009 - 21-17-36 disco esterno e 1 pendrive.log

SUPERAntiSpyware Scan Log pendrive 2
http://wikisend.com/download/451144/SUPERAntiSpyware_Scan_Log_-_05-19-2009_-_16-38-35 pendrive 2.log
grazie milleeeeeeeee

[Riverside]

Benissimo Simo adesso prosegui cosi:
Disinstalla ComboFix in questa maniera:
● Start
● Esegui
● nella casella di dlialogo copia ed incolla questo comando: combofix /u
● in Disco Locale C: e, elimina questa cartella: QooBox
● rimuovi la cartella che avevi creato sul Desktop e tutti i log che hai pubblicato.

Poi, da Installazione Applicazioni, disinstalla:

● Abobe Reader
● Adobe flash player
● JavaSun (tutte le versioni presenti)

Scarica ed installa le versioni aggiornate di:

● Adobe Reader: clicca qui per il download
● Adobe Flash Player: clicca qui per il download
● JavaSun: clicca qui per il download
In fase di installazione, ti verrà richiesto di installare la toolbar di Google, non la installare (quindi togli la spunta alla relativa voce).

Una volta installato Adobe Reader lancialo e, attraverso la funzionalità Ricerca aggiornamenti, esegui l'aggiornamento alla release 9.1.1 (l'aggiornamento è indicato con il codice CPSID_49013).

Al termine delle installazioni:
1) esegui una pulizia (sia normale che pulizia del registro) con CCleaner
2) riavvia il sistema
3) allega un log di Hijackthis

[bea]

grazie mille farò tt volevo anche dirti che la java nn mi funziona da circa 1 anno x es se provo ad entrare nella chat di qualche sito mi dice errore ho provato a scaric varie volte ma nulla ora faccio quello che mi hai detto grazie ancoraaaaaaaa

[bea]

ciaoooooooo fatto tt qst è il log grazie milleeeeeeeeeee
http://wikisend.com/download/198026/hijackthis.log

[Riverside]

rilancia Hijacthis e:
● spunta la casellina fianco di ogni singola voce che ti indicherò sotto
● una volta spuntate le voci:
● chiudi tutte le applicazioni aperte
● chiudi tutte le pagine del browser aperte
● in Hijkackthis fixa le voci cliccando su Fixchecked

Queste le voci da fixare:

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

Dopo averle fixate riavvia ed allega un nuovo log di Hijackthis

ASquared è ancora installato?

[bea]

ciaooooooo ho fatto hijackthis ma me ne ha cancellato solo 2 l ho fatto anche 2 volte ma nulla non li vuole cancellare proprio! ha cancellato solo O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
ASquared è ancora installato grazie mille allego nuovo log hijackthis
http://wikisend.com/download/436288/hijackthis.log