| Precedente :: Successivo |
| Autore |
Messaggio |
ilconte30
Eroe
Registrato: 05/11/08 17:21
Messaggi: 54
|
 Inviato: 18 Mar 2011 10:41 Oggetto: trojan fake.alert |
 |
|
Da un comportamento strano del pc ho rilevato un trojan fake alert, anche perchè mi è improvvisamente uscito un avviso che avevo diversi virus (appunto il fake alert).
Ovviamento non ho dato peso.
Pc con win 7
Ho fatto come segue:
- scansione con avast internet security che stranamente non rileva
- Malwarebytes' Anti-Malware - rilevato e cancellato (trovato nella prima scansione nel pc e poi nella seconda nel file di registro.
- messo in modalità provvisoria
- lanciato il file ATF-Cleaner e fpulito tutto
- rilanciato Malwarebytes' Anti-Malware non trova nulla
- riavviato e fino a ieri tutto ok
- oggi però ricompare il problema, ossia:
quando avvio internet explorer faccio una ricerca su google, premo sul link che mi serve e mi riporta ad un sito che poi ne rimanda ad un altro ecc... (ma io stoppo).
torno indietro, ri clicclo sullo stesso link che mi serviva ed è tutto ok
come posso fare a sistemare il problema?
Grazie a tutti
Luigi |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 18 Mar 2011 14:08 Oggetto: |
|
|
Ciao ilconte30, 
Segui le indicazioni di questa discussione per postare i logs di OTL. |
|
| Top |
|
|
ilconte30
Eroe
Registrato: 05/11/08 17:21
Messaggi: 54
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 18 Mar 2011 22:17 Oggetto: |
|
|
Curiosità: prima di installare Avast! usavi NOD32?
Perché vedo un processo relativo a NOD32 e due antivirus insieme non vanno d'accordo.
Probabilmente è il rimasuglio di un'installazione precedente.
Eventualmente vedremo di rimuoverlo definitivamente.
Ci sono 2 tasks nascosti molto sospetti che, probabilmente, servono a riavviare l'attività del malware appena possibile:
| Codice: | C:\Windows\tasks\Cndlfnkwe.job
C:\Windows\tasks\Ojlzuvyak.job |
Potresti postare anche il log di MBAM?
- Avvia MBAM
- Clicca File di log
- Seleziona il file di log nell'elenco che ti compare
- Clicca Apri
- Ti si apre il Blocco note con il contenuto del file
- salvalo con un nuovo nome sul desktop
- carica il nuovo file su FreeFileHosting come indicato qui e posta il forum link che ti viene assegnato.
|
|
| Top |
|
|
ilconte30
Eroe
Registrato: 05/11/08 17:21
Messaggi: 54
|
| Inviato: 19 Mar 2011 12:15 Oggetto: |
|
|
si avevo nod 32 e l'ho disinstallato perchè vi erano problemi di compatibilità con alcuni programmi che uso.
http://www.freefilehosting.net/mbam-log-2011-03-1212-55-48
http://www.freefilehosting.net/mbam-log-2011-03-1219-17-31
http://www.freefilehosting.net/mbam-log-2011-03-1315-35-28
sono log di qualche giorno fa e credo che rilevi anche il virus
duimmi se ti serve più recente
grazie
Luigi |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
ilconte30
Eroe
Registrato: 05/11/08 17:21
Messaggi: 54
|
| Inviato: 19 Mar 2011 17:57 Oggetto: |
|
|
l'ho scaricato ma all'avvio dice che non trova un file,sys (nsak.sys)
comunque il reindirizzamento avviene ancora e stavolta l'ho documentato.
praticamente oltre al trojan trovato ci dev'essere qualcosa che si insidia in internet explorer e lo va ad infettare.
ho scoperto che sfrutta java e tenta di aprire un file pdf che avast mi blocca con la protezione web
approfondendo si tratta di un exploit js:pdfka-gen
adesso ho avviato MBm e finora ha trovato 4 file infetti.
appena termino la scansione te la giro
il file che voleva importare da un sito sono e73bed.pdf
inoltre ho cancellato un processo exe che si era attivato in memoria
ti aggiorno e per favore aiutami a sconfiggere questo str.... (scusa ma sono arrabbiato).
grazie
Luigi
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Versione database: 6105
Windows 6.1.7600
Internet Explorer 9.0.8112.16421
19/03/2011 17:25:19
mbam-log-2011-03-19 (17-25-19).txt
Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 764231
Tempo trascorso: 3 ore, 23 minuti, 41 secondi
Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 1
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 3
Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)
Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)
Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)
Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\bKiEkKf12803 (Trojan.FakeAlert) -> Value: bKiEkKf12803 -> Quarantined and deleted successfully.
Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)
Cartelle infette:
(Non sono stati rilevati elementi nocivi)
File infetti:
c:\programdata\bkiekkf12803\bkiekkf12803.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Server1\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\KYSMIY58\setup[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Server1\AppData\Local\Temp\jar_cache5025748387004008672.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 20 Mar 2011 11:23 Oggetto: |
|
|
Probabilmente, IE viene reindirizzato tramite proxy:
- Pannello di controllo
- Opzioni internet
- Connessioni
- Impostazioni LAN
- togli il segno di spunta a:
Ignora server proxy per indirizzi locali
Utilizza un server proxy per le connessioni LAN
- OK
- OK
Inoltre, vorrei eliminare quei 2 files che ti ho indicato prima.
Visto che Norman non è partito e io vorrei fare comunque una scansione completa del disco, segui le istruzioni per la scansione con Kaspersky. |
|
| Top |
|
|
ilconte30
Eroe
Registrato: 05/11/08 17:21
Messaggi: 54
|
| Inviato: 21 Mar 2011 11:56 Oggetto: |
|
|
| bdoriano ha scritto: | Probabilmente, IE viene reindirizzato tramite proxy:
- Pannello di controllo
- Opzioni internet
- Connessioni
- Impostazioni LAN
- togli il segno di spunta a:
Ignora server proxy per indirizzi locali
Utilizza un server proxy per le connessioni LAN
- OK
- OK
Inoltre, vorrei eliminare quei 2 files che ti ho indicato prima.
Visto che Norman non è partito e io vorrei fare comunque una scansione completa del disco, segui le istruzioni per la scansione con Kaspersky. |
Allora fatto pèeril segno di spunta.
i due file non riesco ad eliminarli mi dice che vuole l'autorizzazione da amministratore
come faccio? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 21 Mar 2011 14:29 Oggetto: |
|
|
| Sei riuscito a fare la scansione con Kaspersky? |
|
| Top |
|
|
ilconte30
Eroe
Registrato: 05/11/08 17:21
Messaggi: 54
|
| Inviato: 21 Mar 2011 22:49 Oggetto: |
|
|
| bdoriano ha scritto: | | Sei riuscito a fare la scansione con Kaspersky? |
si ma ci vuole tempo
finora sono al 13% ed ha trovato
21/03/2011 17:46:07 Rilevato: TrojanDownloader.Java.OpenConnection.dn C:\Documents and Settings\Server\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\4b42ce8b-106c2e59/lort/object4.class
21/03/2011 17:46:14 Rilevato: Exploit.Java.CVE-2010-0840.e C:\Documents and Settings\Server\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\7def1c50-2f959158/lort/cooter.class
21/03/2011 17:47:17 Rilevato: Exploit.Java.CVE-2010-0842.g C:\Documents and ttings\Server\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\348493eb-2839e310/pap.class
21/03/2011 17:48:03 Eliminato: Trojan Downloader.Java.OpenConnection.dn C:\Documents and Settings\Server1\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\4b42ce8b-106c2e59/lort/object4.class
21/03/2011 17:48:03 Rilevato: Trojan-Downloader.Java.OpenConnection.do C:\Documents and Settings\Server1\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\4b42ce8b-106c2e59/menu/file.class
21/03/2011 17:48:06 Eliminato: Exploit.Java.CVE-2010-0840.e C:\Documents and Settings\Server1\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16\7def1c50-2f959158/lort/cooter.class
21/03/2011 17:51:04 Eliminato: Trojan-Downloader.Java.OpenConnection.do C:\Documents and Settings\Server1\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\4b42ce8b-106c2e59/menu/file.class
21/03/2011 17:51:06 Eliminato: Exploit.Java.CVE-2010-0842.g C:\Documents and Settings\Server1\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\348493eb-2839e310/pap.class
se mi collego ad internet sempre con ie il problema persiste
ti posto il log domani
grazie comunque per gli ottimi consigli
buona serata
Luigi |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 21 Mar 2011 22:53 Oggetto: |
|
|
Ok.
Vediamo di velocizzare le operazioni.
Segui le istruzioni di questo topic per postare il log di combofix. |
|
| Top |
|
|
ilconte30
Eroe
Registrato: 05/11/08 17:21
Messaggi: 54
|
| Inviato: 22 Mar 2011 18:33 Oggetto: |
|
|
| bdoriano ha scritto: | Ok.
Vediamo di velocizzare le operazioni.
Segui le istruzioni di questo topic per postare il log di combofix. |
eccolo
ComboFix.txt
Per aiutarti vorrei evidenziarti quanto segue.
Il reindirizzamento non è fisso.
Io abitualmente uso google
quindi quando clicco sul link che mi interessa, a volte mi reindirizza a volte no.
il reindirizzamento va su una pagina che poi lo rimanda ad un altra e così via, ma io blocco subito per evitare il peggio.
Comunque, per fare una prova sto usando yahoo e non rilevo ad adesso alcun reindirizzamento.
Forse sfrutta qualche bug di Google? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 23 Mar 2011 18:30 Oggetto: |
|
|
Rieccomi.
Cominciamo a fare pulizia. 
Apri il Blocco note e crea un file di testo con le seguenti istruzioni:
| Codice: | KillAll::
Folder::
c:\programdata\bKiEkKf12803
File::
C:\Windows\tasks\Cndlfnkwe.job
C:\Windows\tasks\Ojlzuvyak.job
Driver::
ekrn |
Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:
Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix e un log aggiornato di OTL. |
|
| Top |
|
|
ilconte30
Eroe
Registrato: 05/11/08 17:21
Messaggi: 54
|
| Inviato: 26 Mar 2011 14:02 Oggetto: |
 |
|
| bdoriano ha scritto: | Rieccomi.
Cominciamo a fare pulizia.
Apri il Blocco note e crea un file di testo con le seguenti istruzioni:
| Codice: | KillAll::
Folder::
c:\programdata\bKiEkKf12803
File::
C:\Windows\tasks\Cndlfnkwe.job
C:\Windows\tasks\Ojlzuvyak.job
Driver::
ekrn |
Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:
Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix e un log aggiornato di OTL. |
fatto ComboFix.txt
comunque fino ad oggi il problema è sparito
ti giro il file richiesto
dimmi se tutto ok |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
