Olimpo Informatico

[MaXXX eternal tiare]

Mentre navigavo con opera avira mi ha segnalato nel file temporaneo di opera "opr00001.tmp" questo malware che devo aver preso a causa di pubblicità in nuovi siti in cui ho navigato googolando.

Non trovo informazioni in italiano al riguardo, avira lo ha messo in quarantena ho eseguito un ripristino di sistema ma ora avira non carica la protezione residente (a volte me lo fa e devo aggiornare) e al riavvio windows mi ha dato all'accensione (cosa che non fa mai di solito) il messaggio su schermo nero installazione aggiornamento 131.

qualcuno sa darmi informazioni su questo virus e se posso stare tranquillo? grazie

[menatwork]

ciao MaXXX eternal tiare

scarica hijackthis e mettilo nella directory C dove avrai preparato una cartella con il suo nome.
Lanci l'eseguibile e clicchi su " do a system scan and save a log" alla fine salvi questo file con estensione *.TXT e lo alleghi ad un post sul forum.

[MaXXX eternal tiare]

Ecco il log di HT: hijackthis.log

e questo con OTL che avevo già nel pc OTL.Txt e Extras.Txt

Ho capito a grandi linee da qualche sito inglese che potrebbero essere script capaci di inviare comandi al browser, ho eliminato i file temporanei e avira ha messo in quarantena il file temporaneo infetto, la mia paura è di avere un sistema compromesso o di essere entrato in una botnet, avira e mbam sono negativi e con spybot ho immunizzato i browser.

Grazie dell'aiuto.

[menatwork]

ti ho inviato un P.M. riguardo un indirizzo presente in hjt (per la privacy non posso pubblicarlo fuori) dimmi se lo conosci


scarica questo file sul desktop selezionalo, tasto destro del mouse, copia, poi apri la cartella C:\Windows\System32\drivers\etc\ in un punto libero fai incolla, accetta la sostituzione del file hosts esistente, potrebbe darti errori non preoccuparti, riavvia il pc.


per controllare meglio il pc dobbiamo eseguire un tool che molte volte risolve anche i problemi di questo tipo, o almeno ci proviamo

scarica combofix ed eseguilo secondo questa guida

posta il rapporto, caricalo su un server

[MaXXX eternal tiare]

Ecco il log combofix.txt

Grazie mille.

[menatwork]

ma hai fatto due scansioni con combofix?

[MaXXX eternal tiare]

Mi era già capitato di usarlo per un altro problema da postare sul forum, oggi combofix mi si era bloccato (mi ero scordato di disattivare un programma di protezione) allora ho ripetuto la scansione per avere il log, spero non abbia creato problemi.

Cosa ne pensi da quello che hai visto?

Grazie dell'aiuto.

[menatwork]

[MaXXX eternal tiare]

Non me lo ha generato la prima volta si è bloccato il pc, ho trovato solo il log che ti ho postato.

[menatwork]

copia questo testo in blocco note, come prima

DirLook::
c:\qoobox

salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine e riposta il suo log ...

[MaXXX eternal tiare]

Fatto ComboFix.txt

[menatwork]

dai un'occhiata in C se trovi il log combofix.txt, comunque ha eliminato anche un rootkit



scarica TDSSKiller sul desktop ed estrai il contenuto

Start > Esegui > copia/incolla il seguente comando e dai OK.

"%userprofile%\Desktop\TDSSKiller.exe"

Clicca su Start Scan.
Se c’è un’infezione, l'azione di default sarà cure. Clicca su continua.
Se c’è il sospetto di un’infezione, l'azione di default sarà skip. Clicca su continua.
Se viene richiesto il riavvio, accetta.
Il rapporto si troverà in C:, sotto queste sembianze: TDSSKiller.[Version]_[Date]_[Time]_log.txt
Se non è stato richiesto il riavvio, chiudi e clicca su report. Salva il contenuto in un file di testo e allegalo


fammi anche una scansione con malwarebytes seguendo questa guida

[MaXXX eternal tiare]

Mbam aggiornato mi da un risultato negativo, non ha trovato nulla, lo uso regolarmente.

Questo è il log dell'utility che mi hai consigliato TDSSKiller.2.6.18.0_11.11.2011_21.41.01_log.txt

Non so come posso aver preso anche il rootkit di solito sono abbastanza accorto nel navigare con windows, sai se il tipo di malware è pericoloso nello specifico o che cosa ho rischiato/rischio? grazie.

[menatwork]

per essere piu' sicuro dovrei avere il log della prima scansione

puoi postare anche il log di mbam? anche se non ha rilevato niente

[MaXXX eternal tiare]

Ho rifatto la scansione anche oggi con mbam aggiornato ecco il log mi risulta negativo mbam-log-2011-11-13 (17-36-18).txt

il primo log di combofix proprio non riesco a trovarlo.

Oggi stranamente il pc non si avviava mi ha dato ripristino all'avvio e poi è partito.

Non so proprio cosa pensare e come ho fatto a prendermi il virus.

[menatwork]

i virus si prendono in tanti modi, quello piu' sicuro e' scaricare i crack nel pc

posta un log di hjt aggiornato

[MaXXX eternal tiare]

Ho fatto il log aggiornato di hjt hijackthis.log

Stranamente non me lo riscaricava dal solito link con firefox lo ho scaricato con opera la versione da installare non so se significhi qualcosa o meno mi dava questa immagine ff link

mi dice che non può accedere all'host file ho provato a lanciarlo come amministratore ma con tutti i programmi mi riesce questa volta no, se clicco col mouse col destro non mi da l'opzione.

Ci capisco sempre meno grazie ancora per l'aiuto.

[R16]

Ciao.
Rifai una scansione con OTL:
http://forum.zeusnews.com/viewtopic.php?t=51382
Vediamo se rileva qualcosa di anomalo. (eseguilo come Amministratore)

[menatwork]

l'errore che ricevi e' questo?

prova ad eseguirlo come amministratore dall'icona che e' nella sua cartella non da quella sul desktop

[MaXXX eternal tiare]

Si Menatwork l'errore era quello sono riuscito ad eseguirlo come amministratore dalla sua cartella hjt admin.txt


R16 questo è otl aggiornato nuovoOTL.Txt Extras.Txt

Grazie a tutti e due.

Ps. solo per completezza di informazione (magari non c'entra niente ma cerco di darvi più informazioni possibili) tempo fa con ccleaner ebbi un errore nella pulizia "netpres regola firewall non valida" e allora installai comodo non so se c'è relazione al malware rilevato, se era già presente Immagine2.png