FakeAntiSpy e Agent.RXE

[markmoon]

Nel giro di 3 giorni ho preso queste due infezioni:
la prima pensavo di averla debellata,ma potrebbero anche essere collegate.

19/09/2010 0.18.58 Filtro HTTP file http://letyiurt.com/work/exe.php?exp=JavaROX una variante di Win32/Adware.FakeAntiSpy.Eapplicazione connessione terminata - messo in quarantena Toshiba-A200\Mark Minaccia rilevata all'accesso al Web dall'applicazione: C:\Program Files\Internet Explorer\iexplore.exe.

21/09/2010 1.31.40 Filtro HTTP file http://hjirtey.com/work/exe.php?exp=JavaROX Win32/Agent.RXE trojan horse connessione terminata - messo in quarantena Toshiba-A200\Mark Minaccia rilevata all'accesso al Web dall'applicazione: C:\Program Files\Internet Explorer\iexplore.exe.


Ho proceduto con questa procedura:
- Con Ccleaner eliminati file temporanei
- Controllo dei processi di avvio
- Controllo log con Hijackthis
- Eliminazione dei file temporanei Java tramite pannello di controllo
- Scansione Malwarebytes
- Scansione Combofix
- Scansione con Kaspersky Virus removal tool

La prima volta,3 giorni fa,è andato tutto liscio,mi ha eliminato qualcosa Malwarebytes,mentre gli altri non hanno rilevato nessuna minaccia.
Oggi all'avviso del Nod ho cercato di procedere ancora come prima,ma Malwarebytes non si avvia,neanche disinstallandolo e reinstallandolo cambiandoci nome.
Combofix non si avviava neanche lui,ma l'ho salvato sul desktop con diverso nome ed è partito.Stava facendo la scansione e mi ha avvisato che aveva trovato un rootkit e che doveva riavviare,al riavvio deve essere successo qualcosa perchè poi mi ritrovo il pc acceso ma con avviso di ripristino configurazione avvenuta per BlueScreen.
Sono a questo punto,sono messo male? mi tenta la formattazione ma se si potesse evitare...magari!

[Riverside]

Premesso che il fai da te non sempre paga (anche se si è esperti) direi di tentare un paio di soluzioni (almeno, da quel che ho capito, l'Antiviurs funziona)
Intanto disinstalla Combofix: scarica sul desktp OTC by OldTimer clicca qui per il download
doppio clic sulla icona per lanciarlo - clicca su CleanUP
quando ha terminato, riavvia il computer e riscaricalo:
Scarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, il tool che hai scaricato
e, per ora non lo eseguire.

Poi:

Scarica ed installa HitmanPro (scegli la versione adatta al tuo S.O. - 32Bit o 64Bit)
● lancia la scansione (lascia le impostazioni di default e accerta che venga attivata la licenza);
● al termine della scansione ti verrà mostrato un riepilogo: nella finestra di riepilogo, in basso a sinistra, avrai modo di salvare il Report: salvalo sul Desktop perché lo dovrai allegare

Scarica ed installa Norton Power Eraser
● lancia la scansione;
● non so se al termine della scansione verrà mostrato un riepilogo o riliasciato un log: se si, salvalo sul Desktop perché lo dovrai allegare

Per allegare i log utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.

Al termine riavvia e vediamo se la sistuazione di empasse in cui ti trovi è migliorata.

[markmoon]

mi sono perso il log di Hitman,comunque mi ha trovato due rootkit in system32/drivers e me li ha eliminati.E' preoccupante che siano finiti in quella cartella,possono avermi compromesso qualche driver?

Ora parto con Norton,Combifix lo faccio alla fine?

[markmoon]

Norton mi dice Nessun rischio trovato,questo il log: http://wikisend.com/download/612000/Inf ... 135608.xml

[markmoon]

Dopo il riavvio,ho riprovato ad installare Malwarebytes,ma non parte di nuovo,lo stesso Combofix,con le indicazioni che mi hai dato.Quando ho fatto per eseguire Combofix mi si è avviata una scansione di Hitman che mi trova ancora quel rootkit in System32/drivers.

[markmoon]

questo il log di Hitman log.xml

[Riverside]

Dopo il riavvio,ho riprovato ad installare Malwarebytes

Non mi sembra di averti suggerito la reinstallazione di Malwarebyts e ....

Quando ho fatto per eseguire Combofix .....

neppure di eseguire Combofix.
Potresti, per favore evitare il fai da te?.

Disinstalla nuovamente Combofix, lo scarichi nuovamente (rinominalo in pippo.exe mentre lo scarichi) e lo lasci li

Riesegui la scansione con HitmanPro ed allega il nuovo report;

Poi scarica ed installa SuperAntispyware Free Edition: clicca qui per il download
Una volta installato, configuralo in questo modo:
● imposta la lingua ITA
● alla richiesta di aggiornamento delle definizioni consenti l'aggiornamento
● nelle quattro finestre successive clicca su Avanti ed alla quinta su fine
● nella finestra Protezione homepage clicca sul tasto Protezione
● nella maschera principale clicca su Preferenze
● nella sezione Opzioni di Avvio togli la spunta alle prime tre voci e clicca sul tasto Ferma
● nella maschera principale clicca su tasto Scansione del Computer
● nella maschera successiva metti la spunta alle unità disco da sottoporre a scansione e, a destra, spunta la voce Fai una scansione completa
● nel caso in cui tu faccia uso di periferiche esterne (pendrive, hard disk, o altre) inseririscile
● clicca su Avanti per avviare la scansione del disco fisso e delle periferiche esterne

Al termine della scansione verrà rilasciato un log: salvalo sul Desktop ed allegalo

[markmoon]

scusami,la mia solita fretta di risolvere i problemi...
Il log di Hitman log.xml

[markmoon]

Utilizzo una Pendrive,ma non me la rileva nella scelta delle unità da scansionare,procedo ugualmente con la spunta solo su C: e la chiavetta inserita?

[Riverside]

Utilizzo una Pendrive,ma non me la rileva nella scelta delle unità da scansionare,procedo ugualmente con la spunta solo su C: e la chiavetta inserita?

Scansiona anche la pendrive, ovviamente (cosi vediamo se ha problemi pure quella).

[markmoon]

Utilizzo una Pendrive,ma non me la rileva nella scelta delle unità da scansionare,procedo ugualmente con la spunta solo su C: e la chiavetta inserita?

Scansiona anche la pendrive, ovviamente (cosi vediamo se ha problemi pure quella).

ok,ma il programma la scansiona ugualmente se è solamente inserita ma non inclusa nelle scelte dell'unità da scansionare? Come scelte mi trovo solo C: e E:Cdrom,mentre la pendrive è in F:

[Riverside]

ma il programma la scansiona ugualmente se è solamente inserita ma non inclusa nelle scelte dell'unità da scansionare?

Per ora lascia stare la pendrive, esegui la scansione del sistema ed allega, il log per favore.

[markmoon]

Superantispyware non mi ha rilasciato alcun log,quest è quanto è finito in quarantena:

[Riverside]

Per recuperare il log di Superantispyware:
● lancia Superantispyware
● nella maschera princpiale clicca su Preferenze
● apri la scheda Statistiche e Registri
● al suo interno troverai il log della scansione che hai eseguito
● posizionati sul log con il mouse per eselezionarlo e clicca sul tasto Visualizza il registro
si aprirà il log in formato txt, salvalo sul desktop ed allegalo

[markmoon]

eccolo SUPERAntiSpyware Scan Log - 09-21-2010 - 16-14-31.log

[Riverside]

Quel che temevo:

Trojan.Agent/Gen-Cryptor[Virut]
C:\TOSHIBA\EBAY\ADDTOOLBARBUTTON.EXE

Ed ora .... siamo quasi in mezzo ad una strada.

Allora riproviamo con Combofix (spero tu lo abbia rinominato come ti aveo detto (pippo.exe)

● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer

● Start
● Esegui
● nella finerstra di dialogo copia ed incolla il seguente comando (virgolette comprese): "%userprofile%\desktop\pippo.exe" /killall

(se non lo hai salvato come pippo.exe, al posto di pippo metti il nome con cui lo hai salvato, mantenendo l'estensione .exe)

● verrà lanciato ComboFix, segui le istruzioni che verranno rilasciate per eseguire la scansione
● verrà richiesta la installazione della Console di ripristino di emergenza: non la installare
● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log
● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contraio, riavvialo tu)

Note - durante la scansione:

● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● protrebbe venire rilasciato un messaggio in relazione all'antivirus in uso: prosegui ingnorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)

Se tutto andrà bene, verrà creato un log in Disco Locale C: dal nome combofix.txt: recuperalo ed allegalo

[markmoon]

ComboFix.txt

[Riverside]

Non ci siamo ancora.
Scarica Avenger: clicca qui per il download
Dopo aver scompattato l'archivio esegui avenger e nel box bianco copia/incolla il testo in rosso:

file to delete:
c:\windows\TEMP\HTT7D49.tmp 0 bytes
c:\windows\TEMP\HTT7D4A.tmp 0 bytes

metti a spunta su Automatically disable any rootkits found e clicca su execute
Il computer dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Allega il Report che verrà rilasciato e trovi in c:\avenger.

[Riverside]

Scusa il testo da copiare è questo:

files to delete:
c:\windows\TEMP\HTT7D49.tmp 0 bytes
c:\windows\TEMP\HTT7D4A.tmp 0 bytes

[markmoon]

avenger.txt