www.MegaLab.it

[AndrewSpeed]

Salve io ho ricevuto una email da alice che mi consigliava di collegarmi su una pagina per verificare se il mio PC era apposto riguardo il DNSChanger.
Controllando il mittente ho notato che però non era inviata da telecom bensì tramite un indirizzo ...@alice.
Adesso ho paura di essermi imbattuto, cliccando su quel link, in qualche truffa o cose del genere.
Non so se sia collegato ma a distanza di tre giorni ho beccato il virus BOO/TDss.O che ancora non sono riuscito a debellare...
Ho controllato tutti i post e usato sia MalwareBytes che TDSSKiller ma niente. Ancora è li al suo posto.
Sto scaricando Ubuntu per salvare i dati su un HD esterno perché ho letto che trasferendo i dati usando la piattaforma windows c'è il pericolo di trasferire il virus.
Cosa mi consigliate di fare. Non sono molto esperto in materia ma non vorrei perdere i file avevo cose molto importanti!
HELP!

[crazy.cat]

Controllando il mittente ho notato che però non era inviata da telecom bensì tramite un indirizzo ...@alice.Adesso ho paura di essermi imbattuto, cliccando su quel link, in qualche truffa o cose del genere.

http://www.anti-phishing.it/sicurezza-i ... 07/06/2645

Cosa hai usato per sapere che hai quel virus?
Ci fai vedere qualche log delle scansioni?

[AndrewSpeed]

la rilevato avira proprio quando il PC ha smesso di funzionare e sono iniaziate a comparire tantissime finestre di errore e una scansione S.M.A.R.T. Check dove dice che ci sono problemi di lettura nell'HD. sono scomparse tutte le icone sul desktop che è diventato nero i programmi risorse del computer anche in modalità provvisoria

[crazy.cat]

e sono iniaziate a comparire tantissime finestre di errore e una scansione S.M.A.R.T. Check dove dice che ci sono problemi di lettura nell'HD.

Questo è il comportamento di un rogue software già visto in passato.
Cominciamo ad eliminare qualche cosa, scansione del disco con questo cd http://www.MegaLab.it/7628/kaspersky-re ... -su-cd-rom, se hai problemi a prepararlo sul tuo pc vai da un amico.
Dal cd potrai anche salvarti i tuoi file importanti.

[AndrewSpeed]

ho già scansionato con malware bytes e Tdsskiller senza risolvere niente... adesso prima vorrei salvare tutti i dati con Ubuntu sul mio HD esterno (c'è possibilità di infezione dell'HD Esterno? ). l'immagine ISO di ubuntu l' ho masterizzata dal PC infetto entrando in modalità provvisoria con rete (ci saranno problemi? )
Salvati i dati provvedo alla scansione con Kaspersky Rescue Disk 10 che ho scaricato. L'immagine ISO è sempre masterizzata dal pc infetto sempre in modalità provvisoria.

[crazy.cat]

adesso prima vorrei salvare tutti i dati con Ubuntu sul mio HD esterno (c'è possibilità di infezione dell'HD Esterno? )..

Se parti da cd di boot il virus non è attivo in quel momento e quindi non ti porterai dietro niente se ti limiti a salvare documenti importanti.

Controlla nella cartella del tuo account windows (quale versione hai?) e vedi se trovi un eseguibile dal nome strano, in genere il virus si nasconde da quelle parti, oppure è nella cartella programmi con un nome numerico.

Riesci a fare una scansione con hijackthis dalla modalità provvisoria e postare il suo log?

[AndrewSpeed]

Ho in questo pc windows xp service pack 2

[AndrewSpeed]

adesso in modalità provvisoria stavo facendo una scansione con Avira settandolo come in questa guida http://www.MegaLab.it/6303/4/pc-infetto ... ntervenire

Ho notato che le varie cartelle sono scomparse non perché spostate ma perché sicuramente il virus le ha nascoste. Levando la spunta da nascosto nella cartella è comparso tutto

[hashcat]

Prova a fare una scansione completa con Malwarebytes Anti-Malware (dopo averlo aggiornato), al termine della scansione, rimuovi tutte le minacce e posta il log della scansione.

Per ripristinare i file e le cartelle nascosti dal rogue, utilizza il seguente strumento:

http://download.bleepingcomputer.com/grinler/unhide.exe

[AndrewSpeed]

già ho fatto una scansione completa con malwareBytes ma non ho risolto nulla appena entro su windows normalmente è tutto come prima: desktop nero 3000 finestre con messaggi che avvertono circa problemi all'HD e subito parte una scansione su una finestra con scritto SMART Check ... ????

[AndrewSpeed]

comunque il salvataggio dei dati per evitare sorprese sull'HD esterno mi conviene farlo con Ubuntu giusto?

[crazy.cat]

comunque il salvataggio dei dati per evitare sorprese sull'HD esterno mi conviene farlo con Ubuntu giusto?

Se ormai hai fatto il cd usa pure ubuntu per salvare, così sei sicuro.

Riesci a fare la scansione con hijackthis?

[hashcat]

comunque il salvataggio dei dati per evitare sorprese sull'HD esterno mi conviene farlo con Ubuntu giusto?

Si, però ti conviene salvare solo i file di comprovata bontà.

Se vuoi copiare tutto, ti toccherà rimuovere tutti i file potenzialmente pericolosi in base all'estensione.

ATTENZIONE:

Eseguire questa operazione solo dopo aver copiato tutto il disco in un'altra cartella, e operare sulla copia, altrimenti il sistema operativo sarà irrimediabilmente danneggiato.

Impartire da terminale i seguenti comandi:

Codice: Seleziona tutto

find /path/* -type f -name *.inf -exec rm -f ‘{}’ \;

Codice: Seleziona tutto

find /path/* -type f -name *.bat -exec rm -f ‘{}’ \;

Codice: Seleziona tutto

find /path/* -type f -name *.vbs -exec rm -f ‘{}’ \;

Codice: Seleziona tutto

find /path/* -type f -name *.lnk -exec rm -f ‘{}’ \;

Codice: Seleziona tutto

find /path/* -type f -name *.LNK -exec rm -f ‘{}’ \;

Codice: Seleziona tutto

find /path/* -type f -name *.pif -exec rm -f ‘{}’ \;

Codice: Seleziona tutto

find /path/* -type f -name *.cmd -exec rm -f ‘{}’ \;

Codice: Seleziona tutto

find /path/* -type f -name *.dos -exec rm -f ‘{}’ \;

Codice: Seleziona tutto

find /path/* -type f -name *.cpl -exec rm -f ‘{}’ \;

Codice: Seleziona tutto

find /path/* -type f -name *.CPL -exec rm -f ‘{}’ \;

Poi eseguire una scansione completa della cartella / disco (da un'altro computer) per rimuovere ulteriori minacce.

P.S.: In path devi scrivere il percorso della cartella, ad esempio, se la copia del disco la salvi sul desktop, il percorso sarà qualcosa del tipo:

Codice: Seleziona tutto

/home/nomeutente(Linux)/Scrivania/nomecartella/

[AndrewSpeed]

quello che vorrei salvare riguarda foto, documenti, appunti universitari relazioni varie musica non credo siano infetti che dite?

[AndrewSpeed]

Riesci a fare la scansione con hijackthis?

Sto aspettando che ormai finisca Avira di fare la scansione così posto il log.
Dopo faccio quella con Hijackthis

[AndrewSpeed]

la copia di tutto l'HD la posso fare su un HD esterno e poi utilizzare i comandi postati per eliminare le estensioni indesiderate? perché su questo HD non ho più spazio per fare una copia. ma se copio soltanto le mie foto file di testo documenti musica e installazioni di programmi c'è bisogno di fare questo controllo?
masterizzando direttamente su dvd in modalità provvisoria veicolo l'infezione?

[crazy.cat]

Riesci a fare la scansione con hijackthis?

Sto aspettando che ormai finisca Avira di fare la scansione così posto il log.
Dopo faccio quella con Hijackthis

La puoi fare anche insieme, non si danno fastidio.
Difficilmente avira ti troverà quel virus se non lo ha bloccato prima.

[AndrewSpeed]

allego il log di Hijackthis fatto mentre avira sta effettuando la scansione

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17.41.40, on 14/07/2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\Programmi\Avira\AntiVir Desktop\avcenter.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Avira\ANTIVI~1\avconfig.exe
C:\Programmi\Avira\AntiVir Desktop\avscan.exe
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrator\Documenti\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll
O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\Programmi\TextAloud\TAForIE.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [USBToolTip] C:\PROGRA~1\Pinnacle\SHARED~1\Programs\USBTip\USBTip.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [yQKkaLTtCFMmvy.exe] C:\Documents and Settings\All Users\Dati applicazioni\yQKkaLTtCFMmvy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmi\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programmi\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programmi\File comuni\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6615 bytes

[AndrewSpeed]

Avira ha appena finito la scansione...posso spostare tutto quello che mi dice in quarantena o dopo avrò problemi perché prima non mi dà un log da postare

[crazy.cat]

Intanto da ubuntu o dalla provvisoria elimina subito questo file
O4 - HKLM\..\Run: [yQKkaLTtCFMmvy.exe] C:\Documents and Settings\All Users\Dati applicazioni\yQKkaLTtCFMmvy.exe
Poi riavvia il pc. E' lui che ti blocca il pc.

Bisognerebbe sapere cosa ti ha trovato avira prima di dirti di rimuovere senza problemi.