MegaLab.it

Inviato: **sab gen 01, 2011 3:24 pm**

Buon Anno a tutto il forum prima di tutto,

se il buon anno si vede dal 1° ci saraà da divertirsi :)

Vi scrivo dal PC di mio cognato, da qualche settimana mi aveva segnalato qualche anomalia, deve aver visitato qualche sito infognato [acc2]

.All'avvio avira rileva e blocca questo file: "AntiVirus_System_2011.exe" che viene segnalato come malware, pero' potrei sbagliarmi, al prossimo riavvio mi armo di carta e penna. Successivamente anche un'altro file viene blocccato da avira. Successivamente si apre una schermata con un suggerimento di scaricare un antivirus... mooolto sospetto. Non ho proseguito e l'unico modo per uscire da questa finestra è killare il processo [uhm]

.

Avete qualche idea? nel frattempo riavvio e mi segno i file.
Il portatile ha win vista home edition.

Un grazie come al solito anticipato.

Massimo

Inviato: **sab gen 01, 2011 3:27 pm**

Scarica malwarebytes, lo aggiorni e fai la scansione completa. Al termine rimuovi quello che trova.

Inviato: **sab gen 01, 2011 3:37 pm**

ora provo a scaricare il file consigliato...grazie

Inviato: **sab gen 01, 2011 3:55 pm**

Posta anche il LOG [grazie]

Usa il tag MEMO:

Codice: Seleziona tutto: [MEMO]Qui va il log[/MEMO]

Inviato: **sab gen 01, 2011 6:15 pm**

Ok dopo la scansione veloce le cose sembrano essersi sitemate, comunque ora sto facendo anche la scansione completa.
Questo il log della veloce :) Grazie ragazzi!!!

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 5435

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999

01/01/2011 15.58.06
mbam-log-2011-01-01 (15-58-06).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 153689
Tempo trascorso: 5 minuti, 38 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 2
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 3

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mscj.exe (Backdoor.Bot) -> Value: mscj.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nq6svgurwdb0 (Trojan.FakeAlert) -> Value: nq6svgurwdb0 -> Quarantined and deleted successfully.

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\Users\pc\AppData\Roaming\95306\mscj.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\pc\AppData\Roaming\95306\bbzzkzz17.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\pc\AppData\Roaming\microsoft\Windows\start menu\Programs\security shield.lnk (Rogue.SecurityShield) -> Quarantined and deleted successfully.

Inviato: **sab gen 01, 2011 6:41 pm**

MMartin ha scritto:Ok dopo la scansione veloce le cose sembrano essersi sitemate, comunque ora sto facendo anche la scansione completa.
Questo il log della veloce :) Grazie ragazzi!!!

Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Versione database: 5435

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999

01/01/2011 15.58.06
mbam-log-2011-01-01 (15-58-06).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 153689
Tempo trascorso: 5 minuti, 38 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 2
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 3

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mscj.exe (Backdoor.Bot) -> Value: mscj.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nq6svgurwdb0 (Trojan.FakeAlert) -> Value: nq6svgurwdb0 -> Quarantined and deleted successfully.

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\Users\pc\AppData\Roaming\95306\mscj.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\pc\AppData\Roaming\95306\bbzzkzz17.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\pc\AppData\Roaming\microsoft\Windows\start menu\Programs\security shield.lnk (Rogue.SecurityShield) -> Quarantined and deleted successfully.

Comunissimo fake antispyware... Poi postaci anche il log della completa

Inviato: **sab gen 01, 2011 6:53 pm**

Ho già avuto anch'io questo problema per ben 2 volte. Non ti dico il casino addirittura non mi faceva aprire più nessun programma di pulizia virus. Poi fortunatamente sono riuscito ad aprire malwarebyte e pian piano è stato possibile eliminare qualcosa ma non tutto. Comunque alla fine si trattava di un programma di antivirus che mi volevano far acquistare del nome Security Shield. Ti consiglio comunque di fare altri controlli con altri programmi perché il primo non era riuscito ad eliminarli tutti. Prova con Spy bot, Superantispyware e per ultimo con DRWEB. L'ultimo è efficacissimo provato da me e da altri rimarrai sorpreso. Comunque il virus dovrebbe trattarsi di un malware che stà girando in rete da circa qualche settimana, dovrebbe chiamarsi Win32/Alureon.h,seguito dai suoi compagni, rootkit, backdoor ed altri adware, ciao, spero di esserti stato d'aiuto. [applauso+]

Inviato: **sab gen 01, 2011 8:44 pm**

Risultato scansione completa, trovati altri 4 rospetti.

Secondo voi posso fermarmi qui o seguo i consigli di Roberto?

Aggiungo che le scansioni non son state fatte in mod provvisoria... forse dovrei rifarle?

Ciao e grazie a tutti.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 5435

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999

01/01/2011 19.49.46
mbam-log-2011-01-01 (19-49-45).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 369239
Tempo trascorso: 1 ore, 45 minuti, 48 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 3

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntiVirus System 2011 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\Users\pc\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\14RYFDAM\loaders_yyy2010123120[1].exe (Trojan.Vilsel) -> Quarantined and deleted successfully.
c:\Users\pc\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\DQ9MN0GF\exe55[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\pc\AppData\Roaming\antivirus system 2011\securityhelper.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Inviato: **sab gen 01, 2011 9:28 pm**

Mah... per sicurezza fai una scansione con Hijackthis, così controlliamo se c'è ancora qualcosa

Inviato: **sab gen 01, 2011 9:32 pm**

Martin non dimenticarti di DRWEB,ciao.

Inviato: **sab gen 01, 2011 9:35 pm**

Cominciamo con HijackThis [std]

Inviato: **sab gen 01, 2011 10:16 pm**

Eccoci...
com'e'?

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22.16.28, on 01/01/2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18999)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
F:\HijackThis.exe
C:\Windows\system32\notepad.exe
C:\Users\pc\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.corriere.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-834544070-3691212993-2612881202-1001\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Luca')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia immagine alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Invia pagina alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\aestsrv.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: Recovery Service for Windows - Unknown owner - C:\Windows\SMINST\BLService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\STacSV.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 8670 bytes

Inviato: **sab gen 01, 2011 11:28 pm**

Il log sembra pulito, dopo la scansione con MBAM hai notato miglioramenti o la situazione è rimasta la stessa?

Roberto72 ha scritto:Comunque il virus dovrebbe trattarsi di un malware che stà girando in rete da circa qualche settimana, dovrebbe chiamarsi Win32/Alureon.h,seguito dai suoi compagni, rootkit, backdoor ed altri adware

Se si dovesse trattare di questo meglio eseguire un controllo con drweb, anche se ci vorrà del tempo. Ad ogni modo, Alureon.h è a tutti gli effetti un rootkit, casomai il pc è costretto ad ospitarlo vediamo come eliminarlo definitivamente. Prima però sarà meglio verificare, ma prima ancora di andare a stanare presunte infezioni, è sempre meglio capire se si registrano anomalie.

Inviato: **sab gen 01, 2011 11:37 pm**

come ho scritto sopra dopo la scans veloce di MBAM gia' sembra tutto normale!

Inviato: **sab gen 01, 2011 11:45 pm**

questa puoi cancellarla
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
per il resto log pulito

Inviato: **dom gen 02, 2011 12:34 am**

Se anche gli avvisi dell'AV sono rientrati, puoi stare tranquillo. [std]

Ancora auguri di buon anno [brindisi]

Inviato: **dom gen 02, 2011 12:42 am**

come sempre MITICI!!!

Grazie ancora e buon anno allora :)

Inviato: **dom gen 02, 2011 3:36 pm**

MMartin ha scritto:[8D]
come sempre MITICI!!!

Grazie ancora e buon anno allora :)

Se ne hai voglia potresti fare un controllo aggiuntivo con Hitman pro:

http://dl.surfright.nl/HitmanPro35.exe

MegaLab.it

AntiVirus_System_2011.exe

AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe

Re: AntiVirus_System_2011.exe