www.MegaLab.it

[Spleen]

Salve, ho avuto un problema col pc: visitando un sito è apparsa l'icona di java in basso a destra alla barra delle applicazioni e da lì sono iniziati i disastri: innanzitutto s'era chiuso tutto improvvisamente, compreso il task manager, poi le icone del desktop diventavano icone diverse come se stesse ancora caricando e infine appariva una sfilza di errori con su scritto "Failed to save components" in merito a qualcosa in system32.
Non appena riesco ad accedere ci sono sempre gli stessi errori.
Per ora sono riuscito a fare una scansione con malwarebytes in modalità provvisoria, dove sembra che il problema non sussista, ed ha trovato due copie di questi malware:
Trojan.FakeAlert
PUM.Hijack.Startmenu
Il secondo corrispondeva ad due chiavi di registro, dovrebbero essere queste:
Windows\currentversion\explorer\advanced\start_showmycomputer
Windows\currentversion\explorer\advanced\start_ShowSearch
Le ho eliminate e riavviato, ma una volta avviato normalmente il problema si ripresenta uguale a prima.
Ora non ho a portata di mano quello che avevo segnato e non so se riuscirò a fare uno scan con Hijackthis, ma se ci riesco posterò tutto quanto prima, intanto posto questo nella speranza che possa ricordarvi qualche caso simile.

[Ale2695]

Quasi sicuramente sei stato infettato da un malware che si diffonde tramite la Java Virtual Machine, e da quel che leggo l'infezione è ben radicata.
Prima di tentare lo scan con Hijackthis, dai una bella passata con Combofix, lo scarichi, lo salvi sul desktop con un nome di fantasia (ad esempio pippo.exe), lo avvii, non installare la console di ripristino d'emergenza, lo fai lavorare, e poi posti qui il log.
Dovrebbe rimuovere un bel po' di robaccia.

[Spleen]

Tra poco provo, anche se per ora sto tentando con Ubuntu in modalità live per salvare il salvabile, però non vuole saperne di caricare una volta scelto di provarlo senza installarlo, qualche idea sul perché?
Edit: combofix lo faccio partire dalla modalità provvisoria?

[Spleen]

Non è possibile editare più di una volta?
Ad ogni modo mentre provavo a far caricare Ubuntu è uscita una schermata nera con su scritto
General error mounting filesystems.
a maintenance sheel will now be started.
Control-D will terminate this shell and reboot the system.
root@ubuntu:tilde(il simbolo)#

[farbix89]

Edit: combofix lo faccio partire dalla modalità provvisoria?

Si.

Sempre da provvisoria lancia anche la scansione di Avira,puoi fare tutto da lì (eventuale AV già installato da disinstallare temporaneamente+installazione pulita di Avira)

Maggiori istruzioni qui

Tieni anche a portata di mano i CD di scansione,forse ne avrai bisogno se l'infezione è ben radicata.

Ad ogni modo mentre provavo a far caricare Ubuntu è uscita una schermata nera con su scritto
General error mounting filesystems.
a maintenance sheel will now be started.
Control-D will terminate this shell and reboot the system.
root@ubuntu:tilde(il simbolo)#

Sembra un problema separato da quello dell'infezione,riprova con una distro "più leggera" per accedere almeno all' HDD e backuppare i dati più importanti.

[Spleen]

Sono riuscito a vedere cos'aveva trovato inizialmente Avira al momento dell'infezione:
Il file C:\Users\D\AppData\Local\Temp\pYOxfADw5qm85k.exe che avira identificava con questo: TR/Crypt.XPACK.Gen
E nella stessa cartella anche un file chiamato w32tm.exe identificato con lo stesso nome.
Ho fatto la scannerizzazione con Combofix e sembra sia riuscito a trovare qualcosa, non appena posso posto il log, ora sto facendo la scannerizzazione con Antivir Rescue System e per ora ha trovato solo questo APPL/KillApp.A, in /media/devices/sda2/HP/Bin/Endprocess.exe.vir (non dice altro), potrebbe avere a che fare con l'infezione?

[crazy.cat]

per ora ha trovato solo questo APPL/KillApp.A, in /media/devices/sda2/HP/Bin/Endprocess.exe.vir (non dice altro), potrebbe avere a che fare con l'infezione?

E' un falso positivo. Non è un virus.

[Spleen]

Sembrerebbe quasi tutto a posto adesso, però antivir mi rileva un certo EXP/Pdfka.TE nella cartella dei profili di firefox, devo preoccuparmi?

[hashcat]

Sembrerebbe quasi tutto a posto adesso, però antivir mi rileva un certo EXP/Pdfka.TE nella cartella dei profili di firefox, devo preoccuparmi?

Questa è una definizione creata da Avira il 24 novembre: probabilmente il file si trovava già lì ma non era stato rilevato. Ti consiglio vivamente di rimuovere la minaccia.
Probabilmente sono presenti tracce della passata infezione, ti consiglio di fare una Scansione Completa con Emsisoft Anti-Malware (non attivare la licenza di prova) dopo averlo aggiornato. In seguito anche una con Hitman Pro.
Al termine delle scansioni posta i relativi log.

[Spleen]

Ecco il log di Emsisoft Anti-Malware
Emsisoft Anti-Malware - Version 6.0
quarantine log

Data Origine Evento Infezione
01/12/2011 01:26:45 C:\Users\DM\Desktop\Tscript\Tscript\TScript.exe Metti in Quarantena Riskware.Client-IRC.Win32.mIRC!E2
01/12/2011 01:26:43 C:\Users\DM\Desktop\Tscript\TScript.exe Metti in Quarantena Riskware.Client-IRC.Win32.mIRC!E2
01/12/2011 01:26:42 C:\Users\DM\Desktop\Tscript\Dati\nhtmln.dll Metti in Quarantena IRC.Flood!E2
01/12/2011 01:26:41 C:\Users\DM\Desktop\Tscript\Tscript\Dati\nhtmln.dll Metti in Quarantena IRC.Flood!E2
01/12/2011 01:26:40 C:\Users\DM\AppData\Local\Mozilla\Firefox\Profiles\m4yxyrij.default\Cache\B\6A\31717d01 Metti in Quarantena Exploit.JS.Blacole!E2
01/12/2011 01:26:37 C:\Users\DM\AppData\Local\Mozilla\Firefox\Profiles\m4yxyrij.default\Cache.Trash\B\6A\31717d01 Metti in Quarantena Exploit.JS.Blacole!E2

Però le prime quattro segnalazioni mi sembrano strane, visto che si tratta di qualcosa che non è mai stato segnalato da altro.

Hitman Pro invece non ha trovato nulla.

Malauguratamente ho collegato un hard disk esterno prima che mi venisse segnalato questo malware (quello delle ultime due segnalazioni, che dovrebbe essere lo stesso che mi ha segnalato Avira), avevo fatto la scannerizzazione con combofix e mi sembrava tutto a posto, potrebbero esserci problemi con questo tipo di malware?
Ho cercato un po' in giro e sembra che sia roba da poco e che il pericolo consista nel fatto che portasse altri malware tramite java, ma siccome su questo pc ho già disinstallato java non dovrebbero esserci problemi, vero?