Problemi con malware di diversa natura

[emmezeta]

Salve a tutti, mi presento qui (non so se sia necessario presentarsi in apposita sezione, in tal caso mi scuso anticipatamente) e vi pongo il problema. Un anno fa ho litigato con alcune persone di un forum (non questo fortunatamente! :-)) a tema completamente diverso), sfortunatamente aventi a disposizione alcuni soggetti molto esperti. Sta di fatto che la mia corrispondenza è stata violata. Ho sporto denuncia alla polizia postale e dato che continuo ad avere problemi, sono sul punto di integrarla con tutto il materiale raccolto in questo tempo (mail "esca" o di molestia, e altre cose non piacevoli).
Formattato e riformattato, tuttavia voglio prima verificare se i miei computer (ne ho due) hanno ancora problemi, di volta in volta ho trovato backdoor e keylogger, l' ultimo dei quali si chiamava Virut se non erro.

In particolare ho un netbook, l'ho ripristinato diverse volte (non è possibile la formattazione) ma il report di Combofix sembra sempre lo stesso. In particolare, dopo ogni scansione con Combofix non posso aprire applicazioni perchè "segnate per l'eliminazione", devo sempre riavviare.

Vi allego anche quello di HJT, convertito in TXT come da regole.

Grazie.

[FDAC]

Ciao. Il log è pulito ma Avira carica solamente i servizi all'avvio del PC, nel file di registro nella chiave Run non c'è nulla.
Il suddetto antivirus funziona regolarmente?
Ho controllato anche il log di ComboFix, e risulta questa cartella sospetta.
c:\users\****
Hai cambiato tu, e al posto del nome utente hai messo degli asterischi? Fammi sapere, ciao!

Vuoi una breve panoramica sul Virut? Eccotela
Il Virut è un virus tenace e per nulla facile da rimuovere: solo con i Removal Tool specifici, e gli Antivirus LiveCD, si puo' avere qualche possibilità.
Se proprio vuoi tentare di rimuoverlo, devi armarti di tantissima pazienza. Ma, soprattutto, il gioco deve valere la candela.

Vediamo ora, nel dettaglio, i danni che questo Malware provoca:
● infetta i files con estensione .EXE (eseguibili) e .SCR (screensaver/salvaschermo)
● crea uno o più Alternate Data Stream (flusso di dati alternativo) collegati ai files di sistema (Explorer.exe e UserInit.exe), in modo da poter riavviare l'infezione
● apre un canale IRC da cui vengono scaricati nuovi malware
● cerca i files con estensione .php, .asp, .htm, .html, .xml e inietta un codice iframe che punta a una pagina contenente del codice javascript offuscato pieno di exploit: nel caso il pc infettato sia di un Webmaster, appena carica le pagine sui propri siti web, diventa un untore inconsapevole

Esegui questa scansione, e posta il Report. Ciao!

Scarica Malwarebytes' Anti-Malware - Free Edition: Malwarebytes : Free anti-malware, anti-virus and spyware removal download
● doppio click su mbam-setup.exe per avviare il setup
● in fase di installazione, lascia la spunta alle voci b]Aggiorna Malwarebytes' Anti-Malware[/b] e Avvia Malwarebytes' Anti-Malware

Una volta eseguiti i passaggi indicati sopra:
● collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )
● verrà mostrata la schermata principale del tool: al messaggio che appare, clicca sul pulsante No
● clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione
● verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione
● attendi pazientemente il termine della scansione
● una volta terminata, clicca sul pulsante OK e Mostra Risultati per visionare il Report
● verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo
● assicurati che tutte le voci siano selezionate, e clicca sul pulsante Rimuovi selezionati, in basso a sinistra
● il log può essere visionati cliccando sul tab Log dall'interfaccia principale del programma

Nota - riguardo al programma:
● se MalwareBytes incontrasse delle difficoltà nel rimuovere alcuni file, verranno mostrate delle finestre aggiuntive: clicca sul pulsante OK ad entrambi i messaggi, e lascia procedere il programma alla disinfezione. Se MalwareBytes chiedesse di riavviare il sistema, fallo immediatamente.

Esegui un ultimo controllo con Security Check, buon lavoro.
Scarica Security Check: http://screen317.spywareinfoforum.org/SecurityCheck.exe
● salva il tool sul Desktop
● esegui il programma e premi un tasto qualsiasi
● attendi la fine della scansione
● allega il log che si aprirà automaticamente

[il pazzo]

Se il nostro amico dice di aver ripristinato piu' volte, e di ritrovarsi sempre con lo stesso inconveniente, il problema principale è vedere pure da dove lo prende sto' virus.

Voglio dire, se lui ripristina, lo fa tramite un cd di boot ed una partizione di recovery ? o un disco immagine di Acronis, Gosth ecc... ?.... nel qual caso deve controllare anche il cd di ripristino.

A meno che (ed io non lo so' perchè non sono un esperto come te FDAC) la minaccia non risieda in un'area del disco che non viene intaccata da ripristino (MBR, settori di riserva del disco fisso).

Quindi va controllato con cura (secondo me e sotto la tua egida) il disco fisso con qualche tools specifico antirootkit, e l'eventuale disco di ripristino e, tramite un cd live, anche la partizione di recovery, normalmente in fat32.

[FDAC]

Ciao Il pazzo, grazie dei complimenti ma non sono meritati. (io non mi reputo esperto, magari lo fossi!). Per questo ci sei tu a correggermi quando sbaglio

Volevo iniziare prima con una scansione con MalwareBytes, per evidenziare o meno la presenza di minacce non rilevate ed eliminate dall'ottimo ComboFix, e poi con Security Check, per appurare se l'antivirus funziona regolarmente o meno, e i programmi di terze parti ed il sistema operativo stesso siano anch'essi regolarmente aggiornati.
La scansione con TDSS Killer l'avrei suggerita dopo aver visionato i 2 logs.

Ti reputo una persona stimabile e il tuo impegno in questa sezione è ammirevole, continua cosi

@emmezeta: dopo aver eseguito la scansione con MalwareBytes, scansiona il PC con questo tool:
Scarica Kaspersky TDSS Killer: http://support.kaspersky.com/downloa...tdsskiller.exe
● posiziona il file scaricato sul Desktop
● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan

Giunti a questo punto, inizia la scansione del sistema alla ricerca di software malevolo:
● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua
● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà una di queste due opzioni:
● non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo
● è necessario riavviare il sistema: clicca su Riavvia ora
● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:
TDSSKiller.[Version]_[Date]_[Time]_log.txt

Allega i due Report, come da Regolamento, in un unico post (cosi evitiamo allungamenti di topic fastidiosi e manteniamo più in ordine il forum). Buon lavoro, a risentirci

[emmezeta]

Ciao, in attesa di scaricare i programmi, rispondo alle vostre domande. Il Virut l'ho trovato sia sul mio netbook sia sul mio PC fisso, forse l'ho preso da una pagina del sito che visitavo spesso, magari "messo al momento giusto" quando mi collegavo io (sanno la città dove abito, il mio numero di telefono, tutto: sono stato membro attivo di tale sito per 5 anni, quindi...fate voi).

Era già successo in passato di trovare altrove riferimenti a ciò che scrivevo, sembrava proprio che leggessero i miei scritti, per un buon anno e mezzo (ricevevo delle mail che probabilmente fungevano da esca, le ho raccolte tutte), poi ho trovato anche Trojan.Keypack.32.gen (o qualcosa del genere), e 10 giorni fa Virut. Potrei anche averli presi sul netbook via wireless, chi lo sa, ma non credo. Mail, non apro mai allegati, però visualizzo l'anteprima della mail.

Specifico che li ho scoperti per puro caso, dato che periodicamente usavo alternativamente MWB, Avira, ecc. e nessuno si accorgeva di nulla, si scopriva solo aprendo Combofix mentre era ancora aperto Avira, e usciva il messaggio di Combofix che mi diceva trattarsi di Virut.

Ho formattato, non si poteva fare altro, il PC fisso sembra (dico sembra) pulito, magari vi posterò qualche log anche di quello, il problema è il netbook...bei tempi quando ti davano il tuo bel dischetto per formattare, non questi sistemi di ripristino che non mi convincono (è il mio primo netbook).

In pratica essendo continuamente "sotto attacco" sto formattando spesso, raccogliendo dati, facendo prove. Probabilmente posterò ancora, data la situazione, per nulla piacevole dato il carattere di prolungato "stalking informatico" (per così dire), quindi vi chiedo di avere pazienza. Non vi intaserò il thread ogni volta, di questo potete stare sicuri. Sono apprensivo ma sereno, come disse un mio buon amico.

Grazie mille comunque :-) ah, la cartella con gli asterischi, ho messo io gli asterischi (scrupolo inutile dopo tutto quello che mi è successo! :-)) Avira funziona, ma lo disattivo mentre aziono Combofix (e mi disconnetto).

[il pazzo]

Resta il fatto che se ripristini il netbook e si ripresenta il problema è opportuno vedere da dove viene questa minaccia.

Non conosco i netbook, e manco so' se hanno una partizione riservata di recovery, una combinazione di tasti per il ripristino completo o altro, pero' FDAC, che è persona tanto modesta quanto capace, potra' risolverti il problema e mettere tutto a posto ma .......

Ma se riprendi lo stesso virus vuol dire che lo tieni conservato da qualche parte, magari su un cd di ripristino, una partizione nascosta o una bella pendrive sulla quale si è installato da tempo.

Intanto fai con scrupolo quanto ti è stato richiesto.

[emmezeta]

@ilpazzo: l'ho pensato anch'io, difatti per provare stamattina ho ripristinato di nuovo il sistema col recovery, ecco i log di MWB e TDSSKiller, ho rifatto anche Hijackthis (stranamente mi chiede sempre di eseguirlo da amministratore, anche se il mio profilo è già quello).

Apparentemente non c'è nulla, il dubbio mi viene da una chiave di registro bloccata presente nel primo log di Combofix che ho postato, e Combofix non mi dice mai "Virus: 0" ecc, che significa?.

[FDAC]

Il PC sembra essere a posto. Avira funziona correttamente? Perchè vedo solo i servizi che partono, all'avvio le voci 04 non ci sono..

Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe
● posiziona il tool sul Desktop
● termina tutti i programmi attivi, comprese le pagine Internet
● avvia il tool con un doppio click
● clicca, in basso a sinistra, sul pulsante Start
● scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi
● attendi pazientemente il termine delle operazioni
● clicca, in basso a destra, sul pulsante Exit
● una volta terminate le operazioni, chiudi il programma

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe
● posiziona il tool sul Desktop
● chiudi tutti i programmi attivi
● avvia il tool con un doppio click
● clicca sul pulsante CleanUp!
● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Abbiamo (dovremmo avere) finito. Ciao!

[bonovox767]

Ma in questo thread di cosa stiamo parlando esattamente?

Perchè mi sembra chiaro che il Pc non è infetto da alcunché, e nel caso fosse infetto da --> VIRUT <-- c'è una discussione ufficiale sul tema.

Il tuo log era pulito all'inizio ed è pulito anche ora, perciò non c'è alcuna infezione da rimuovere a quanto sembra.

[frabi]

Era già sul filo del regolamento della sezione

può essere utile sottoporre il vostro log a gente più esperta, per risolvere il problema che vi affligge, ma solo nel caso abbiate dei reali problemi sul vostro Pc, e non tanto per fare un CheckUp di controllo.

E' dall'inizio che penso di chiuderla, ho voluto essere "elastica" ma a questo punto mi pare non ci siano ulteriori dubbi.
E' da chiudere.

[FDAC]

Il titolo era: Problemi con malware di diversa natura
Non solo Virut, quindi (infatti accenna ad altri tipi di infezioni).
E, comunque, come è già stato detto, il PC risulta essere pulito. Solo Avira mi da un po' di noia; se non funziona correttamente, disinstallalo e reinstallalo, avendo cura di riavviare il sistema ad ogni passaggio. Ciao!

[bonovox767]

Scusa FDAC, ma i problemi con i malware di varia natura erano riferiti al passato, visto che a quanto pare non ve n'è traccia...
Quindi stiamo cercando di rimuovere malware di varia natura non presenti?

Se hai letto le norme della sezione sicurezza, viene chiaramente detto che la sezione è in essere per rimuovere le infezioni, con problemi reali, e non controlli periodici senza reali "sintomatologie virali"

[emmezeta]

Salve, ho letto, anzitutto grazie a tutti quelli che mi hanno aiutato.

Specifico che, è vero, il mio PC non ha mai mostrato problemi visibili, e a questo punto dovrei dire "purtroppo": ho scritto chiaramente nel primo post la natura del problema. Di certo più grave di un rallentamento o di un programma che non funziona. I virus hanno lavorato silenti al "servizio" di chi li comandava.

Inoltre, dopo un'infezione del genere, mi sembra normale chiedere se sia tutto a posto...il fatto che una persona sia pienamente attiva non significa che non possa avere dei problemi di salute.

Avrei ancora dubbi su quella chiave di registro bloccata (non riesco ad accedervi in alcun modo), se mi dite che è tutto a posto, non posso che fidarmi, e ad ogni modo se le regole non prevedono analisi di log su PC reputati sani, non posso che accettare ciò, anche se, ripeto, ho preso questi virus più volte, quindi oggi il mio computer potrebbe essere sano, domani no, chi lo sa...proprio stamattina, dopo che ho provato a sbloccare la chiave, il log Combofix mi mostrava un sito di Windows Update come "Possibile sito infetto" (iniziava per hxxp, con due X), stavo per postarlo ma poi ho letto.

Un grosso grazie a chi mi ha prestato aiuto, grazie comunque.

[FDAC]

Si Bonovox, ma potevano esserci ancora residui di varie infezioni.
Con felicità ed armonia, un saluto a tutti