Nod32 rileva win32/Olmarik trojan Horse

**Fabio_Starhunter** · 17-12-2010, 15.21.58

Intanto grazie di vivo cuore per la pronta risposta, Vicky67.

Ho fatto tutto CREDO come mi è stato chiesto... CREDO perchè, appena fatto partire ComboFix rinominato in explorer.exe, non ho messo da nessuna parte la stringa che mi hai segnalato tu qui sopra... o meglio, io l'ho anche copia-incollata, ma non l'ho vista da nessuna parte sulla finestra blu apertasi con l'avviso dell'applicazione!

A ogni modo, eccoti allegato il report prodotto da ComboFix. Resto, come il vegliardo dell'Apocalisse, in attesa di ulteriori segni...

**vicky67** · 17-12-2010, 17.22.05

Combofix ha eliminato l'infezione.Il log ora risulta pulito.
Prova adesso a far partire malwarebytes facendo una scansione completa ed eliminando gli elementi infetti.(Se non parte va disinstallato e reinstallato).
Verifica poi se nod rileva ancora l'infezione(non dovrebbe).ciao

**Fabio_Starhunter** · 17-12-2010, 19.04.22

Sì, ora è tutto ok. Un grazie grosso come una casa a te Vicky67!!!

Non avevo mai usato in nessun modo ComboFix, e ne avevo sempre sentito parlare come di un software molto potente ma anche molto difficile da utilizzare, quasi pericoloso per la sua potenza d'impatto. Per come mi hai detto tu di usarlo, però, devo dire di averlo trovato sì molto efficace, ma molto poco complesso... ha a che fare con il processo di rinomina che mi hai fatto fare al momento del download (che ha fatto partire in una sorta di "modalità specifica" il software), oppure funziona così, "d'amblé", in qualsiasi caso?

Giusto per curiosità...

**vicky67** · 18-12-2010, 08.32.40

ciao fabio
l'infezione che avevi ti bloccava i software antimalware.Eseguendolo senza rinominarlo molto probabilmente non lo avresti potuto eseguire.Abbiamo usato un trucco per ingannare il malware.
In condizioni normali combofix può essere usato senza rinominarlo.
Riguardo alla sua complessità non sta nel fatto di eseguirlo semplicemente come è stato il tuo caso,ma nel saper leggere il suo log per poi far eseguire un eventuale script per rimuovere le infezioni che combo non è in grado di eliminare da solo.(guarda utente precedente).

Ora procedi per ripulire il sistema con:

Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "start"
se al termine della scansione richiedesse un riavvio cliccare su yes,altrimenti riavviare manualmente.

Scarica OTC by OldTimer sul desktop: (serve per eliminare correttamente Combofix)
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

Disattiva e riattiva il ripristino configurazione di sistema.

**Fabio_Starhunter** · 18-12-2010, 15.31.40

Fatto tutto, davvero grazie mille Vicky67!
E grazie anche per la spiegazione... ma quindi, in fin dei conti, ComboFix non è altro che un antivirus "pompato"?

**Balder** · 23-12-2010, 23.29.37

Buonasera a tutti, anche a me il famigerato Trojan Olmarik sta dando non pochi problemi e in aggiunta non sono nemmeno un gran esperto di informatica ...vi prego di aiutarmi anche perchè non so l'entità della situazione; appena avrò risposte provvederò ad allegare l'analisi di HijakThis, confido in voi ...

**dubo** · 24-12-2010, 01.11.16

ciao Balder procedi cosi': disattiva il controllo real time del tuo antivirus,scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe , salvalo sul desktop e disconnettiti dalla rete
Una volta scaricato il programma non devi cliccare sull'icona del programma, clicca il tasto windows(logo bandierina)+R e nello spazio bianco di esegui copia e incolla questo comando, cosi' com'e':

"%userprofile%\desktop\combofix.exe" /killall <==copia e incolla

Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt

**Balder** · 24-12-2010, 01.32.14

ciao Dubo, ho seguito tutte le istruzioni, mi sono perfino guardato la guida all'utilizzo ma il programma non parte, la vedo ardua ...

**vicky67** · 24-12-2010, 10.45.01

Elimina combofix che hai sul desktop.Riscaricalo rinominandolo prima di scaricarlo in explorer.exe.
Poi esegui le istruzioni precedenti inserendo questa stringa
"%userprofile%\desktop\explorer.exe" /killall

Poi
Scarica Rootkit Unhooker http://www.kernelmode.info/ARKs/RkU3.8.388.590.rar salvalo sul desktop ed estrailo procedendo poi alla sua installazione.Se hai avvertimenti che è un virus non ti preoccupare è un falso positivo.

* Avvialo
* clicca sul tab Report, poi clicca su Scan.
* spunta solo Drivers, Stealth code. Poi Click OK.
* aspetta che lo scan abbia finito , poi salva il report cliccando su file-save report.

Poi scarica
• Malwarebytes Anti-Malware -> http://download.cnet.com/Malwarebyte...-10804572.html
dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controllo si trova nel Tab "File di log").Il file di log va preso solamente dopo aver eliminato gli oggetti.

Allega gli eventuali report di combofix e rkunooker malwarebytes

**Balder** · 24-12-2010, 13.21.42

purtroppo ho dei problemi con l'istallazione di combofix (non mi compare la finestra che mi dice di salvarlo sul desktop, ho provato a rinominare e posizionare manualmente ma nulla, sarà la decima volta che ci provo); posso allegarti il responso di Hijak per vedere in che situazioni verte il pc e poi procedere di conseguenza ...

**Balder** · 24-12-2010, 17.13.36

Allegato 48105

**vicky67** · 24-12-2010, 17.30.37

Balder quando rispondi ad un post susseguente al tuo serviti del tasto modifica per aggiungere qualcosa.

Per eliminare l'infezione scarica(se non te lo fa eseguire rinomina il file in abc.exe)
http://support.kaspersky.com/downloa...tdsskiller.exe
Scarica TDSS killer e salvalo sul desktop.Estrai il contenuto sul desktop.Doppio click su
TDSSKILLER.exe per avviare l'applicazione e poi su start scan.
Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.
Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Se un riavvio è richiesto il report si trova in C:\folder in questa forma "TDSSKiller.[Version]_[Date]_[Time]_log.txt"

Dopo questa operazione esegui malwarebytes(le istruzioni le trovi nel post precedente) perchè il pc ha altre infezioni.

Log da allegare:tdsskiller,malwarebytes

**Balder** · 24-12-2010, 18.04.45

Allegato 48107

**Balder** · 24-12-2010, 18.20.20

Mbam alla fine è partito :-) ti allego anche il log, attendo risposte ... colgo l'occasione per augurarvi Buon Natale ed un felice Anno Nuovo ;-)

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Versione database: 5389

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

24/12/2010 19.47.09
mbam-log-2010-12-24 (19-47-09).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi esaminati: 262301
Tempo trascorso: 58 minuti, 13 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Voci infette nei dati di registro: 4
Cartelle infette: 0
File infetti: 1

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.40,93.188.160.110) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{36DC36BE-9624-422D-81D2-C3CDBFA3ED59}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.40,93.188.160.110) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{6D74CCD5-C64E-4ADD-80EE-E3C0EF0E5496}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.40,93.188.160.110) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{6D74CCD5-C64E-4ADD-80EE-E3C0EF0E5496}\DhcpNameServer (Trojan.DNSChanger) -> Bad: (93.188.164.40,93.188.160.110) Good: () -> Quarantined and deleted successfully.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

**vicky67** · 24-12-2010, 18.42.53

Già te l'ho detto quando devi aggiungere qualcosa a un post subito dopo il tuo c'è il tasto MODIFICA.

ok,l'infezione più pericolosa è stata eliminata.Ora disinstalla malwarebytes e reinstallalo.