Nod32 rileva win32/Olmarik trojan Horse

[vicky67]

Balder capisco che sei poco esperto ma commetti errori a ripetizione.
I log non si incollano ma si allegano.
Devi servirti del tasto MODIFICA come hai fatto solo quando devi aggiungere qualcosa a un post immediatamente dopo il tuo e non quando ce n'è un altro di mezzo.

Comunque bene.Abbiamo eliminato anche il DNSchanger come ti avevo precedentemente detto.
Ora per ultima cosa voglio verificare che non ti abbia infettato anche il router e poi siamo a posto.
Esegui nuovamente hijackthis e allega il log.

[Balder]

Allegato 48117

[vicky67]

ciao Balder
Il pc è ora pulito.
Abbiamo eliminato 2 tra le più brutte infezioni in circolazione,il tdss rootkit e il DNSchanger che a volte va ad infettare anche il router.Per fortuna è rimasto ancorato al sistema,altrimenti avremmo dovuto fare il reset del router.

Per terminare le operazioni di pulizia puoi disinstallare Rootkit Unhooker e pulire i file temporanei con TFC.
Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "start"
se al termine della scansione richiedesse un riavvio cliccare su yes,altrimenti riavviare manualmente.

Aggiorna il sistema al service pack 3 e disattiva e riattiva il ripristino configurazione di sistema Come disattivare e attivare Ripristino configurazione di sistema in Windows XP
Dopo queste operazioni il pc è a posto.Ciao e auguri.

[Balder]

Grazie, ONORE A VOI !

[crimamma]

ciao vicky. grazie mille per la risp rapida.ti allego i due file di combofix e malwarebyte.spero tu mi possa aiutare!!!!grazie

[vicky67]

ciao crimamma

Scarica TDSS killer e salvalo sul desktop.Estrai il contenuto sul desktop.Doppio click su
TDSSKILLER.exe per avviare l'applicazione e poi su start scan.
Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.
Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Se un riavvio è richiesto il report si trova in C:\folder in questa forma "TDSSKiller.[Version]_[Date]_[Time]_log.txt"


Con questo tool il tuo problema dovrebbe risolversi.
Fai una verifica e allega il log di TDSSkiller.

[crimamma]

a

[crimamma]

x vicky
grazie mille per l aiuto, ora dovrebbe esser tutto risolto.ti allego il log di tdss.avrei ancora una domanda:se disinstallo combofix e tdsskiller succede qualcosa?nn mi si ripresentano gli stessi problemi vero?grazie mille

[vicky67]

ok crimamma
l'infezione è stata rimossa.
I tool vanno eliminati e di sicuro l'infezione non tornerà per averli eliminati.
Cancella Tdsskiller dal desktop ed esegui queste ultime operazioni

Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "start"
se al termine della scansione richiedesse un riavvio cliccare su yes,altrimenti riavviare manualmente.


Scarica OTC by OldTimer sul desktop: (serve per eliminare correttamente Combofix)
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

Disattiva e riattiva il ripristino configurazione di sistema.

[crimamma]

grazie fatto tutto, però ora ho un altro problema, internet ora va mooolto a rilento e nod32 nn riesce a finire la scansione del pc,x es impiega 9 ore per arrivare al 40% dl scansione. cosa può essere?ho sbagliato qlc?(nn ho ancora disinstallato i programmi come malware combofix e tfc)grazie

[vicky67]

L'infezione del topic è stata risolta.Continuando qui andremmo fuori tema per il problema della lentezza di internet explorer.

Se il problema riguarda la lentezza di internet explorer dovresti aprire una nuova discussione,per esempio qui o qui ed allegare un log di hijackthis e provare un browser alternativo,tipo firefox, per vedere se la causa del rallentamento è imputabile al solo internet explorer se usi solo quello.

Per gli altri dubbi che hai
se hai usato OTC combofix è stato disinstallato,malwarebyte puoi tenerlo installato per scansioni periodiche,TFC non ha bisogno di installazione quindi se vuoi puoi tenerlo,altrimenti cestinalo semplicemente.
Se il problema della lentezza è relativa solo a nod prova a disinstallarlo e reinstallarlo.

[luciano2011]

ciao
Il mio antivirus (nod32) ha trovato che la memoria operativa e infetta dal Olmarik trojan. Ho seguito le istruzioni trovate nel forum, fatta la scansione con Hijack e questo e il risultato. Cosa devo fare? Grazie

[bonovox767]

Scarica Combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Scarica e salva Combofix sul desktop e (con abilitata la --> Visualizzazione delle estensioni conosciute <--) rinominalo in abc.exe
• Chiudi tutte le finestre e programmi in esecuzione.
• Disconnetti dalla rete.
• Chiudi o disabilita le protezioni in tempo reale di Antivirus, Antispyware e Firewall.
• Clicca sulla tastiera il Tasto Windows (quello con la bandierina) più il tasto R
• Nella finestra che si apre incolla o digitate la seguente stringa:
  "%userprofile%\desktop\abc.exe" /killall
• Dai Ok, e rispondi NO alla domanda eventuale di installazione della consolle di ripristino.
• Non fare assolutamente nulla durante la scansione, che può durare anche diversi minuti.

A scansione ultimata il Pc si riavvìerà per completare la rimozione, e verrà creato un report, che allegherai nel forum per interpretarlo, come indicato --> QUI <--

[utbemf]

Salve a tutti... dopo tre giorni di lotta
mi rimetto alla vostra preparazione per cercare di eliminare una qualche bestia che mi tiene sotto scacco...

Tutto inizia 3 giorni fa quando, mentre scarivavo degli archivi con jdownloader, ad un certo punto Nod32 mi dà Allarme per possibile variante di Olmarik...

da quel momento nei secondi successivi (log di Nod32) mi spuntano fuori altri allarmi, Kryptyk primo tra tutti...

cancello di corsa gli archivi in questione...e "mi cullo" del fatto che Nod32 avrebbe "risolto" il tutto...

Il giorno dopo accendo il pc...e a parte il rallentamento... i browsers non navigano... Chrome dice "le pagine non rispondono" ma non carica nulla, firefox da errore e si chiude.... IE singhiozza ma poi si chiude...

Avvio scansione di NOD, mi trova quello che vedete sul Log in allegato, lancio hijackthis e fixo qualcosina...
che al riavvio successivo mi consente di navigare con IE... scarico combofix e dopo diversi tentativi (si blocca più volte costringendomi a riavviare) parte (allego LOG) al riavvio la situazione è molto migliorata....ora navigo con IE e Firefox ma non con Chrome.... altra "cosuccia"... all'avvio, prima ancora del suono di windows si apre la tipica finestrella di IE (ma non IE) che mi avvisa che "si sta accedendo ad una connessione protetta...continuare??" la cosa mi fa pensare a qualche bestiaccia che cerca di collegarsi con l'esterno, o a qualche processo che è stato settato per partire in automatico...

scarico e avvio malwarebytes...trova qualcosa nella cartella del client di IRC..che per altro è li da anni....non credo sia nulla di rilevante...

ma non risolvo....provo con la disintallazione/riavvio/installazione di chrome ma nada...

alla fine...i sintomi persistenti sono
1) sta finestra di avviso di IE ...quella della connessione protetta, che parte con IE chiuso...
2) Chrome che continua a non volerne sapere....
4) in firefox si aprono nuove pagine ma tutte recanti homepage di google
3) la presenza di processi nel taskmanager che normalmente non ho mai visto...

da profano allego tutti i log,
vi ringrazio in anticipo per la pazienza e il supporto,
e soprattutto mi scuso per la lunghezza della spiegazione, ma volevo circostanziare bene per potervi facilitare il compito! grazie!

-------------aggiornamento h 22.59----------------

mentre lavoravo al pc si è rifatto vivo kryptik... si è aperta una finestrella di cmd... ma molto rapidamente Nod32 l'ha chiusa segnalandomi che ha bloccato kryptik

"30/01/2011 5.12.31 Protezione file system in tempo reale file C:\System Volume Information\_restore{C624FC52-D7C1-4924-9915-2AD1CAB392DB}\RP406\A0152191.exe una variante di Win32/Kryptik.KDG trojan horse Risolto tramite eliminazione - messo in quarantena NT AUTHORITY\SYSTEM Si è verificato un evento in un file modificato dall'applicazione: C:\WINDOWS\system32\svchost.exe."

1) chiedo scusa se ho sbagliato a postare...ma essendo una infezione "multivirale" non sapevo dove metterla...
2) Olmarik...è stato un errore di battitura nel titolo....infatti nel post ho scritto bene....scusate ancora...

grazie

[bonovox767]

DISCUSSIONI UNITE

La prossima volta usa prima il comando cerca del forum.