Probabile virus che blocca siti antivirus

[Frank.65]

Come vedo anche io ho avuto un simile problema. Fortunatamente leggendo le varie discussioni in questo Forum ho potuto risolvere il mio problema.
In particolare mi riferisco al Blocco dell'aggiornamento degli antivirus e dei siti di antivirus creatomi dai seguenti troian: Troian.agent + Rootkit.agent + Rootkit.TDSS + Troian.TDSS.

Premetto che oltre a non riuscire ad accedere ai siti di antivirus per il relativo aggiornamento non mi partivano più sia SpybootSD e sia Malwarebytes (che tu consigliavi di scaricare per la relativa scansione del p.c.). Mi sono accorto che questi potevano andare in esecuzione solo se gli rinominavo il nome in modo diverso.
Dopo la scansione fatta con Malwarebits (aggiornato prima on-line) il risultato è stato il seguente:

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\asc3550p (Rootkit.Agent) -> Quarantined and deleted successfully.

File infetti:
C:\WINDOWS\system32\UACtypxpnjx.dll (Rootkit.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\UACwkiijmgx.dll (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\UACxejbgdvw.dll (Rootkit.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\drivers\UACoiatqdwo.sys (Rootkit.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\UACgeardfmk.log (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\UACsknomspy.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\UACtefblmyo.dll (Trojan.Agent) -> Delete on reboot.

Ho riavviato il p.c. per completare la pulizia ed ho poi lanciato SystemScan.

Dopo la predetta pulizia i collegamenti in internet nei siti di antivirus sono ripresi regolarmente a funzionare. Tutto sembra Ok però non ho idea se i log ottenuti con Malwarebits e SystemScan non abbiano rilevato qualcos'altro di anomalo?

Gentile DEIFOBE puoi dirmi come fare per postare i due log ?
mbam-log-2009-02-17 (23-12-54).txt
18_02_2009_00_32_report.zip

[Frank.65]

Scusatemi se mi sono permesso di entrare in questa discussione anche perchè mi è sembrato di aver riscontrato lo stesso problema. Sono nuovo dei forum. In ogni caso chiedo gentilmente se "DEFOIBE" od altri amministratori possono fare un controllo alle mie scansioni. Vi indico dove ho postato i miei log ottenuti con Malwarebits e poi con SystemScan.

http://freefilehosting.net/download/458hd
18_02_2009_00_32_report.txt

http://freefilehosting.net/download/458hf
mbam-log-2009-02-17 (23-12-54).txt
Ringrazio fin d'ora.

[Deifobe]

ciao, ho diviso i thread.. la prossima volta aprine uno nuovo

controllo il rapporto e ti faccio sapere.
ciao

[Deifobe]

Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\sqmnoopt02.sqm
C:\sqmdata02.sqm
C:\sqmdata01.sqm
C:\sqmnoopt01.sqm
C:\sqmdata18.sqm
C:\sqmnoopt18.sqm
C:\sqmdata19.sqm
C:\sqmnoopt19.sqm
C:\sqmdata17.sqm
C:\sqmnoopt17.sqm
C:\sqmdata16.sqm
C:\sqmnoopt16.sqm
C:\sqmnoopt15.sqm
C:\sqmdata15.sqm
C:\sqmnoopt14.sqm
C:\sqmdata14.sqm
C:\sqmnoopt13.sqm
C:\sqmdata13.sqm
C:\sqmdata12.sqm
C:\sqmnoopt12.sqm
C:\sqmdata11.sqm
C:\sqmnoopt11.sqm
C:\sqmnoopt10.sqm
C:\sqmdata10.sqm
C:\sqmnoopt03.sqm
C:\sqmdata03.sqm
C:\sqmnoopt04.sqm
C:\sqmdata04.sqm
C:\sqmnoopt05.sqm
C:\sqmdata05.sqm
C:\sqmnoopt06.sqm
C:\sqmdata06.sqm
C:\sqmnoopt07.sqm
C:\sqmdata07.sqm
C:\sqmnoopt08.sqm
C:\sqmdata08.sqm
C:\sqmnoopt09.sqm
C:\sqmdata09.sqm
C:\WINDOWS\temp\cheuyfba.TMP
C:\WINDOWS\system32\drivers\UACoiatqdwo.sys
C:\WINDOWS\system32\UACwkiijmgx.dll
C:\WINDOWS\system32\UACsknomspy.dat
C:\WINDOWS\system32\UACxejbgdvw.dll
C:\WINDOWS\system32\UACtypxpnjx.dll
C:\WINDOWS\system32\UACtefblmyo.dll
C:\WINDOWS\system32\UACgeardfmk.log
C:\WINDOWS\system32\UACgburkboy.log
C:\WINDOWS\system32\UACockbapyf.log

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\U ACd.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\U ACd.sys
HKEY_LOCAL_MACHINE\SYSTEM\currentControlSet\Servic es\UACd.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\enum\root\ legacy_UACd.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\enum\root\ legacy_UACd.sys
HKEY_LOCAL_MACHINE\SYSTEM\currentControlSet\enum\r oot\legacy_UACd.sys

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.


scarica questa Utility ed attiva solo:
14) Abilita servizio "Aggiornamenti AutomaticI" (Wuauserv & BITS)
16) Abilita servizio "Centro sicurezza PC" (Wscsvc)
7) Abilita notifiche del Centro Sicurezza Windows
12) Abilita SystemRestore


Posta un nuovo systemscan e il rapporto c:\avenger.txt

[Frank.65]

Posto di seguito il report avenger e la successiva scansione systemscan.

avenger_1234992161341_2964.txt
http://freefilehosting.net/download/458k7

18_02_2009_20_42_report.txt
http://freefilehosting.net/download/458k6

Mi sembra adesso che tutto sia apposto.

[Deifobe]

elimina C:\WINDOWS\system32\drivers\dbmbrlid.sys
non vedo altro...


Poi dovresti farmi una cortesia, ma solo se ti va:
visualizza file e cartelle nascoste

1) zippa la cartella c:\Avenger e caricala su Freefilehosting (non chiudere la pagina)

2) zippa la cartella c:\documents and settings\Frank\dati applicazioni\malwarebytes\Malwarebytes' Anti-Malware\quarantine e carica anche questo su freefilehosting.

Inviami tutte e due i link con un messaggio privato (non postarli sul forum, mi raccomando)

ciao

[Frank.65]

purtroppo avevo cancellato i file della quarentena ed anche la cartella avanger da c:\ perchè credevo che fosse un inutile duplicato.
Cmq ti ringrazio tanto per l'aiuto che mi hai dato.

[Deifobe]

nessun problema
ciao