PDA

Visualizza la versione completa : Virus in cartella Windows\installer


 
actarus777
19-09-2012, 12:24
Ciao a tutti,

è da qualche giorno che il mio antivirus AVIRA mi segnala la presenzza di virus (TR/ATRAPS.Gen2 - TR/Sirefef.W.16896) che vengono spostati in quarantena e cancellati, per poi ricrearsi nella stessa cartella dieci minuti dopo, in continuazione.
Cartella:
C:\Windows\Installer\{8b...

il software Avira è aggiornato alla versione 12.0
il pc è Windows 7 Home Premium 64bit.

Mi potete aiutare per cortesia a ripulire il pc?
Scusate se ho tralasciato qualche informazione ma sono nuovo del forum.

Grazie e ciao.
A.

P.S.: ho già visto dei post di altri utenti con problemi simili, ma ho anche letto che la politica del forum impedisce di inserirsi su altre discussioni mentre indica di aprire nuove discussioni ed attendere aiuto.

menatwork
19-09-2012, 13:15
ciao e benvenuto actarus777 il metodo piu' rapido per togliere quell'infezione e' combofix

scaricalo da qui (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) e mettilo sul desktop

alla richiesta se vuoi installare la recovery console clicca su NO

esegui ComboFix.exe

segui le instruzioni

finita la scansione portati in C:\ e allega nella tua prossima risposta, il contenuto del file di testo Combofix.txt

come usare correttamente combofix (http://www.bleepingcomputer.com/combofix/it/come-usare-combofix)

actarus777
19-09-2012, 14:22
Non mi fa allegare un file ".txt" e se lo copio in un messaggio quest'ultimo risulta troppo lungo. Come posso fare?

actarus777
19-09-2012, 14:25
Ciao menatwork e grazie per la veloce risposta.
Ho eseguito combofix, ma non mi ha richiesto alcunché riguardo la recovery console.
Verificherò nelle prossime ore se il problema è stato risolto.
Appena mi farai sapere come, ti allegherò il file richiestomi.
Mentre scrivo Avira mi ha trovato un file sospetto nella cartella "c:\qoobox\quarantine\...", che suppongo sia la cartella dove combofix mette i file sospetti. Alla fine di tutto dovrò cancellare quella cartella?
Grazie ancora, attendo ulteirori istruzioni e ti farò sapere fra poco se il problema si ripresenta o no.
A.
P.S.: il fatto che ogni tanto, al riavvio, mi sparisca l'icona del volume può essere legata a questo virus? Perché al riavvio fatto da combofix l'icona del colume c'era, ma combofix aveva chiuso tutte le altre icone, così ho riavviato io e l'icona del volume è sparita (come già successo altre volte). Per risolvere io cancello un paio di voci del registro, chiudo explorer.exe e lo riavvio, come segnalato su una pagina web, e la cosa funziona. Ma, questi virus possono esserne la causa?

menatwork
19-09-2012, 16:54
il log caricalo qui => http://www.freefilehosting.net/

dovro' controllarlo per vedere se c'e' ancora qualcosa da eliminare , per le altre tue domande ti rispondero' dopo, vediamo prima di risolvere il problema

actarus777
19-09-2012, 18:48
OK, dovrei essere riuscito a caricarlo, ecco il link:

http://www.freefilehosting.net/combofix_15

Grazie ancora
A.

menatwork
19-09-2012, 19:57
devi farmi queste scansioni , le prime due durano pochissimo

scarica questo tool (http://anywhere.webrootcloudav.com/antizeroaccess.exe) digita la lettera Y e dai ok, sul desktop dovresti avere un log che dovrai postare insieme agli altri

fai una scansione con TDSSKiller (http://support.kaspersky.com/viruses/solutions?qid=208280684)
Estrai il contenuto sul desktop.
Assicurati che TDSSKiller.exe sia sul desktop.

Start > Esegui > copia/incolla il seguente comando virgolette comprese e dai OK.

"%userprofile%\Desktop\TDSSKiller.exe"

Clicca su Start Scan.
Se c’è un’infezione, l'azione di default sarà cure. Clicca su continua.
Se c’è il sospetto di un’infezione, l'azione di default sarà skip. Clicca su continua.
Se viene richiesto il riavvio, accetta.
Il rapporto si troverà in C:, sotto queste sembianze: TDSSKiller.[Version]_[Date]_[Time]_log.txt
Se non è stato richiesto il riavvio, chiudi e clicca su report. Salva il contenuto in un file di testo e allegalo

scarica e installa malwarebytes (http://www.malwarebytes.org/)
=> Aggiornalo e' molto importante clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto .

actarus777
19-09-2012, 22:45
Non ho potuto eseguire Antizeroaccess perché funziona solo su SO 32 bit ed io ho installato W7 64 bit.
Di seguito i log degli altri 2 tools che mi hai detto di usare:

http://www.freefilehosting.net/logs_11

Per TDSSKiller ho 2 log e non so perché. Li ho postati entrambi.
Malwarebytes l'avevo già fatto girare prima che tu me lo dicessi (con la scansione semplice) e mi ha beccato delle "piattole" che ho cancellato. Quando ho fatto la scansione completa, come mi hai detto tu, mi ha trovato solo delle foto con estensione errata, ma non le ho cancellate in quanto è stato un mio errore (sono file recuperati dopo una errata cancellazione ed ho sbagliato estensione: sono mjpg e non jpg).
Comunque il problema sono ore che non si ripete più: incrociando le dita dovremmo averlo eliminato.
Per il momento ti ringrazio di nuovo, aspetto tue nuove e ti saluto.
A.

menatwork
19-09-2012, 23:19
Malwarebytes l'avevo già fatto girare prima che tu me lo dicessi (con la scansione semplice) e mi ha beccato delle "piattole" che ho cancellato.

ma come io ti faccio fare la scansione anche con mbam che riconosce il Rootkit zer0Access e tu me la chiami piattola :D

facciamo un controllo in piu' pe r rimuovere i rimasugli dell'infezione

Scarica OTL (http://oldtimer.geekstogo.com/OTL.exe) e salvalo sul desktop

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta su minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend,

actarus777
20-09-2012, 00:46
Sì sì piattola è troppo bello! :zizi:
Domani pomeriggio faccio la scansione che mi hai detto e posto i risultati. Su "wikisend"? Cos'è? Non è il solito posto dove li carico?
E, non fa nulla che non sono riuscito a fare la scansione col tool a 32 bit?
A domani.
A.

Loading