Ecco un altro trojan/dialer...

[marcociccone]

Ciao a tutti... mi sono preso un altro trojan (anzi, a dire il vero il "genio" è stato mio papà che ha aperto una email che il filtro antispam di gmail a quanto pare non è riuscito a rimuovere).

Ecco i sintomi:

Avira Antivir ha trovato i seguenti trojan/dialer: Dialer.ann.2 e Vundo.gen (ANCORA!!!!)

Sul desktop ci sono le icone di questi programmi: Error Cleaner, Privacy Protector, Spyware&Malaware Protector.

Sulla barra delle applicazioni c'è un cerchio rosso con una X bianca che lampeggia segnalando un fantomatico virus e mi consiglia di scaricare uno spyware.

Mi si apre internet explorer (che non uso cmq) direttamente su questa pagina: hxxp://www.online-spy-scanner.com/l4...ml?ref_id=2052

Sempre sulla barra delle applicazioni, subito dopo l'ora c'è scritto: VIRUS ALERT!

Task Manager è disabilitato dall'amministratore del sistema O.o che poi sarei io...


Attendo il vostro aiuto =(


P.S.
Ora sto scansionando con Avira e sto mettendo tutto ciò che trova in quarantena...

[amvinfe]

Ciao,
finita la scansione con AntivirPe scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Vai su http://www.freefilehosting.net carica il file con estensione .zip e scrivi, nella tua prossima replica l'URL per poterlo scaricare.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così

posta anche il risultato della scansione fatta con l'antivirus

grazie.

PS
se non riuscirai a fare tutto entro questa sera e a postare i risultati, io non potrò vederli se non prima di domani in serata.
Il tuo problema verrà comunque seguito.

Ciao

[marcociccone]

Ok... intanto è appena scomparsa la barra delle applicazioni ed è riapparsa... in ogni caso non riavvierò il pc stasera, perché se sparisce di nuovo la barra, senza task manager sarà dura...

[marcociccone]

Oltre a non avere task manager ho l'elenco delle applicazioni dal menù start praticamente vuoto. Ho scaricato SystemScan in documenti, ma non so come recuperarlo visto che il link "Documenti" dal menù start non c'è pù.


edit: ci sono arrivato dal Cestino. -.-
Dopo questo giro passo ad Ubuntu, giuro.

[marcociccone]

Ecco il report: http://www.freefilehosting.net/download/3j029

[amvinfe]

Non connesso e con l'antivirus disattivato


Apri SystemScan>Clicca su "Removal Script".
Allinterno del box bianco copia ed incolla i valori riportati qui sotto:

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad | qegbdmwf

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{D01A8B68-D46E-42C1-B967-9043543B6E0D}

Files to delete:
C:\WINDOWS\qegbdmwf.dll
C:\WINDOWS\gfetqaxsdtf.dll
C:\WINDOWS\pntqkflv.dll
C:\WINDOWS\ewgf.exe
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\nse17.tmp\kkrip feoc.exe
C:\WINDOWS\tovafrnm.exe
C:\WINDOWS\gxvpsafm.dll
C:\WINDOWS\system32\asc94.dll
C:\WINDOWS\system32\ks94.dll
C:\WINDOWS\temp\_.exe
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\vista_sp1.exe.b at
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\media.php.bat
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\bindsrv2.exe.ba t
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\atmadm2.exe.bat
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\wxb2ifa-1t.dat
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\desktop_backgro und.zip

ora clicca su "Proceed with removal" e poi su OK.

Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt) ed uno nuovo di SystemScan, grazie.
--

[marcociccone]

C'è un "problemino"... SystemScan non ha eseguito lo script, sono usciti un paio di errori e dopo che ho riavviato all'apertura di SystemScan c'è scritto (in basso in rosso): "Systemscan was used without success to run a removal script. Please try again". Inoltre, se apro risorse del computer, non trovo "C:\"!!! Vedo solo le due cartelle dei "Documenti", il lettore dei floppy disk (A e il masterizzatore DVD (E... non so come andare a controllare in C...

Faccio un'altra scansione con SystemScan?

[Deifobe]

Originariamente inviato da marcociccone
"Systemscan was used without success to run a removal script. Please try again ".

Riprova ad eseguirlo
Se non dovesse andare, rieseguilo ancora una volta ma inserisci solo la parte "files to delete:" (poi eseguirai il resto)

[marcociccone]

Ci sono riuscito!

Il log di avenger è questo:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\igocmokk

*******************

Script file located at: \??\C:\nuvqntej.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\qegbdmwf.dll deleted successfully.
File C:\WINDOWS\gfetqaxsdtf.dll deleted successfully.
File C:\WINDOWS\pntqkflv.dll deleted successfully.
File C:\WINDOWS\ewgf.exe deleted successfully.


File C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\nse17.tmp\kkrip feoc.exe not found!
Deletion of file C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\nse17.tmp\kkrip feoc.exe failed!

Could not process line:
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\nse17.tmp\kkrip feoc.exe
Status: 0xc0000034

File C:\WINDOWS\tovafrnm.exe deleted successfully.
File C:\WINDOWS\gxvpsafm.dll deleted successfully.
File C:\WINDOWS\system32\asc94.dll deleted successfully.
File C:\WINDOWS\system32\ks94.dll deleted successfully.
File C:\WINDOWS\temp\_.exe deleted successfully.
File C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\vista_sp1.exe.b at deleted successfully.
File C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\media.php.bat deleted successfully.
File C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\bindsrv2.exe.ba t deleted successfully.
File C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\atmadm2.exe.bat deleted successfully.
File C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\wxb2ifa-1t.dat deleted successfully.


File C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\desktop_backgro und.zip not found!
Deletion of file C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\desktop_backgro und.zip failed!

Could not process line:
C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\desktop_backgro und.zip
Status: 0xc0000034

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad|qegbdmwf deleted successfully.
Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{D01A8B68-D46E-42C1-B967-9043543B6E0D} deleted successfully.
Program C:\Documents and Settings\Proprietario\Documenti\Downloads\sys7712. exe successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

Il secondo log di Systemscan è questo: http://www.freefilehosting.net/download/3j0d7

[amvinfe]

usando la medesima procedura elimina

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{2FF811E6-8925-4084-A649-C159955E67E8}

Files to delete:
C:\WINDOWS\system32\asc94.dll

riavvia ed esegui una scansione con l'antivirus aggiornato.

Verifica se il problema è ancora presente.

PS
scusa per il ritardo nella risposta.