navigazione parzialmente interdetta - antivirus in difficoltà - HJT non parte

[ganegabi]

Ciao a tutti,
ammetto di aver trascurato un po' l'aggiornamento dell'antivirus negli ultimi mesi, ma sono già pentita e prometto che non lo farò più... :-(

Problemi riscontrati: - siti web redirezionati su altra pagine
- impossibilità di riaggiornare antivirus
- impossibilità di accedere a siti web di antivirus (ad esempio per fare la scansione online)
- strano comportamento di avg: pochi secondi dopo aver fatto partire la scansione con avg free 8.0 (quindi durante la scansione dei settori di avvio) il sistema operativo Windows XP mi segnala che si è verificato un errore e l'applicazione avgwdsvc.exe verrà chiusa. La scansione procede ma avg segnala che "la protezione non è attiva", dopo poco riappare invece la scritta "Protezione garantita - Tutte le funzionalità di protezione funzionano correttamente e sono aggiornate"
- dulcis in fundo.. facendo doppio click sul file HJTInstall.exe per usare Hijackthis non parte niente (qualche secondo di puntatore trasformato in clessidra e poi niente)

Operazioni già effettuate per tentare di risolvere il problema:
- Ho disabilitato il ripristino di sistema
- Pulizia del disco con CClenear
- Aggiornamento da directory di AVG Free 8.0
- Scansione (in modalità sia normale che provvisoria) con AVG, Malwarebytes' Anti-Malware e Spybott ... rilevo sempre il Trojan TDSS e avg una volta ha trovato il virus Win32/Heur.
- Ho provato anche Stinger ma non ha trovato niente
- Ho provato ad installare HijackThis per postarvi il log ma non parte

Grazie anticipatamente a chi tenterà di tirarmi fuori da questo grattacapo dopo giorni che mi ci arrovello sopra senza sosta...

[Deifobe]

ciao,
scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[ganegabi]

Grazie di esistere!! ...anche di domenica in periodo festivo :-o :-)

Ecco il rapporto di SystemScan:
http://freefilehosting.net/download/43hm5

[Deifobe]

ok... analizza su Virustotal c:\programmi\google\googletoolbar1.dll e posta il link dell'analisi..


Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\WINDOWS\system32\drivers\TDSSxeou.sys
C:\DOCUME~1\MARTIN~1\IMPOST~1\Temp\xx9
C:\DOCUME~1\MARTIN~1\IMPOST~1\Temp\xx11
C:\DOCUME~1\MARTIN~1\IMPOST~1\Temp\xx8
C:\DOCUME~1\MARTIN~1\IMPOST~1\Temp\xx7
C:\DOCUME~1\MARTIN~1\IMPOST~1\Temp\xx10
C:\DOCUME~1\MARTIN~1\IMPOST~1\Temp\xx5
C:\DOCUME~1\MARTIN~1\IMPOST~1\Temp\xx2
C:\DOCUME~1\MARTIN~1\IMPOST~1\Temp\xx3
C:\DOCUME~1\MARTIN~1\IMPOST~1\Temp\xx4
C:\DOCUME~1\MARTIN~1\IMPOST~1\Temp\xx6

registry keys to delete:
HKLM\system\currentcontrolset\services\TDSSserv.sy s
HKLM\system\controlset001\services\TDSSserv.sys
HKLM\system\controlset002\services\TDSSserv.sys

Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc si riavvierà.

Posta un nuovo systemscan

[ganegabi]

Al sito di virustal il computer non riesce ad accedere. Se non è una cosa pericolosa posso trasferire il file c:\programmi\google\googletoolbar1.dll su una chiavetta usb e analizzarlo da un altro computer.

Ho eseguito Avenger.
Al riavvio AVG mi ha segnalato l'infezione di un Trojan horse Downloader.Agent.APNF che ho spostato in quarantena.
Questo è il report dell'ultimo SystemScan:
http://freefilehosting.net/download/43i2g

[Deifobe]

no, non serve. asp che rimuoviamo il resto..

[Deifobe]

ripeti avenger:

files to delete:
C:\DOCUME~1\MARTIN~1\IMPOST~1\Temp\TDSS2e2b.tmp
C:\DOCUME~1\MARTIN~1\IMPOST~1\Temp\TDSS2e5a.tmp
C:\WINDOWS\system32\TDSSqqon.dll
C:\WINDOWS\system32\TDSSwrhd.log
C:\WINDOWS\system32\TDSSravu.dll
C:\WINDOWS\system32\TDSSirxy.dll
C:\WINDOWS\system32\TDSSktao.dll
C:\WINDOWS\system32\TDSSwupe.dat
C:\WINDOWS\temp\TDSS6bb0.tmp
C:\WINDOWS\temp\TDSS623a.tmp
C:\WINDOWS\temp\TDSS5e33.tmp
C:\WINDOWS\temp\TDSS59be.tmp
C:\WINDOWS\temp\TDSS554a.tmp
C:\WINDOWS\temp\TDSS4ea3.tmp
C:\WINDOWS\temp\TDSSef38.tmp
C:\WINDOWS\temp\TDSSe5e1.tmp
C:\WINDOWS\temp\TDSSd9cc.tmp
C:\WINDOWS\temp\TDSSd48c.tmp
C:\WINDOWS\temp\TDSScec0.tmp
C:\WINDOWS\temp\TDSS7267.tmp

per il resto il pc sembra pulito.
vedi se dopo riesci ad accedere ed analizzare quel file..


Poi dovresti farmi una cortesia, se ti va:
zippa la cartella c:\Avenger e caricala su Freefilehosting

Inviami il link con un messaggio privato (non postarlo sul forum, mi raccomando )

[ganegabi]

Uaoooo!! Sembra tutto ok! Grazie mille!! Sei una maga! :-)

Questo è il link dell'analisi con VirusTotal:
analisis/706994c4ad19de563e4f7ae8a2a7c577

Però volevo controllare che AVG non avesse più quel comportamento strano e ho fatto partire una scansione. Ora si comporta bene ma ha rivelato 4 file il cui nome inizia con TDSS nella cartella che mi avevi chiesto di zippare. Li ha messi in automatico nel Virus Vault... Vuoi che li ripristino prima di mandartela? O rischio di fare danni?

[Deifobe]

perfetto, il file è pulito.
no, lascia tutto come sta, non fa niente

dovessi notare altro, stiamo qui

ciao