Google redirect virus + nuova infezione

[mincio89]

Ciao ragazzi, ultimamente mi sono imbattuto in un virus alquanto fastidioso e difficoltoso da rimuovere. A primo impatto sembrava il classico "google redirect virus" ma ho riscontrato nuovi danni al sistema. Fortunatamente combinando varie soluzioni trovate sul web ho risolto il problema. Vorrei rendererlo pubblico nel caso serva a qualcuno.

Sintomi:
- Alcuni siti web restano in attesa di caricamento per un tempo infinito e in basso a sinistra nella finestra del broswer risulta google analytics in caricamento.

-A volte il broswer viene reindirizzato su un ip strano dove appare una finta schermata di "risorse del computer" e un finto antivirus.

-Sempre sul broswer si apre una finestra contenente del sorgente in java script

-Risulta impossibile usare antivirus e antimalware

-I principali siti web di sicurezza diventano inacessibili

-Nel caso si riesca a installare l'antivirus non lo si riesce ad aggiornare

Soluzione

1)Creare una nuova partizione del disco rigido o attacare un nuovo hd al pc e installarvi una seconda copia di windows (fate attenzione a non cancellare mbr del vecchio windows e se dovesse accadere cercate sul web come usare bootcfg da console di ripristino per rimediare)

2)Installare sulla nuova partizione Malwarebytes, aggiornarlo e far partire la scansione: eliminare eventuali file infetti.

3)Scaricare il tool da Kapersky TDSKiller e farlo girare sulla partizione infetta: eliminare i file del Rootkit che verrano segnalati

4)Scaricare Avira antivir system rescue e masterizzarlo su un cd (basta cliccare sul file di installazione) e fare partire la scansione del pc da boot. Prima di fare partire la scansione nella scheda di configurazione spuntare l'opzione che rimuove i file infetti al loro ritrovamento.

5)Accedere dalla partizione non infetta e scaricare Spyboot Search & Destroy installarlo e aggiornarlo. Copiate la cartella di Spyboot che si trova in Disco rigido:\programmi nella medesima posizione ma sulla partizione infetta. Accedete dalla partizione infetta e andate nella cartella di spyboot. Cliccando su SDMain.exe si aprira il programma. Nella scheda modalità selezionate modalità avanzata. In basso a sinistra appariranno nuove opzioni. Selezionate utilità e spuntate tutte le caselle. Eseguite quindi la scansione ed eliminate i file trovati.
Il computer ora è ok, ma per un ulteriore scrupolo consiglio di cercare su google "guida alla disinfezione" cliccare sul primo risultato e utilizzare i programmi indicati nella guida per un ulteriore verifica.

Spero la mia guida possa essere di aiuto a qualcuno.
Buona fortuna!!!

[mincio89]

Comunque sul mio pc questa notte ho fatto girare DR. web cure it e ha trovato altri file infettati che ha rimosso senza problemi. Tra l'altro proprio grazie a qst programma ho notato che era infettato il server apache non vorrei che l'hacker (se così lo si può definire) abbia sfruttato proprio una vulnerabilità di apache

[mincio89]

x bubi1

se i sintomi sono gli stessi prova a seguire i passi che ho indicato credo che spyboot riuscirà ad eliminare il problema, per quaqnto mi riguard è qst programma che mi ha eliminato la parte più grossa dell'infezione. E cmq con i software indicati nella guida alla difenzione di cui ho accenato nel primo post dovresti risolvere devi avere solo un pò di pazienza. Sul mio computer girano antivirus da due giorni e si sta pulendo a poco a poco, visto che il virus aveva intaccato parecchi files

[FDAC]

- Scarica ed installa Hijackthis dal link sottostante:
http://www.hijackthis.de/downloads/HJTInstall.exe
- lancia Hijackthis
- clicca su Do a system scan and save a logfile
- al termine della scansione verrà rilasciato un file di testo: salvalo sul Desktop perché lo dovrai inviare qui

[menatwork]

Scarica ed installa Hijackthis dal link sottostante: http://www.hijackthis.de/downloads/HJTInstall.exe - lancia Hijackthis - clicca su Do a system scan and save a logfile - al termine della scansione verrà rilasciato un file di testo: salvalo sul Desktop perché lo dovrai inviare qui

fdac guarda che quella di mincio89 e' una soluzione

[FDAC]

Vedi a leggere frettolosamente che succede?

[Deifobe]

E chi ti vieta di leggere con calma capendo di cosa si parla?
Pensa, ci guadagni tu e anche l'utente.

[FDAC]

Si, Deifobe.
Hai ragione tu.
Scusa il disguido.
Saluti

[mincio89]

non è successo nulla alla fine...cmq il log di hijackthis lo posto comunque, così mi date qualche consiglio non si sa mai.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11.55.13, on 11/10/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\Emsisoft Anti-Malware\a2service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\File comuni\Adobe\Updater5\AdobeUpdater.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_Pl ugin.exe -update plugin
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programmi\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{091A2FE3-5236-4BC6-93C0-889E7AF593A3}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{31063949-3D65-478E-AC5D-C5FBF4069257}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{091A2FE3-5236-4BC6-93C0-889E7AF593A3}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{091A2FE3-5236-4BC6-93C0-889E7AF593A3}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Emsisoft Anti-Malware 5.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Programmi\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe

--
End of file - 6760 bytes

[FDAC]

Ciao.
Aggiorna al più presto il tuo PC al SP3.

http://www.microsoft.com/downloads/d...displaylang=it