Trojan-Keylogger.WIN32.Fung

[Darkalis]

Ho un problema molto fastidioso:
Ultimamente mi appare spesso questa finestra, e ogni volta che la chiudo riappare, all'incirca ogni 10 minuti.
Vi posto lo screen:


Inutile specificare che NON uso Windows Firewall. Come vedete è in lingua inglese, altra cosa impossibile. E infine, ho provato a cliccare sia su Enable Protection, sia su "Click to download and activate protection" e mi appare un sito, http://www.defender2009.com/buy.php?a=111, per comprare un antivirus, Personal Defender 2009.

AVG non lo trova nella divisione principale dell'HD, quella col sistema.

Fatemi sapere, vorrei evitare un format, è un laptop acer e sarebbe fastidioso formattare

[Deifobe]

ciao,
posta i link "sospetti" come non cliccabili..

vediamo se si vede qualcosa qui..

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[Darkalis]

report.txt - Hosted on SaveFile.com

Fatto :P

in che senso "posta i link sospetti come non scaricabili?". Io l'ho solo scritto, non ho aggiunto il collegamento.

[Deifobe]

non mi sembra di notare qualcosa, comunque lo ricontrollo con calma.

Intanto, fai una scansione on-line con Kaspersky:
clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
=> seleziona "my computer" (a sinistra)
=> al termine della scansione clicca su "View Scan Report"
=> "Save Report As" => salva e posta il rapporto.

[Darkalis]

Tra le altre cose, ho un problema anche con C_SpURsDll e c_psdrsdll, nonostante non abbia un laptop HP. Ho provato ad aggiornare il registro, ma niente di fatto.

Comunque la scansione dà
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\TD SSmxoe.sys.vir Infected: Backdoor.Win32.TDSS.biv 1
C:\System Volume Information\_restore{6080FBC6-33A5-4DA7-AF48-474CB1559463}\RP259\A0062547.sys Infected: Backdoor.Win32.TDSS.biv

Quindi mi ha trovato questa Backdoor.

Non ho postato il rapporto completo perchè non va savefile :P
Comunque i problemi sono questi.

[Linkato]

Originariamente inviato da Darkalis
Tra le altre cose, ho un problema anche con C_SpURsDll e c_psdrsdll, nonostante non abbia un laptop HP. Ho provato ad aggiornare il registro, ma niente di fatto.

Comunque la scansione dà
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\TD SSmxoe.sys.vir Infected: Backdoor.Win32.TDSS.biv 1
C:\System Volume Information\_restore{6080FBC6-33A5-4DA7-AF48-474CB1559463}\RP259\A0062547.sys Infected: Backdoor.Win32.TDSS.biv

Quindi mi ha trovato questa Backdoor.

Non ho postato il rapporto completo perchè non va savefile :P
Comunque i problemi sono questi.

Risolto con l'aiuto di GMER
Individuato con l'aiuto di questo scan anti-rootkit il percorso dei file, cancellato con tasto destro i due file (segnalati in rosso)... ma non basta, però.

Occorre dare il comando "visualizzare i file nascosti in Windows" con opzione cartelle, e cancellare il servizio che viene di nuovo segnalato da Gmer dopo il ravvio e nuova scansione...

Un po' di pazienza e si risolve... per ora non è più riapparsa la finestra. Ma come cavolo entrano 'sti cosi?

[Deifobe]

Se hai trovato solo quello, è improbabile che il problema sia finito li'.
La prima è la cartella di combofix, con all'interno un file che aveva già eliminato..

[Darkalis]

Quindi cosa devo fare?

Intanto domani mattina provo a risolvere con gmer il problema dei file mancanti

[Deifobe]

no, io mi riferivo a quelli che avevi postato sopra, non a gmer

per i file rimossi, riguardo avpe64 dovrebbe essere tutto ok.
ha eliminato anche explorer e winlogon?
controlla (visualizza i file nascosti, a questo punto)

comunque avpe64 in systemscan non si vede.
riesegui gmer e posta i rapporti (autorun e rootkit)

[Darkalis]

[url href="http://savefile.com/files/1882608"]Report rootkit[/url]

[url href="http://savefile.com/files/1882609"]Report autostart gmer[/url]

Sono stato via, ora però non ne posso più di questo problema. E non riesco a risolvere nemmeno il problema dei file di registro mancanti