trojan fake.alert e exploit pdf

[ilconte30]

Da un comportamento strano del pc ho rilevato un trojan fake alert, anche perchè mi è improvvisamente uscito un avviso che mi diceva che avevo diversi virus (appunto il fake alert).
Ovviamento non ho risposto e l'ho cancellato.
Pc con win 7
Ho fatto come segue:
- scansione con avast internet security che stranamente non rileva
- Malwarebytes' Anti-Malware - rilevato e cancellato (trovato nella prima scansione nel pc e poi nella seconda nel file di registro.
- messo in modalità provvisoria
- lanciato il file ATF-Cleaner e fpulito tutto
- rilanciato Malwarebytes' Anti-Malware non trova nulla
- riavviato e fino a ieri tutto ok
- oggi però ricompare il problema, ossia:
quando avvio internet explorer faccio una ricerca su google, premo sul link che mi serve e mi riporta ad un sito che poi ne rimanda ad un altro ecc... (ma io stoppo).
torno indietro, ri clicclo sullo stesso link che mi serviva ed è tutto ok

comunque il reindirizzamento avviene ancora e stavolta l'ho documentato.
praticamente oltre al trojan trovato ci dev'essere qualcosa che si insidia in internet explorer e lo va ad infettare.
ho scoperto che sfrutta java e tenta di aprire un file pdf che avast mi blocca con la protezione web
approfondendo si tratta di un exploit jsdfka-gen
adesso ho avviato MBm e finora ha trovato 4 file infetti.
appena termino la scansione te la giro

il file che voleva importare da un sito sono e73bed.pdf
inoltre ho cancellato un processo exe che si era attivato in memoria

grazie Luigi

[ilconte30]

ultima scansione

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 6105

Windows 6.1.7600
Internet Explorer 9.0.8112.16421

19/03/2011 17:25:19
mbam-log-2011-03-19 (17-25-19).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 764231
Tempo trascorso: 3 ore, 23 minuti, 41 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 1
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 3

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunOnce\bKiEkKf12803 (Trojan.FakeAlert) -> Value: bKiEkKf12803 -> Quarantined and deleted successfully.

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\programdata\bkiekkf12803\bkiekkf12803.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Server1\AppData\Local\microsoft\Windows\t emporary internet files\Content.IE5\KYSMIY58\setup[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Server1\AppData\Local\Temp\jar_cache50257 48387004008672.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

[amvinfe]

Ciao,
ora quali altri problemi riscontri?

[ilconte30]

sempre lo stesso cioè un reindirizzamento (ma lo blocco subito) che credo avvenga con proxy.
Ho trovato anche due file strani .job nella cartella windows tasks
ossia C:\Windows\tasks\Cndlfnkwe.job
C:\Windows\tasks\Ojlzuvyak.job

non riesco a rimuoverli, mi dice che servono le credenziali da amministratore.
volevo sapere se esistono tool specifici per verificare se è stato infettato iexplorer.exe.
praticamente il reindirizzamento avviene random quando clicco sui risultati di google.

Ho provato con yahoo e finora non avviene.
Ma è possibile che sia google ad avere questo problema?

grazie

[amvinfe]

Ciao,
scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file, portati su www.wikisend.com e carica il file con estensione .zip
Nella tua prossima risposta copia / incolla l'URL per poter scaricare il report.

Ricordati d'effettuare la scansione senza connessione attiva.

NB:
ricordati di disattivare l'antivirus prima d'effettuare la scansione e di riattivarlo prima di riconnetterti ad internet.

PS
potro' risponderti domani sera