Malware h8srt che bloccano AntiVir!

[BlackCatMax]

Salve a tutti!
Mi chiamo Massimo e digito da Firenze.

Ho un problemino al pc... dei malware che inibiscono l'antivirus (AntiVir).
Tutto è cominciato con l'apparizione di finestre popup di Internet Safety e robe varie, relative a questo programmaccio che si è installato e che imita l'icona del centro sicurezza pc di windows (lo scudo colorato accanto all'orario in basso a dx del desktop). Tali finestre, da un lato riguardavano avvisi che pubblicizzavano l'acquisto di questo pseudosoftware e dall'altro insistevano nel ribadire che il mio pc era infetto o che c'era un antivirus (AntiVir, appunto) non autorizzato e se lo volevo rimuovere!

Ho bloccato la loro esecuzione con CCleaner, ed ho eliminato "a mano" i due eseguibili sospetti dalla cartella:
C:\Documents and Settings\User\Impostazioni locali\Temp

Avviando però Prevx 3.0, mi segnala ancora 4 infezioni (prima erano 10!).
Eccole:

1) h8srtrmybirwqbq.sys in c:\windows\system32\drivers\

2) \REGISTRY\Machine\system\ControlSet001\Services\H8 SRTd.sys

3) h8srtnomkuiqjkv.dll in c:\windows\system32\

4) h8srtfwwijkdulh.dll in c:\windows\system32\


Inutile dirvi che ho provato a cercare i file 1, 3 e 4 nei percorsi specificati, senza risultati.
Attualmente tutto funziona, tranne Antivir: clicko per lanciarlo ma non accade niente, come se non esistesse! Ho anche provato a disinstallarlo e reinstallarlo, ma niente...

Vi ringrazio anticipatamente
;-)

[bootzenn]

prova con malwarebytes

[BlackCatMax]

Grazie bootzenn,
purtroppo anche con malwarebytes succede lo stesso che con l'antivirus: cioè niente!
Come se non esistesse.

[bootzenn]

ciao

prova con una scansione di hijackthis (segui la guida nei link in rilievo) vediamo se riuscimao a migliorare qualcosa

[BlackCatMax]

Mentre aspettavo una risposta,
ho fatto una scansione con SuspectFile di ScanSystem, come consigliato in quest'altra discussione con problemi simili:
http://forum.html.it/forum/showthrea...readid=1374282

Purtroppo non ho tanta dimestichezza con queste cose... erano anni che non beccavo virus :master:

Grazie

[la talpa]

non trovi i file perche forse sono stati trasformati in file nascosti di sistema con ATTRIB +H ecc..

[amvinfe]

Ciao,

scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Vai su http://www.mediafire.com clicca su "Upload to MediaFire" carica il file con estensione .zip e scrivi, nella tua prossima replica, l'URL per poterlo scaricare.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.




SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

[BlackCatMax]

L'avevo già preparato (leggendo altre discussioni simili)!
Ecco il report di SystemScan:

http://www.mediafire.com/?0j1mdoz0nmm


Grazie

[amvinfe]

iniziamo a rimuovere il driver (rootkit) causa del blocco dell'av.

Non connesso

Apri SystemScan>Clicca su "Removal Script".
All'interno del box bianco copia ed incolla i valori riportati qui sotto

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\system\currentcontrolset\services\H8SRTd.sys

Files to delete:
C:\WINDOWS\system32\drivers\H8SRTrmybirwqbq.sys
C:\WINDOWS\system32\srcr.dat
C:\WINDOWS\system32\krl32mainweq.dll
C:\WINDOWS\system32\H8SRTnomkuiqjkv.dll

ora clicca su "Proceed with removal" e poi su OK.

Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

Disinstalla l'antivirus e reinstallalo. Aggiornalo ed esegui una scansione completa del disco.
Riavvia, esegui una nuova scansione con SystemScan.

- Scrivi l'URL per poter scaricare il report
- Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt)

[BlackCatMax]

Eccomi!
Ho fatto quanto mi hai chiesto, caro amvinfe!
Allora...

Dopo il "Proceed with removal" con ScanSystem, ho disinstallato, reinstallato ed aggiornato Avira. Dalla sua scansione è risultato questo:

OGGETTO RILEVAMENTO
backup.zip TR/PCK.Tdss.AA.2294
sys23080.exe TR/Spy.376832.63
A0022990.dll TR/PCK.Tdss.AA.2294
H8SRTfwwijkdulh.dll TR/PCK.Tdss.AA.2299

Ho fatto "ripara"; naturalmente mi ha cancellato anche ScanSystem.

In seguito ho riavviato, disattivato Avira, reinstallato e lanciato ScanSystem
Questo è l'Url del report:
http://www.mediafire.com/?hmltmmtnmjy

Diseguito invece, il contenuto di Avenger:

----------------------------------------------------------------------------------------
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\dbtrisuy

*******************

Script file located at: \??\C:\Documents and Settings\whdkslad.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKLM\system\currentcontrolset\services\H8SRTd.sys deleted successfully.
File C:\WINDOWS\system32\drivers\H8SRTrmybirwqbq.sys deleted successfully.
File C:\WINDOWS\system32\srcr.dat deleted successfully.
File C:\WINDOWS\system32\krl32mainweq.dll deleted successfully.
File C:\WINDOWS\system32\H8SRTnomkuiqjkv.dll deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Program C:\Documents and Settings\User\Desktop\sys23080.exe successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.
----------------------------------------------------------------------------------------

Non ho rilanciato Avira, ma adesso sembrerebbe tutto OK. L'antivirus funziona. Ho anche rilanciato Prevx (l'unico che mi rilevava i file nocivi, prima di chiedere aiuto a voi) e trova solo sys35880 (ovvero ScanSystem).



Vi ringrazio tantissimo per l'aiuto datomi. A volte si dice che internet è pieno di trappole... è vero, ma la rete è anche piena di Angeli pronti ad aiutare il prossimo.
Oggi voi siete stati i miei Angeli !!!

@ amvinfe: se passi da Firenze ricordati che ti devo un caffè