Google redirect virus + nuova infezione

[mincio89]

Ciao ragazzi, ultimamente mi sono imbattuto in un virus alquanto fastidioso e difficoltoso da rimuovere. A primo impatto sembrava il classico "google redirect virus" ma ho riscontrato nuovi danni al sistema. Fortunatamente combinando varie soluzioni trovate sul web ho risolto il problema. Vorrei rendererlo pubblico nel caso serva a qualcuno.

Sintomi:
- Alcuni siti web restano in attesa di caricamento per un tempo infinito e in basso a sinistra nella finestra del broswer risulta google analytics in caricamento.

-A volte il broswer viene reindirizzato su un ip strano dove appare una finta schermata di "risorse del computer" e un finto antivirus.

-Sempre sul broswer si apre una finestra contenente del sorgente in java script

-Risulta impossibile usare antivirus e antimalware

-I principali siti web di sicurezza diventano inacessibili

-Nel caso si riesca a installare l'antivirus non lo si riesce ad aggiornare

Soluzione

1)Creare una nuova partizione del disco rigido o attacare un nuovo hd al pc e installarvi una seconda copia di windows (fate attenzione a non cancellare mbr del vecchio windows e se dovesse accadere cercate sul web come usare bootcfg da console di ripristino per rimediare)

2)Installare sulla nuova partizione Malwarebytes, aggiornarlo e far partire la scansione: eliminare eventuali file infetti.

3)Scaricare il tool da Kapersky TDSKiller e farlo girare sulla partizione infetta: eliminare i file del Rootkit che verrano segnalati

4)Scaricare Avira antivir system rescue e masterizzarlo su un cd (basta cliccare sul file di installazione) e fare partire la scansione del pc da boot. Prima di fare partire la scansione nella scheda di configurazione spuntare l'opzione che rimuove i file infetti al loro ritrovamento.

5)Accedere dalla partizione non infetta e scaricare Spyboot Search & Destroy installarlo e aggiornarlo. Copiate la cartella di Spyboot che si trova in Disco rigido:\programmi nella medesima posizione ma sulla partizione infetta. Accedete dalla partizione infetta e andate nella cartella di spyboot. Cliccando su SDMain.exe si aprira il programma. Nella scheda modalità selezionate modalità avanzata. In basso a sinistra appariranno nuove opzioni. Selezionate utilità e spuntate tutte le caselle. Eseguite quindi la scansione ed eliminate i file trovati.
Il computer ora è ok, ma per un ulteriore scrupolo consiglio di cercare su google "guida alla disinfezione" cliccare sul primo risultato e utilizzare i programmi indicati nella guida per un ulteriore verifica.

Spero la mia guida possa essere di aiuto a qualcuno.
Buona fortuna!!!

[kalamar2.0]

Originariamente inviato da mincio89
Ciao ragazzi, ultimamente mi sono imbattuto in un virus alquanto fastidioso e difficoltoso da rimuovere. A primo impatto sembrava il classico "google redirect virus" ma ho riscontrato nuovi danni al sistema. Fortunatamente combinando varie soluzioni trovate sul web ho risolto il problema. Vorrei rendererlo pubblico nel caso serva a qualcuno.

Sintomi:
- Alcuni siti web restano in attesa di caricamento per un tempo infinito e in basso a sinistra nella finestra del broswer risulta google analytics in caricamento.

-A volte il broswer viene reindirizzato su un ip strano dove appare una finta schermata di "risorse del computer" e un finto antivirus.

-Sempre sul broswer si apre una finestra contenente del sorgente in java script

-Risulta impossibile usare antivirus e antimalware

-I principali siti web di sicurezza diventano inacessibili

-Nel caso si riesca a installare l'antivirus non lo si riesce ad aggiornare

Soluzione

1)Creare una nuova partizione del disco rigido o attacare un nuovo hd al pc e installarvi una seconda copia di windows (fate attenzione a non cancellare mbr del vecchio windows e se dovesse accadere cercate sul web come usare bootcfg da console di ripristino per rimediare)

2)Installare sulla nuova partizione Malwarebytes, aggiornarlo e far partire la scansione: eliminare eventuali file infetti.

3)Scaricare il tool da Kapersky TDSKiller e farlo girare sulla partizione infetta: eliminare i file del Rootkit che verrano segnalati

4)Scaricare Avira antivir system rescue e masterizzarlo su un cd (basta cliccare sul file di installazione) e fare partire la scansione del pc da boot. Prima di fare partire la scansione nella scheda di configurazione spuntare l'opzione che rimuove i file infetti al loro ritrovamento.

5)Accedere dalla partizione non infetta e scaricare Spyboot Search & Destroy installarlo e aggiornarlo. Copiate la cartella di Spyboot che si trova in Disco rigido:\programmi nella medesima posizione ma sulla partizione infetta. Accedete dalla partizione infetta e andate nella cartella di spyboot. Cliccando su SDMain.exe si aprira il programma. Nella scheda modalità selezionate modalità avanzata. In basso a sinistra appariranno nuove opzioni. Selezionate utilità e spuntate tutte le caselle. Eseguite quindi la scansione ed eliminate i file trovati.
Il computer ora è ok, ma per un ulteriore scrupolo consiglio di cercare su google "guida alla disinfezione" cliccare sul primo risultato e utilizzare i programmi indicati nella guida per un ulteriore verifica.

Spero la mia guida possa essere di aiuto a qualcuno.
Buona fortuna!!!

la guida funziona anche per mack?

[MDM]

Dalla descrizione sembra un rootkit. Ci sono appositi tool per rimuoverli.

[fred84]

Originariamente inviato da MDM
Dalla descrizione sembra un rootkit. Ci sono appositi tool per rimuoverli.

e anche l'apposita sezione per parlarne

[mincio89]

Rispondo a tutti e tre:
Non ti so dire se funziona per mac perchè non ho provato.
Il virus è un rootkit ma con i tool adatti non sono riuscito a rimuovere tutti i suoi sintomi Solo TDkiller mi ha rimosso parte del rootkit.
Non ne ho parlato nella sezione apposita perchè non riuscivo a trovarla se volete potete spostare la discussione.

Comunque sul mio pc questa notte ho fatto girare DR. web cure it e ha trovato altri file infettati che ha rimosso senza problemi. Tra l'altro proprio grazie a qst programma ho notato che era infettato il server apache non vorrei che l'hacker (se così lo si può definire) abbia sfruttato proprio una vulnerabilità di apache

[bubi1]

A me invece questo virus ha colpito il monitor

[mincio89]

cioè?

[bubi1]

Originariamente inviato da mincio89
cioè?

[mincio89]

Ma con kapersky hai risolto?

[bubi1]

Originariamente inviato da mincio89
Ma con kapersky hai risolto?

Non saprei, non me ne intendo molto di questi affari tecnologici. Kaspersky dice di aver eliminato la minaccia, ma veddo ancora dei cacca3d sullo schermo, tu cosa suggerisci di fare?