Sistem Security - Falsa Applicazione antispyware

[Satellite82]

Salve a tutti,
Mi sono beccato una bella "influenza".

A parte gli scherzi, ho inserito per sbaglio Sistem Security, la falsa applicazione che finge di trovare spyware ma che invece fa tutt'altro, qualcuno potrebbe aiutarmi a rimuoverlo?

Il mio sistema operativo è Windows 7 Ultimated

Grazie per la disponibilità

P.s.
Per la cronaca come da Guida

-Ho eliminato i file temporanei

-Ho provato con la scansione Avira (che rileva ma dopo che metto in quarantena e riavvio il pc riscontro il medesimo problema)

-Ho fatto la scansione antimalware con MalwareBytes

[SkinBonno]

Comincia con il postare il log di Malwarebytes..

[Satellite82]

Inserisco prima quello di hijackthis.. l'altro arriva..

Codice PHP:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:59:15, on 20/03/2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal  Running processes: E:\Windows\system32\Dwm.exe E:\Windows\Explorer.EXE E:\Program Files\Avira\AntiVir Desktop\avgnt.exe E:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe E:\Program Files\QuickTime\qttask.exe E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe E:\Windows\PixArt\Pac7311\Monitor.exe E:\Program Files\Common Files\Real\Update_OB\realsched.exe E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe E:\Windows\system32\taskhost.exe E:\Windows\RtHDVCpl.exe E:\Program Files\RocketDock\RocketDock.exe E:\Program Files\Windows Sidebar\sidebar.exe E:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe E:\Program Files\Skype\Phone\Skype.exe E:\Program Files\PIXELA\ImageMixer 3 SE Ver.4\Transfer Utility\CameraMonitor.exe E:\Program Files\WIBUKEY\Server\WkSvMgr.exe E:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe E:\Program Files\Skype\Plugin Manager\skypePM.exe E:\Windows\system32\wuauclt.exe E:\Program Files\Mozilla Thunderbird\thunderbird.exe E:\Windows\system32\SearchFilterHost.exe E:\Program Files\Hijackthis\HijackThis.exe E:\Program Files\Mozilla Firefox\firefox.exe  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url] R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [GrooveMonitor] "E:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [NeroFilterCheck] E:\Program Files\Common Files\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [StartCCC] "E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [ATICustomerCare] "E:\Program Files\ATI\ATICustomerCare\ATICustomerCare.exe" O4 - HKLM\..\Run: [UVS12 Preload] E:\Program Files\Corel\Corel VideoStudio 12\uvPL.exe O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Monitor] E:\Windows\PixArt\PAC7311\Monitor.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "E:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [TkBellExe] "E:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "E:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [RocketDock] "E:\Program Files\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [Sidebar] E:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [EPSON BX300F Series] E:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEJE.EXE /FU "E:\Windows\TEMP\E_S96E0.tmp" /EF "HKCU" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Skype] "E:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [EA Core] "E:\Program Files\Electronic Arts\EADM\Core.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE') O4 - Global Startup: ImageMixer 3 SE Camera Monitor Ver.4.lnk = ? O4 - Global Startup: Server di rete.lnk = E:\Program Files\WIBUKEY\Server\WkSvMgr.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://E:\Windows\system32\GPhotos.scr/200 O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O13 - Gopher Prefix:  O17 - HKLM\System\CCS\Services\Tcpip\..\{BD565C4A-C4F6-46CC-AAF1-4BF2BFE94C82}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{BD565C4A-C4F6-46CC-AAF1-4BF2BFE94C82}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{BD565C4A-C4F6-46CC-AAF1-4BF2BFE94C82}: NameServer = 192.168.2.1 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: AMD External Events Utility - AMD - E:\Windows\system32\atiesrxx.exe O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: EPSON V5 Service4(01) (EPSON_EB_RPCV4_01) - SEIKO EPSON CORPORATION - E:\ProgramData\EPSON\EPW!3 SSRP\E_S40ST7.EXE O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - E:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - E:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - E:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NIHardwareService - Native Instruments GmbH - E:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe O23 - Service: NMIndexingService - Nero AG - E:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe  -- End of file - 7964 bytes 


[Satellite82]

Ecco cosa dice MalwareBytes::

Codice PHP:


Malwarebytes' Anti-Malware 1.44 Versione del database: 3886 Windows 6.1.7600 Internet Explorer 8.0.7600.16385  13/01/2011 11:30:56 mbam-log-2011-01-13 (11-30-56).txt  Tipo di scansione: Scansione completa (E:\|) Elementi scansionati: 455326 Tempo trascorso: 1 hour(s), 36 minute(s), 49 second(s)  Processi delle memoria infetti: 0 Moduli della memoria infetti: 0 Chiavi di registro infette: 0 Valori di registro infetti: 0 Elementi dato del registro infetti: 0 Cartelle infette: 0 File infetti: 2  Processi delle memoria infetti: (Nessun elemento malevolo rilevato)  Moduli della memoria infetti: (Nessun elemento malevolo rilevato)  Chiavi di registro infette: (Nessun elemento malevolo rilevato)  Valori di registro infetti: (Nessun elemento malevolo rilevato)  Elementi dato del registro infetti: (Nessun elemento malevolo rilevato)  Cartelle infette: (Nessun elemento malevolo rilevato)  File infetti: E:\Users\Mauro\AppData\Local\Temp\0.020920748532753497.exe (Trojan.Dropper) -> Quarantined and deleted successfully. E:\Users\Mauro\AppData\Local\Temp\0.22603212937944328.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 


[SkinBonno]

Non postare in questo modo, non si capisce nulla. i log di hijack e malwarbytes li puoi tranquillamente copiare e incollare direttamente.

Malwarebytes non era aggiornato, aggiornalo ed esegui nuovamente una scansione completa. posta il log generato.

Scarica Combofix usando Internet Explorer e salvalo sul desktop. Quando lo salvi, rinominalo in abc.exe. Disconnettiti da internet, disattiva l'antivirus. Avvia Combofix (abc.exe) e attendi la fine della scansione.
Non eseguire nessuna operazione mentre Combofix analizza il pc, non muovere nemmeno il mouse, potresti bloccare la scansione.
Finita la scansione il pc si dovrebbe riavviare e in C: dovresti avere un rapporto Combofix.txt. Carica questo rapporto su Wikisend e riporta sul forum il link che otterrai.

N.B. Nel caso non riesci a fare partire combofix, da start-->esegui copia e incolla questa riga di comando comprese le virgolette e dai invio:

"%userprofile%\desktop\abc.exe" /killall

La scansione dovrebbe partire in automatico.

[Satellite82]

Ecco la nuova scansione malwarebytes



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4052

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

14/01/2011 15:15:36
mbam-log-2011-01-14 (15-15-36).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 132248
Tempo trascorso: 7 minuti, 22 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

[Satellite82]

Credo che Combofix abbia veramente rimosso tutto, posto il risultato:

http://wikisend.com/download/573232/ComboFix.txt


..dimmi tu!

[Satellite82]

Invece no..


ho riavviato il Pc ed è ricomparso
deve essereci qualcosa, qualche applicazione che lo reinstalla una volta eliminato, come faccio a trovarla?

[Satellite82]

HO RISOLTO!!!!

Lo dico per chiunque trovi il mio stesso malware "autorigenerante"..


Una volta utilizzato Combofix (Grazie a chi lo ha consigliato, ancora questo non lo conoscevo),
date un'occhiata nella cartella ...\AppData\Roaming se notate cartelle strane..

Quella che nel mio caso dava problemi era una il cui nome era un numero 50935 e al suo interno conteneva la meledetta applicazione generante chiamata bbzzkzz17.exe che nessun antivirus e nessun antispyware è riuscito a riconoscere, ho provato a fare anche la scansione proprio su quell'applicazione ma nulla, mi insospettiva cmq.. infatti andando a cercare in qualche forum inglese ho scoperto che era connesso proprio al mio malware.

Ecco che allora dopo fatto l'ennesima scansione ComboFix sono andato ad eliminare quel file.

Ed ecco che tutto è tornato nella norma dopo il riavvio! Nessun Messaggio di virus o malware, tutto sparito!

FINALMENTE!!!

p.s. grazie a SkinBonno del consiglio sul ComboFix, non avra trovato l'applicazione da cui si generava tutto, ma rimuove ogni infezione nel modo migliore.. anche se molto aggressivo rispetto ad altri!!

[SkinBonno]

Le due cartelle rimanenti erano queste, fra cui quelle citata da te:
e:\users\Mauro\AppData\Roaming\63261
e:\users\Mauro\AppData\Roaming\50935

Se le hai già eliminate bene, altrimenti eliminale. Malwarebytes nuovamente non era aggiornato all'ultima versione ed era solo una scansione veloce, se vuoi stare tranquillo di aver ripultio tutto aggiorna nuovamente malwarebytes ed esegui una scansione completa per vedere se ci sono dei residui.