Olimpo Informatico

[Jolly88]

Salve, da qualche giorno riscontro la presenza di questo virus che non so come eliminare e ricevo continui popup da parte dell'antivirus che non elimina il virus ma semplicemente termina la connessione a "http:\\mfdclk001.org\...."
Vi ringrazio in anticipo per le eventuali risposte


SO: Win7Ultimate
Antivirus: avast!
Virus rilevato: oggetto: Virus
---------------- infezione: JS:Iframe-GH [Trj] (è un nome generico perché spesso cambia)
---------------- processo: C:\Windows\system32\svchost.exe

(in modalità provvisoria)
HJT_provvisoria.txt

(avvio normale)
HJT_normale.txt

[bdoriano]

Ciao Jolly88,

hijackthis ha fatto il suo tempo e non è più adatto a rilevare infezioni "serie".
Inoltre, stai usando una versione piuttosto vecchiotta. Attualmente siamo arrivati alla versione 2.0.4

fai questa scansione con OTL
Poi, per sicurezza:

• Scarica TDSSKiller.zip e salvalo sul desktop
  
• Apri il file appena scaricato ed estrai il file TDSSKiller.exe
  
• Avvia TDSSKiller.exe
  
• Clicca Change parameters
  
• metti il segno di spunta a Detect TDLFS file system
  
• clicca OK
  
• Clicca Start scan e attendi pazientemente la fine dei lavori
  
• Se viene rilevata qualche infezione, TDSSKiller ti proporrà direttamente le operazioni da svolgere. In questo caso, clicca Continue
  
• Al termine del lavoro di scansione ed ventuale rimozione, clicca Close
  
• Il log viene creato nella cartella principale del disco C:
  Es.: C:\TDSSKiller.2.7.33_28.04.2012_17.59.43_log.txt
  
• Posta il log creato, secondo le solite modalità

Scarica MBRCheck e avvialo, ti si aprirà una finestra DOS simile a questa:

[Jolly88]

Innanzitutto ti ringrazio per la tempestività e la completezza nella risposta e nelle indicazioni
tdsskiller.txt

mbrcheck.txt

[bdoriano]

TDSSKiller ha rimosso il virus TDSS.

Adesso, segui le istruzioni di questo topic per usare MBAM.

fai questa scansione con OTL <-- IMPORTANTE

I logs caricali su uno dei servizi indicati qui.

[Jolly88]

Attendendo la fine della scansione di MBAM....

link otl.txt
link extras.txt



ecco:

linkmbam log.txt
protection log.txt

[bdoriano]

• Avvia nuovamente OTL (dal desktop)
  
  
• Copia e incolla il testo seguente nel riquadro :
  

  Citazione:

  :OTL IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com IE - HKU\S-1-5-21-1890344339-637933089-4071701973-1000\..\SearchScopes\{c99fdc39-a1ae-4b24-8d71-e5274f8d7c54}: "URL" = http://search.hotspotshield.com/g/results.php?c=s&q={searchTerms} O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1890344339-637933089-4071701973-1000..\Run: [] File not found O4 - HKU\S-1-5-21-1890344339-637933089-4071701973-1000..\Run: [360desktop] File not found O4 - HKU\S-1-5-21-1890344339-637933089-4071701973-1000..\Run: [Voobly] File not found @Alternate Data Stream - 12 bytes -> C:\Windows\System32:{7BC0BEE7-487C-4DEF-9189-9518F7E029F0} @Alternate Data Stream - 12 bytes -> C:\Windows\System32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] ""=""%1" %*" :Commands [EMPTYTEMP] [EMPTYFLASH] [EMPTYJAVA]

  
  
• clicca
  
• Se richiesto, riavvia il pc
  
• clicca
  
• carica il nuovo log su uno dei servizi di hosting indicati in questa discussione

• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
  
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
  esegui una scansione completa del sistema
  
• Carica i logs uno dei servizi di hosting indicati in questa discussione

[Jolly88]

Qui ci sono i log di process hacker un task manager, effettuato all'avvio normale senza aprire programmi e browser

questo è il log di superantispywarescanlog

OTL, invece, mi si chiude dopo 10/15 secondi dopo l'apertura e non capisco perché. Ho provato anche a riavviare il notebook. L'ho anche riscaricato ma niente..

OTL funge solo in modalità provvisoria.. OTL.txt
file log di OTL nella cartella moved file

[bdoriano]

Giusto per fare un test...

• disabilita la protezione residente di Avast!
  
• Avvia OTL
  
• se funziona, crea un nuovo log

[Jolly88]

Già fatto ma niente da fare... Funge solo in modalità provvisoria.

[bdoriano]

Segui le istruzioni di questo topic per postare il log di combofix.

[Jolly88]

Con OTL ho risolto. In poche parole, la sandbox si avviava automaticamente anche con avast chiuso.

OTL scan

OTL run fix

C'è ancora bisogno di combofix?

[bdoriano]

Ok! Meglio così!

Per il momento, non utilizzare Combofix, controllo l'ultimo log che hai postato e poi ti so dire.