Olimpo Informatico

[ikki84]

intanto salve a tutti perchè sono nuovo...
poi vorrei sapere se qualcuno sa qualcosa sul virus che mi sta affliggendo...con l'antivirus non l'ho distrutto e su internet non trovo granchè...ho notato che si attiva quando mi connetto a internet e comincia a creare applicazioni con nomi molto strani (anche + applicazioni dallo stesso nome come negli screen) che non so cosa combinano...se sono pass stealer o cosa...
cmq posto gli screen degli errori che mi compaiono.
spero mi possiate aiutare grazie!!!

questi sono gli screen:
Immagine 1
Immagine 2
Immagine 3

grazie in anticipo!

[antbenny]

Ciao, come prima cosa fai una scansione gratuita online con Panda ActiveScan 2.0, questo è il link dove effettuare la scansione gratis:

Panda Scan Online

Quando hai finito la scansione salva il log e caricalo qui così lo posso vedere.
Iniziamo in questo modo...

[bdoriano]

@antbenny:
Se hai un'infezione in corso, ben difficilmente qualsiasi scansione di qualsiasi antivirus lo metterà in evidenza.
Perché, i virus, una volta che sono entrati in un pc, adottano tutta una serie di soluzioni per evitare di essere riconosciuti. (vedi rootkit, per esempio)
Panda o Kaspersky o BitDefender o NOD32 nelle versioni di scansione online, in questi casi, risultano poco efficaci (o addirittura inutili).
Tanto più che, sempre più spesso, i virus, una volta infettato il pc, provvedono a rendere vano qualsiasi tentativo di collegarsi ai siti degli antivirus.
Quindi, il primo passaggio da effettuare è sicuramente l'utilizzo degli strumenti appositi per l'identificazione e la rimozione delle infezioni.
Una volta effettuata questa prima operazione, si può pensare di fare una scansione approfondita con lo strumento preferito per togliere eventuali rimasugli.

@ikki84:
Per cortesia, procedi con queste operazioni preliminari

• Pulisci i files temporanei con CCleaner
  
• Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  
  
  
  esegui una scansione completa del sistema
  
• Fai questa scansione con SystemScan.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SuperAntiSpyware su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SystemScan su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.

[antbenny]

bdoriano, rispetto (per anzianità) i tuoi saggi consigli e mi adeguo di conseguenza ad onorarli.

Secondo te tra Malwarebyte e SuperAntiSpyware chi è più efficace? Alcuni amici me l'hanno chiesto...

[bdoriano]

Tra i due, personalmente, preferisco MBAM (di solito lo uso per primo)... ma il meglio lo danno quando lavorano insieme.
Infatti, se noti, li uso entrambi per le scansioni iniziali (quello che non trova uno, lo trova l'altro)...

[ikki84]

ciao! ho fatto tutto come descritto ma ancora non ho risolto...ecco tutti i report richiesti:

SystemScan

mbam

SuperAntiSpyware

se può servire lascio anche i report di hijackthis,di adaware e di avast...

hijackthis

ad-aware

avast

dunque...penso sia il trojan agent AFNZ...avast me lo rileva in continuazione...ogni 1-2 minuti appena attacco il cavo del router...il trojan sembra generare files "randomname".exe e poi inizia ad aprire pagine internet che non oso neanche immaginare a cosa servono.il problema è che avast riconosce questi files exe,ma non riesce a bloccare all'origine il trojan,che continua quindi a generarne altri e altri.inoltre avast non elimina in automatico questi worm,ma me lo chiede sempre e purtroppo il pc in questione(che serve x lavoro) ha bisogno di stare connesso e spesso senza una persona davanti a controllare,percui mi crea un grosso problema.non sono ancora riuscito ad eliminarlo,spero mi possiate aiutare al più presto!

grazie!

[bdoriano]

Ciao ikki84,

ho dato un'occhiata ai logs che hai postato... i problemi sono molteplici:

• hai 2 antivirus attivi (Avast! e McAfee), ne va disinstallato uno.
  McAfee è a pagamento?
  In caso di risposta affermativa, quando scade?
  Oppure era già scaduto e hai installato Avast! per evitare di rimanere senza protezione?
  Se McAfee è scaduto, procedi con la sua disinstallazione.
  
  
• sembra che tu abbia installato anche PrevX... ma pare disabilitato o rimosso
  
  
• Puoi disinstallare Lavasoft Ad-Aware... non è di alcuna utilità... anzi
  
  
• poi ci sono diversi file eseguibili già identificati come virus

Avrei bisogno anche di alcuni chiarimenti:

• Cos'è e a cosa serve GameGuard
  
• Cos'è e a cosa serve ApplicationMonitor
  
• Cos'è e a cosa serve cron
  
• hai installato tu O2 - BHO: xunlei Class - {D1CFE974-A7AC-FDBD-BB31-DBFF39805FA7} - C:\WINDOWS\VECTRQBFBB.dll?
  ne ho trovato menzione su un sito orientale... ma mi piacerebbe sapere a cosa serve.

Fammi sapere.

[ikki84]

ciao!
dunque x gli antivirus ce ne sono diversi perchè...li sto provando tutti!
avevo mcafee da sempre,il computer non è mio personale ma è per il lavoro e l'ho già trovato lì...ed è anche in licenza.tuttavia non mi ha protetto da questo malware/virus e quindi ho provato ad attivare avast con cui mi ero trovato bene a casa.cercando removal vari ho provato anche prevx ma poi rimosso perchè ho visto che la versione free trova i virus ma non li rimuove...

poi per le applicazioni:gameguard è sicura,è un'applicazione anticheat di "soldierfront" un gioco della ijji.com

application monitor dovrebbe essere sicrua...serve per controllare ogni tot di tempo che un'altra applicazione sia attiva e in caso contrario la apre in automatico

cron.exe è un programmino usato per lavoro

mentre l'ultima riga...non ne ho la + pallida idea!anzi se hai trovato informazioni su siti cinesi potrebbe puzzarmi...l'altro giorno il malware ha aperto dei siti strani...ho cercato su google questi siti e mi è venuta fuori una pagina di un antivirus(forse symantec) che associava questi siti(di origine CINESE appunto) ad un trojan...inoltre lo "screen 1" da me postato mostra un messaggio con dei caratteri molto strani,forse perchè sarebbero cinesi e non ho installato i caratteri cinesi appunto...
infine quel agent-afnz che trova avast,un altro malware-removal l'ha riconosciuto come "trojan-downloader" o qualcosa del genere.
spero tu mi possa aiutare!grazie 1000!

[ikki84]

preciso...oliga me lo riconosce a-squared ma ancora non ho finito la scansione completa.

[bdoriano]

Prima di continuare è necessario rimuovere uno dei due antivirus...
2 antivirus insieme ti rallentano il pc e si scornano l'uno con l'altro lasciando passare qualsiasi schifezzuola.

Inoltre, dovresti far controllare il file C:\ijji\ENGLISH\u_sf\GameGuard\dump_wmimmc.sys su uno dei siti di scansione online.
Perché ho trovato anche qualche info negativa in merito...

Hai già rimosso anche Lavasoft Ad-Aware?

Una volta che hai fatto queste operazioni, rifai le scansioni con MBAM e SuperAntiSpyware e post un log aggiornato di SystemScan.

[ikki84]

il file C:\ijji\ENGLISH\u_sf\GameGuard\dump_wmimmc.sys non l'ho trovato...cmq ho disinstallato il gioco che lo usava e gameguard.cmq ripeto,nella cartella di gameguard(che ora non esiste più) non c'era.

ho disinstallato adaware,ora rifaccio gli scan e ti ridico.

per quanto riguarda invece "O2 - BHO: xunlei Class - {D1CFE974-A7AC-FDBD-BB31-DBFF39805FA7} - C:\WINDOWS\VECTRQBFBB.dll" che mi hai segnalato ieri che faccio?tra l'altro in c:\windows non lo trovo...

[ikki84]

guarda un po' qui:

http://en.wikipedia.org/wiki/Xunlei

dice che contiene spyware,è lui che hai trovato?in regedit ho trovato alcune voci con nome xunlei,sarà il caso di levarlo?dimmi un po' tu come devo agire...

[bdoriano]

Prima, postami i logs aggiornati... altrimenti lavoriamo alla cieca.

[ikki84]

ciao! questo è il primo report

MBAM

purtroppo non ha rilevato nulla...anzi,quando il virus genera uno dei suoi randomname.exe files nella cartella c:\windows,ho anche provato a fare tasto destro controlla con mbam il singolo file e non lo riconosce come virus...se vuoi ti uploado uno di questi file se lo vuoi analizzare,ma forse è un po' troppo rischioso!

ho fatto anche una scansione con avira(le sto provando tutte...) e nulla,tuttavia mi trova delle chiavi di registro un po' strane,che però non vorrei fossero di mcafee,ti posto uno screen del registro e la log di avira,presto anche le log di superantispyware e system scan...

registro.jpg

log avira

[ikki84]

nel frattempo,guarda questo screen su un file dll di questo fantomatico xunlei...

link

mi sembra sospetto...nella cartella di windows c'è anche un file txt con lo stesso nome,ma non sono riuscito a leggerlo perchè ha dei caratteri che non ho installato(forse cinese?) te l'ho uppato insieme al .dll se vuoi guardarlo...

link
link


report di superantispyware:

Superantispyware

trovato niente di nuovo...

[bdoriano]

[ikki84]

sisi avevo disinstallato gli altri 2.adaware anche.system scan non l'ho ancora fatto perchè mi si è bloccato 2 volte,cmq te lo mando al + presto.ti invio il file x mp,cmq sull'hard disk d: ci sono solo file e programmi di lavoro,non vorrei fare casino a levarli

[bdoriano]

Se SystemScan si blocca ancora, segnalami in che punto si blocca. Ok?

A domani.

[ikki84]

non vorrei cantar vittoria troppo presto eh...ma di testa mia ho voluto rimuovere con hijack quella chiave che mi avevi segnalato tu del programma p2p cinese e ho passato tutta la mattina di oggi connesso senza ness1 pop-up o applicazioni randomname.exe in c:\windows...sembra risolto!se ricompare ti faccio risapere.cmq grazie davvero!

[bdoriano]

Ok.

Un controllino generale, appena puoi, è meglio farlo... giusto per non lasciare rimasugli in giro per il pc.