Olimpo Informatico

[fabrymi]

Ciao a tutti da ieri nel pc compare un falso antivirus dal nome di SMART FORTRESS 2012.
Ovviamente chiede di sottoscrivere un abbonamento di circa 100 dollari e blocca qualsiasi ricerca su google per debellarlo.
Sono riuscito a bloccare l'eseguibile scaricando e lanciando winlogon.exe.
Pero' non sono sicuro di averlo debellato....qualcuno mi puo' aiutare?
Grazie

[R16]

Ciao Fai (se possibile) queste 2 scansioni:
Segui le istruzioni di questo topic per usare MBAM: (ricorda di aggiornarlo prima della scansione)
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Elimina gli eventuali file infetti trovati.

Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382

Posta i log delle scansioni eseguite.

[fabrymi]

dunque questi sono i log:

link

[R16]

Ciao

Hai riavviato il pc come chiedeva Malwarebytes ?

Brutta infezione. (il Fake, è accompagnato dal rootkit Zero Access)
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[fabrymi]

Ci ho provato diverse volte a lanciare combofix si apre la finestra in cui mi rileva il rootkit...mi chiede il riavvio....si riavvia va avanti un po' poi si blocca.
Cosa posso fare?

[R16]

Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
Clicca su "Change parameters"
Metti la spunta sulle caselline: verify driver digital singatures e poi Detect TDLFS file system .
Conferma cliccando OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Poi:

Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

[fabrymi]

Fatto

Ecco i log

TDSSKiller.2.7.28.0_12.04.2012_18.21.44_log.txt


OTL.Txt

Extras.Txt

Toglimi una curiosita' sul pc ho installato PANDA ANTIVIRUS che non mi ha rilevato nulla ne' prima ne' dopo la scansione...vuol dire che non vale niente?

[R16]

[fabrymi]

Mi sa che non funziona ....l'ho lanciato due volte e rimane bloccato per parecchio tempo senza fare niente.....devo resettare il pc per sbloccare.

[R16]

Ho modificato lo script.
Copia incolla lo script modificato, e vedi se funziona.

Se non funziona prova in Modalità provvisoria.

[fabrymi]

fatto.
Ci sono riuscito solo mettendo in modalita' provvisoria

ecco il log

04122012_223532.log

[fabrymi]

Come faccio a sapere se l'ho debellato?

[R16]

Elimina Combofix così:
Apri OTL e clicca su Cleanup.
Si disistallerà sia Combofix che OTL.

Riscarica Combofix:
link

Rinomina combofix prima di salvarlo sul desktop in abc.exe
Per rinominare il file, quando lo scarichi ti chiede dove salvarlo, e ti compare la casella "nome file" ,basta che cambi il nome che ti appare li in abc.exe)
Una volta scaricato il programma, clicca su start\ esegui nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK.
Durante la scansione non usare il pc. (nemmeno il mouse)
Posta il log

[fabrymi]

scusa non riesco a postare il log...dove me l'ha salvato?

[R16]

C:\ComboFix.txt.

[fabrymi]

niente non c'e'....ho usato anche la funzione cerca
Ho anche provato a rilanciarlo ma niente da fare non mi salva il log

[R16]

Segui questo percorso:
c:\qoobox\quarantine
Apri la cartella quarantine e dovresti trovare e all'interno le eliminazioni fatte da Combofix.

Fai un copia-incolla e me le posti.
Almeno vedo cosa ha eliminato.

[fabrymi]

Niente...la cartella c'e' ma e' vuota
Ho provato anche a rilanciarlo un'altra volta...la scansione arriva al termine il programma si chiude ma niente log.

[R16]

Ciao.
Scarica lo strumento yorkyt.exe

link

Salva il file sul desktop .
Fai doppio clic sul file yorkyt.exe.

Un riavvio verrà richiesto per installare un driver.( Clicca YES)

Un altro riavvio verrà richiesto . (clicca YES)

Si presenta una finestra : "Please wait.....Running...

Aspetta pazientemente che la scansione termini.

Poi compare "Cleanup Completed"

Clicca OK.

Posta il log che rilascia sul desktop.

Rifai la scansione con TDSSKiller. (dovresti averlo ancora sul desktop)
Clicca su "Change parameters"
Metti la spunta sulle caselline: verify driver digital singatures e poi Detect TDLFS file system .
Conferma cliccando OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Poi rifai la scansione con OTL. (dovresti averlo ancora sul desktop)
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta il log. (rilascerà un solo log : OTL.txt

[fabrymi]

ecco i post

TDSSKiller.2.7.28.0_15.04.2012_17.05.48_log.txt

yorkyt.exe.log

OTL.Txt