Che Virus è?

[zurich2006]

ciao a tutti,

all'avvio di windows avira mi rileva la seguente minaccia:

Virus or unwanted program 'TR/Crypt.FKM.Gen [TR/Crypt.FKM.Gen]'

detected in file 'C:\WINDOWS\DellDsk.exe.

Action performed: Move file to quarantine

il fatto è che si ripresenta ogni volta, e subito dopo compare anche:

Virus or unwanted program 'TR/Small.KL.1 [TR/Small.KL.1]'

detected in file 'C:\WINDOWS\Fujitsu-Center.exe.

Action performed: Allow access

quest'ultimo io lo ignorerei... che mi suggerite?

grazie

[Kuma]

Ciao...

è un trojan downloader

Entrambi i file sono da eliminare (se li riesci a vedere)

Fai uno scan con AVG Antispy (ewido)

Fai uno scan qui (è velocissimo) ed allega il risultato

Dopo i due scan, Posta un log di Hijack

[zurich2006]

grazie mille....

non ho mai capito cos'è il log di hijack...

[zurich2006]

questo è il rapporto di avg:

---------------------------------------------------------

AVG Anti-Spyware - Rapporto scansione

---------------------------------------------------------

+ Creato alle: 11.05.15 14/07/2007

+ Risultato scansione:

C:\Programmi\Toshiba Connect\InstID.exe -> Dialer.InterDialer.a : Nessuna operazione eseguita.

C:\Programmi\Toshiba Connect\Interdialer.exe -> Dialer.InterDialer.a : Nessuna operazione eseguita.

C:\Programmi\filesubmit\hogwartsss.zip\SetupInst.exe/Setup.exe -> Dropper.Agent.asf : Nessuna operazione eseguita.

:mozilla.72:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Atdmt : Nessuna operazione eseguita.

C:\Documents and Settings\Jacopo\Cookies\jacopo@atdmt[2].txt -> TrackingCookie.Atdmt : Nessuna operazione eseguita.

:mozilla.25:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Doubleclick : Nessuna operazione eseguita.

C:\Documents and Settings\Jacopo\Cookies\jacopo@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nessuna operazione eseguita.

:mozilla.92:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Hitbox : Nessuna operazione eseguita.

:mozilla.93:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Hitbox : Nessuna operazione eseguita.

:mozilla.23:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Imrworldwide : Nessuna operazione eseguita.

:mozilla.24:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Imrworldwide : Nessuna operazione eseguita.

C:\Documents and Settings\Jacopo\Cookies\jacopo@search.live[2].txt -> TrackingCookie.Live : Nessuna operazione eseguita.

C:\Documents and Settings\Jacopo\Cookies\jacopo@auto.search.msn[1].txt -> TrackingCookie.Msn : Nessuna operazione eseguita.

:mozilla.71:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Overture : Nessuna operazione eseguita.

:mozilla.91:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Paypal : Nessuna operazione eseguita.

:mozilla.30:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Serving-sys : Nessuna operazione eseguita.

:mozilla.31:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Serving-sys : Nessuna operazione eseguita.

:mozilla.32:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Serving-sys : Nessuna operazione eseguita.

:mozilla.33:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Serving-sys : Nessuna operazione eseguita.

:mozilla.34:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Serving-sys : Nessuna operazione eseguita.

:mozilla.39:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Serving-sys : Nessuna operazione eseguita.

C:\Documents and Settings\Jacopo\Cookies\jacopo@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nessuna operazione eseguita.

C:\Documents and Settings\Jacopo\Cookies\jacopo@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nessuna operazione eseguita.

:mozilla.83:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Tradedoubler : Nessuna operazione eseguita.

:mozilla.10:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Weborama : Nessuna operazione eseguita.

:mozilla.9:C:\Documents and Settings\Jacopo\Dati applicazioni\Mozilla\Firefox\Profiles\ljf613zn.default\cookies.txt -> TrackingCookie.Weborama : Nessuna operazione eseguita.

::Fine rapporto

[zurich2006]

questo invece il rapporto della scansione online con panda...

grazie! che devo fare adesso?

Activescan.txt

[Kuma]

Ciao....

1. usa Ccleaner con tutti i Browser chiusi

Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

Scusa ho sbagliato link per il Panda (quella è la scansione lenta )

Questo file: (programma)

C:\Programmi\filesubmit\hogwartsss.zip\SetupInst.exe/Setup.exe -> Dropper.Agent.asf

Disinstallalo da Installazione Applicazioni (Spyware) e poi elimina la cartella

---

Il Panda comunque ha fatto quello che doveva:

Adware:Adware/WhenUSearch Non Disinfettato C:\Programmi\filesubmit\hogwartsss.zip\SetupInst.exe (è quello che devi disinstallare)

Virus:Trj/SecurityDown.A Disinfettato C:\WINDOWS\DellDsk.exe

Virus:Trj/Agent.CTV Disinfettato C:\WINDOWS\ Fujitsu-Center.exe

Virus:Trj/RKDice.A Disinfettato C:\WINDOWS\system32\com2.lof

--

non ho mai capito cos'è il log di hijack...

Istruzioni e Download Hijack

[zurich2006]

grazie mille Kuma,

ho fatto la pulizia con ccleaner, ho trovato la cartella in questione, solo che in installazione applicazioni non mi compare nulla.

Poi all'avvio di windows avg antyspireware me li riconosce entrambi e se scelgo l'opzione pulisci e riavvio il sistema dopo me li rileva ancora.

A questo punto forse dovrei installare uno di quei programmi per vedere tutti i programmi installati o mi basta rimuovere la cartella?

[Steve75]

rimuovi la cartella e cerca anche eventuali collegamenti nel registro.....

comunque sarebbe sempre utile se ci postassi il log Hijackthis , poi vedi tu ....

[zurich2006]

scusate... ecco il log di hijack, pensavo fosse molto piu complicato...

grazie!

hijackthis.log

[Kuma]

Ciao il bello viene ora ... segui queste istruzioni:

Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) +

Vise Registry Cleaner + Lingua italiana <-- click destro sul link e "Salva con nome" poi una volta scaricato, copialo nella cartella "Language" del programma

Quando installi Ccleaner ricordati che se lasci le spunte di defualt ,verrà installata anche la toolbar yahoo (togli le spunte se non la vuoi)

STAMPA queste istruzioni (oppure salvale in un file sul desktop)

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup

Esegui queste operazioni essendo disconnesso e con tutte le applicazioni chiuse

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva "nascondi file protetti di sistema"

e Togli la spunta da: "Nascondi le estensioni dei file per i tipi di file conosciuti"(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Avvia il sistema in Modalità Provvisoria

CON TUTTE LE APPLICAZIONI CHIUSE....

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esserci tutte) e clicca su "fix checked

O2 - BHO: Class - {EB0ECAEA-515D-DB89-3B6C-6E84034BD847} - C:\WINDOWS\onquu1.dll

O2 - BHO: Class - {F4AE7615-AA0B-949E-D248-1426DB610340} - C:\WINDOWS\onquu1.dll

O4 - HKLM\..\Policies\Explorer\Run: [delldsk] "c:\windows\delldsk.exe"

Trova e se ci sono elimina questi files o cartelle usando esplora risorse (se non li trovi, riferisci)

C:\WINDOWS\onquu1.dll

C:\Programmi\filesubmit (tutta la cartella se non l'hai ancora eliminata e poi ripulisci il registro)

Ripulisci il sistema con Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

Pulisci il registro con Vise Registry Cleaner 1.x (Pulizia del Registro)

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

rifai il log di Hijack e mettilo qui per un ulteriore controllo (il log va fatto in modalità normale)

specificando se il problema ti pare che si sia risolto e le cose che non sei riuscito a fare

----------------

Se dopo la pulizia, (dopo il riavvio) il sistema ti sembra che funzioni correttamente, Disabilita il Ripristino di configurazione su tutte le unità;

(nota che questo ELIMINERà TUTTI i punti di ripristino, ed eventuali virus in esso contenuti..)

Quindi riabilitalo almeno sull'unità dove hai installato il sistema operativo (solitamente il disco C:\) e crea un nuovo punto di ripristino pulito

[zurich2006]

mi metto al lavoro....

ragazzi dovrebbero farvi una statua!

[zurich2006]

allora... anche avira me li ha segnalati, e ho fatto delete, e da allora ad ogni riavvio avg antispyware non me li segnala piu.. faccio lo stesso la procedura che mi indica Kuma o posto un'altro log di hijack?

grazie!

ciao

[Steve75]

fai la procedura indicata da Kuma e alla fine posta un nuovo log HJT

[zurich2006]

Ciao... allora ho provato a fare la procedura indicatami da Kuma.

I file su Hijack li ho trovati ed eliminati, mentre quelli da cercare su esplora risorse non li ho trovati, cioè la cartella l'avevo già eliminata prima mentre il primo file non c'è.

ho fatto la pulizia con wise (ho installato anche eusing free, posso eliminarne uno dei due?)

posto il log

non ho disabilitato il ripristino di configurazione... cmq anche prima della pulizia antivir e gli antispyware non me li segnalavano piu, adesso bisogna vedere dal log se ci sono ancora.

grazie mille come al solito, ciao!

hijackthis27_7.txt

[Kuma]

Ciao...

tieniti WISE registry Cleaner e disinstalla Eusing (il primo è migliore)

non ho disabilitato il ripristino di configurazione

Ti conviene disabilitarlo e quindi creare un nuovo punto di ripristino pulito... questa zona è un vero ricettacolo e se ti capita di usarlo, se contiene dei virus ti reinfetti in un attimo

Il log di Hijack è perfettamente pulito :up1:

[zurich2006]

benissimo... per quanto riguarda la disattivazione del ripristino configurazione di sistema ho provato a farlo ma la spunta è già presente... quindi va bene cosi?

:omaggi:

[Kuma]

Se la spunta è già presente, toglila e creati un punto di ripristino pulito

(a volte può servire)

Per limitare lo spazio, ti consiglio di far monitorare solo il disco sulquale è installato Windows (solitamente il disco C:\)

[zurich2006]

Fatto... grazie!

[Kuma]

Di nulla