Oggetto del messaggio: dialer infame

Inviato: mer 04 apr, 2007 7:05 pm 

Salve a tutti.
Sono Emanuele, di Roma.
Ho un problema di malware che non riesco a risolvere in nessuna maniera. Altre volte mi sono buscato virus e dialer ma ho sempre più o meno risolto artigianalmente senza rompere le tasche a nessuno, ma stavolta sono davvero disarmato.

Ho saputo del vostro forum navigando proprio alla ricerca di una soluzione, e dunque eccomi qua.
Premetto che prima d'aprire questo topic ho cercato negli altri se tante volte vi fosse già un problema anaologo al mio, ma sebbene ve ne siano diversi simili, nessuno è proprio identico, e tutte le soluzioni proposte urtano contro una serie di altri problemi.

Ma andiamo per ordine.

Il problema è il seguente. Premetto che ho un pc pentium IV con Win XP pro SP2. Ho installati Avast! antivirus, Zone Alarm firewall e AVG antispyware come protezioni permanenti (a sto punto mi manca solo di indossare il profilattico mentre navigo... -_-)

Circa cinque minuti dopo l'avvio della connessione ADSL, automaticamente mi si disconnette, mi compare una connessione dial-up chiamata "Luupi", che tenta due-tre volte di accedere ad internet (invano, giacchè non ho un 56k). Com'è venuta, così scompare ad ogni tentativo. Per qualche ora resta inattiva, mentre io navigo tranquillamente, poi riattacca.

In sè è più una seccatura che non un problema vero e proprio. Ma a questo si sommano altri fattori che mi lasciano poco tranquillo.

1) innanzitutto nessun malware mi viene riconosciuto nel sistema, nè da Spybot, nè da Adware, nè da AVG, nè da Avast.

2) di solito queste cose mi comparivano altre volte in collegamento ad un file exe che pizzicavo con task manager e cancellavo, eliminandolo anche dalla chiave di registro. Invece stavolta non ho alcun processo apparentemente ostile nel task manager.

3) se tento di fare una ricerca su internet su argomenti che riguardano questo tipo di minacce usando parole chiave come "hijackthis" automaticamente il browser si chiude, quale che usi (IE6, Opera, Mozilla).
Anche questo forum, non posso aprirlo dal pc. Infatti sto scrivendo dal portatile.

4) non riesco ad installare Hijackthis nè altri programmi specifici analoghi. L'esecutivo parte, ed immediatamente la finestra si chiude da sola.

5) tutto questo avviene anche in modalità provvisoria...

Vi allego il link all'immagine del mio task manager aperto, con i programmi in esecuzione (avevo aperti solo soulseek e windows media player al momento della schermata).

img515.imageshack.us/img515/6512/taskyt8.jpg

Vi ringrazio fin da ora per ogni aiuto che avrò.

Emanuele

 Oggetto del messaggio:

Inviato: mer 04 apr, 2007 8:25 pm 

scarica system scan
www.suspectfile.com/systemscan
disconnettiti da internet e disattiva antivirus e firewall
apri il file compresso,
spunta tutte le caselle e premi su scan now
poi salva il file di testo qui:
www.easy-share.com/
per farlo
premi sfoglia, seleziona il file e poi premi "upload"
comparirà un link. scrivilo sul forum

 Oggetto del messaggio:

Inviato: mer 04 apr, 2007 9:03 pm 

Grazie lufo88, ma purtroppo, esattamente come per Hijackthis, appena lancio il programma l'installazione si estingue immediatamente!

Nel task manager compare per un istante systemscan.exe e runme.exe, poi entrambi spariscono, assieme alla finestra d'installazione.

Scusate, ma leggendo le regole di questa cartella, posso o non posso rispondere dopo aver postato il primo post?

ema

 Oggetto del messaggio:

Inviato: mer 04 apr, 2007 9:07 pm 

prova a fare così.
start---> esegui---> digita "regedit" (senza virgolette)
cerca la chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
se c'è, un valore porta ad un file.
puoi scrivere qui il nome del file?

P.S. certo che puoi rispondere la regola si riferisce alle persone autorizzate ad aiutare gli utenti in difficoltà

 Oggetto del messaggio:

Inviato: mer 04 apr, 2007 10:59 pm 

Obbedisco:

dunque, ci sono due valori:

ab (predefinito) TIPO REG_SZ Dati (valore non impostato)
e
ab Debugger TIPO REG_SZ "c:\windows\system32\vrkmtwcq.tmp"

non so perchè, ma la seconda mi puzza...

ema

 Oggetto del messaggio:

Inviato: gio 05 apr, 2007 11:24 am 

ok, sospetto confermato
scarica ATF cleaner:
www.atribune.org/content/view/25/2/

scollegati da internet.
apri il tesk manager----> termina i processi:
explorer.exe

apri il menu file del task manager ---> Nuova Operazione (Esegui), digita "regedit" (senza virgolette)
aprire la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

elimina la chiave (tasto destro del mouse elimina e poi conferma)
(se non si elimina tasto destro---> autorizzazioni ---> seleziona ogni singolo utente e metti tutte le spunte poi elimina).
chiudi l'editor del registro.

nel task manager premi su nuova operazione ----> digita explorer.exe

avvia ATF cleaner premi su "select all" e poi premi "empty selected".

fai la stessa procedura per firefox ed opera (se li hai).

scarica (il malware dovrebbe impedirti di scaricarlo ma tu prova lo stesso prima di cominciare a rimuovere la chiave di registro.)
The avenger
swandog46.geekstogo.com/avenger.zip
estrai lo zip dove vuoi

apri the avenger---> input a script manually---->premi sulla lente d'ingrandimento e scrivi:


premi done ---> premi sul semaforo verde---> premi ok e poi yes ----> il pc si riavvierà (se così non fosse riavvialo manualmente)
può essere che dia errore riprova un paio di volte

puoi scrivere il log che ha creato the avenger?

 Oggetto del messaggio:

Inviato: gio 05 apr, 2007 7:58 pm 

Dunque, eseguiti tutti gli ordini per filo e per segno, però ho riscontrato i seguenti problemi:

ATF cleaner si blocca nella pulizia delle cartelle TEMP (che non posso pulire nemmeno a mano, visto che mi dà file in esecuzione)

Avenger invece mi dà il seguente errore:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: selected file does not appear to be a valid script.
Error code: 1813


Osso duro, eh!

 Oggetto del messaggio:

Inviato: gio 05 apr, 2007 8:58 pm 

proviamo così:

sposta il file
c:\windows\system32\vrkmtwcq.tmp
dove vuoi.
riavvia il pc.
se non compaiono le icone e altre componenti del desktop vuol dire che devi ri eliminare la chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
con la procedura che ti ho indicato prima cioè:


dopo esegui ATF cleaner (stavolta dovrebbe andare a buon fine) come avevo indicato prima.

dopo:
apri the avenger---> input a script manually---->premi sulla lente d'ingrandimento e scrivi:


al posto di "percorso del file" devi mettere il percrso dove hai spostato quel file

premi done ---> premi sul semaforo verde---> premi ok e poi yes ----> il pc si riavvierà (se così non fosse riavvialo manualmente)

scrivi il log di avenger

 Oggetto del messaggio:

Inviato: gio 05 apr, 2007 9:51 pm 

Provo subito.
Comunque già pare vada molto meglio: la connessione è stata attiva oltre due ore senza disconnettersi, posso navigare in questo forum (sto scrivendo dal computer principale e non più dal portatile) e se provo a cercare programmi come hijackthis non mi si chiude più il browser.

Il vento sta cambiando...

Addendum:

ho cliccato col destro, ho visto la protezione del file, e molto semplicemente, aveva tutte le autorizzazioni negate. Me le sono riattribuite (redde Caesari!) e l'ho eliminato con un semplice canc!

Grazie! Ti devo una birra, come minimo!

Ma secondo voi ho vinto, oppure è come quegli squallidi finali di Dylan Dog che c'è sempre un pezzetto del mostro che si ripresenta tipo i peperoni dopo cena?

Comunque, a prescindere. Siccome non voglio restare un ignorante in eterno e soprattutto continuare a scocciare il prossimo, cosa è successo, e come posso fare per cercare nella chiave di registro eventuali nuovi oggetti infami come questo?

 Oggetto del messaggio:

Inviato: ven 06 apr, 2007 11:59 am 

ok. dovrebbe esssere tutto a posto

prova ad inviare un log di system scan (nel primo messaggio ho scritto come fare ) così controlliamo eventuali residui.

P.S.

no ma controlliamo comunque


ecco qua la minaccia che ti colpito
www.suspectfile.com/blog/?sectionid=16

 Oggetto del messaggio:

Inviato: sab 07 apr, 2007 8:18 pm 

eqqueqqua il rapporto di System Scan

download

Dottore che mi dice? le analisi sono andate bene?... ma non è una cosa grave, vero?... ma... posso farcela?

 Oggetto del messaggio:

Inviato: dom 08 apr, 2007 6:18 pm 

hai ancora un po' di roba

meglio se ti copi da qualche parte le istruzioni e non ti colleghi ad internet.


scarica il tool della symantec
securityresponse.symantec.com/av ... inkopt.exe
esegui il tool della symantec dalla modalità provvisoria (per avviare il pc in modalità provvisoria all'avvio del pc dopo che ha finito di calcolare la RAM premi f8 finchè non compare una schermata in cui sono elencate varie modalità di avvio. con i tasti freccia selezioni "avvia windows in modalità provvisoria" e premi Invio )
li avvi il tool e premi scan. ti chiederà di riavviare il pc. premi ok.


avvia ATF cleaner (che ti ho fatto scaricare prima) premi su "select all"