Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Virus da falso aggiornamento java! Opzioni
nacho
Inviato: Tuesday, April 08, 2014 5:55:17 PM
Rank: AiutAmico

Iscritto dal : 12/16/2010
Posts: 111
Ciao ragazzi,ieri sera mentre navigavo mi si è aperta una pagina in cui diceva di aggiornare la mia versione di java sul pc,io l'ho fatto credendo fosse vero dato che anche altre volte prima di aggiornare java chiede l'approvazione,ma dopo ho scoperto che non era java ma tanti virus!Mi sono trovato installati dei programmi che non avevo e che non mi servono e poi la prima pagina web non era piu google ma websearches,quello con il logo delle corna o una cosa del genere!Allora ho fatto partire subito spyboat e a scansione terminata ha trovato piu di 50 voci che poi ho cancellato con il riavvio e una nuova scansione.Pero la prima pagina web era sempre la stessa e all'accensione mi si apriva un programma,che non so nemmeno cos'è,dal nome M6!Allora facendo una ricerca veloce su internet ho visto consigliare il programma YAC,facendo pulire il pc con quel programma la prima pagina finalmente non era piu websearches ma about:blank,poi oggi ho fatto fare un'altra scansione con Malwarebytes e,dopo piu di 3 ore di scansione,ha trovato 266 file infetti che ho cancellato!Pero dopo il riavvio il programma M6 continua ad aprirsi!Vi posto ora il log di Hijackthis,cosa posso fare?Secondo voi ci sono ancora virus nel pc e quindi dovrei fare altre scansioni con qualche programma particolare?Vi ringrazio intanto

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:43:10, on 08.04.2014
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v9.00 (9.00.8112.16540)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Windows\PixArt\Pac207\Monitor.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Windows\sm56hlpr.exe
C:\Users\Utente\AppData\Roaming\M6 Processing\vm6.exe
C:\Users\Utente\AppData\Roaming\M6 Processing\M6.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Users\Utente\AppData\Roaming\M6 Processing\M602\32\cpusrv.dat
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1396899813&from=tugs&uid=HitachiXHTS541612J9SA00_SB2D01E4KMUGHBKMUGHBX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: HiSuiteOuc.exe - Unknown owner - C:\ProgramData\HiSuiteOuc\HiSuiteOuc.exe
O23 - Service: HuaweiHiSuiteService.exe - Unknown owner - C:\ProgramData\HandSetService\HuaweiHiSuiteService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: iSafeService - Elex do Brasil Participações Ltda - C:\Program Files\iSafe\iSafeSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 5975 bytes
Sponsor
Inviato: Tuesday, April 08, 2014 5:55:17 PM

 
lukeluke
Inviato: Wednesday, April 09, 2014 12:55:54 AM
Rank: AiutAmico

Iscritto dal : 6/8/2011
Posts: 317
Ciao. Anche a me è apparsa la stessa richiesta di Java e alcuni tentativi di connessione al sito upgradienk.com. Per fortuna non ho scaricato il falso aggiornamento ma a volte mi capita di visualizzare questa falsa richiesta. Inoltre la mia connessione è un po' rallentata. Spero che qualcuno ci aiuti. Ricordi su quale sito ti trovavi?
fax71ita
Inviato: Wednesday, April 09, 2014 11:34:59 AM

Rank: AiutAmico

Iscritto dal : 4/23/2010
Posts: 3,838
ciaooo per entrambi seguite le istruzioni di R16 nella guida "eliminare pagine pubblicitarie" della sez. virus e avrete risolto tutti i vs. problemi.

nacho
Inviato: Wednesday, April 09, 2014 4:42:44 PM
Rank: AiutAmico

Iscritto dal : 12/16/2010
Posts: 111
Grazie mille fax71ita per l'aiuto,ho fatto tutto quello che diceva la guida,l'unica cosa è che mentre andava OTL il pc poi si è riavviato e per molti minuti continuava a riavviarsi da solo senza arrivare mai alla pagina iniziale del pc....allora ho cliccato sul bottone dello spegnimento e poi l'ho riacceso,ci ha messo piu di 20 minuti ma alla fine si è acceso,poi mi è uscita la scritta che gli aggiornamenti del pc erano stati installati,puo essere che mentre andava OTL il pc si sia riavviato da solo a causa degli aggiornamenti e quindi poi si sia bloccato al riavvio?In questo caso la scansione di OTL non è comopleta?All'accensione i log di OTL c'erano comunque....io intanto vi posto i log di tutte le scansioni fatte,grazie ancora

mbam-log-2014-04-08 (13-34-51).txt

JRT.txt

OTL.Txt

Extras.Txt

lukeluke hai fatto bene a non installare il finto aggiornamento java perchè era pieno di virus....Io ero su un sito giornalistico americano e,all'apertura di questa richiesta finta di java,credevo che per poter visualizzare bene il sito mi servisse l'aggiornamento di java dato che lo richiedeva e ingenuamente l'ho fatto!Comunque come ci ha consigliato fax71ita prova a seguire la guida di R16 e poi postalo ;)
r16
Inviato: Wednesday, April 09, 2014 6:19:40 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
@nacho:
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Code:
:OTL
O3 - HKU\S-1-5-21-1378272368-2795098545-2653791873-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-1378272368-2795098545-2653791873-1000..\Run: []  File not found
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

:Files
ipconfig /flushdns /c

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Dimmi quali problemi riscontri.

N.B:
Vorrei spendere 2 parole per questo tipo di infezione:
Questa infezione si prende SOLO ed ESCLUSIVAMENTE se si cade nella trappola di acconsentire lo scaricamento del finto aggiornamento di Java.

Se non si esegue l'aggiornamento proposto, il pc non verrà infettato.

Questa infezione di solito si manifesta quando si visitano siti poco protetti.
In pratica, il sito che si stà visitando, è infetto, e l'infezione tenta di infettare anche il malcapitato visitatore, proponendogli appunto di scaricare il finto aggiornamento Java.
Basta NON scaricarlo, e si è a posto.
nacho
Inviato: Wednesday, April 09, 2014 6:44:01 PM
Rank: AiutAmico

Iscritto dal : 12/16/2010
Posts: 111
Infatti non ho idea se quel sito sia protetto o meno dato che era la prima volta che lo visitavo,praticamente una pagina su facebook che seguo ne ha condiviso il link ed io mi sono limitato ad andarlo a visitare dato che parlava di un argomento che mi interessava,ma arrivato li mi si è aperta questa pagina del finto aggiornamento java e io ingenuamente l'ho scaricato,quindi si ho capito dopo aver visto tutti quei virus di aver fatto una cavolata nell'accettare...D'ora in poi staro piu attento...comunque ho fatto come mi hai consigliato,ecco il log di OTL :

04092014_182635.log

Quindi ora non è piu infetto o c'e altro da fare?Grazie ancora per l'aiuto ;)
r16
Inviato: Wednesday, April 09, 2014 6:58:47 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Apri OTL e clicca su CleanUP.
Si disinstallerà OTL.
Al riavvio fai una pulizia con CCleaner registro compreso.
Sempre con CCleaner:
Apri CCleaner.
Clicca su "Strumenti".
Clicca su "Ripristino Sistema"
Seleziona TUTTI i punti di ripristino e poi clicca "Rimuovi".

N.B:
Il punto segnalato in grigio (il primo) non lo puoi eliminare per motivi di sicurezza.

Se il pc funziona bene, e non riscontri problemi abbiamo concluso.
nacho
Inviato: Wednesday, April 09, 2014 11:02:47 PM
Rank: AiutAmico

Iscritto dal : 12/16/2010
Posts: 111
Ok r16 ho fatto tutto cio che mi hai detto quindi ti ringrazio molto per l'aiuto!Sto provando il pc e sembra andare tutto bene,nel caso vi faccio sapere se ci sono altri problemi...intanto volevo chiedere se ora devo disinstallare YAC ,JRT e adwcleaner?Io come antivirus ho Microsoft Security Essentials,poi nel pc ho malwarebytes e ancora la versione usb di spyboat,quindi per essere sicuri che non ci siano conflitti tra antivirus cosa devo lasciare e cosa eliminare?Grazie ancora molto per l'aiuto
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.