Avast WEBforum
Non-English Zone => Italiano => Topic started by: Roby78 on November 09, 2013, 02:01:37 AM
-
Ho un problema, ogni volta che avvio il pc, Avast mi manda questo doppio avviso
(https://imageshack.com/scaled/large/46/h4o4.jpg)
(https://imageshack.com/scaled/large/31/k6qp.jpg)
Ho provato tutto per liberamene, ho usato le scansioni complete di Avast, Spybot - Search & Destroy 2, Malwarebytes' Anti-Malware, Malwarebytes' Anti-Rootkit, ComboFix e gmer (anche da modalità provvisoria) ma niente di niente. Ho provato anche a usare il ripristino di Window 7 tornando fino al 29 ottobre (quando ancora non avevo il malware) ma nessun risultato lo stesso.
h**p://m.2ba172b54d712e2adb66ba04b4018bcc.com/?id=2ba172b54d712e2adb66ba04b4018bcc.com&key=update.vbe
h**p://m.0839f88ae61efaa3e91fdf5b732b242f.com/?id=0839f88ae61efaa3e91fdf5b732b242f.com&key=update.vbe
Questi sono i due indirizzi a cui Avast blocca l'accesso all'avvio di Windows e ne fa ricadere la responsabilità su wscript.exe
Avrei voluto provare a mettere questo file nel cestino ed avviare per vedere se non trovandolo questo malware come si comporta, purtroppo il file wscript.exe non si può ne spostare ne cancellare ne rinominare nemmeno facendolo da amministratore, perchè l'unico che ha l'autorizzazione completa a farlo è tale TrustedInstaller che non so cosa sia.
Allego alcuni logs:
-
Ciao e benvenuto,
1.hai già provato a programmare una scansione all'avvio con avast?
2.hai già provato ad eseguire il browser cleanup di avast (avast->strumenti->browser cleanup)?
i log postati sembrano ok, ti suggerisco di rimuovere sby bot per ora.
se il problema persiste prova a rimuovere manualmente le estensioni dei browser (firefox, chrome)..
inoltre per favore esegui una pulitura del disco con ccleaner
http://www.piriform.com/ccleaner/download/standard
se hai ancora pop-up, salva questo programma (con tasto dx sul link e salva destinazione, mettilo sul desktop) ed eseguilo
http://www.silentrunners.org/Silent%20Runners.vbs
quando lo apri ti uscira il seguente messaggio
Do you want to skip supplementary searches?
clicca su NO
se ricevi un errore clicca clicca su OK e fallo ripartire.
Quando esce ALL DONE! Posta il file di testo generato sul desktop.
Avrei voluto provare a mettere questo file nel cestino ed avviare per vedere se non trovandolo questo malware come si comporta, purtroppo il file wscript.exe non si può ne spostare ne cancellare ne rinominare nemmeno facendolo da amministratore, perchè l'unico che ha l'autorizzazione completa a farlo è tale TrustedInstaller che non so cosa sia.
non devi eliminarlo , il problema risiede altrove.
-
(http://img841.imageshack.us/img841/4515/6qqr.jpg)
Stamattina Avast ha accusato Avast stesso di essere un malware :o
E' normale che Gmer veda i files di Avast come rootkit pericolosi?
(http://img844.imageshack.us/img844/1001/9oec.jpg)
Comunque Avast a ogni fine scansione mi dava questo messaggio:
(http://img208.imageshack.us/img208/9673/dkhy.jpg)
Questo file l'ho eleminato e ora la scansione la fa pulita, ho fatto qualche danno eliminandolo?
La scansione all'avvio fatta senza risultati, fatto anche browser cleanup (mi dice che non ci sono addon con cattiva reputazione e comunque su firefox di addon ho solo lo stesso Avast e Ad-Block Plus) e ccleaner la faccio tutti i giorni in pratica.
Ecco il log comunque, quando ha detto "Do you want to skip supplementary searches?" ho detto no, e dopo ha detto anche "Are you sure you want to run the supplementary search?" e detto yes, ho fatto bene?
-
Stamattina Avast ha accusato Avast stesso di essere un malware :o
E' normale che Gmer veda i files di Avast come rootkit pericolosi?
si può essere
Questo file l'ho eleminato e ora la scansione la fa pulita, ho fatto qualche danno eliminandolo?
io non ce l'ho quindi non è un file di sistema, credo che hai fatto bene
Il log tuttavia non evidenzia nulla, prova con questo
scarica OTL sul tuo desktop
http://oldtimer.geekstogo.com/OTL.exe
apri il programma ma assicurati di avere chiuso tutte le finestre e lascialo lavorare senza interruzioni, poi seleziona
(https://dl.dropboxusercontent.com/u/73555776/OTL_Main_Tutorial.gif)
Seleziona All User, LOP e Purity , sotto Custom scan incolla questo:
netsvcs
BASESERVICES
%SYSTEMDRIVE%\*.exe
c:\program files (x86)\Google\Desktop
c:\program files\Google\Desktop
dir "%systemdrive%\*" /S /A:L /C
CREATERESTOREPOINT
Quindi clicca Run scan, e non cambiare altre impostazioni.
Quando finirà la scansione aprirà in automatico 2 file OTL.Txt e Extras.Txt si trovano dove si trova il programma OTL, quindi posta i 2 log
ciao
-
Ecco i due log
-
http://corporateflash.blogspot.it/2013/06/kill-trojanvirus-in-wscriptexe.html
Ho trovato questa guida può fare al caso mio?
Edit:
Ci ho provato ma non funziona, speriamo che in quei log si legga qualcosa di indacativo, non so più dove sbattere la testa
-
Ciao,
riapri OTL, sotto Custom Scans/Fixes
(https://dl.dropbox.com/u/73555776/OTL_Fix.GIF)
incolla questo
Commands
[CREATERESTOREPOINT]
:OTL
FF - prefs.js..extensions.enabledAddons: tineye%40ideeinc.com:1.1
[2013/08/28 16:10:01 | 000,008,001 | ---- | M] () (No name found) -- C:\Users\User\AppData\Roaming\mozilla\firefox\profiles\bnmmay9x.default\extensions\tineye@ideeinc.com.xpi
@Alternate Data Stream - 171 bytes -> C:\ProgramData\TEMP:1CE11B51
ipconfig /flushdns /c
ipconfig /release /c
ipconfig /renew /c
netsh winsock reset /c
netsh advfirewall reset /c
:Commands
[resethosts]
[emptytemp]
[Reboot]
quindi clicca su RUN FIX, al termine il pc si riavvia, dimmi se hai ancora i pop-up.
-
Nel riavvio non mi aveva dato il pop-up, ho provato poi a fare un ulteriore riavvio per fare la prova del 9 ed è ritornato purtroppo :(
-
Ciao,
ok. puoi riprovare a con OTL a fare un quick scan e postare il log?
Grazie
edit
prova anche a postare il log prodotto con questo
http://files.avast.com/files/rootkit-scanner/aswmbr.exe
clicchi su scan e poi save log
edit2
Ho appena chiesto una consulenza ad un malaware remover specialist, appena ho notizie ti faccio sapere come procedere oppure si unisce al topic, ciao
-
Ecco i due log. Comunque è strano questo malware perchè forse i vari programmi non lo trovano perchè Avast ad ogni avvio riesce a bloccarlo, in pratica ci deve essere da qualche parte un programma che appena arriva la connessione tenta di connettersi a due link ma viene bloccato da Avast. La cosa strana è che nemmeno i programmi anti-rootkit lo rilevano. Il PC comunque funziona perfettamente, non ho alcun problema ho solo questo doppio pop-up che mi da Avast a ogni avvio, quel procedimento con OTL sembra risolvere il problema, solo che ad un successivo riavvio si ripresenta. Quindi deduco che OTL lo rimuove ma al riavvio successivo viene ricreato in qualche modo. Ho provato anche a creare un punto di ripristino dopo il primo riavvio che ti fa fare OTL ed infatti selezionando quel punto di ripristino non ti da il pop-up, tuttavia se provi a riavviare il PC di nuovo appena torna online si ripresenta il pop-up. Da notare che il pop-up si presenta solo se c'è la connessione, in modalità provvisoria ad esempio non si presenta
-
This may be related to the Origin updater
Ciò può essere collegata con l'updater di origine
Please RIGHT-CLICK HERE (http://www.silentrunners.org/Silent%20Runners.vbs) and Save As (in IE it's "Save Target As", in FF it's "Save Link As") to download Silent Runners.- Save it to the desktop.
- Run Silent Runner's by doubleclicking the "Silent Runners" icon on your desktop.
- You will receive a prompt:
Do you want to skip supplementary searches?
click NO[/list]
- If you receive an error just click OK and double-click it to run it again - sometimes it won't run as it's supposed to the first time but will in subsequent runs.
- You will see a text file appear on the desktop - it's not done, let it run (it won't appear to be doing anything!)
- Once you receive the prompt All Done!, open the text file on the desktop, copy that entire log, and paste it here.
*NOTE* If you receive any warning message about scripts, please choose to allow the script to run.
-
Dear Essexboy,
you can find the silent runner log here
http://forum.avast.com/index.php?action=dlattach;topic=139416.0;attach=121508
Thanks to join here!
-
Ecco il log
-
Origin -> launches: C:\Users\User\AppData\Roaming\Origin\update.vbe [null data]
This is what I believe the culprit to be, we can disable this but it means that you will not get auto updates for the game
-
Thank Essexboy!
@Roby78, non ho capito come mai nel primo log non compare tale voce..comunque io la eliminerei sia dai task che il file (da quello che ho capito è legata a un updater di un gioco)
ciao
-
Avevo scaricato un'aggiornamento non ufficiale di FIFA 14 per avere le magliette delle squadre non licenziate, probabilmente il malware era in quel rar, Origin infatti è il programma dei giochi EA, provo ad eliminare quella cartella.
Edit:
Ha funzionato, era veramente quel file il responsabile (ho provato a riavviare 3 volte e non ha dato il pop-up), i due link del pop-up infatti finivano proprio con update.vbe, la cosa strana è che l'avevo cercato nella ricerca questo update.vbe ma non me l'aveva trovata forse era nascosto da qualche rootkit. Questo file updade.vbe l'ho rimosso con tutta la sua cartella tanto ora non ne ho bisogno, c'è qualche altro file che dovrei rimuovere, ad esempio una voce del registro?
Se lascio in esecuzione all'avvio sia Avast che Malwarebytes' Anti-Malware ho qualche conflitto? Spy-bot 2 perchè era consigliato rimuoverlo?
-
Questo file updade.vbe l'ho rimosso con tutta la sua cartella tanto ora non ne ho bisogno, c'è qualche altro file che dovrei rimuovere, ad esempio una voce del registro?
Dovresti avere nelle operazioni pianificate l'attività che lanciava tale file...
Non ci sono particolari controindicazioni tra avast e mbam, ma se usi quella in realtime di mbam metterei le esclusioni come spiegato qui
http://forum.avast.com/index.php?topic=95073.msg758195#msg758195
Mbam è meglio di spy-bot,dal mio punto di vista (e da quello che leggo in giro), poi vedi tu.
ciao
-
Nelle operazioni pianificate sembra non ci siano voci che lo riguardano, comunque ho dato una pulita con CCleaner
Spybot lo tenevo perchè ha un anti-rootkit incorporato, comunque non ce l'ho in avvio di windows, sta li e lo uso se dovesse servire
Comunque grazie, era una settimana che lottavo con questo malware maledetto
-
Di niente
ciao ;)