Author Topic: virus che crea collegamenti non si elimina  (Read 9816 times)

0 Members and 1 Guest are viewing this topic.

Offline stex921

  • Newbie
  • *
  • Posts: 7
virus che crea collegamenti non si elimina
« on: October 24, 2015, 05:44:16 PM »
Ciao a tutti ho un problema con un virus penso un worm che non riesco a eliminare. Mi crea collegamenti nei dispositivi usb, appena cerco di eliminare il virus si crea subito, se formatto non cambia e anche in modalità provvisoria non risolvo. Il virus si chiama LNK:Jenxcus-D [Trj]

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: virus che crea collegamenti non si elimina
« Reply #1 on: October 24, 2015, 08:50:57 PM »
Ciao,
prima di tutto scarica e installa MCShield http://www.mcshield.net/download.html
Lui inizialmente eseguirà una scansione e mostrerà il risultato vicino all'orologio di sistema
Poi, nel centro di controllo di MCShield selezione  scanner e spuntare la voce unhide items on flash drives

Inserire la chiavetta USB e McShield inizierà una scansione
Quindi allegare con il prossimo post il log, che sarà qui:
Start> Programmi> McShield>> tutte le scansioni
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline stex921

  • Newbie
  • *
  • Posts: 7
Re: virus che crea collegamenti non si elimina
« Reply #2 on: October 25, 2015, 01:44:26 PM »
ok tra poco faccio tutto grazie, a questo punto collego le 2 chiavette e un hd esterno che penso abbiano il virus, perchè mi creavano collegamenti non pensando che fosse un virus.  >:( :(
io per ora ho avast free edition e dopo questo virus avevo installato SUPERAntiSpyware Free Edition che non mi ha risolto il problema, forse se lo installavo prima non lo avrei adesso.
« Last Edit: October 25, 2015, 01:48:36 PM by stex921 »

Offline Giony

  • Poster
  • *
  • Posts: 598
Re: virus che crea collegamenti non si elimina
« Reply #3 on: October 25, 2015, 07:14:27 PM »
Ciao a tutti ho un problema con un virus penso un worm che non riesco a eliminare. Mi crea collegamenti nei dispositivi usb, appena cerco di eliminare il virus si crea subito, se formatto non cambia e anche in modalità provvisoria non risolvo. Il virus si chiama LNK:Jenxcus-D [Trj]
Come fai a conoscere il nome del virus? Lo ha rilevato avast?
Se si se te lo ha rilevato avast come mai non te lo ha bloccato?
Windows 10 Pro x64  -  Avast Internet Security 2016.11.2.2254  -  Mbam  -  HitmanPro  -  Ccleaner  -  Chrome

Offline stex921

  • Newbie
  • *
  • Posts: 7
Re: virus che crea collegamenti non si elimina
« Reply #4 on: October 26, 2015, 09:35:25 PM »
Si lo ha rilevato avast, ma appena provo a eliminarlo, bloccarlo o altro si rigenera subito. Comunque ho collegato le chiavette usb e mc shield mi ha rilevato subito il malware, allego il file log della scansione. Penso di aver scoperto da dove proviene il virus, MOVIE_20151012.AVI.WEBM.FLV ecc ecc .vbs
un file che avevo scaricato da fonte assolutamente non attendibile...

collegando anche l hd esterno non mi ha rilevato niente per fortuna, sembra che si replica solo su chiavette. Spero ci sia una soluzione senza re installare windows, anche se ultimamente sto pensando di passare a linux o simile.

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: virus che crea collegamenti non si elimina
« Reply #5 on: October 26, 2015, 11:36:57 PM »
Ok
Fai una scansione anche con farbar e allega i log https://forum.avast.com/index.php?topic=166413.msg1185101#msg1185101
Che versione hai di avast? La 10.4.2233?
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline stex921

  • Newbie
  • *
  • Posts: 7
Re: virus che crea collegamenti non si elimina
« Reply #6 on: October 27, 2015, 09:33:30 PM »
Appena acceso il pc e avast mi rileva lo stesso virus in C, user, appdata, roaming.. :(
comunque si ho quella versione di avast
ho scaricato farbar e fatto partire la scansione, avast me lo aveva rilevato come virus poi ho ignorato e finito la scansione. Allego i 2 file log.

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: virus che crea collegamenti non si elimina
« Reply #7 on: October 27, 2015, 09:41:27 PM »
Ciao,
ho chiesto ad un malaware removal specialist di unirsi a questo topic,
spero che ti risponda presto

Nel frattempo riesci a postare l'immagine del tuo schermo con l'allarme che mostra avast?
« Last Edit: October 27, 2015, 09:43:32 PM by giogio »
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40631
  • Dragons by Sasha
    • Malware fixes
Re: virus che crea collegamenti non si elimina
« Reply #8 on: October 27, 2015, 09:50:31 PM »
Let me know if this stops it

CAUTION :  This fix is only valid for this specific machine, using it on another may break your computer

Open notepad and copy/paste the text in the quotebox below into it:
 
Quote
CreateRestorePoint:
HKU\S-1-5-21-1051667977-3788622818-547820116-1000\...\Run: [MOVIE_20151012] => wscript.exe //B "C:\Users\ste\AppData\Roaming\MOVIE_20151012.AVI.WEBM.FLV_UCNUY389NCU52389Y5UC9823NYC589NY3289C5NY2389CY53NY58923YNC895N3Y298C5YN8239NYC5892YN59N825N2985N92592N59N2895NY239.vbs"
ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  No File
ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  No File
ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  No File
ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  No File
Startup: C:\Users\ste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MOVIE_20151012.AVI.WEBM.FLV_UCNUY389NCU52389Y5UC9823NYC589NY3289C5NY2389CY53NY58923YNC895N3Y298C5YN8239NYC5892YN59N825N2985N92592N59N2895NY239.vbs [2015-10-12] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.oursurfing.com/?type=hp&ts=1435874642&z=24888b5809de05f79c6fe45gbz5c8w7bemez1qec1w&from=2sq&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDA89697Z
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.oursurfing.com/?type=hp&ts=1435874642&z=24888b5809de05f79c6fe45gbz5c8w7bemez1qec1w&from=2sq&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDA89697Z
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1435874642&z=24888b5809de05f79c6fe45gbz5c8w7bemez1qec1w&from=2sq&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDA89697Z&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1435874642&z=24888b5809de05f79c6fe45gbz5c8w7bemez1qec1w&from=2sq&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDA89697Z&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1435874642&z=24888b5809de05f79c6fe45gbz5c8w7bemez1qec1w&from=2sq&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDA89697Z
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1435874642&z=24888b5809de05f79c6fe45gbz5c8w7bemez1qec1w&from=2sq&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDA89697Z
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1435874642&z=24888b5809de05f79c6fe45gbz5c8w7bemez1qec1w&from=2sq&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDA89697Z&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1435874642&z=24888b5809de05f79c6fe45gbz5c8w7bemez1qec1w&from=2sq&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDA89697Z&q={searchTerms}
HKU\S-1-5-21-1051667977-3788622818-547820116-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.oursurfing.com/?type=hp&ts=1435874642&z=24888b5809de05f79c6fe45gbz5c8w7bemez1qec1w&from=2sq&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDA89697Z
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1435874642&z=24888b5809de05f79c6fe45gbz5c8w7bemez1qec1w&from=2sq&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDA89697Z&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1435874642&z=24888b5809de05f79c6fe45gbz5c8w7bemez1qec1w&from=2sq&uid=SamsungXSSDX840XEVOX120GB_S1D5NSBDA89697Z&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1051667977-3788622818-547820116-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
FF HKLM-x32\...\Firefox\Extensions: [searchffv2@gmail.com] - C:\Users\ste\AppData\Roaming\Mozilla\Firefox\Profiles\vxcoykt2.default\extensions\searchffv2@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\ste\AppData\Roaming\Mozilla\Firefox\Profiles\vxcoykt2.default\extensions\sweetsearch@gmail.com
U3 aul7ho2a; C:\Windows\System32\Drivers\aul7ho2a.sys [0 ] (Microsoft Corporation) <==== ATTENTION (zero byte File/Folder)
2015-10-13 00:05 - 2015-10-12 17:29 - 00015223 _____ C:\Users\ste\AppData\Roaming\MOVIE_20151012.AVI.WEBM.FLV_UCNUY389NCU52389Y5UC9823NYC589NY3289C5NY2389CY53NY58923YNC895N3Y298C5YN8239NYC5892YN59N825N2985N92592N59N2895NY239.vbs
2015-10-13 00:05 - 2015-10-12 17:29 - 0015223 _____ () C:\Users\ste\AppData\Roaming\MOVIE_20151012.AVI.WEBM.FLV_UCNUY389NCU52389Y5UC9823NYC589NY3289C5NY2389CY53NY58923YNC895N3Y298C5YN8239NYC5892YN59N825N2985N92592N59N2895NY239.vbs
Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
RemoveProxy:
EmptyTemp:
CMD: bitsadmin /reset /allusers

 
Save this as fixlist.txt, in the same location as FRST.exe

Run FRST and press Fix
On completion a log will be generated please post that

THEN

Download  Anti VBS/VBE to your desktop

  • download the appropriate version (32 bit or 64 bit) and double click the file to run it.
  • After a couple of seconds (might also take a whole minute if the machine is heavily infected and/or slow) a report will open in Notepad.
  • Post that report
Be aware this is a very new programme and as such is not recognised by any Antivirus or Windows, it is safe so allow it to run

FINALLY

Please download AdwCleaner by Xplode onto your desktop.
  • Close all open programs and internet browsers.
  • Double click on AdwCleaner.exe to run the tool.
  • Click on Scan.
  • After the scan is complete click on "Clean"
  • Confirm each time with Ok.
  • Your computer will be rebooted automatically. A text file will open after the restart.
  • Please post the content of that logfile with your next answer.
  • You can find the logfile at C:\AdwCleaner[S0].txt as well.

Offline stex921

  • Newbie
  • *
  • Posts: 7
Re: virus che crea collegamenti non si elimina
« Reply #9 on: October 27, 2015, 10:54:22 PM »
allego il fixlog di FRST, il report di Anti VBS e il file log di pulizia di adwcleaner

Dopo aver riavviato il pc, avast mi ha rilevato il virus nelle chiavette, ho visto i file .vir e li ho eliminati. Adesso collegando le chiavette non si crea più il virus sembra risolto il problema.
« Last Edit: October 27, 2015, 10:56:18 PM by stex921 »

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: virus che crea collegamenti non si elimina
« Reply #10 on: October 27, 2015, 10:57:22 PM »
Gli allarmi di avast sono cessati?
Are the avast alarms ceased?

ok bene
« Last Edit: October 27, 2015, 10:58:59 PM by giogio »
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline stex921

  • Newbie
  • *
  • Posts: 7
Re: virus che crea collegamenti non si elimina
« Reply #11 on: October 27, 2015, 11:20:05 PM »
grazie mille di tutto, per evitare problemi simili cosa tengo installato oltre ad avast? tutti questi programmi o basta un anti malware ?

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: virus che crea collegamenti non si elimina
« Reply #12 on: October 28, 2015, 08:29:01 AM »
Io oltre ad avast ho Mbam free
https://it.malwarebytes.org/downloads/
con cui eseguo delle scansioni settimanali non essendo in realtime.
ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

Offline stex921

  • Newbie
  • *
  • Posts: 7
Re: virus che crea collegamenti non si elimina
« Reply #13 on: October 28, 2015, 05:33:12 PM »
ok allora lo installerò anche io, è utile tenere installato MCShield anti-malware tool ? ho visto un altro prodotto della famiglia Malwarebytes, Anti-Exploit. Può essere utile anche questo?

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4115
Re: virus che crea collegamenti non si elimina
« Reply #14 on: October 28, 2015, 07:53:01 PM »
L'importante a mio avviso è non esagerare. Non bisogna avere 10 tools di sicurezza installati sul pc che poi tra l'altro potrebbero fare conflitto tra loro...
Un antivirus + un anti malaware + aggiornare windows/programmi + la prudenza sono più che sufficienti  ;)
Direi che se usi tanto le chiavette di altre persone di installare MCShied altrimenti no.
L'ho usato ma poi rimane sempre aperto... ho preferito installare invece questo che una volta installato devi solo aggiornarlo ogni tanto https://www.foolishit.com/cryptoprevent-malware-prevention/
Questo è quello che consiglia Essexboy https://forum.avast.com/index.php?topic=178242.msg1262203#msg1262203

ciao
« Last Edit: October 28, 2015, 07:54:56 PM by giogio »
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52