Mi è capitato sotto mano un PC infetto da un virus che non sono riuscito a identificare e vorrei il vostro aiuto a capire di cosa si tratta e soprattutto se è stato rimosso correttamente.

Vi spiego di seguito i sintomi ed elenco passo passo il procedimento che ho seguito per debellarlo (o almeno lo spero).

 

Da quanto ho potuto vedere, all'avvio del sistema operativo, dopo un periodo di tempo non quantificato (possono passare pochi minuti oppure ore) il Centro Operativo di Windows 7 avvisa che il Firewall è stato disattivato, se si procede a riattivarlo successivamente viene chiuso automaticamente Microsoft Security Essentials, che scompare dai processi attivi ma che è ancora possibile avviare dai programmi.

Se viene passato MSE prima e dopo la auto-chiusura forzata, non viene rilevata nessuna minaccia (quando mai), ma se però andiamo a controllare i processi all'avvio da msconfig notiamo che c'è un processo che in precedenza non c'era, di questo tipo:

 

rundll32.exe "C:\Users\*nomeutente*\AppData\Roaming\dselt.dll",WriteStreamToFile

 

Dove la .dll viene generata casualmente, la prima volta che mi ha presentato il PC si chiamava scaoel.dll, stesso processo, stessa directory di riferimento.

Ho così disabilitato la funzione di ripristino automatico di windows, riavviato in safe mode, avviato msconfig, cancellati i processi all'avvio simili a quello riportato sopra e ho provveduto a cancellare queste finte .dll dalla cartella Roaming.

Notare che se si prova a cancellare le .dll senza prima riavviare in safe mode, risultano utilizzate dal processo iexplorer.exe (WTF Internet Explorer?!) visibile come attivo dal task manager.

 

Ad ogni modo, per adesso non sembrano esserci altri sintomi dopo l'operazione riportata sopra, mi rimangono in mente alcune domande però:

 

1- Premettendo che l'utente non utilizza nemmeno IE, cosa stava tentando di fare questo processo e cosa poteva accadere nel caso l'avesse fatto? Ammettendo ovviamente che IE avesse qualcosa a che fare con questo.

 

2- Il virus è stato debellato correttamente? Ho provato a cercare qualcosa a riguardo ma trovo solo vecchi riferimenti di casi simili solo in alcuni punti, quindi non ho idea se ciò che ho affrontato sia la medesima cosa o meno, premettendo che è possibile abbia semplicemente cercato io la cosa sbagliata.

 

3- Last but not least, come cavolo l'ha preso?! A giudicare da quanto mi ha descritto la cosa più "sospetta" alla quale ho pensato è l'utilizzo di una chiavetta USB non pulita (nel senso che non l'ha formattata lui stesso) e che potrebbe aver contenuto file nascosti o addirittura normalissimi file già infetti (e che nel caso ho provveduto a cancellare).

 

Qualche idea?

 

 

Allora, 1, IE come supponevi non centra: il nome del file exe che tu dici è simile ma non uguale a quello usato normalmente (Iexplore.exe senza la R) e probabilmente era proprio il virus stesso.

2 - ma hai scansionato con l'antivirus residente tipo avira? oppure fai anche un giro con gli antivirus online tipo Panda o bitdefender

3 - potrebbe essere anche un virus da chiavetta in effetti, si sa che di questi tempi di robaccia ne gira parecchia

 

 

A parte i finti passaggi con MSE di solito uso Avira da chiavetta USB, ma non ha trovato nessuna infezione, la cosa che mi preoccupa adesso (nonostante non si siano presentati altri problemi) è che il problema possa verificarsi nuovamente se non riusciamo a risalire alla causa o per lo meno essere sicuro che questo sia il modo corretto per debellarlo, spesso mi capita di accorgermi tempo dopo che la minaccia fosse radicata più di quanto pensassi :/

 

 

Fai un giro di Combofix, così senza aver visto il pc dal vivo è complicato capire cosa fosse, il registro di sistema non indica niente di anomalo con programmi eseguiti di recente o attività?

 

Per quanto riguarda il discorso Virus etc...MSE è migliore di quello che si pensa, se lui non ha trovato nulla, a parte Avira forse, gli altri non troveranno nulla o solo falsi positivi, rimanendo nel discorso prodotti gratuiti.

 

 

Nel report segnala di aver trovato ed eliminato il file c:windowsSysWow64muzapp.exe che mi pare di capire sia qualcosa legato ad un dispositivo Samsung?

Ho notato che c'è anche il file C:WindowsSysWOW64muzapp.dll ma non lo ha eliminato, devo farlo io?

 

Comunque non penso le due cose siano collegate, evidentemente c'era anche questo e non se n'era mai accorto

 

 

Si è un file che installa Samsung Kies, esiste però anche un virus che crea lo stesso file se non ricordo male...controlla se Kies funziona

 

 

Il programma si avvia normalmente, non posso testare nulla pero' perché non ho alcun dispositivo Samsung, ad ogni modo Kies-virus a parte devo considerare la minaccia fantasma (pun intended) risolta o mi devo aspettare un altro sequel del virus in 3D?

 

 

ma fammi capire, a parte ms tu non hai un antivirus su quel PC?

 

 

MSE cosa sarebbe?

 

Ci sono diversi virus tipo Ucash che nel 99% dei casi se ne "fregano" di che antivirus hai e lì l'unica è sua maesta Combofix..dovrebbero fare una statua al suo ideatore

 

 

Concordo. Su chiavetta avevo mille mila applicazioni ma alla fine era l'unica che andava sempre.

 

Accanto bisognerebbe dedicare una statua anche all'inventore di Gparted o Parted Magic che su chiavetta (live) è spesso il sacro Graal di Sistema

 

 

MSE cosa sarebbe?

Fuffa? Onestamente non l'ho mai consigliato (e anche usato) a nessuno, ho sempre pensato non fosse proprio uno dei migliori AV esistenti..Tu invece mi dici che è buono... quindi gli darò una chance!

 

 

Potrei essere pazzo io, mettila tra le ipotesi

 

 

ma fammi capire, a parte ms tu non hai un antivirus su quel PC?

Il PC in questione non è il mio, ma anche io da quando ho quello nuovo uso Microsoft Security Essentials, è un antivirus free come tanti altri... prima usavo Avira, ma passando a MSE non ho notato alcuna differenza, porto in giro una copia di Avira su chiavetta solo per vedere se entrambi i programmi detectano le stesse cose o meno, cosa che finora hanno fatto, a parte qualche falso positivo di Avira ogni tanto.

 

Comunque ritengo che nessun antivirus possa sostituirsi ad un po' di cervello, ma purtroppo non posso imporre alle persone cosa devono o non devono fare con i loro PC, quindi mi tocca mettere una pezza quando possibile :/

 

 

Potrei essere pazzo io, mettila tra le ipotesi

E' più che un'ipotesi in realtà... ora, non dico che 200 indizi facciano una prova, però... http://www.advancedstudios.it/forum/public/style_emoticons//lookaro.gif

 

 

 

Microsoft essential + win 7 è un mix di sicurezza discreta, velocità e affidabilità.

 

Al lavoro noto piu spesso che ormai anche qualsiasi antivirus a pagamento con xp non riesce a far piu nulla, poi come dice Ryo il miglio antivirus è il cervello umano.

 

In ogni caso prova con hijack a vedere se è tutto ok, ma se hai lanciato in seguenza Rkill + Combofix + malwarebytes hai gia pulito il pc. di solito con hijack riparo canello i registri che dopo un infenzione possono dar problemi alla navigazione o chiusura dei browser.