Ieri sera, un amico mi ha portato un notebook con uno strano problema: qualsiasi pagina si vada ad aprire compare nella barra degli indirizzi il sito www.abnow.com... "MMM... Questo è un trojan", mi son detto! Ed infatti dopo una breve ricerca con Google mi sono trovato al lavoro per la rimozione.
La soluzione migliore sembra essere l'accoppiata Kaspersky TDSSKiller e Malwarebyte's Antimalware.
Una volta scaricati i due software (cliccando sul loro nome) rimuovere l'antivirus presente sul pc o, se possibile, disattivarlo completamente, quindi eseguire con diritti amministrativi TDSSKiller spuntando nelle proprietà avanzate "Detect TDLFS file system".
A questo punto riavviare il pc una prima volta. Eseguire l'installazione di Malwarebyte's Antimalware e quindi aggiornarlo. Effettuare un controllo completo di tutti i dischi. Cancellare tutto quello che trova. Ripetere la ricerca con TDSSKiller fino a non avere altri files individuati e riavviare.
A questo punto riavviare il pc una prima volta. Eseguire l'installazione di Malwarebyte's Antimalware e quindi aggiornarlo. Effettuare un controllo completo di tutti i dischi. Cancellare tutto quello che trova. Ripetere la ricerca con TDSSKiller fino a non avere altri files individuati e riavviare.
Riattivare il proprio antivirus o reinstallarlo nuovamente, in tal caso aggiornare le definizioni.
Come sempre MBAM è il migliore ed anche totalmente gratuito!Con MBAM il risultato della scansione troverà parecchie voci legate a 0Access come dalla foto qui sotto!
 |
| Virus ABNOW - Reindirizza le pagine web. |
Aggiornamento del 20 aprile 2012:
Direi di provare con SuperAntispaware e vedere se con una sola passata riesce a risolvere. Gli ultimi commenti fanno capire un lieve peggioramento della situazione! Cliccate sull'immagine qui sotto e scaricate la versione freeware.
 |
| L'alternativa... |
CIAO MA HAI RISOLTO IL PROBLEMA? ANCHE IO HO QUESTO TIPO DI TROJAN. SPERO SOLO DI NON FORMATTARE. GRAZIE
RispondiEliminaCerto che ho risolto! Vai tranquillo che non devi formattare... Segui attentamente i riavvii necessari dopo ogni scansione ed insisti con tdsskiller...
RispondiEliminaCiao Marco vedo che non sono l'unico ad ever preso questo virus :( Marco ho un problema io da quando ho preso questo virus sono senza connessione ovvero i computerini che spuntano in basso a destra lampeggiano sempre e in piu' c'è la lampadina gialla che si muove senza arrestarsi come se si volesse connottere ma con ci riesce, essendo che ho questo problema come aggiorno MBAM? Da premettere che ho effettuato la tua procedura senza aggiornare il MBAM ma tutto questo non ha avuto esito. Se mi daresti un mano te ne sarei molto grato. Grazie ciao
EliminaIl tuo problema riguarda l'impossibilità di ottenere l'indirizzo ip dal router, devo avere altre info sulla tua rete e le tue configurazioni. Hai provato a spegnere e riaccendere il router? Prima dobbiamo sistemare quello e poi aggiornare mbam!
EliminaGrazie Marco di avermi risposto comunque si ho provato a spegnere e riaccendere il ruoter ma niente.. comunque io questo problema ce l'ho da quando ho fatto tdsskiller. Prima invece mi apriva la pagina di internet ma mi mandava ad abnow.con ora invece mi dice impossibile contattare il server
EliminaAllora significa che avevi qualcosa di più di abnow!, è possibile che il precedente virus avesse colpito il driver della scheda di rete... Nessun problema, rimuovi la scheda e rimetti i driver, se non si connette rimuovi il tcp/ip e rimettilo, puoi usare anche la mia utility cercando repair nel mio blog!
Eliminaci sto provando. ti faccio sapere. grazie di cuore
RispondiEliminaFigurati... In bocca al trojan!!! Anzi Rootkit... ;)
RispondiEliminatds alla prima scansione mi ha trovato un file ed ho proceduto a premere "cure". poi ho riavviato il pc. appena esce windows il nod32 rileva subito altri file. disattivo il nopd 32 e faccio la scansione con l'altro Malw... e mi trova i file infetti li cancello ma il prb c'è ancora. come posso fare? scusami se ne approfitto della tua conoscenza e della tua cordiaità. grazie
EliminaOk, è normale... disattiva NOD32... ed usa tdsskiller fino a quando non trova più nulla... anche senza riavviare, riavvia solo alla fine. Poi scansione completa con mbam, riavvio e scansione con mbam... Io ho fatto così: non aprire ie per provare altrimenti ti ritorna tutte le volte! Ricorda di mettere la spunta nelle opzioni di tdsskiller...
Eliminaah ok allora per un po non scrivero'. poi ti faccioo sapere. fossero tutti gentili come te l'italia sarebbe molto migliore. ti stimo davvero.
EliminaHo provato come hai detto...ma non ha funzionato. Ho norton (disattivato perchè spunta la crocetta rossa). Ho fatto la scanzione con entrambi. tdsskiller non trova nulla. Mbam i 2 trojan con nome access. Riavvio ma quando vado su IE è la stessa cosa...:(
EliminaFidati che ha funzionato: l'errore che fai è di provare subito con ie e lui riappare! Io ho spento almeno 5-6 volte fino a quando tddskiller non ha trovato più nulla! E' solo in quel momento che MBAM ha trovato la sfilza di files!!!
EliminaA dimenticavo rimuovi norton... (RIMUOVI)
EliminaGrazie... emozione!!! Adesso chiudo anche io perchè devo uscire... in serata mi ricollego. Marco
RispondiEliminaè tutto confermato. sei un grande! ho risolto. grazie di cuore veramente. A presto (per cose migliori). Andrea. grazie!
EliminaPerfetto! Sono contento...
RispondiEliminaSanto subito! Tenchiù veri grazzzzzias ! :-)
RispondiEliminaEliana
Prego Eliana... Purtroppo San Marco esiste già ;)...
RispondiElimina:-) E allora San Genio , senza EU davanti, quindi extracomunitario! eheheh ! Davvero grazie ancora! Ciaoooooo
EliminaEliana
Salve Marco non riesco a disattivare l'Auto protect di Symantec. Credo che il virus interferisca, Non ho più il cd di installazione dell'antivirus... Hai una qualche soluzione da suggerirmi o un buon antivirus gratuito e leggero in alternativa?
RispondiEliminaDisistallo e metto Avira... la situazione è insostenibile. grzie per la guida
RispondiEliminaBeh, ti avrei proprio consigliato quello! Ti consiglio dopo la rimozione del pesantissimo norton di eseguire una pulizia con il giusto tool di rimozione fornito da symantec: norton è più difficile da rimuovere di un virus! Se vuoi prova anche VIRIT Lite... E' un antivirus completo per 60gg poi divebta un semplice filtro ma è di un leggero incredibile (chiaramente non protegge come avira, almeno nella versione lite)...
EliminaBuona domenica e scusami se non ti ho risposto subito ma ieri sera ho "chiuso" alle 22... ;)
Ciao , ho seguito la tua guida e dopo aver fatto 2-3 volte tutto il procedimento tdsskiller non mi rivela niente e anche mbam , inoltre non mi reinderizza più le pagine web.Solo che all'improvviso mbam mi da' un avviso dove dice che un programma nocivo sta tentando l'esecuzione e mi fa scegliere se metterlo in quarantena , lo faccio ma si ripresenta ad ogni riavvio.Consigli?
RispondiEliminaCiao, puoi essere più preciso, magari dicendomi come si chiama? Fai magari, subito dopo la rimozione una bella pulizia con ccleaner e con lo stesso vedi cosa c'è in avvio: puoi disattivare quasi tutto dal suo menù. Ciao
EliminaAllora , adesso penso di aver risolto definitivamente.In pratica da mbam facevo scansione veloce(dove mi trovava tipo 3 voci)e non scansione completa(dove me ne ha trovate 10).Ora sto scansionando ancora e non mi trova nulla e non mi sta dando nessun avviso , spero che questa storia sia finita :D.Ciao e grazie mille.
EliminaSalve,
RispondiEliminaho lo stesso problema volevo solo sapere, se ho capito bene, malwarebytes devo farlo solo se tdsskiller nn mi trova piu nessun elemento vero ?? e quando quet'ultimo trova gli elementi devo mettere "cure" ?? grazie
Esattamente così... Prima tdsskiller con la spunta in "più" (almeno 3-4 volte) poi mbam (meglio approfondito) quindi per sicurezza pulire con CCleaner...
RispondiEliminaOok grazie mi metto subito all'opera, spero solo di non dover formattare :((
RispondiEliminaGrazie di cuore :))
eheh formattare per una cosa così? Ho risolto problemi più grossi senza formattare, anzi io non formatto mai!!! Eventualmente prova a fare un controllo in modalità provvisoria dove gli eventuali rootkit non vengono caricati, installa un antivirus al volo o usa MRT (digita MRT nella riga esegui...) con ricerca completa. Ciaooo
RispondiEliminaHo appena finito i vari procedimenti, e pare proprio di aver risolto completamente il problema. Sei verametne un genio.
EliminaGrazie ancora per la tua disponibilità e gentilezza !! buon giornata! ciaoo =))
Innanzitutto sei un mito! Ho risolto molti problemi col tuo metodo tra cui sta merda di isecurity.exe che rompeva i maroni. Però per abnow continuo a lanciare tdskiller e continua a trovarmi i soliti due files access qualcosa ed un altro. Ogni volta riavvio ed ogni volta trova i due medesimi che devo fare??? Grazie un abbraccio Simone
RispondiEliminaDirei di fare un passaggio con tddskiller (con la spunta aggiunta mi raccomando) poi fai senza riavviare un passaggio con MBAM completo (non veloce) quindi pulisci con ccleaner e riavvia, controlla con ccleaner che non ti partano cose strane in avvio automatico (sia con user che come servizio) a tal scopo puoi anche usare msconfig e disattivare tutto almeno per un reboot...
RispondiEliminaSei un vero genio :-D risolto ti ringrazio con tutto me stesso davvero grazie :-D
RispondiEliminaGrazie simone, grazie di cuore a te!
RispondiEliminaSalve a tutti..
RispondiEliminane approfitto per kiedere a qualkuno di voi se saprebbe aiutarmi con un altro problema.
In pratica ogni volta che vado a spegnere il pc si riavvia da solo !!
quindi per spegnerlo realmente devo solo tenere premuto il tasto sul computer. qualkuno percaso ha la soluzione ?? grazie anticipatamente
Prova questi passaggi:
Elimina1) Aggiorna i drivers della scheda video
2) Aggiornare il BIOS della scheda madre
3) Nel BIOS disabilita la funzionalità di "Wakeup by PME" o "Wakeup By PCI" (dipende dal BIOS)
4) Eseguire Regedit, andare sulla chiave HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon e creare un nuovo valore Stringa "PowerDownAfterShutdown" e dargli valore "1"
5) CAMBIA ALIMENTATORE SE IL RESTO HA FALLITO!!!
Ho provato!! dopo controllo!!! speriamo in bene!! grazie cmq in anticipo!
RispondiEliminaCaro Marco
RispondiEliminaHo avuto lo stesso problema descritto dagli altri e coem gli altri l`ho risolto grazie alle tue indicazioni.
Grazie di cuore
Paolo M.
Anch'io sono stato colpito da abnow, grazie alle indicazioni qui presenti dovrei aver risolto il problema. Ti ringrazio!
RispondiEliminaClaudio
Ciao,Marco abnow ha colpito anche me,ma grazie ai tuoi consigli mi sembra di aver risolto,grazie!!!
RispondiEliminaciao marco, ho fatto la scansione con tdss e mi ha trovato un virus che ho spostato in quarantena, ma ogni volta che ripeto la scansione mi ritrova il virus! come devo fare? grazie in anticipo! :)
RispondiEliminaCiao, ho provato a seguire i tuoi consigli ma non riesco a risolvere. Ho installato TDSSkiller, l' ho fatto girare con permessi da amministratore ma non mi trova niente e ho ovviamente anche spuntato la casella Detect TDLFS file system, ho riavviato piu volte e l' ho fatto girare piu e piu volte ma non trova mai niente. Ho anche fatto fare una scansione completa a malwarebytes che mi ha trovato una decina di cose da eliminare ma dopo aver eliminato il problema persiste? Cosa posso fare? Esorcizzare il pc?
RispondiEliminaTi consiglio di rieseguire i controlli con Malwarebytes in modalità provvisoria (avvia premendo F8)... Ti assicuro che il metodo è risolutivo!
EliminaFatto!!! Grazie mille,in modalità provvisoria ha funzionato.
RispondiEliminaCome non detto 20 secondi netti di navigazione ed è ritornato -.- . Ma se salvo i dati che devo tenere e formatto, poi quando vado a riportare i dati rischio che sto abnow sia in giro e mi ritorni?? perchè senò formatto e festa finita. Scusa il disturbo.
EliminaAllora, il problema è che non fai la giusta pulizia... Dopo averlo rimosso devi con CCleaner ripulire tutti i temporanei, ed eventualemte verificare che non si avvii da altri percorsi, lo vedi da ccleaner, strumenti, avvio. Formattare per una cosa così è inutile... se lo hai in un link o in un preferito!
RispondiEliminaCiao Marco,
RispondiEliminaanche io ho il solito problema. Con il tuo metodo sono arrivato a togliere abnow al primo riavvio. Nel senso faccio i passaggi, mi trova sempre i soliti 6 file infetti, riavvio e abnow non c'è. POi finisco di lavorare, spengo il PC e il giorno dopo, sempre e cmq ritorna. ti posto i log di MBAM
File rilevati: 6
C:\Windows\assembly\tmp\U\00000001.@ (Rootkit.0Access) -> Spostato in quarantena ed eliminato con successo.
C:\Windows\assembly\tmp\U\800000c0.@ (Rootkit.0Access) -> Spostato in quarantena ed eliminato con successo.
C:\Windows\assembly\tmp\U\800000cb.@ (Rootkit.0Access) -> Spostato in quarantena ed eliminato con successo.
C:\Windows\assembly\tmp\U\800000cf.@ (Rootkit.0Access) -> Spostato in quarantena ed eliminato con successo.
C:\Users\francesco\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Verrà eliminato al riavvio.
C:\Windows\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Verrà eliminato al riavvio.
(fine)
Che ne pensi? procedo dopo MBAM con CCleaner? MI spieghi cosa devo fare con i processi di cui parlavi?
Grazie mille e scusa l'ennesima richiesta di aiuto.
Francesco
Scusa il ritardo ma non avevo ricevuto l'avviso ...
EliminaIo ti direi di fare il controllo in modalità provvisoria e prima di riavviare un controllo con ccleaner... In strumenti - Avvio dovresti vedere dei file con un sacco di numeri. Eliminali. Poi riavvia ancora in modalità provvisoria e quindi TDSkiller... Deve andare via! Fidati... Non si insinua in modo grave, esegue solo un temporaneo!
Buonasera, io ho lo stesso identico problema col virus abnow.
RispondiEliminaHo fatto la scansione con TDSKiller e mi compaiono alcuni virus però invece di "Cure" mi compare "delete". Io ci clicco e riavvio e faccio la scansione completa con MBAM il quale mi trova tanti virus. Li elimino, riavvio ma il problema persiste. Può gentilmente spiegarmi quali sono i passaggi esatti? Cioè ad esempio; prima avvio questo programma, poi riavvio, poi faccio la scansione con quest'altro programma e dopo riavvio. Se mi può spiegare passaggio per passaggio. La ringrazio infinitamente per la sua disponibilità :)
Salvo
Ho provato di tutto, ma abnow non si rimuove. Volevo anche provare con combofix, si estrae, ma non parte.
RispondiEliminaCiao, prima di tutto ti consiglio di operare in modalità provvisoria, poi di passare prima mbam, poi tdskiller un paio di volte prima di riavviare... Riavvia ancora in modalità provvisoria e riprova, ti assicuro che questo problema si risolve con solo questi strumenti. Ricordati di eliminare tutti i temporanei...
RispondiEliminaProva anche con http://www.sophos.com/it-it/products/free-tools/sophos-anti-rootkit.aspx
RispondiEliminae con http://www.freedrweb.com/cureit/...
Eventualmente ti consiglio di eseguire tutte le rimozioni dalla modalità provvisoria.
Salve Marco ne approfitto per chiedere un consiglio.
RispondiEliminaPossiedo un modem wifi alice gate 2 plus e in pratica sul pc collegato tramite ethernet va bene. Il problema è che sul portatile la connessione è lenta! mi hanno detto che dovrebbe essere un problema del segnale wifi.. io ho provato anke a cambiare il canale ma sempre uguale. Volevo se possibile qualke consiglio da te =) grazie
Ok, non credo sia un problema di segnale wifi... gli alice gate sono molto validi, possibile problema invece di impostazioni sulla wifi del tuo portatile (MTU per esempio)!
EliminaProva a collegare lo stesso pc via cavo e fammi sapere.
no però il fatto è che più mi avvicino con il portatile al modem wifi e più va bene! perciò ho detto che magari poteva essere un problema di segnale... ( forse mi ero espresso male io ) e poi ho anke un ipad ed è la stessa cosa! anzi quest'ultimo alcune volte nn me la rileva nemmeno la rete e devo avvicinarmi per forza al modem !!
RispondiEliminaOK, perfetto... Il canale che hai provato a mettere era libero? Io solitamente salgo verso l'11 o il 12 che sono quasi sempre liberi, evito 1 e 6! Comunque ora che mi ci fai pensare era successo anche a me da un tizio: doveva avvicinarsi a meno di 3 metri per agganciare... cambiato il router -> Risolto. Fattelo cambiare tanto paga telecom!!!
Eliminammm io avevo provato l'11 ... però non ho idea se era libero come hai detto tu. Come si fa a vedere ? voglio provare cosi se no poi procedo a farlo cambiare!!
RispondiEliminaPuoi usare "netstrumbler" ->
Eliminahttp://stumbler.net/download.php?site=1&filename=NetStumblerInstaller_0_4_0.exe
Avrai una schermata dove vedi i canali usati dalle wifi che ti circondano!
Ciao Marco , avrei bisogno di alcune informazioni , i programmi che hai citato sono ovviamente a pagamento , è quindi necessario acquistarli o anche in versione free trial possono aiutarmi?
RispondiEliminaNo, i sw che io propongo sono sempre freeware, in alcuni casi hanno delle limitazioni e possono essere acquistati ma fanno benissimo il loro compito anche in versione gratuita.
EliminaOk allora questa sera stanerò il maledetto rootkit , ti faccio sapere come va! Grazie per ora.
EliminaCiao Marco la situazione si è aggravata , in pratica non sono riuscito a fare nulla di quanto detto da te per i seguenti motivi : Il PC non vedeva più la rete , che invece è funzionante avendolo verificato sia con lo Smartphone che con una PS3 collegata via Wi-Fi , e peggio del peggio mentre disinstallavo la scheda di rete per cercare di ripristinare i driver ho riavviato , arrivato alla schermata di selezione utente l'ho trovata in freeze , mouse e tastiera inerti , unica azione accettata la pressione del tasto power che da corso al riavvio hai suggerimenti formattazione a parte?
EliminaCiao Marco la Finanza ha beccato in esecuzione automatica.....penso che basta solo quello modalità provvisoria ? Certo poi per sicurezza un bella scansione con Combo... xche ultimamente il "byte" fà un pò cilecca
RispondiEliminaEsatto... è solo un file exe linkato in esecuzione automatica... a MBAM ultimamente sfuggono i driver nascosti, basta metterli in luce con kaspersky.
RispondiEliminammm kasp ultimamente stò riscoprendo symantec e mi sembra che l'ho "hanno molto allegerito",cmq meno male che ci sono i vir... se no ci annoiamo....
Eliminasalve signor Marco,grazie a lei sono riuscito a rimuovere abnow e pero la mia connessione a internet tramite google chrome nn andava piu quindi ho dovuto fare IMPOSTAZIONI,ROBA DA SMANETTONI,MODIFICA IMPOSTAZIONI PROXY E HO MESSO IMPOSTAZIONI LAN E HO DESELEZIONATO LA CASELLA DOVE DICEVA UTILIZZA UN SERVER PROXY,COSI ORA MI RITROVO SU INTERNET.ABNOW SE TORNA MI ELIMINA PURE QUESTO TIPO DI CONNESSIONE?
RispondiEliminaCiao, si ABNOW! modifica le impostazioni di navigazione facendo passare tutto il traffico da un loro proxy, comprese le password ed i dati che si digitano! Strano che MBAM non avesse tolto le impostazioni proxy, comunque hai fatto la mossa giusta...
EliminaQuesto commento è stato eliminato dall'autore.
RispondiEliminaPS IO MI CONNETTO A UNA RETE PUBBLICA NETGEAR3G
RispondiEliminaLa rete pubblica intendi APERTA? Attenzione che collegarsi a reti wi-fi non proprie o in luoghi non pubblici predisposti è:
Elimina1- Illegale
2- Le comunicazioni non sono crittografate e quindi pericolose
Buona Pasqua...
Salve Marco, volevo chiedere consiglio riguardo un altro problema. praticamente sul mio computer fisso capita che all'improvviso nn mi legge più il mouse.. ho provato sia mettendolo dall'usb che dall'altra entrata per mouse ( quella affianco alla tastiera per intenderci) a volte riesco a farlo rifunzionare ma provando un sacco di volte a mettere e a togliere fin quando nn parte! e poi però al minimo spostamento del computer si blocca dinuovo!
RispondiEliminavolevo aggiungere che invece dalla porta usb davanti nn mi da problemi! cosa puo essere ? grazie anticipatamente
Temo un problema sull'alimetazione del mouse! davanti il cavo magari son si piega e dietro si... Prova a cambiare il mouse prima di incolpare il pc. Ciao!
EliminaSalve Marco ,
RispondiEliminafacendo la guida passo passo non risolvo niente!
Al primo riavvio ricompare questo maledetto ABNOW!!! come posso fare? _MANUEL_
Vuol dire che non la segui per bene! Se riappare vuol dire che non elimini i file temporanei per esempio.
EliminaSegui questi passi:
1- tdsskiller più volte con spunta aggiuntiva.
2- Mbam veloce
3- riavvia
4- Mbam completa
5- CCleaner per eliminare temporanei
Seguito anche questa miniguida ma niente!
EliminaC'è da dire che il primo punto, alla fine, mi chiedeva di riavviare! anche il 4 punto. Io naturalmente l'ho riavviato perchè mi diceva che comunque le infezioni non venivano eliminate se non l'avessi fatto. Non ho idea piu come fare.
_Manuel_
NON dovete riavviare se ve lo dice! Ecco il punto... Dovete passare tdsskiller fino a quando non trova più nulla con la spunta su "Detect TDLFS file system". Quindi passare MBAM e cancellare i momentanei con CCLEANER... Poi riavviare. Se rimane in modalità provvisoria ripetere tutto chiaramente aggiornando per bene tdsskiller e mabam... Fidatevi che funziona! Or ORA sto rimuovendo da un pc!
EliminaSisi chiaramente fino a quando TDSSKILLER me lo richiede lo riavvio, quando non trovo piu niente passo a MBAM il quale dopo aver fatto la scansione (sia quella veloce sia la completa) mi dice "riavviare per rimuovere completamente le infezioni trovate" e a quel punto riavvio . sbaglio nel riavviare dopo la ricerca di MBAM?
Elimina_Manuel_
Si, prima devi passare cclenaner e pulire il registro... Prova da modalità provvisoria!
RispondiEliminaScusa l'ignoranza, come faccio in "modalita provvisoria ??"
Elimina