+ Rispondi alla Discussione
Risultati da 1 a 9 di 9
  1. #1
    Banned
    Data Registrazione
    25-07-15
    Messaggi
    270

    Exclamation [Secoh-quad.exe] Che cavolo è e perchè non va via? :|

    Salve a tutti,

    Stasera, al riavvio del compuer (Win 8.1 64bit Enterprise), mi ritrovo con questo pop-up dell'antivirus (AVG)



    Metto il virus in quarantena, e cancello anche la relativa .dll (Secoh.quad.dll in C:\windows).

    Riavvio il pc, e compare la stessa schermata. L'exe e il dll si sono riformati. Cancello di nuovo, riappaiono di nuovo al successivo riavvio.

    Ho scansionato il pc con i seguenti programmi, che mi hanno aiutato a risolvere più di una volta:
    - Malwarebytes antimalware
    - Superantispyware
    - AdwCleaner
    - HijackThis

    Niente da fare, il trojan non viene rilevato e non va più via.
    Cosa potrebbe esssere che lo fa "respawnare" a ogni avvio?
    Io non so più che fare...

    Grazie.

    P.S. Ho visto su google che questo file sarebbe in relazione a un programma per attivare illegalmente windows e office, ma io non ho nulla del genere sul mio pc. Inoltre l'infezione è comparsa di punto in bianco questa sera, senza aver installato niente prima (nè aver navigato su siti "poco sicuri")...

  2. #2
    blue_tech
    ospite

    Predefinito Re: [Secoh-quad.exe] Che cavolo è e perchè non va via? :|

    Scarica hijackthis lancialo come admin e posta qui il report della scansione

  3. #3
    Banned
    Data Registrazione
    25-07-15
    Messaggi
    270

    Predefinito Re: [Secoh-quad.exe] Che cavolo è e perchè non va via? :|

    Logfile of Trend Micro HijackThis v2.0.5
    Scan saved at 22:27:46, on 23/08/2015
    Platform: Unknown Windows (WinNT 6.02.1008 )
    MSIE: Internet Explorer v11.0 (11.00.9600.17840)

    FIREFOX: 40.0.2 (x86 it)
    Boot mode: Normal

    Running processes:
    C:\Program Files (x86)\AVG\AVG2015\avgui.exe
    C:\Windows\SysWOW64\ctfmon.exe
    C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
    C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    C:\Users\Emilio\Downloads\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    F2 - REG:system.ini: UserInit=userinit.exe,
    O2 - BHO: Skype for Business Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\Office15\OCHelper.dll
    O2 - BHO: Microsoft SkyDrive Pro Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\PROGRA~2\MICROS~1\Office15\GROOVEEX.DLL
    O4 - HKLM\..\Run: [AVG_UI] "C:\Program Files (x86)\AVG\AVG2015\avgui.exe" /TRAYONLY
    O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
    O4 - HKLM\..\Run: [CLMLServer_For_P2G8] "C:\Program Files (x86)\CyberLink\Power2Go8\CLMLSvc_P2G8.exe"
    O4 - HKLM\..\Run: [CLVirtualDrive] "C:\Program Files (x86)\CyberLink\Power2Go8\VirtualDrive.exe" /R
    O4 - HKCU\..\Run: [Power2GoExpress8] NA
    O4 - HKCU\..\Run: [SpybotPostWindows10UpgradeReInstall] "C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe"
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office15\EXCEL.EXE/3000
    O8 - Extra context menu item: I&nvia a OneNote - res://C:\PROGRA~1\MICROS~2\Office15\ONBttnIE.dll/105
    O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office15\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office15\ONBttnIE.dll
    O9 - Extra button: Lync - Chiamata con un clic - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\Office15\OCHelper.dll
    O9 - Extra 'Tools' menuitem: Lync - Chiamata con un clic - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\Office15\OCHelper.dll
    O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office15\ONBttnIELinkedNotes.dll
    O9 - Extra 'Tools' menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office15\ONBttnIELinkedNotes.dll
    O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
    O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files (x86)\Microsoft Office\Office15\MSOSB.DLL
    O18 - Filter hijack: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE15\MSOXMLMF.DLL
    O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpda teService.exe
    O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
    O23 - Service: ASUS Com Service (asComSvc) - Unknown owner - C:\Program Files (x86)\ASUS\AXSP\1.01.02\atkexComSvc.exe
    O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG2015\avgidsagent.exe
    O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG2015\avgwdsvc.exe
    O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
    O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
    O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
    O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
    O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
    O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
    O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: NIHardwareService - Native Instruments GmbH - C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
    O23 - Service: Origin Client Service - Electronic Arts - C:\Program Files (x86)\Origin\OriginClientService.exe
    O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: Service_21 (Service_21.exe) - Unknown owner - C:\Windows\System32\Service_21.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
    O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
    O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
    O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
    O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
    O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
    O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
    O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
    O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
    O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
    O23 - Service: WtuSystemSupport - Unknown owner - C:\Program Files (x86)\AVG Web TuneUp\WtuSystemSupport.exe

    --
    End of file - 8272 bytes
    Oggi avrò installato qualcosa come dieci programmi antimalware (alcuni molto pesanti e che hanno impiegato un sacco di tempo a scansionare senza trovare niente...) :V

    Dal momento che i 2 files si ricreano sempre e solo all'avvio di windows, volevo provare con un programma che scansionasse PRIMA di entrare nell'OS.
    Ricordo che risolsi un problema con un virus analogo grazie a ComboFix, che però non supporta Win 8.1
    Ultima modifica di Cagaghiaccio; 23-08-15 alle 22:34:32

  4. #4
    blue_tech
    ospite

    Predefinito Re: [Secoh-quad.exe] Che cavolo è e perchè non va via? :|

    Allora, dal log non vedo cose stranissime... per il prossimo passo secondo me hai due opzioni:

    1) aggiorni AVG, entri in mod provvisoria e fai una scansione completa dell'intero sistema sperando che riesca a rimuovere tutto definitivamente (in provvisoria il malware non dovrebbe essere attivo quindi hai più possibilità di eliminarlo)

    2) se sei un pò smanettone, avvia il computer con questo (Avira è più valido potrebbe trovare roba che avg non vede) e fai una scansione completa impostandolo per eliminare tutto quello che trova

    Poi vediamo com'è la situazione

  5. #5
    Banned
    Data Registrazione
    25-07-15
    Messaggi
    270

    Predefinito Re: [Secoh-quad.exe] Che cavolo è e perchè non va via? :|

    Grazie per i suggerimenti.

    Comunque ci sono novità. Ho scoperto che il virus NON si rigenera all'avvio di windows quando il mio modem scollegato/spento!
    Credendo che l'infezione fosse lì, ho resettato il modem, ma il problema rimane. Per sicurezza ho provato anche con un altro modem, idem.

    Dal momento che il problema sta nella parte di win che gestisce le connessioni di rete, ho disattivato/eliminato driver ethernet realtek e relativa connessione di rete = stessa situazione
    Ho cambiato dns con quelli di google.

    Ho eseguito il comando "netsh int ip reset", che equivale a dinisntallare/reinstallre i protocollo tcp/ip, ma niente...
    Stessa cosa per il winsock col comando "netsh winsock reset", nulla...

    Mi sarebbe tornato utile Combofix, perchè fa la scansione PRIMA dell'avvio di win, esattamente quando si formano i due maledetti files... Non c'è qualcosa di analogo per win 8.1 (cioè che fa lo scan pre-boot?)

    Oppure procedo con i due programmi da te indicati?
    Grazie.

    EDIT. Ho visto ora che l'utility di Avira fa proprio questo. Ora la scarico, faccio un boot-cd e vedo se risolvo.
    Ultima modifica di Cagaghiaccio; 24-08-15 alle 19:31:00

  6. #6
    Banned
    Data Registrazione
    25-07-15
    Messaggi
    270

    Predefinito Re: [Secoh-quad.exe] Che cavolo è e perchè non va via? :|

    Ho scaricato l'iso del tool Avira.
    Sul manuale dice
    After downloading the ISO file of the Avira Rescue System from our website, you have to create a bootable CD with an Operating System specific burn tool and the ISO file.

    Che programma posso usare per Win 8.1 64bit Enterprise Edition? Per masterizzare uso Cyberlink Power2Go, ma non mi pare di vedere opzioni per fare un bootable cd...

    EDIT. Risolto masterizzando su chiavetta USB. Ora provo a lanciarlo
    Ultima modifica di Cagaghiaccio; 24-08-15 alle 20:07:35

  7. #7
    Banned
    Data Registrazione
    25-07-15
    Messaggi
    270

    Predefinito Re: [Secoh-quad.exe] Che cavolo è e perchè non va via? :|

    Niente da fare, ho fatto una scansione con Avira e AVG, ma non trovano nulla (così come altre decine di programmi antimalware che ho provato)...

  8. #8
    blue_tech
    ospite

    Predefinito Re: [Secoh-quad.exe] Che cavolo è e perchè non va via? :|

    Dunque pare che non siano in molti a rilevarlo per ora -> http://www.supprimer-virus.com/kmspi...secoh-qad-exe/

    Quindi dato che ESET lo rileva, direi che hai le seguenti opzioni:

    1) avvii il pc in mod provvisoria con supporto di rete (così puoi usare internet) e dal browser fai la scansione online di ESET... in teoria dovrebbe permetterti di rimuovere sta schifezza

    2) oppure usi il loro live cd -> http://www.eset.com/int/support/sysrescue/


    Sinceramente proverei prima il livecd che lavora senza che windows sia caricato
    Mi aspetto che stavolta qualcosa salti fuori

    EDIT: l'unica cosa che mi lascia perplesso è che avg te lo rileva ma poi se scanni in mod provvisoria non vede nulla, ad ogni modo prova come ti ho detto e vediamo che succede
    Ultima modifica di blue_tech; 26-08-15 alle 14:33:51

  9. #9
    Banned
    Data Registrazione
    25-07-15
    Messaggi
    270

    Predefinito Re: [Secoh-quad.exe] Che cavolo è e perchè non va via? :|

    Incredibile, il virus è sparito senza che io facessi assolutamente nulla!
    Cioè, come è comparso così se n'è andato. Ho riavviato già 3 volte e il file infetto non si riforma più...

    Comunque grazie mille per i consigli (sperando che non si ripresenti più)

+ Rispondi alla Discussione

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice HTML è Disattivato