www.MegaLab.it

[LOG]

Salve, mi sono cacciato nei guai.
Vi riporto la mia osservazione e passaggi per tentare la rimozione:

Browser: Firefox aggiornato ultima versione
OS: Windows xp sp2.

Premesso che adesso vi scrivo da un altra postazione.

Navigavo in internet (non ricordo il sito) quando dl'improvviso qualcosa di malefico (probabilmente uno script) esegue in background qualche applicazione

Appare cosi una finestra di un applicazione indesiderata dal titolo "XP Antivirus 2008", con un unico bottone "I Agree". Senza indugio, e considerando la gravità di un programma indesiderato, Apro il task manaer e Killo l'a finestra

Mi presto subito a effettuare verifiche, e interventi per la riparazione, poichè qualcosa è stato sicuramente compromesso, quando mi accorgo che lo sfondo del desktop è cambiato e ho impossibilità di ripristinare il vecchio sfondo, poichè nelle proprietà del desktop non vi sono + le caselle rispettive.

Inizio cosi ad eseguire qualche intervento e disabilitare le chiavi autorun del registro sospette, fixandole con HJT

Mi accorgo ben subito che La navigazione internet è stata compromessa. Molti siti non funzionano "Pagina non trovata" specie i collegamenti a file exe, e I PRIMI RISULTATI DELLA RICERCA GOOGLE, reindirizzano in una nuova finestra a un sito malefico es: " PAOLO". Mi esce il primo risultato PAOLO FOX e sue directory principali. Ma anzicchè il collegamento al sito di paolo FOX cè un collegamento malefico che apre pergiunta una nuova finestra. Solo per il primo risultato

Eseguo SmitfraudFix (serve ad elimare tutti quei fastidiosi script che si installano in automatico durante la navigazione web) ma il risultato non cambia.

Eseguo SDfix in modalità provvisoria, ma al riavvio una brutta sorpresa. Non riesco + ad accedere al desktop con la modalità normale. Dopo il login, Appare uno sfondo un blu leggermente + scuro del Blu di windows, e non va + avanti, non lanciando il desktop. Immaginate la mia disperazione

Posso muovermi solo da modalità provvisoria, e se scelgo modalità provvisoria con rete, non riesco comunque ad collegarmi.

Su un altro hdd ho un OS installato, lo installo sul pc e lo faccio partire come boot. Riesco cosi ad accedere all'unità compromessa-infetta da risorse del computer. e noto diversi file creati nelle directory c:\windows, c:\system32 etc..c:\document setting anche sul desktop cè un file catchme.zip

Eseguo dall'os non infetto con BIT-Defender,, la scanzione antivirus Online, dell'unità "e:\" che contiene l'os infetto, con il seguente risultato

Identified Viruses
20
Infected Files
32
Suspect Files
0
Warnings
0
Disinfected
0
Deleted Files
30

Trattasi dei:

Trojan.Peed.Gen
Backdoor.Generic.53441
Trojan.Generic.624525
Dialer.Generic.24229
Trojan.FakeAlert.AAI
Trojan.FakeAlert.ADA
Trojan.FakeAlert.AAI
Packer.Malware.Lighty.C

Mi auguro cosi di avere risolto. Riseleziono il boot device, l'hdd compromesso, e come per magia riesco ad accedere al desktop, ma noto una cosa anomala durante il login. Subito dopo il login lo sfondo blu scuro che si presentava prima appare per una frazione di secondo e poi lancia il desktop

Equivi accresce il timore, e a giustificarlo è la conferma di un improvviso sovraccarico della cpu al 100%, all'avvio, causando in qualche minuto il blocco. Durante l'autorun riesco a lanciare la taskmanager o il regedit, e osservo qualche processo che prima non c'era e che nonostante lo killi, non risolvo la questione:


alg.exe
wuacucl.exe
mdm.exe

[list]Dopo diversi tentativi dedico di manipolare ulteriori scanzioni facendo partire il boot del HDD con OS non compromesso e gestendo cosi l'unità e:\[list]

Eccomi qui. Il log di hijack non potrei postarvelo ora, ma potrei tentare di produrlo all'avvio. credo comunque sia pulito'. Xchè accedendo dal registro alle chiavi autorun non noto anomalie.

Attendo tutti i vostri preziosi suggerimenti, con la speranza di recuperare il mio os.

PS: non ho provato COMBOfix. Se mi dite che potrei scansionare l'unità e:\ da questa partizione sarei felice di farlo.

[ste_95]

Leggi questo articolo:
http://www.MegaLab.it/2967

[LOG]

grazie ste95. Credo pero' ti sia sfuggita qualcosa nella mia descrizione. Non potrei eseguire combofix dal disco OS infetto (ora e:\). Xchè appunto all'avvio del desktop il virus, causa un Sovraccarico della cpu che mi impedisce in qualche minuto di utilizzare completamente il pc. Fermo restante che dai primi secondi avviene il sovraccarico. Che sarà infetto anche avast? comunque seguendo la vosrtra eloquente spiegazione non trovo nell'unità e:\ i files maggiormente sospetti

[ste_95]

perché non usare combofix in Modalità provvisoria.

[LOG]

Non riesco ad accedere alla Modalità provvisoria. Dopo aver caricato windows in modalità provvisoria e effettuato il login si blocca alla schermata nera con le scritte bianche ai margini "Modalità Provvisoria."

[ste_95]

hai provato ad avviare a mano explorer dal task manager?

[LOG]

si. Ma il risultato non cambia. Facendo nuova operazione riesco ad aprire anche il regedit. Ma con fatica. In qualche minuto si blocca. Hai qualche idea? Non so se hai fatto caso alla mia citazione nel primo post.

e come per magia riesco ad accedere al desktop, ma noto una cosa anomala durante il login. Subito dopo il login lo sfondo blu scuro che si presentava prima appare per una frazione di secondo e poi lancia il desktop

Evidentemente cè qualcosa che esegue un file molto grosso oppure tantissimi files in loop mandando in overload La CPU che segnala il 100%. Naturalmente nessun sospetto nella taskmanager apparte questi

MDM.exe
ALG.exe
USERINIT.exe
wuauclt.exe


Inoltre ti chiedo se Installassi Windows XP SP3 sovrascrivendo l'attuale OS e lasciando il file system intatto potrei tentare di rimediare a qualcosa?

[ste_95]

Riesci a far girare rogue remover?

[LOG]

Riesci a far girare rogue remover?

Se lo avvio nell'OS infetto temo proprio di no.
Dovrei scansionare da qui l'unità E:\ che è quella infetta.
Ma chiedo a te se cio' è possibile con rogue remover.

[ste_95]

Ho seri dubbi, puoi però scansionare l'unità E:\ con Antivir.

[Amantide]

Evidentemente cè qualcosa che esegue un file molto grosso oppure tantissimi files in loop mandando in overload La CPU che segnala il 100%. Naturalmente nessun sospetto nella taskmanager apparte questi

MDM.exe
ALG.exe
USERINIT.exe
wuauclt.exe

Di per sé tutti questi file sono i file legittimi di sistema, però... i file userinit.exe di norma non dovrebbe essere visibile nel task manager e la sua presenza mi fa sospettare che il virus si avvalga proprio di questo file per essere caricato all'avvio.

In teoria dovresti aprire il regedit dalla modalità provvisoria, trovare questa chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon e vedere nella scheda a destra se il valore Userinit corrisponde a C:\WINDOWS\system32\userinit.exe, virgola compresa. Se vedi che oltre a questa voce dopo la virgola c'è il nome di qualche altro file, dovresti modificare il valore lasciando solo questa parte C:\WINDOWS\system32\userinit.exe, sempre virgola compresa, ed eventuale file incriminato andrebbe rimosso.

Il problema è che a quanto pare tu non riesci ad interagire con il pc in alcun modo, prova allora a creare il MegaLab CD Utility ed agire sul registro con il suo aiuto.

[LOG]

grazie amantide. Ti avviso pero' che se prima riuscivo ad accedere in modalità provvisoria , mentre in modalità normale no' (ossia dopo il login rimaneva appeso ad un colore di sfondo BLU scuro), ora e dopo la scansione in MP, con SDfix, si è verificato il procedimento inverso. In modalità provvisoria non riesco + ad accedere (dopo il login infatti rimane appeso un colore di sfondo nero con ai margini le scritte Modalità provvisoria), mentre in modalità normale con fatica riesco a caricare il desktop e rispettive applicazioni autorun. Riesco con fatica ad aprire la taskmanager ed eventualmente killare applicazioni. Riesco ad eseguire una nuova operazione e lanciare il regedit. Ma nel giro di qualche minuto, mentre qualcosa continua a girare si blocca tutto.

[Amantide]

Intanto vedi se riesci ad aprire il regedit e fare in tempo a controllare quella voce.

[LOG]

voce USerinit controllata, e regolare . Ad ogni modo io lo vedo nella taskmanager qualche istante prima che carica il desktop o forse qualche secondo dopo aver caricato il desktop poi scompare. comunque nel regedit al percorso da te indicato risulta regolare.

In + ho una novità. Visto che riesco comunque a far girare qualche applicazione subito dopo il caricamento del desktop che in qualche minuto si blocca tutto. Sono riuscito con + riavvii a installare e eseguire la scansione con rogue remover suggerito da ste.
Le voci sospette trovate e file li ho rimossi ma il problema resta sempre. Riporto il log. Intanto vedo se riesco a far giare HJT. e riportarvi il log.


Log di Malwarebytes' RogueRemover

Malwarebytes' RogueRemover
Malwarebytes ©2007 http://www.malwarebytes.org
6526 total fingerprints loaded.

Loading database ...
Expanding environmental variables ...

Scanning files ... [ 100% ].
Scanning folders ... [ 100% ].
Scanning registry keys ... [ 100% ].
Scanning registry values ... [ 100% ].

RogueRemover has detected rogue antispyware components! Results below...

Type: File
Vendor: WinKeeper
Location: C:\WINDOWS\system32\Shreder.dll
Selected for removal: Yes

Type: File
Vendor: WinKeeper
Location: C:\WINDOWS\system32\SuperRes.dll
Selected for removal: Yes

Type: Registry Key
Vendor: Registry Doc 2006
Location: HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}
Selected for removal: Yes

RogueRemover has found the objects above.

[Amantide]

Fai anche la scansione del disco e:\ dall altro SO con Kaspersky online e posta il report. Già se riuscirà a trovare solo un file infetto questo ci permetterà a capire di cosa di preciso si tratta e come agire in seguito.

[LOG]

Fai anche la scansione del disco e:\ dall altro SO con Kaspersky on-line e posta il report. Già se riuscirà a trovare solo un file infetto questo ci permetterà a capire di cosa di preciso si tratta e come agire in seguito.

sto eseguendo la scansione online del disco avente L'os infetto. In attesa del report ti allego il log di HJT che sono riuscito a fare. A me sembra pulito apparte qualche services
come ad esempio:

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe



Logfile of Trend Micro HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.47.49, on 06/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
L:\APPLZ OS-SECURITY\ANTIVIRUS\Avast 4.7\aswUpdSv.exe
L:\APPLZ OS-SECURITY\ANTIVIRUS\Avast 4.7\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Bonjour\mDNSResponder.exe
L:\APPLZ OS-SECURITY\ANTIVIRUS\Avast 4.7\ashDisp.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
L:\APPLZ OS-SECURITY\NOSPAM\Spamihilator\spamihilator.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
c:\hjt\HiJackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - L:\ALTRI\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Mario Forever Toolbar Helper - {A20854FD-DDB5-4931-8F76-D11EA2364D94} - C:\Programmi\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - L:\DOWNLO~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Mario Forever Toolbar - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - C:\Programmi\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] "L:\APPLZ OS-SECURITY\ANTIVIRUS\Avast 4.7\ashDisp.exe"
O4 - HKCU\..\Run: [Spamihilator] "L:\APPLZ OS-SECURITY\NOSPAM\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BrowserSentinel2] "L:\APPLZ OS-SECURITY\REGISTRY AND OS UTILITY\Browser Sentinel 2, hijack, spyware, adware, trojan, viruses, keyloggers protection for IT professionals\Browser Sentinel 2\BrowserSentinel.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Accoda in Star Downloader - L:\DOWNLOAD MANAGER\Star Downloader\sdieenq.htm
O8 - Extra context menu item: Add to &Teleport - L:\APPLZ WEBPAGE\Teleport Pro\teleport.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://L:\APPLZ VIDEO SCRITTURA\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Salva oggetto con Star Downloader - L:\DOWNLOAD MANAGER\Star Downloader\sdie.htm
O8 - Extra context menu item: Salva tutti gli oggetti con Star Downloader - L:\DOWNLOAD MANAGER\Star Downloader\leechie.htm
O8 - Extra context menu item: Save Flash - res://L:\ALTRI\Flash Saving Plugin\FlashSButton.dll/210
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - L:\ALTRI\Flash Saving Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoworld.it/public/ImageUploader3.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZI ... b56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\Skype4COM.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - L:\APPLZ OS-SECURITY\ANTIVIRUS\Avast 4.7\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - L:\APPLZ OS-SECURITY\ANTIVIRUS\Avast 4.7\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - L:\APPLZ OS-SECURITY\ANTIVIRUS\Avast 4.7\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - L:\APPLZ OS-SECURITY\ANTIVIRUS\Avast 4.7\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - L:\APPLZ VIDEO EDITING\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe

--
End of file - 6730 bytes

[TheHacker66]

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe

Il log è pulito. Il primo servizio fa parte dell'InstallShield, il secondo è legato a Windows Capture Packet Library, tutto legittimo.

Fai pure la scansione con Kaspersky.

[LOG]

fatto scansione del disco e:\ da questa postazione:

ecco il risultato

Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes

Scan area Folder
E:\WINDOWS

Scan statistics
Files scanned 18768
Threat name 0
Infected objects 0
Suspicious objects 0
Duration of the scan 00:22:14

No malware has been detected. The scan area is clean.
The selected area was scanned.

[Amantide]

E' da tanto che hai installato questa applicazione?
O4 - HKCU\..\Run: [BrowserSentinel2] "L:\APPLZ OS-SECURITY\REGISTRY AND OS UTILITY\Browser Sentinel 2, hijack, spyware, adware, trojan, viruses, keyloggers protection for IT professionals\Browser Sentinel 2\BrowserSentinel.exe" -autorun

A questo punto direi che non c'entrano nulla i virus, potrebbe essere qualche processo che va in conflitto con altri. Per scoprirlo puoi provare a "killare" tutti i processi in avvio automatico e vedere come si riavvia il pc (da Start--> Esegui--> msconfig--> scheda Avvio).
Vedi anche che errori appaiono nel registro eventi (da Start--> Esegui--> eventvwr.msc)

[LOG]

Il visualizzatore eventi non mi mostra eventi sospetti.
Il pc non riesco a riavviarlo se non col tasto reset posizionato sul CASE.
Infatti se riesco con fatica ad aprire msconfig all'eseguire alcune operazioni il pc inizia a bloccarsi ancora di +

-

si quell'applicazione da te citata è legittima. Lo installata da diversi anni. E' un monitoraggio delle chiavi del registro che si cambiano indesideratamente. Purtroppo non funziona xchè mi è scaduta la licenza di prova.