MegaLab.it

Inviato: **ven set 05, 2008 2:34 pm**

Buongiorno a tutti!

Quest'oggi in uno dei PC del mio ufficio è stato notificato dall'antivirus (PC-Cillin 2008) l'esistenza di un virus (Trojan Generic ADV) che aveva danneggiato il sistema operativo, chiedendo con una finestra a parte il riavvio del PC e l'inserimento del Disco del Windows per ripristinare i files danneggiati.

Al riavvio il PC ha subito dato un messaggio di errore irreversibile con schermata blu che ha totalmente bloccato l'avvio del sistema operativo.

Qualche ora dopo la stessa sorte è capitata ad un altro PC.

Il tecnico al quale ci appoggiamo per l'assistenza informatica ci ha detto di non spegnere il PC in questione (parlo del secondo) in quanto quegli avvisi sono stati dati dall'antivirus per trarre in inganno l'utente e costringerlo a riavviare il PC dando così modo di far lavorare il virus ormai innescato.

Inoltre ci ha reso noto che nell'arco della mattinata altri quattro dei suoi clienti lo hanno contattato per il medesimo problema.

Sapete dirmi con che virus abbiamo a che fare e se è già noto un modo per renderlo immune?

Nel frattempo, ovviamente, il PC infetto non verrà spento fino alla risoluzione del problema, così da evitare che non si riavvii più com'è successo per il precedente.

Grazie anticipate per le eventuali risposte.

Inviato: **ven set 05, 2008 2:41 pm**

Dovresti farci vedere un log della scansione di hijackthis di quel pc tanto per cercare di capire cosa è entrato.

Inviato: **ven set 05, 2008 3:13 pm**

Ecco il log:

Logfile of HijackThis v1.99.1
Scan saved at 16.05.09, on 05/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\Programmi\LogMeIn\x86\RaMaint.exe
C:\Programmi\LogMeIn\x86\LogMeIn.exe
C:\Programmi\LogMeIn\x86\LMIGuardian.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Trend Micro\BM\TMBMSRV.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\LogMeIn\x86\LogMeInSystray.exe
C:\Programmi\Trend Micro\Internet Security\TmProxy.exe
C:\Programmi\Trend Micro\Internet Security\UfSeAgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\Programmi\3M\PSNLite\PsnLite.exe
C:\Programmi\LogMeIn\x86\LMIGuardian.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_STMS03.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programmi\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Programmi\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [TSC] "C:\Programmi\Trend Micro\Internet Security\tsc.exe" /HD
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OE] "C:\Programmi\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe"
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8324504468
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 8335058578
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{428C9DF8-E3C0-4D0D-9DD6-B7D25C798A17}: NameServer = 212.17.192.45,218.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{84DDBB89-2156-4F9E-904D-E36AFFE5D8EE}: NameServer = 151.99.0.100,151.99.125.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB081DB1-AABD-4AC7-A51B-EA0EDB4B80DB}: NameServer = 151.99.125.2,212.216.112.112
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programmi\Windows Live\Mail\mailcomm.dll
O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programmi\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programmi\LogMeIn\x86\LogMeIn.exe
O23 - Service: Componente Central Control Trend Micro (SfCtlCom) - Trend Micro Inc. - C:\Programmi\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Unknown owner - C:\Programmi\Trend Micro\BM\TMBMSRV.exe" /service (file missing)
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Programmi\Trend Micro\Internet Security\TmProxy.exe

Inviato: **ven set 05, 2008 3:31 pm**

Il log è pulito.

Scarica ComboFix ed esegui una scansione, le istruzioni le trovi in fondo a questo articolo.

Inviato: **lun set 08, 2008 11:58 am**

Ho trovato l'inghippo che ha causato il problema!!!

Proprio questa mattina ho ritrovato tra la mia posta elettronica una mail della Trend Micro dove comunica che ci sono stati alcuni casi (ma penso che siano parecchi) in cui, a causa di un aggiornamento, l'antivirus ha considerato ostili alcuni files di sistema validi mettendoli di conseguenza in quarantena. [:p]

Per il secondo Pc colpito dal problema è stato possibile risolverlo mediante un ulteriore aggionamento dell'antivirus; purtroppo ora il problema rimane nel primo PC dove non è possibile accede al sistema neanche in modalità provvisoria malgrado la stessa Trend Micro abbia sostenuto il contrario.

Mi sapete suggerire un sistema per poter accedere al PC attualmente inaccessibile?

Inviato: **lun set 08, 2008 12:49 pm**

Sicuramente la formattazione è la cosa migliore, ma se devi recuoperare i tuoi dati, puoi prenderli con il MegaLabCD. [^]

Inviato: **mar set 09, 2008 4:20 pm**

ric74 ha scritto:Ho trovato l'inghippo che ha causato il problema!!!

Proprio questa mattina ho ritrovato tra la mia posta elettronica una mail della Trend Micro dove comunica che ci sono stati alcuni casi (ma penso che siano parecchi) in cui, a causa di un aggiornamento, l'antivirus ha considerato ostili alcuni files di sistema validi mettendoli di conseguenza in quarantena.

non è la prima volta né l'ultima che un antivirus blocchi alcuni file del so causando, in casi più gravi come questo, problemi abbastanza seri [nonono]

a quanto pare, i controlli degli update sono cosa sottovalutabile per molti [chat]

MegaLab.it

Virus che si presente come antivirus

Virus che si presente come antivirus

Re: Virus che si presente come antivirus

Re: Virus che si presente come antivirus

Re: Virus che si presente come antivirus

Re: Virus che si presente come antivirus

Re: Virus che si presente come antivirus

Re: Virus che si presente come antivirus