MegaLab.it

Inviato: **dom gen 23, 2011 11:51 am**

strano indirizzo ip+ 257 file temporali rilevati da comodo
Immagine

log gmer:

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-23 09:40:24
Windows 6.1.7600
Running: tzg1bj0b.exe

---- Files - GMER 1.0.15 ----

File C:\Program Files\COMODO\COMODO Internet Security\Quarantine\Temp 0 bytes
File C:\Program Files\COMODO\COMODO Internet Security\Quarantine\Temp\baseupd 0 bytes

---- EOF - GMER 1.0.15 ----

log malwarebytes

Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Versione database: 5576

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

23/01/2011 10:33:18
mbam-log-2011-01-23 (10-33-18).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 306377
Tempo trascorso: 52 minuti, 9 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

log HijackThis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:52:39, on 23/01/2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\PROGRA~2\Yzshadow\YzShadow.exe
C:\PROGRA~2\VIRTUA~2\VIRTUA~1.EXE
C:\PROGRA~2\VIRTUA~2\modules\WinList.exe
C:\PROGRA~2\ROCKET~1\ROCKET~1.EXE
C:\Program Files (x86)\IObit\Advanced SystemCare 3\AWC.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Program Files (x86)\Comodo\Dragon\dragon.exe
C:\Users\IoMe Mi\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files (x86)\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r
O4 - HKLM\..\Run: [TrueImageMonitor.exe] "C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [sllaunch] C:\Windows\SysWOW64\sllaunch.exe
O4 - HKCU\..\Run: [slwc] C:\Windows\SysWOW64\\slwc.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAC0E6A7-3C13-4DDE-AC23-5A9C63B88900}: NameServer = 156.154.70.25,156.154.71.25
O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE
O23 - Service: Emsisoft Anti-Malware 5.0 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe
O23 - Service: Servizio Acronis Scheduler2 (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Servizio Acronis Nonstop Backup (afcdpsrv) - Acronis - C:\Program Files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: COMODO System - Cleaner Service (Cleaner_Validator) - Unknown owner - C:\Program Files\COMODO\COMODO System-Cleaner\Cleaner_Validator.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Samsung UPD Service - Unknown owner - C:\Windows\System32\SUPDSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: Winstep Xtreme Service - Unknown owner - C:\Program.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 7187 bytes

Inviato: **dom gen 23, 2011 12:11 pm**

I tre log sono puliti, i file temporanei è normale che ce ne siano così tanti. Per il collegamento a quell'indirizzo IP, sinceramente non so, aspetta magari farbix che è più esperto su Comodo [;)]

Inviato: **dom gen 23, 2011 12:24 pm**

mi sono espresso male 257 file temporanei [url]INFETTI[/url] questo non credo sia normale ed un indirizzo ip del genere mai visto [boh]

Inviato: **dom gen 23, 2011 12:25 pm**

Potrebbe essere lo stesso problema di qui

viewtopic.php?f=33&t=69447&start=0#p537528

leggi il topic.

Quello che vedi è una connessione IPv6, quindi sospetto lo zampino del gruppo Home e della condivisione file

Inviato: **dom gen 23, 2011 12:29 pm**

eugenio19911 ha scritto:mi sono espresso male 257 file temporanei [url]INFETTI[/url] questo non credo sia normale ed un indirizzo ip del genere mai visto

Infetti da cosa?
Li ha rimossi?

Inviato: **dom gen 23, 2011 12:33 pm**

però non computer in condivisione con nessuno ho solo un pc e la rete wireless è disattivata.
i file sono infetti vengono definiti:
Rootkit.HiddenFile@0
oltre hai file temporali c'è anche WindowsUpdate.log stesso malware
si sono stati rimossi

Inviato: **dom gen 23, 2011 12:47 pm**

questi invece sembravano rimossi invece no
Rootkit.HiddenFile c:\Users\IoMe Mi\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
Rootkit.HiddenFile c:\Users\IoMe Mi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
Rootkit.HiddenFile c:\Users\IoMe Mi\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

Inviato: **dom gen 23, 2011 1:01 pm**

eugenio19911 ha scritto:WindowsUpdate.log
Rootkit.HiddenFile c:\Users\IoMe Mi\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
Rootkit.HiddenFile c:\Users\IoMe Mi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
Rootkit.HiddenFile c:\Users\IoMe Mi\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

Se i file sono questi, direi che ha preso delle belle cantonate...
gli ultimi file vengno ricreati ogni volta che apri internet explorer se li hai eliminati.

Inviato: **dom gen 23, 2011 1:55 pm**

internet explorer non lo uso quasi mai...
ho beccato un malware tosto persino rispristinando l'immagine con acronis il tutto ritorna penso che farò una formattazione per risolvere definitivamente il proglema

Inviato: **dom gen 23, 2011 3:53 pm**

addirittura dopo un ripristino [...]

forse qualche sito che carica dei file temporanei nocivi....non vedo altre alternative [acc2]

Inviato: **dom gen 23, 2011 6:57 pm**

il "fenomeno scatenante" è stato un file exe aperto da me, facendolo scansionare su virustotal solo comodo ed un altro antivirus risultava nocivo per questo pensavo si trattasse di un falso positivo, inoltre se non disabilitavi la sandbox sembrava che non funzionasse (anche dopo disabilitata il suo lavoro non l'ha eseguito comunque") in compenso mi ha infettato il pc [cry]

e neppure acronis è riuscito a tenergli testa l'unica possibilità è stato formattare.

Inviato: **lun gen 24, 2011 9:52 am**

A sto punto puoi passarmi il file in PM? voglio dare un'occhiata (si attivava solo a sandbox spenta e si replicava anche dopo un ripristino con Acronis....un caso misterioso,alla sampei [:D]

)

Sempre se non lo hai piallato,se no fa niente. [^]

PS

Il fatto che abbia resistito al ripristino con Acronis mi fa sospettare che si tratti di un bootkit.

La sandbox di COMODO blocca questi malware impedendone l'accesso ai settori del disco,questo spiega l'inattività sotto sandbox.

Si replica in settori casuali del disco,ciò porta a resistere anche dopo un format o un ripristino backup.

anche se hai formattato,ti consiglio di leggere attentamente questa guida e aspettare il parere di Uomo senza sonno

http://www.MegaLab.it/6360/guida-alla-r ... ei-bootkit

Non seguire subito la parte relativa alla rimozione,ma posta i risultati di mbr.exe

Inviato: **lun gen 24, 2011 12:33 pm**

sorry farbix ma formattando ho eliminato anche il file e sinceramente spero di non rivederlo più.
se avessi ancora la cronologia di internet potrei ripescarlo, ma dopo il format ho perso anche quella.
mi ricordo solo che conduceva un attacco da dos (molto rapido non si riusciva a capire cosa facesse) e non posso aiutarti neanche con l'identificazione con comodo perché lo rilevava come unknownmalware.
log gmer.exe

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600

device: opened successfully
user: error reading MBR
error: Read Handle non valido.
kernel: error reading MBR

Inviato: **lun gen 24, 2011 10:58 pm**

il log mi sembra sospetto.

Qui ci vuole il parere di Uomo senza sonno,gli segnalo questa discussione [;)]

Inviato: **lun gen 24, 2011 11:31 pm**

Davvero interessante come caso, può essere una variante di bootkit oppure qualche variante di rootkit che ancora non ha mostrato il vero volto. Il log di mbr.exe è dovuto al fatto che nei sistemi a 64 bit il tool non riesce a leggere lo status dell'mbr, ma si può sempre provare con il bootkit remover, come indicato nell'articolo.

Ad ogni modo, le cose sono due:
1. se si tratta di bootkit o rootkit, nemmeno con la formattazione riesci ad eliminare il problema: magari elimini il driver presente nel SO, ma il codice che veicola l'infezione è ancora presente nel disco in stato latente, pronto a scatenarsi; per eliminarlo puoi formattare a basso livello oppure editare i settori infetti con un editor esadecimale;
2. nel caso di infezione da bootkit, gli scherzi che il pc ti presenta sono molteplici, dalle fastidiosissime popup di IE ai crash improvvisi di sistema, oltre agli eventuali rallentamenti e/o impossibilità di eseguire programmi specifici di rimozione;

sono più portato a pensare che ci sia ancora annidato un qualche rootkit, ma prima esegui un controllo con il bootkit remover, e verifica se rileva o meno lo status dell'mbr, nel caso poi andiamo a controllare i settori con l'editor esadecimale.

Mi scuso per non essere intervenuto prima.

Inviato: **mar gen 25, 2011 1:27 pm**

sono pronto per l'uomo senza sonno

Inviato: **mar gen 25, 2011 10:36 pm**

Prova a fare un controllo con il bootkit remover, e verifica se lo status dell'mbr è ok(dovrebbe leggere anche il tipo di sistema operativo installato nel caso).

Inviato: **gio gen 27, 2011 9:20 am**

ok tutto a posto la resistenza ad acronis era dovuto al fatto che avevo l'altro sistema operativo xp che probabilmente si era contagiatoe dopo il ripristino dell'immagine sul sistema operativo principale il virus tramite xp è riuscito a reinfettarlo.
avendo eliminato tutte le partizioni e ripristinando il tutto il problema è stato risolto con successo.

MegaLab.it

infezzione difficile da rimuovere

infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere

Re: infezzione difficile da rimuovere