www.MegaLab.it

[pieroferrari]

Da ieri lotto per bloccare Sirefef, un trojan che sta invadendo tutto il pc, crea un file log c:/anenger.txt che in pocge ore riempie tutto l'HD.
Gli antivirus utilizzati stamattina:
Malawarebytes
HiJackThis
TDSSKiller
Ecco i log
http://wikisend.com/download/882316/TDS ... 29_log.txt
http://wikisend.com/download/513294/ComboFix.txt]ComboFix.txt
http://wikisend.com/download/699430/hijackthis ore 12_17.log
http://wikisend.com/download/969050/mbam-log-2013-08-16 (14-22-07).txt
Ho riavviato, ma nulla è cambiato
Poi ho scaricato altri antivirus :
Intanto che faccio le tre scansioni con AdwCleanrìer, JRT e HitmanPro vi racconto di altre stranezze che ho trovato , oltre alla scritta al contrario che sa molto di satanico. Il disco C: aveva la condivisione attivata come nome utente C$ e aperta a tutti gli utenti, ma mi sono trovato anche 2 utenti mai visti , OWNER CREATOR e POWER . All'avvio in mod provvisoria non ci sono segni strani, mentre in mod normale crea un file c:/avenger.txt che cresce continuamente fino ad occupare tutto l'hard disk.
AdwCleaner ha fatto il suo lavoro, e ho riavviato. Con JRT ha trovato "bad module detected, required reboot. Dopo il reboot lo trova ancora.
skippato il secondo reboot e ho fatto concludere la pulizia.
Avviato Hitman
Questi sono i log
http://wikisend.com/download/495472/AdwCleaner[R1].txt
http://wikisend.com/download/486596/JRT.txt
http://wikisend.com/download/150564/Hit ... 6_2040.log
Mi sa c he devo pensare a riformattare il disco
Il PC non è aziendale, sono a casa, ma sono in rete con altri 3 PC , moglie e figli.
Sul PC ho 2 HD , e spero che il secondo non sia infetto.
Vi ringrazio per ulteriori consigli, ormai è una guerra che vorrei vincere.
Attendo un vostro illuminato parere

[[Claudio]]

Devo dire che sul quel computer c'è un po' di caos.

Piero, vorrei vedere il report (S1) di ADW dopo la funzione Elimina, non il primo.

Intanto fai girare questo tool (segui le istruzioni della Guida), ed allega il Report che verrà rilasciato.

[pieroferrari]

Stanotte ho rifatto i passaggi con tutti gli antivirus, e il risultato è che si blocca il modulo che crea il file di log avenger.txt, ma al riavvio si reinstalla e riparte.
Ora a modulo fermo sto savl vando tutti i files e soprattutto la posta , visto che ci lavoro con il pc , come consulente della ristorazione.
Intanto ho scaricato il TooloZeroaccess .
Sono daccordo che il PC è molto incasinato, e se riesco a salvarlo poi lo dovro' sistemare.
A dopo

[[Claudio]]

Sono daccordo che il PC è molto incasinato, e se riesco a salvarlo poi lo dovro' sistemare.

Gurda, se devi passare due giorni a "trafficare" per rimuovere malware e altri due per "sistemare" il caos .... salva tutti i dati e formatta, fai decisamente prima.
Certo, dopo ci dovrai anche stare attento, se non vuoi di incasinare nuovamente tutto (visto che da quel che ho capito con quel computer ci lavori).

[GERONIMO*]

ti basterebbe sostituire il file service.exe infetto con uno pulito,e risolvi
lo hai il cd di windows?

[pieroferrari]

Comunque devo riformattare perché il trojan mi ha cambiato diversi settaggi critici di sistema.
Salvati i files, ora devo salvare la posta da Outlook Express, che non è facile, poi elenco i programmi che avevo e vedo se ho gli installer.
Ma non so come riformattare il disco. L'ultima volta che ho formattato avevo windows 3.1 , si entrava in DOS con il config.sys ....... archeologia.
Forse devo ripartire con un CD di installazione windows e dire di formattare il disco ?
O ci sono nuovi sistemi ?
O semplicemente clicco su Formatta dico c: con opzione di creare disco di sistema, o giu' di li' ?

[GERONIMO*]

per formattare,ti serve il cd di windows,dopo formattato l'hhd devi installare windows. e senza cd non puoi farlo
se non puoi formattare,fai sapere che cerchiamo di risolvere il problema senza formattare

[pieroferrari]

Sul pc windows era preinstallato, si parla di 5 anni fa, è un HP con un drive con la configurazione iniziale.
Ma il problema potrebbe essere la rimozione del file con il trojan, anche se re installo il sistema operativo originario, non è detto che il trojan non sia in altra directory . Ho un CD, ma solo un aggiornamento Service pack 1
Ora vorrei provare a caricare un registro di sistema di un paio di mesi fa, e vedere se il problema si azzera.
Ho provato anche il Tool ZeroAccess ma non ha trovato niente.
Ecco i log dell'ultimo lavoro di oggi (Malwarebytes + JRT + AdwCleaner + HiJackThis
Dopo la pulizia il modulo che fa crescere il file di log c:/avenger.txt si arresta e il file sparisce, e tutto sembra normale Potrei ricollegarlo in rete e vedere se trasmette dati ... ma non vorrei rischiare)
http://wikisend.com/download/971166/AdwCleaner[S4] 17 05.txt
http://wikisend.com/download/473568/hijackthis 15_56.txt
http://wikisend.com/download/247392/hijackthis 17 05.txt
http://wikisend.com/download/570604/JRT 16 55.txt
le ultime cifre sono gli orari di log

[GERONIMO*]

dovrebe avere la partizione di ripristino,comunque anche formattando potrebbe ripresentarsi
segui queste indicazioni

1 disattiva il ripristino di sistema
http://www.windoctor.it/sistemi/xp/come ... indows-xp/

2 salva sul Desktop questo file
che vedi allegato sotto CFScript.txt
CFScript.txt
e trascinalo sull'icona di ComboFix.
partirà la scansione attendi la fine senza toccare niente
il sistema verrà riavviato automaticamente:
Posta il log aggiornato di combofix



3 segui qui come rimuovere gli ADS
http://www.windoctor.it/sicurezza/i-mig ... ta-stream/

[pieroferrari]

Fatto quanto consigliato, disattivato ripristino config
Usato HiJackThis con rimozione ADS, cosa che non conoscevo proprio.
Avviato Combofix con il file indicato
il sistema è andato in crash dopo l'avvio di combofix, riprovato e fa lo stesso, riprovo da mod provvisoria
programma eseguito, sistema ripartito in mod normale, creato il report, alla chiusura di combofix sistema in crash
Il log :
http://wikisend.com/download/283474/avenger pulito gupdate.txt
http://wikisend.com/download/834230/AdwCleaner[S5] Post pulitura.txt
http://wikisend.com/download/910332/ComboFix 18 ago 17_10.txt
MA SOPRATTUTTO QUESTO
http://wikisend.com/download/277472/bugs.txt
che credo sia il vero trojan, anche se non capisco come lavori, ancora,
ma è in uba directory C:/Programmi/Google/desktop/Install eccetera, poi i caratteri sono strani
ma non si cancella neanche con RegToy
Forse in mod provvisoria, o forse con un programma specifico
Hai qualche suggerimento ?
Intanto il PC parte senza il solito creatore di falso lod C:/avenger.txt che mi riempiva il PC

[GERONIMO*]

bhè già è qualcosa,un passo avanti è stato fatto
combofix il report sembra ok...a parte parecchi driver con nome strani..che poi vedremo dopo

prima cosa hai parecchi programmi per la sicurezza e questo non và bene, dopo ti dico quali rimuovere e quali tenere

elimina i servizi di power offer 3,che sembra non voler andare via
salva sul desktop questo file DeleteServizi
http://www.mediafire.com/?8wajfm0d1lb2alc
Lancia il file batch DeleteServizi

poi voglo consultare anche Otl
quindi Scarica OTL by OldTimer sul Desktop
http://www.windoctor.it/?wpdmdl=58

Chiudi tutti i programmi aperti
Metti il segno di spunta su Scan All Users
LOP Check
PURITY Chech
Clicca su Run Scan
Attendere la fine della scansione, OTL lascierà due file di log (OTL.txt ed Extras.txt),
allegali

[pieroferrari]

Fatto, ecco i log
http://wikisend.com/download/476204/OTL.Txt
http://wikisend.com/download/131250/Extras.Txt
Il problema si vede bene, è anche in google update.
Ho disinstallato tutto il chrome e google, ma la cartella google con sottocartelle non si elimina

[GERONIMO*]

ok
allora segui qui...
Disattiva Antivirus e firewall
chiudi tutti i programmi aperti

Apri OTL
e copia/incolla tutto questo Script che vedi sotto nella finestra Custom Scans/Fixes
clicca su RUN FIX
Lascia finire la scansione
Riavvia il pc quando richiesto cliccando su Ok
Al Riavvio del pc trovi il log sul Desktop
postalo qui sul forum.

Codice: Seleziona tutto

:Services
:OTL
SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe -- (WPFFontCache_v0400)
SRV - File not found [On_Demand | Stopped] -- C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe -- (gusvc)
SRV - File not found [On_Demand | Stopped] -- C:\Programmi\Google\Update\GoogleUpdate.exe /medsvc -- (gupdatem)
SRV - File not found [Auto | Stopped] -- C:\Programmi\Google\Update\GoogleUpdate.exe /svc -- (gupdate)
SRV - File not found [Disabled | Stopped] --  -- (‮etadpug)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\wejyhaea.sys -- (wejyhaea)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\utbjpewe.sys -- (utbjpewe)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\seufnsks.sys -- (seufnsks)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\sbsbsxuj.sys -- (sbsbsxuj)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\SBREDrv.sys -- (SBRE)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\nzbrnmeh.sys -- (nzbrnmeh)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (lmimirr)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\gmpehowa.sys -- (gmpehowa)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\gjaoboiy.sys -- (gjaoboiy)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\gbqlnqfh.sys -- (gbqlnqfh)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ejedjvff.sys -- (ejedjvff)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\dwtjferk.sys -- (dwtjferk)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\czxycuii.sys -- (czxycuii)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\cldticqr.sys -- (cldticqr)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ajmuxcmv.sys -- (ajmuxcmv)
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
FF - HKLM\Software\MozillaPlugins\@macromedia.com/FlashPlayer9:  File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKCU\Software\MozillaPlugins\@macromedia.com/FlashPlayer9:  File not found
[2013/03/16 13.57.35 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Extensions
[2013/08/16 19.15.25 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\3jxwxf2r.default\extensions
[2013/03/16 13.57.47 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\3jxwxf2r.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2013/03/01 09.41.28 | 000,269,007 | ---- | M] () (No name found) -- C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\3jxwxf2r.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}.xpi
[2013/03/16 17.10.14 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programmi\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
File not found (No name found) -- C:\PROGRAM FILES\IOBIT APPS TOOLBAR\FF
File not found (No name found) -- C:\PROGRAMMI\IOBIT APPS TOOLBAR\FF
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{11aa5c56-b4e2-4b8f-803a-d340415532f3} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [SsroService]  File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe" File not found
O4 - HKLM..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController File not found
O4 - HKU\.DEFAULT..\Run: [Updater27126.exe] C:\WINDOWS\System32\config\systemprofile\Impostazioni locali\Dati applicazioni\Updater27126\Updater27126.exe (T5)
O4 - HKU\S-1-5-18..\Run: [Updater27126.exe] C:\WINDOWS\System32\config\systemprofile\Impostazioni locali\Dati applicazioni\Updater27126\Updater27126.exe (T5)
O8 - Extra context menu item: Free YouTube Download - Reg Error: Value error. File not found
O8 - Extra context menu item: Free YouTube to MP3 Converter - Reg Error: Value error. File not found
[2013/08/18 16.29.59 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\ftdc.sys
[2013/08/18 16.00.11 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\exob.sys
[2013/08/18 15.40.39 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\ginjjxlt.sys
[2013/08/18 15.32.41 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\rpxibgmy.sys
[2013/08/18 15.17.48 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\haec.sys
[2013/08/18 15.15.17 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\pciho.sys
[2013/08/18 13.54.34 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\rnufw.sys
[2013/08/17 18.24.12 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\ssyyoukq.sys
[2013/08/17 18.15.24 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\wbdguucr.sys
[2013/08/17 00.44.40 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\fpsgawn.sys
[2013/08/16 22.25.16 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\dkbha.sys
[2013/08/16 18.32.26 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\aboggxhj.sys
[2013/04/27 16.40.05 | 001,169,609 | ---- | C] () -- C:\WINDOWS\unins000.exe
[2013/04/27 16.40.04 | 000,081,849 | ---- | C] () -- C:\WINDOWS\unins000.dat
[2013/03/16 16.32.03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Guest.PIEROUFFICIO\Dati applicazioni\Search Settings

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:Files
ipconfig /flushdns /c

:commands
[purity]
[emptytemp]
[Emptyjava]
[EMPTYFLASH]
[start explorer]
[Reboot]

poi disinstalla
java e flash player
li reinstalli dopo aggiornati

disinstalla SpyHunter e IObit malware fighter

usa questo tool per pulire i file che si trovano nelle cartelle temporanee di tutti gli Account sul computer
http://www.windoctor.it/software/ottimi ... e-cleaner/

Controlliamo anche il Master boot record
Scarica MBRCheck
http://ad13.geekstogo.com/MBRCheck.exe
posizioniamolo direttamente in C;\

Chiudi tutti i programmi aperti e lancia MBRCheck.exe con doppio click
partirà una rapida scansione di pochi secondi
alla fine sarà creato un report..postalo qui

Scarica aswMBR.exe sul desktop.
http://public.avast.com/~gmerek/aswMBR.exe
Chiudere tutti i programmi aperti e lanciare aswMBR.exe con doppio click
ti verrà chiesto di aggiornare il database di aswMBR.confermiamo cliccando su SI
Attendi la fine dell’aggiornamento

Quindi clicca su Scan
Attendiamo la fine
clicca su Save log
salva il report e postalo qui

[pieroferrari]

Usato OTL
http://wikisend.com/download/569018/OTL.Txt
Check MBR
http://wikisend.com/download/380742/MBR ... .34.53.txt
Non ho proceduto con Fix, visto che mi dovrebbe riscrivere il MasterBoot
Come procedo ?
Col Fix MBR ?

Intanto ti ringrazio per la competenza e sopratttutto l'estrema pazienza.
Ma è una questione di principio, ormai, lo dobbiamo debellare.

Piero

[GERONIMO*]

ma hai eseguito lo script in OTL che ti ho postato?
non devi allegarmi il report di una scansione di otl,ma il report che rilascia dopo aver eseguito lo script e riavviato il pc
e devi postarmi anche il report di aswMBR

per ora non fixare nulla in merito al MBR

devo vedere prima l'altro report quello di aswMBR

Tranquillo che se segui bene ciò che ti dico,lo debbelliamo

[pieroferrari]

forse ho sbagliato file,
ho rifatto , ecco i log
http://wikisend.com/download/405662/08192013_172257 OTL.txt
http://wikisend.com/download/733990/aswMBR.txt

[GERONIMO*]

ok..ora sono quelli giusti

qui sembra tutto ok in otl

nei report di aswMBR e MBRceck sembra ci sia qualcosa..tracce del rootkit zero access

fixa il master boot record

apri aswMBR
fai lo scan e alla fine clicca su Fix

[pieroferrari]

Fatto, sembra che abbia funzionato con il MBR
ma il Malwarebytes lo trova ancora
e il file misterioso su C:/Google/ eccetera non si cancella

http://wikisend.com/download/285604/MBAM-log-2013-08-19 (18-34-40).txt
http://wikisend.com/download/367834/aswMBR 17_35.txt

per il resto nessuna atti vità. Potrei provare a ricollegare la rete e vedere se trasmette dati?

[GERONIMO*]

ok

si è nel registro come dice malwarebytes

fai questo scan con rogue killer
http://www.bleepingcomputer.com/downloa ... er/dl/121/

segui qui
http://punto-informatico.it/s_3686094/D ... r-843.aspx

poi mi dai il percorso completo di c\google..ecc?

[pieroferrari]

Ecco fatto, Roguekiller non riesce a cancellare tutto
Allego il Path , che nelle ultime cartelle non consente modifiche e accesso
http://wikisend.com/download/567232/RKreport[0]_D_08192013_200644.txt
http://wikisend.com/download/544150/RKreport[0]_D_08192013_200644 fine.txt
http://wikisend.com/download/429136/Path.txt
e vado a cena
a dopo
Piero