www.MegaLab.it

[Guercio]

Ciao a tutti, ho beccato qualcosa di molto "grave" attraverso download in rete.. vi elenco come sono intervenuto..

Scansioni effettuate:
-AVAST : non rileva nulla
-DOCTOR SPYWARE : non rileva nulla
-SUPERANTISPYWARE : rileva 23 minacce di cui :
6 Unclassified.Unknown Origin
6 Trojan.Smitfraud Variant-Gen/Bensorty
1 Adware.Tracking Cookie
10 Rootkit. TDSServ

Le elimina tutte ma si autorigenerano, inoltre le infezioni si sono duplicate in automatico in 2 pen drive ed in un hard disk esterno da 180G, una pen drive è stata completamente formattata ma ad una nuova scansione vengono rilevate di nuovo.

Ho utilizzato un tool apposito (Smitrem) in modalità provvisoria per Trojan Smitfraud e sue varianti.
Riavviato Vista, rifatta la scansione con SuperAntiSpyware e ritrova le stesse, nulla è cambiato. Avast dorme!

Vi posto il log di Hijack..

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.25.43, on 18/12/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\TUProgSt.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\WINDOWS\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Hp\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABBHO.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SDTray] C:\Program Files\Spyware Doctor\SDTrayApp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [SuperAdBlocker] C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O20 - AppInit_DLLs: acaptuser32.dll
O20 - Winlogon Notify: !SABWinLogon - C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABWINLO.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: Super Ad Blocker Service (SABSVC) - SuperAdBlocker.com - C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 12657 bytes

Come posso fare per eliminare completamente l'infezione dal pc e anche dalle penne senza che mi autoinfetti ogni volta?

[Amantide]

Prima di tutto collega le chiavette ed hard disk infetti nel pc.
Poi scarica ComboFix ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto.

[Guercio]

Ciao Amantide, inanzitutto grazie mille per il tuo intervento..

Ho fatto la scansione con ComboFix in modalità normale, il pc si è riavviato in automatico e una volta riavviato è comparsa una schermata del "recovery manager" (un'utilità di ripristino dell'HP) che diceva che mancavano dei processi per il corretto riavvio. Una volta ripristinato, il ComboFix non ha dato il log.

Ho rifatto la scansione in modalità provvisoria con ComboFix, si è riavviato il pc ed ho ottenuto il log, ma durante la scansione diceva che due processi (di cui non ricordo il nome!!) avevano smesso di funzionare.

Ti allego il log di ComboFix tramite link di mediafire:
http://www.mediafire.com/?sharekey=c3a9 ... 2a96ce1008

[Amantide]

Combofix è un potente strumento di rimozione e diagnostica ma purtroppo, come si sa, non esistano i programmi infallibili, e può capitare che riconosca ed elimina qualche file ritenuto da lui nocivo. In tal caso bisogno recuperare questi file dalla cartella di backup in C:\QooBox, togliere l'estensione .vir e rimetterli al loro vecchi posti.

Postami il contenuto del file ComboFix-quarantined-files.txt che trovi in C:\Qoobox\

[Guercio]

Amantide ecco il contenuto del file ComboFix-quarantined-files.txt :

2008-11-29 18:08:56 A------- 694 C:\Qoobox\Quarantine\C\WINDOWS\System32\KBL.LOG.vir
2008-12-19 13:57:58 A------- 162 C:\Qoobox\Quarantine\catchme.log
2008-12-19 14:02:28 A------- 1,084 C:\Qoobox\Quarantine\Registry_backups\Legacy_TDSSSERV.SYS.reg.dat
2008-12-19 14:02:28 A------- 1,338 C:\Qoobox\Quarantine\Registry_backups\Service_TDSSserv.sys.reg.dat
2008-12-19 14:37:34 A------- 4,946 C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2008-12-19 14:42:13 A------- 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2008-12-19 14:42:13 A------- 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2008-12-19 14:42:13 A------- 0 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat

[Amantide]

Dovrebbero essere questi.

Codice: Seleziona tutto

C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat

Rinomina questi file rimuovendo dal nome l'estensione .DAT ed aggiungili al registro con il doppio clic.

Scansiona su www.virustotal.com questo file C:\-929793762, perché non si capisce di cosa si tratta.

Nel log non si vde nulla che potrebbe rigenerare il trojan autorun nelle pennette, prova a collegarle al pc ed eseguire la scansione con Perlovga Removal Tool.
La scansione con SuperAntispyware hai eseguito con le pennette collegate? Mi puoi recuperare il suo log della scansione?
Fai anche la scansione con Malwarebytes anti-malware e posta qui anche il suo report.

[Guercio]

Ecco tutti i passaggi che ho fatto:

1) Ho rinominato i file che mi hai segnalato e aggiunti al registro: per il primo file "tcpip.reg" la procedura è tutto ok, mentre per gli altri tre file (appunto quelli da rinominare) compare la seguente schermata:
http://img155.imageshack.us/img155/723/stamp1ay5.jpg

2) Ho scansionato il file C:\-929793762 su virustotal.com e il risultato lo trovi al seguente link: http://www.virustotal.com/it/analisis/b ... ae8301f382

3) Ho collegato le penne e l'hd esterno al pc ed eseguito la scansione con Perlovga Removal Tool: rimozione eseguita con successo!!

4) Purtroppo non riesco a recuperare il log della scansione eseguita con SuperAntispyware, se è necessario posso fare una nuova scansione e postarti il log.. fammi sapere se ti serve, ok!?!

5) Ho fatto partire la scansione completa con Malwarebytes anti-malware, credo ci vorrà un po' di tempo.. appena termina posto il log qui, così puoi controllarlo.

Grazie per la pazienza Amantide

[Guercio]

5) E' terminata la scansione completa con Malwarebytes anti-malware, ecco il log:

Malwarebytes' Anti-Malware 1.31
Versione del database: 1520
Windows 6.0.6001 Service Pack 1

19/12/2008 20.37.11
mbam-log-2008-12-19 (20-37-01).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|G:\|H:\|)
Elementi scansionati: 206552
Tempo trascorso: 1 hour(s), 42 minute(s), 52 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{c5bf49a2-94f3-42bd-f434-3604812c897d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d5bf49a2-94f1-42bd-f434-3604812c807d} (Trojan.BHO) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

Aspetto nuove notizie.. e grazie

[Amantide]

3) Ho collegato le penne e l'hd esterno al pc ed eseguito la scansione con Perlovga Removal Tool: rimozione eseguita con successo!!

Questa è la cosa più importante
Anche il Malwarebytes ha rilevato solo 2 chiavi di registro e niente file infetti.
Vedi per un po' come va e poi aggiornami sulla situazione.

[Guercio]

Amantide nel frattempo ho effettuato una scansione completa, anche delle penne e hd esterno, con SuperAntispyware e comunque ha rileavato 12 minacce di cui:
6 Unclassified.Unknown Origin
6 Trojan.Smitfraud Variant-Gen/Bensorty

..ho salvato il log, che trovi qui sotto..

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/19/2008 at 09:35 PM

Application Version : 4.23.1006

Core Rules Database Version : 3679
Trace Rules Database Version: 1658

Scan type : Complete Scan
Total Scan Time : 00:36:16

Memory items scanned : 657
Memory threats detected : 0
Registry items scanned : 6239
Registry threats detected : 10
File items scanned : 27932
File threats detected : 2

Unclassified.Unknown Origin
HKLM\Software\Classes\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C897D}
HKCR\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C897D}
HKCR\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C897D}
HKCR\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C897D}\InProcServer32
HKCR\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C897D}\InProcServer32#ThreadingModel
C:\WINDOWS\SYSTEM32\JKSE73HEDFDGF.DLL

Trojan.Smitfraud Variant-Gen/Bensorty
HKLM\Software\Classes\CLSID\{D5BF49A2-94F1-42BD-F434-3604812C807D}
HKCR\CLSID\{D5BF49A2-94F1-42BD-F434-3604812C807D}
HKCR\CLSID\{D5BF49A2-94F1-42BD-F434-3604812C807D}
HKCR\CLSID\{D5BF49A2-94F1-42BD-F434-3604812C807D}\InProcServer32
HKCR\CLSID\{D5BF49A2-94F1-42BD-F434-3604812C807D}\InProcServer32#ThreadingModel
C:\WINDOWS\SYSTEM32\RSEKD83JDE.DLL

[Amantide]

Rimuovi tutto

[Guercio]

Rimuovi tutto

Ho effettuato tutto i passaggi della scansione di SuperAntispyware, quindi ho rimosso tutti gli elementi infetti che ha rilevato ed eliminati anche dalla quarantena!!
Nonostante ciò, dopo aver riavviato il pc, ho effettuato un'ulteriore scansione "di verifica", ma il risultato è sempre lo stesso:
6 Unclassified.Unknown Origin
6 Trojan.Smitfraud Variant-Gen/Bensorty

Cosa succede?? Si autorigenerano?!?

[Amantide]

Sai cosa... disinstalla Avast, metti Avira al posto suo ed esegui la scansione completa del sistema dalla modalità provvisoria.

[Guercio]

Ho effettuato la scansione con Avira Antivir in modalità provvisoria e non è stato trovato alcun virus..

..MA effettuando una nuova scansione con SuperAntispyware, ha rileavato 6 minacce.. ovvero i "soliti":
3 Unclassified.Unknown Origin
3 Trojan.Smitfraud Variant-Gen/Bensorty

Come mai questa disparità?!? Come bisogna procedere??

[Amantide]

Mi posti l'ultimo log di SuperAntispyware?

[Guercio]

Ecco l'ultimo log di SuperAntispyware con le 6 chiavi di registro ancora "infette":

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/20/2008 at 05:28 PM

Application Version : 4.23.1006

Core Rules Database Version : 3679
Trace Rules Database Version: 1658

Scan type : Complete Scan
Total Scan Time : 00:33:41

Memory items scanned : 203
Memory threats detected : 0
Registry items scanned : 6303
Registry threats detected : 6
File items scanned : 27963
File threats detected : 0

Unclassified.Unknown Origin
HKLM\Software\Classes\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C897D}
HKCR\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C897D}
HKCR\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C897D}\InProcServer32

Trojan.Smitfraud Variant-Gen/Bensorty
HKLM\Software\Classes\CLSID\{D5BF49A2-94F1-42BD-F434-3604812C807D}
HKCR\CLSID\{D5BF49A2-94F1-42BD-F434-3604812C807D}
HKCR\CLSID\{D5BF49A2-94F1-42BD-F434-3604812C807D}\InProcServer32

[Amantide]

Copia ed incolla il seguente testo su blocconote e salva il file su desktop con il nome CFScript.txt.

Codice: Seleziona tutto

Registry::
[-HKLM\Software\Classes\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C897D}]
[-HKCR\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C897D}]
[-HKLM\Software\Classes\CLSID\{D5BF49A2-94F1-42BD-F434-3604812C807D}
[-HKCR\CLSID\{D5BF49A2-94F1-42BD-F434-3604812C807D}]


Ora trascina il file CFScript.txt sull'icona di ComboFix. Aspetta il termine della scansione e posta il nuovo log di Combofix.

[Guercio]

Amantide questo è il nuovo log di Combofix, l'ho uppato com mediafire.com:
http://www.mediafire.com/?sharekey=b3c6 ... 06f1e1991f

[Amantide]

L'operazione non è andata proprio a buon fine perche hai salvato il file CFScript con 2 estensioni .txt

Interruttori di comando utilizzati :: C:\Users\Daniele\Desktop\CFScript.txt.txt

P.S. Non tenere 2 antivirus attivi contemporaneamente, potrebbero crearti dei problemi.

[Guercio]

E' stato un mio errore di rinominazione del file.. quindi ho eseguito nuovamente la scansione con Combofix, il log lo trovi al seguente link: http://www.mediafire.com/?sharekey=b3c6 ... 0f33930c7d

Comunque durante la scansione con Combofix (in modalità provvisoria) è comparso questo avviso:
http://img376.imageshack.us/img376/8029/cfstampqb2.jpg

Ps: ho disinstallato Avast e lasciato attivo Avira Antivir