www.MegaLab.it

[randall_flag]

Ciao a tutti,
in passato mi avete aiutato ad eliminare bagle dal mio pc e spero che sappiate qualcosa riguardo a questo "trojan downloader mebload".
Ho cercato in rete ma ho trovato pochissimi dati al riguardo e nel forum MegaLab c'è solo un post su di lui.
L' ho beccato apparentemente senza motivo, nel senso che nn ho scricato od installato nulla di strano... Da allora il pc è lento e si blocca di continuo.
Il mio NOD32 l'ha rilevato ma si reinstalla dopo ogni rimozione, leggendo il post MegaLab di cui parlavo ho provato a disabilitare la memoria virtuale ed a ripetere la scansione ma il prob è rimasto...
Combofix mi rileva un rootkit ma nn so come farlo fuori, qualcuno ha esperienza riguardo questo nuovo virus?

[gioia271965]

Posso chiederti che versione del Nod utilizzi?

[Amantide]

Prova ad avviare Combofix dalla modalità provvisoria e poi posta qui il log della scansione.

[randall_flag]

Già che ci sono posto il log di hijackthis, spero di farlo in modo corretto..
Il nod e' ver 2.7, ora provo con combofix in md provvisoria e vi dico...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.51.37, on 02/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\JMRaidSetup.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\DAEMON Tools Pro\DTProAgent.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Documents and Settings\Randall_Flag\Desktop\OverClock Tools\RealTemp_2.70\RealTemp.exe
C:\Programmi\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programmi\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Programmi\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Programmi\APC PowerChute Personal Edition\apcsystray.exe
C:\Programmi\APC PowerChute Personal Edition\mainserv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programmi\Opera\opera.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\RANDAL~1\IMPOST~1\Temp\Rar$EX01.938\MegaLab.it_H_i_J_a_C_k_T_h_I_s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programmi\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Randall_Flag\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\Programmi\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\Programmi\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\Programmi\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\Programmi\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: APC UPS Status.lnk = C:\Programmi\APC PowerChute Personal Edition\Display.exe
O4 - Global Startup: Collegamento a RealTemp.exe.lnk = C:\Documents and Settings\Randall_Flag\Desktop\OverClock Tools\RealTemp_2.70\RealTemp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/Fac ... oader5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/ ... /CTPID.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programmi\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programmi\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 8233 bytes

[randall_flag]

Ecco il post di combofix in mod provvisoria, nel primo post avevo detto che il rootkit era stato rilevato da combofix ma si trattava di Gmer... Sorry.

ComboFix 09-10-30.01 - Randall_Flag 02/11/2009 22.09.49.4.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2046.1695 [GMT 1:00]
Eseguito da: c:\documents and settings\Randall_Flag\Desktop\ComboFix.exe
AV: Sistema Antivirus NOD32 2.70 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2009-10-02 al 2009-11-02 )))))))))))))))))))))))))))))))))))
.

2019-08-12 09:29 . 2019-08-12 09:28 298104 ----a-w- c:\windows\system32\imon.dll
2019-08-12 09:29 . 2019-08-12 09:28 512096 ----a-w- c:\windows\system32\drivers\amon.sys
2019-08-12 09:29 . 2019-08-12 09:28 15424 ----a-w- c:\windows\system32\drivers\nod32drv.sys
2009-10-26 22:55 . 2009-10-26 22:57 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-10-22 17:13 . 2009-10-23 11:04 -------- d-----w- c:\documents and settings\HelpAssistant\Tracing
2009-10-22 17:13 . 2009-10-22 17:13 -------- d-----w- c:\documents and settings\HelpAssistant\WINDOWS
2009-10-22 17:13 . 2009-10-22 17:13 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
2009-10-09 11:45 . 2009-11-02 15:36 -------- d-----w- c:\documents and settings\Randall_Flag\Dati applicazioni\vlc
2009-10-05 10:32 . 2009-10-05 18:49 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\NOS

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2019-08-12 08:55 . 2008-07-30 22:31 -------- d-----w- c:\programmi\Kaspersky Anti-Virus 2009
2009-10-27 11:51 . 2001-08-31 10:00 75610 ----a-w- c:\windows\system32\perfc010.dat
2009-10-27 11:51 . 2001-08-31 10:00 450240 ----a-w- c:\windows\system32\perfh010.dat
2009-10-27 11:48 . 2008-09-04 10:59 -------- d-----w- c:\documents and settings\Randall_Flag\Dati applicazioni\Skype
2009-10-21 23:06 . 2008-03-22 13:28 -------- d-----w- c:\programmi\APC PowerChute Personal Edition
2009-10-20 17:28 . 2008-03-10 17:35 -------- d-----w- c:\programmi\eMule
2009-10-07 19:52 . 2008-09-04 11:01 -------- d-----w- c:\documents and settings\Randall_Flag\Dati applicazioni\skypePM
.

------- Sigcheck -------

[-] 2008-04-13 . 1E97FA2B7F2FB1E9DECA897A8B8AFAFE . 101376 . . [5.4.3790.5512] . . c:\windows\ServicePackFiles\i386\wuauclt.exe
[-] 2008-04-13 . 1E97FA2B7F2FB1E9DECA897A8B8AFAFE . 101376 . . [5.4.3790.5512] . . c:\windows\system32\wuauclt.exe
[7] 2004-08-19 . 197FB5735293C1DE647B02BBD8121A9F . 111616 . . [5.4.3790.2180] . . c:\windows\$NtServicePackUninstall$\wuauclt.exe

[-] 2008-04-13 . 3D46C53CA961C49272037F98807537BD . 978432 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-13 . 3D46C53CA961C49272037F98807537BD . 978432 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[7] 2004-08-19 . 178D42BD8FC34A9837417A6CE1D6BB7B . 1034752 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-10-31_18.17.23 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-11-01 11:04 . 2009-09-02 21:47 235034 c:\windows\PCHealth\HelpCtr\Config\Cache\Professional_32_1040.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Pro Agent"="c:\programmi\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 136136]
"MsnMsgr"="c:\programmi\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 94208]
"Skype"="c:\programmi\Skype\Phone\Skype.exe" [2008-08-12 21741864]
"NVIDIA nTune"="c:\programmi\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-09-04 81920]
"Google Update"="c:\documents and settings\Randall_Flag\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"JMB36X Configure"="c:\windows\System32\JMRaidSetup.exe" [2006-10-30 1953792]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"NeroFilterCheck"="c:\programmi\File comuni\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"snpstd"="c:\windows\vsnpstd.exe" [2004-05-10 286720]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"nod32kui"="c:\programmi\Eset\nod32kui.exe" [2019-08-12 949376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-11-14 16270848]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-10-07 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\Randall_Flag\Menu Avvio\Programmi\Esecuzione automatica\
RocketDock.lnk - c:\programmi\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]
TransBar.lnk - c:\programmi\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]
UberIcon.lnk - c:\programmi\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]
Y'z Shadow.lnk - c:\programmi\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma Loader.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2009-4-19 113664]
APC UPS Status.lnk - c:\programmi\APC PowerChute Personal Edition\Display.exe [2008-3-22 221247]
Collegamento a RealTemp.exe.lnk - c:\documents and settings\Randall_Flag\Desktop\OverClock Tools\RealTemp_2.70\RealTemp.exe [2008-10-12 110592]
Microsoft Office.lnk - c:\programmi\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Games\\Quake Wars\\etqw.exe"=
"c:\\Games\\Quake Wars\\etqwded.exe"=
"c:\\Programmi\\DNA\\btdna.exe"=
"c:\\Programmi\\BitTorrent\\bittorrent.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Games\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop

S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [29/07/2008 0.06.33 28544]
S1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [12/08/2019 10.29.47 15424]
S2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [15/09/2009 22.06.17 54752]
S3 fsssvc;Servizio Windows Live Family Safety;c:\programmi\Windows Live\Family Safety\fsssvc.exe [05/08/2009 21.48.42 704864]
S3 V0260VID;Live! Cam Vista IM;c:\windows\system32\drivers\V0260Vid.sys [27/01/2009 20.22.42 178913]
S3 WinRing0_1_1_1;WinRing0_1_1_1;c:\documents and settings\Randall_Flag\Desktop\OverClock Tools\RealTemp_2.70\WinRing0.sys [12/10/2008 11.58.12 13904]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - CLASSPNP_2
.
Contenuto della cartella 'Scheduled Tasks'

2009-11-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-583907252-725345543-839522115-1003Core.job
- c:\documents and settings\Randall_Flag\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2008-09-03 07:17]

2009-11-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-583907252-725345543-839522115-1003UA.job
- c:\documents and settings\Randall_Flag\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2008-09-03 07:17]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
LSP: c:\windows\system32\imon.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Randall_Flag\Dati applicazioni\Mozilla\Firefox\Profiles\m71n9hrx.default\
FF - prefs.js: browser.startup.homepage - google.it
FF - plugin: c:\documents and settings\Randall_Flag\Dati applicazioni\Mozilla\Firefox\Profiles\m71n9hrx.default\extensions\StreamingPlugin@conviva.com\platform\WINNT_x86-msvc\plugins\npconviva.4.dll
FF - plugin: c:\documents and settings\Randall_Flag\Impostazioni locali\Dati applicazioni\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programmi\Windows Live\Photo Gallery\NPWLPG.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-02 22:13
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'lsass.exe'(348)
c:\windows\system32\scecli.dll

- - - - - - - > 'explorer.exe'(1700)
c:\windows\system32\ntshrui.dll
c:\windows\system32\msi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
.
Ora fine scansione: 2009-11-02 22.15.22
ComboFix-quarantined-files.txt 2009-11-02 21:15
ComboFix2.txt 2009-10-31 18:18
ComboFix3.txt 2008-12-31 00:36

Pre-Run: 28.239.855.616 byte disponibili
Post-Run: 28.209.225.728 byte disponibili

- - End Of File - - 2F27C1A6ADFF49EB5F976F993CDBDE6E

[randall_flag]

Nessuna novità? Al limite formatto, non è un prob, ma devo saperlo perché devo fare un lavoro al pc... Aiuto!!
Grazie in anticipo...

[Amantide]

Scusa, mi era sfuggita la tua risposta. Purtroppo ultimamente la notifica dei nuovi messaggi lascia desiderare.

Visto che è stato Gmer a notificarti il rootkit, lo puoi riavviare ed annotare il nome ed il percorso del rootkit?
Io intanto controllo il log di Combofix.

[Amantide]

Per caso il rootkit segnalato da Gmer era questo?
S3 WinRing0_1_1_1;WinRing0_1_1_1;c:\documents and settings\Randall_Flag\Desktop\OverClock Tools\RealTemp_2.70\WinRing0.sys

[randall_flag]

Ho appena formattato ma mi sa che ho risolto poco, temo che il virus si annidasse in memoria e non avendo spento il pc dopo il format mi si è ripresentato.
Ho installato il nod 3.0.6 che mi ha rilevato il mebload nell'MBR...
Che nocciole, i log delle precedenti scansioni sono andati.. Se avete consigli sono ben accetti, se no domani riformatto (magari da un disco dos) e rifaccio tutto...

[Amantide]

Ho installato il nod 3.0.6 che mi ha rilevato il mebload nell'MBR...

Un male comune in quest'ultimi giorni.

Prova ad eseguire questi programmi:

post449171.html#p449171

post449262.html#p449262

[crazy.cat]

nell'MBR...

Se il virus è nei settori di boot, anche se formatti lui rimane sempre vivo.
O si fa una formattazione a basso livello che ripulisce tutto quanto.

Prova prima di tutto a seguire le istruzioni per riscrive il boot dal cd di xp.
http://www.MegaLab.it/4024/risolvere-gl ... e-di-linux

[randall_flag]

Grazie ragazzi, ho rasentato una crisi di nervi...
Ho riformattato(di nuovo) il pc partendo da un sistema operativo esterno ma nn e' cambiato nulla... Il virus è ancora presente nell'MBR.
Ora riformatto e provo a fixare l'MBR come da consiglio, vi faro' sapere.
Eppure ero convinto che una formattazione "lenta" cancellasse anche i dati del settore di boot! Che dire, c'è sempre da imparare...
Vi faro' sapere in serata, se lo ritrovo... Avro' una crisi di nervi!!!!
Grazie ancora, tra un'oretta vi postero' il risultato...

[randall_flag]

Ok, sto avendo una crisi di nervi...
Ho riformattato (per la terza volta) il pc da un software che si chiama "Bart-PE" che è un tool che si avvia da cd per riparare il sistema.
Quindi ho formattato l'HD "dall'esterno" senza in teoria usare l'HD che avrebbe potuto contenere codici malevoli.. Ho formattato "dall'esterno".
Ho eseguito il FIXMBR ed il FIXBOOT dalla console di ripristino di XP ma dopo la reinstallazione il nod (ver 3.0.6) mi rileva sempre lo stesso Win32/mebroot.bz trojan conficcato nell'MBR.
Che devo fare! Ormai ho perso fiducia nella formattazione che ho sempre pensato essere il bulldozer che tutto distrugge!
Come si fa a fare una "formattazione a basso livello" in grado di radere al suolo anche l'MBR!
Di virus ne ho presi tanti (in tanti anni) ma nn ho mai visto nulla del genere.. Ditemi come posso formattare in modo definitivo anche il settore 0, non so più che fare!
Aiuto!!!

[gioia271965]

Un ultima idea...forse inutile, ma a questo punto provare costa poco: qualche settimana fà ho avuto un amico che lamentava la presenza di un virus (o qualcosa di simile) che si autoreplicava anche se il suo nod32 -3 diceva di averlo eliminato. Mi sono trovato casualmente a casa sua e ho disinstallato del tutto il nod 3. Naturalmente ripulendo il più possibile ogni traccia del programma. Successivamente ho installato la versione 4 che, pur non essendo in italiano è identica alla 3, eseguendo la scansione con relativa pulizia completa. Il problema si è magicamente risolto. Questo "virus" è stato definitivamente eliminato. Fai un tentativo...al massimo non risolvi, ma la situazione di certo non peggiorerà...
Se ulteriormente il problema si ripresenta prova a scaricarti e a eseguire questo piccolo tool della ESET:
http://translate.google.it/translate?hl ... 26hs%3Dvob

[crazy.cat]

Come si fa a fare una "formattazione a basso livello" in grado di radere al suolo anche l'MBR!

Scegli il programma a seconda della marca del tuo hard disk
http://www.MegaLab.it/2599/la-formattaz ... so-livello

[randall_flag]

Ora sono disperato davvero, ho formattato a basso livello il mio maxtor con seatool perché powermax sembra nn riconoscere l'hd ma il virus è sempre nell'mbr...
Non so più che fare, l'unica cosa strana è che la formattazione con seatool è durata solo 1 h per un hd da 120gb e sui forum era segnalato che sarebbe durata ore.
Avete da consigliare un tool diverso per formattare?

[randall_flag]

Il virus è anche nell'MBR del secondo hd, forse è per quello!
Il fatto è che è l'HD dove tengo giga di dati salvati e nn so perché ma le lettere di unità ora sono invertite.
Come faccio a risolvere sto casino? Non posso formattare l'hd con tutti i dati salvati!
Seatool mi permette anche di cancellare solo l'mbr, faccio casino se lo cancello dal secondo HD? E come faccio a scambiare le lettere di unità?

[lorenaino]

ciao,scusate,hai provato a fare una scansione con prevx?

http://info.prevx.com/downloadcsi.asp

[randall_flag]

Scusa lorenaino ma nn so se un prog (a me sconosciuto) puo' fare qlc per questo delirio che mi è capitato... Grazie comunque.

Ultimo aggiornamento: Ho finalmente risolto qlc, ho formattato l'HD a basso livello dopo aver staccato fisicamente il cavo dal secondo HD. Inoltre ho evitato di usare il pendrive USB su cui avevo salvato nod ed altre cose nel dubbio che fosse quello ad infettare.
Ora l'HD con windows è pulito!
Successivamente ho riattivato il secondo HD ed ho formattato solo l'MBR utilizzando "seatool for DOS", che poi è il tool con il quale ho formattato a basso livello, che permette il format del solo settore 0.
Ora pero' il secondo HD viene riconosciuto a livello fisico ma gestione disco me lo da come "non inizializzato" e quindi non posso accedervi. Come faccio a riparare l'MBR del secondo HD, dal momento che non intendo formattarlo?
Inoltre come faccio a fare una scansione del pendrive USB senza che l'autoplay mi infetti la partizione? Sempre che sia davvero infetta ma non voglio rischiare...

[gioia271965]

Scusa lorenaino ma non so se un prog (a me sconosciuto) puo' fare qlc per questo delirio che mi è capitato... Grazie comunque.

Ultimo aggiornamento: Ho finalmente risolto qlc, ho formattato l'HD a basso livello dopo aver staccato fisicamente il cavo dal secondo HD. Inoltre ho evitato di usare il pendrive USB su cui avevo salvato nod ed altre cose nel dubbio che fosse quello ad infettare.
Ora l'HD con windows è pulito!
Successivamente ho riattivato il secondo HD ed ho formattato solo l'MBR utilizzando "seatool for DOS", che poi è il tool con il quale ho formattato a basso livello, che permette il format del solo settore 0.
Ora pero' il secondo HD viene riconosciuto a livello fisico ma gestione disco me lo da come "non inizializzato" e quindi non posso accedervi. Come faccio a riparare l'MBR del secondo HD, dal momento che non intendo formattarlo?
Inoltre come faccio a fare una scansione del pendrive USB senza che l'autoplay mi infetti la partizione? Sempre che sia davvero infetta ma non voglio rischiare...

Per la pendrive puoi usare ninja pendisk un piccolo tool da attivare prima di inserire la tua pennetta nel pc. Nelle opzioni del ninja basta spuntare la voce "disabilita autoplay" e non avrai problemi. Oltretutto questo programmino ti ripulisce la penna in caso di infezioni pregresse...