www.MegaLab.it

[Ale2695]

Dopo aver aperto un programma scaricato da emule (lo so, sono uno stupido... ), mi è apparsa una schermata del prompt dei comandi che ha mostrato delle directory di file (molto probabilmente che ha creato o modificato, e nella cartella system32, è questo quello che mi preoccupa!). Io l'ho chiusa subito, ma al successivo riavvio la connessione ad internet si è molto rallentata, i video di Youtube si bloccano in continuazione (mi è pure andato in crash il Flash Player) e la velocità di download si è ridotta drasticamente. Avast antivirus 5 non mi segnala nulla, e nemmeno la protezione HIPS di Online Armor. Aiutatemi! Vi posto il log di Combofix:

ComboFix 10-05-03.06 - Freegol-e 04/05/2010 18:50:26.1.2 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.39.1040.18.2047.1297 [GMT 2:00]
Eseguito da: c:\users\Freegol-e\Desktop\xyz.exe
.

((((((((((((((((((((((((( Files Creati Da 2010-04-04 al 2010-05-04 )))))))))))))))))))))))))))))))))))
.

2010-05-04 16:57 . 2010-05-04 16:57 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-05-04 12:03 . 2010-05-04 12:03 -------- d-----w- c:\program files\MSXML 4.0
2010-05-03 13:24 . 2010-05-03 13:24 -------- d-----w- c:\program files\Common Files\InstallShield
2010-05-03 12:47 . 2010-05-03 13:33 -------- d-----w- c:\users\Freegol-e\AppData\Roaming\TeraCopy
2010-05-03 12:47 . 2010-05-03 12:47 -------- d-----w- c:\program files\TeraCopy
2010-05-03 12:35 . 2010-05-03 12:35 -------- d-----w- c:\users\Freegol-e\AppData\Roaming\Phoenix
2010-05-03 12:35 . 2010-05-03 12:38 -------- d-----w- c:\users\Freegol-e\phoenix
2010-04-30 12:12 . 2010-04-30 12:12 -------- d-----w- c:\program files\iPod
2010-04-30 12:12 . 2010-04-30 12:13 -------- d-----w- c:\program files\iTunes
2010-04-30 12:08 . 2010-04-30 12:08 -------- d-----w- c:\program files\Bonjour
2010-04-30 12:06 . 2010-04-30 12:06 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe
2010-04-28 19:48 . 2010-02-11 07:10 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-04-28 19:22 . 2009-09-26 05:58 194488 ----a-w- c:\windows\system32\drivers\fvevol.sys
2010-04-28 19:22 . 2009-12-11 07:44 133720 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2010-04-28 19:22 . 2009-12-11 07:38 1037312 ----a-w- c:\windows\system32\lsasrv.dll
2010-04-27 12:40 . 2010-04-27 12:40 -------- d-----w- c:\program files\Geosense for Windows
2010-04-26 17:33 . 2010-04-26 17:33 -------- d-----w- c:\users\Freegol-e\AppData\Roaming\Tracker Software
2010-04-23 13:36 . 2010-04-23 13:36 -------- d-----w- c:\program files\YouTube Downloader
2010-04-22 13:32 . 2010-04-22 13:32 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help
2010-04-22 13:18 . 2008-11-10 09:41 32656 ----a-w- c:\windows\system32\msonpmon.dll
2010-04-22 13:18 . 2006-10-26 17:56 33104 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\msonpppr.dll
2010-04-22 13:10 . 2010-04-22 13:10 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2010-04-22 13:10 . 2010-04-22 13:10 -------- d-----w- c:\users\Freegol-e\AppData\Local\Microsoft Help
2010-04-22 13:10 . 2010-04-23 13:12 -------- d-----w- c:\programdata\Microsoft Help
2010-04-22 13:08 . 2010-04-27 12:56 -------- d-----w- c:\users\Freegol-e\.VirtualBox
2010-04-22 13:01 . 2010-04-22 13:01 -------- d-----w- c:\program files\VS Revo Group
2010-04-22 12:09 . 2010-04-22 12:19 -------- d-----w- c:\programdata\OnlineArmor
2010-04-22 12:09 . 2010-04-22 12:09 -------- d-----w- c:\users\Freegol-e\AppData\Roaming\OnlineArmor
2010-04-22 12:08 . 2010-03-13 03:39 24440 ----a-w- c:\windows\system32\drivers\OAmon.sys
2010-04-22 12:08 . 2010-03-13 03:39 30584 ----a-w- c:\windows\system32\drivers\OAnet.sys
2010-04-22 12:08 . 2010-03-13 03:38 226680 ----a-w- c:\windows\system32\drivers\OADriver.sys
2010-04-22 12:08 . 2010-04-22 12:08 -------- d-----w- c:\program files\Tall Emu
2010-04-21 12:28 . 2010-04-21 12:28 -------- d-----w- c:\users\Freegol-e\AppData\Local\Mozilla
2010-04-21 12:28 . 2010-05-04 16:37 -------- d-----w- c:\program files\Minefield
2010-04-19 17:37 . 2010-04-19 17:41 -------- d-----w- c:\program files\Xming
2010-04-19 13:21 . 2010-04-19 13:21 -------- d-----w- c:\program files\EA SPORTS
2010-04-18 10:08 . 2010-04-18 10:08 -------- d-----w- c:\users\Freegol-e\AppData\Local\Microsoft Games
2010-04-17 18:11 . 2010-04-17 18:11 -------- d-----w- c:\program files\MSECache
2010-04-17 18:03 . 2010-04-17 18:03 -------- d-----w- c:\program files\EA GAMES
2010-04-17 18:03 . 2004-08-18 03:14 442368 ----a-r- c:\windows\system32\vp6vfw.dll
2010-04-17 17:58 . 2010-04-17 17:58 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-04-17 17:56 . 2010-04-17 17:58 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-04-17 17:56 . 2010-04-19 17:23 -------- d-----w- c:\users\Freegol-e\AppData\Roaming\DAEMON Tools Lite
2010-04-17 17:56 . 2010-04-17 17:56 -------- d-----w- c:\programdata\DAEMON Tools Lite
2010-04-17 17:49 . 2010-04-17 17:49 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-04-17 17:49 . 2010-04-17 17:49 -------- d-----w- c:\program files\LSoft Technologies
2010-04-15 18:48 . 2010-04-30 12:29 -------- d-----w- c:\users\Freegol-e\AppData\Roaming\Apple Computer
2010-04-15 18:48 . 2010-04-15 18:48 -------- d-----w- c:\users\Freegol-e\AppData\Local\Apple Computer
2010-04-15 17:45 . 2010-03-25 18:06 41680 ----a-w- c:\windows\system32\drivers\VBoxUSBMon.sys
2010-04-15 17:45 . 2010-04-15 17:45 -------- d-----w- c:\program files\Sun
2010-04-15 17:42 . 2010-02-10 17:13 165376 ----a-w- c:\windows\system32\unrar.dll
2010-04-15 17:42 . 2009-05-29 21:31 881664 ----a-w- c:\windows\system32\xvidcore.dll
2010-04-15 17:42 . 2006-04-02 12:47 630784 ----a-w- c:\windows\system32\vp7vfw.dll
2010-04-15 17:42 . 2004-05-18 18:16 39936 ----a-w- c:\windows\system32\huffyuv.dll
2010-04-15 17:42 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2010-04-15 17:42 . 2009-05-29 21:37 205824 ----a-w- c:\windows\system32\xvidvfw.dll
2010-04-15 17:42 . 2010-03-14 18:00 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2010-04-15 17:41 . 2010-04-15 17:42 -------- d-----w- c:\program files\K-Lite Codec Pack
2010-04-15 17:23 . 2010-04-15 17:23 -------- d-----w- c:\program files\Speccy
2010-04-15 17:20 . 2007-04-09 11:23 28552 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-04-15 17:20 . 2007-04-09 11:23 28040 ----a-w- c:\windows\system32\mdimon.dll
2010-04-15 17:17 . 2010-04-22 15:05 -------- d-----w- c:\program files\Microsoft Works
2010-04-15 17:16 . 2010-04-15 17:16 -------- d-----w- c:\windows\PCHEALTH
2010-04-15 17:16 . 2010-04-15 17:16 -------- d-----w- c:\program files\Microsoft.NET
2010-04-15 17:13 . 2010-04-15 17:13 -------- d-----r- C:\MSOCache
2010-04-15 16:54 . 2006-12-08 10:02 251672 ----a-w- c:\windows\system32\xactengine2_5.dll
2010-04-15 16:54 . 2006-11-15 09:38 15128 ----a-w- c:\windows\system32\x3daudio1_1.dll
2010-04-15 16:54 . 2006-09-28 14:05 237848 ----a-w- c:\windows\system32\xactengine2_4.dll
2010-04-15 16:54 . 2006-09-28 14:04 68888 ----a-w- c:\windows\system32\xinput1_3.dll
2010-04-15 16:54 . 2006-07-28 07:30 236824 ----a-w- c:\windows\system32\xactengine2_3.dll
2010-04-15 16:54 . 2006-07-28 07:30 62744 ----a-w- c:\windows\system32\xinput1_2.dll
2010-04-15 16:53 . 2010-04-15 16:53 -------- d-----w- c:\programdata\KONAMI
2010-04-15 16:53 . 2010-04-15 16:53 -------- d-----w- c:\program files\KONAMI
2010-04-15 16:48 . 2009-06-22 16:58 89600 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\HPZPPLHN.DLL
2010-04-15 14:54 . 2010-04-15 14:54 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2010-04-15 14:50 . 2010-04-15 16:51 1 ----a-w- c:\users\Freegol-e\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-04-15 14:50 . 2010-04-15 14:50 -------- d-----w- c:\users\Freegol-e\AppData\Roaming\OpenOffice.org
2010-04-15 14:46 . 2010-04-15 17:13 -------- d-----w- c:\program files\OpenOffice.org 3
2010-04-15 14:45 . 2010-04-15 14:45 -------- d-----w- c:\program files\Common Files\Java
2010-04-15 14:45 . 2010-04-15 14:45 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-04-15 14:45 . 2010-02-24 08:16 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-04-15 14:45 . 2010-04-15 14:45 -------- d-----w- c:\program files\Java
2010-04-15 14:44 . 2010-04-15 14:44 -------- d-----w- c:\program files\eMule AdunanzA
2010-04-15 14:43 . 2010-04-15 14:43 -------- d-----w- c:\users\Freegol-e\AppData\Roaming\eMule AdunanzA
2010-04-15 14:37 . 2010-04-15 13:45 -------- d-----w- c:\windows\Panther
2010-04-15 14:37 . 2010-04-15 14:37 -------- d-----w- C:\Boot
2010-04-15 14:36 . 2010-04-15 14:36 -------- d-----w- c:\program files\Microsoft Silverlight
2010-04-15 14:21 . 2010-05-04 16:47 -------- d-----w- c:\programdata\NVIDIA
2010-04-15 14:17 . 2010-04-16 17:36 -------- d-----w- c:\users\Freegol-e\AppData\Local\ElevatedDiagnostics
2010-04-15 14:06 . 2009-09-10 05:52 257024 ----a-w- c:\windows\system32\msv1_0.dll
2010-04-15 14:04 . 2010-04-26 17:42 -------- d-----w- c:\users\Freegol-e\AppData\Local\Google
2010-04-15 14:04 . 2010-04-29 16:20 -------- d-----w- c:\program files\Google
2010-04-15 14:04 . 2010-04-14 16:31 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-04-15 14:04 . 2010-04-14 16:35 162768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-04-15 14:04 . 2010-04-14 16:31 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-04-15 14:04 . 2010-04-14 16:35 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-04-15 14:04 . 2010-04-14 16:31 51792 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2010-04-15 14:03 . 2010-04-14 16:47 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-04-15 14:03 . 2010-04-14 16:47 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-04-15 14:03 . 2010-04-15 14:03 -------- d-----w- c:\programdata\Alwil Software
2010-04-15 14:03 . 2010-04-15 14:03 -------- d-----w- c:\program files\Alwil Software
2010-04-15 14:02 . 2010-04-15 14:02 -------- d-----w- c:\windows\system32\Macromed
2010-04-15 14:01 . 2010-05-04 16:21 -------- d-----w- c:\users\Freegol-e\AppData\Roaming\skypePM
2010-04-15 13:59 . 2009-12-13 09:30 641536 ----a-w- c:\windows\system32\CPFilters.dll
2010-04-15 13:58 . 2010-03-08 21:33 427520 ----a-w- c:\windows\system32\vbscript.dll
2010-04-15 13:57 . 2010-02-02 07:45 2048 ----a-w- c:\windows\system32\tzres.dll
2010-04-15 13:57 . 2010-02-27 07:32 221696 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-04-15 13:57 . 2010-02-27 07:32 95744 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2010-04-15 13:57 . 2010-02-27 07:32 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-15 13:57 . 2010-04-15 13:57 -------- d-----w- c:\program files\Tracker Software
2010-04-15 13:50 . 2010-04-15 14:25 -------- d-----w- c:\program files\Common Files\logishrd
2010-04-15 13:50 . 2010-04-23 13:38 114216 ----a-w- c:\users\Freegol-e\AppData\Local\GDIPFONTCACHEV1.DAT
2010-04-15 13:50 . 2010-01-09 06:52 132608 ----a-w- c:\windows\system32\cabview.dll
2010-04-15 13:50 . 2009-12-29 06:55 172032 ----a-w- c:\windows\system32\wintrust.dll
2010-04-15 13:49 . 2010-05-04 12:29 -------- d-----w- c:\windows\system32\wbem\Performance
2010-04-15 13:48 . 2009-05-07 13:35 53544 ----a-w- c:\windows\system32\HerculesWiFiService.exe
2010-04-15 13:47 . 2010-05-04 12:03 -------- d-sh--w- c:\windows\Installer
2010-04-15 13:47 . 2009-05-15 09:26 515584 ----a-w- c:\windows\system32\drivers\RTL8192su.sys
2010-04-15 13:47 . 2010-04-15 13:47 -------- d-----w- c:\program files\Hercules
2010-04-15 13:47 . 2010-05-03 13:33 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-15 13:47 . 2010-04-15 13:47 -------- d-----w- c:\users\Freegol-e\AppData\Roaming\InstallShield
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-04 16:57 . 2010-04-15 14:00 -------- d-----w- c:\users\Freegol-e\AppData\Roaming\Skype
2010-05-04 16:47 . 2010-04-15 13:51 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2010-05-04 12:29 . 2009-07-14 08:21 689234 ----a-w- c:\windows\system32\perfh010.dat
2010-05-04 12:29 . 2009-07-14 08:21 124420 ----a-w- c:\windows\system32\perfc010.dat
2010-05-03 13:26 . 2009-07-14 04:52 -------- d-----w- c:\program files\Microsoft Games
2010-04-30 12:12 . 2010-04-15 18:45 -------- d-----w- c:\program files\Common Files\Apple
2010-04-27 12:40 . 2010-04-27 12:40 0 ---ha-w- c:\windows\system32\drivers\Msft_User_GeosenseSensor_01_09_00.Wdf
2010-04-22 13:15 . 2009-07-14 04:52 -------- d-----w- c:\program files\MSBuild
2010-04-15 18:48 . 2010-04-15 18:48 -------- d-----w- c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-04-15 18:48 . 2010-04-15 18:46 -------- d-----w- c:\programdata\Apple Computer
2010-04-15 18:47 . 2010-04-15 18:46 -------- d-----w- c:\program files\QuickTime
2010-04-15 18:46 . 2010-04-15 18:46 -------- d-----w- c:\program files\Apple Software Update
2010-04-15 18:45 . 2010-04-15 18:45 -------- d-----w- c:\programdata\Apple
2010-04-15 18:28 . 2010-04-15 18:28 -------- d-----w- c:\programdata\eMule AdunanzA
2010-04-15 14:21 . 2010-04-15 14:20 -------- d-----w- c:\program files\NVIDIA Corporation
2010-04-15 14:01 . 2010-04-15 14:01 56 ---ha-w- c:\programdata\ezsidmv.dat
2010-04-15 14:00 . 2010-04-15 14:00 -------- d-----r- c:\program files\Skype
2010-04-15 14:00 . 2010-04-15 14:00 -------- d-----w- c:\program files\Common Files\Skype
2010-04-15 14:00 . 2010-04-15 14:00 -------- d-----w- c:\programdata\Skype
2010-04-15 13:45 . 2010-04-15 13:45 -------- d-sh--we c:\programdata\Preferiti
2010-04-15 13:45 . 2010-04-15 13:45 -------- d-sh--we c:\programdata\Modelli
2010-04-15 13:45 . 2010-04-15 13:45 -------- d-sh--we c:\programdata\Menu Avvio
2010-04-15 13:45 . 2010-04-15 13:45 -------- d-sh--we c:\programdata\Documenti
2010-04-15 13:45 . 2010-04-15 13:45 -------- d-sh--we c:\programdata\Dati applicazioni
2010-04-15 13:45 . 2010-04-15 13:45 -------- d-sh--we c:\program files\File comuni
2010-04-15 13:41 . 2010-04-15 13:41 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_09_00.Wdf
2010-04-03 16:27 . 2010-04-03 16:27 985704 ----a-w- c:\windows\system32\nvsvc.dll
2010-04-03 16:27 . 2010-04-03 16:27 66664 ----a-w- c:\windows\system32\nvshext.dll
2010-04-03 16:27 . 2010-04-03 16:27 1515624 ----a-w- c:\windows\system32\nvsvcr.dll
2010-04-03 16:27 . 2010-04-03 16:27 13683816 ----a-w- c:\windows\system32\nvcpl.dll
2010-04-03 16:27 . 2010-04-03 16:27 129640 ----a-w- c:\windows\system32\nvvsvc.exe
2010-04-03 16:27 . 2010-04-03 16:27 110696 ----a-w- c:\windows\system32\nvmctray.dll
2010-03-25 18:06 . 2010-03-25 18:06 99728 ----a-w- c:\windows\system32\drivers\VBoxNetAdp.sys
2010-03-25 18:06 . 2010-04-15 17:45 123856 ----a-w- c:\windows\system32\drivers\VBoxDrv.sys
2010-03-25 18:06 . 2010-03-25 18:06 133648 ----a-w- c:\windows\system32\VBoxNetFltNotify.dll
2010-03-25 18:06 . 2010-03-25 18:06 110608 ----a-w- c:\windows\system32\drivers\VBoxNetFlt.sys
2010-02-27 12:07 . 2010-04-15 13:59 3954568 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-27 12:07 . 2010-04-15 13:59 3899280 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-23 07:56 . 2010-04-15 14:00 977920 ----a-w- c:\windows\system32\wininet.dll
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-04-20 26192680]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-04-14 2790472]
"@OnlineArmor GUI"="c:\program files\Tall Emu\Online Armor\OAui.exe" [2010-03-13 6658552]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\progra~1\TALLEM~1\ONLINE~1\oaevent.dll" [2010-03-13 925688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-04-17 691696]
R2 gupdate;Servizio di Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-29 136176]
R2 SvcOnlineArmor;Online Armor;c:\program files\Tall Emu\Online Armor\oasrv.exe [2010-03-13 3360760]
S1 aswSP;aswSP; [x]
S1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [2010-03-13 226680]
S1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [2010-03-13 24440]
S1 VBoxDrv;VirtualBox Service;c:\windows\system32\DRIVERS\VBoxDrv.sys [2010-03-25 123856]
S1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\DRIVERS\VBoxUSBMon.sys [2010-03-25 41680]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-04-14 51792]
S2 HerculesWiFi;HerculesWiFi;c:\windows\system32\HerculesWiFiService.exe [2009-05-07 53544]
S2 OAcat;Online Armor Helper Service;c:\program files\Tall Emu\Online Armor\OAcat.exe [2010-03-13 1284600]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-04-03 240232]
S3 OAnet;OnlineArmor Service;c:\windows\system32\DRIVERS\oanet.sys [2010-03-13 30584]
S3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [2009-05-15 515584]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2010-03-25 99728]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [2010-03-25 110608]

.
Contenuto della cartella 'Scheduled Tasks'

2010-05-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-29 16:20]

2010-05-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-29 16:20]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://it.yahoo.com/
uInternet Settings,ProxyOverride = *.local
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
.
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'Explorer.exe'(2604)
c:\progra~1\TALLEM~1\ONLINE~1\oaevent.dll
.
Ora fine scansione: 2010-05-04 18:59:01
ComboFix-quarantined-files.txt 2010-05-04 16:59

Pre-Run: 114.231.214.080 byte disponibili
Post-Run: 114.474.176.512 byte disponibili

- - End Of File - - 8430FD154CF7F3151452A3713AD103D7

Ed il log di mbr.exe:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
IoDeviceObjectType -> DumpProcedure -> 0xe5726854
SecurityProcedure -> 0x1
QueryNameProcedure -> 0x89a05d96
user & kernel MBR OK

[Uomo_Senza_Sonno]

è presente una infezione nell'MBR, e gli antivirus non rilevano nulla perché gli MBR rootkit si nascondono bene dal momento che vanno ad insediarsi in settori del disco dove l'antivirus, e nemmeno l'utente, può operare.

A questo punto mi viene da chiedere: si sono verificati dei crash di sistema, blocchi del pc improvvisi o simili?
Innanzitutto ripeti la la scansione con combofix, strano che non abbia fatto un controllo dell'MBR mentre mbr.exe ha rilevato alcuni hooks. Ad ogni modo, dopo la prima disinfezione operata da combofix, il pc come si comporta?
Che comando hai dato con mbr.exe?

Codice: Seleziona tutto

start mbr.exe

oppure

Codice: Seleziona tutto

start mbr.exe -f

[Ale2695]

Ho dato il comando start mbr.exe, niente crash ma blocchi si, dopo la prima disinfezione con Combofix il computer è peggiorato, visto che non riesce a connettersi ad internet

[Ale2695]

Ma quindi se dovessi formattare, il virus nell mbr si cancellerbbe o no?

[Uomo_Senza_Sonno]

Meglio che lo sappia subito... FORMATTARE NON ELIMINA il virus nell'MBR, quindi è meglio usare altre vie.
In tutti i casi, anche se non riesce a connettersi ad internet, il pc lavora in maniera stabile? O sono presenti sempre dei blocchi improvvisi nelle applicazioni?
L'unico modo per liberartene lo trovi in questo post, e il mio consiglio è quello di iniziare a fare un backup di tutti i dati presenti nel disco rigido, e se hai più dischi collegati è preferibile scollegarli e fare un trasferimento dei dati sotto ubuntu.

Altra cosa, non fare una seconda scansione con combofix, a questo punto fai il gioco del rootkit

[Ale2695]

Il pc lavora in maniera abbastanza stabile, eccetto quando deve leggere e mettere in anteprima file numerosi o molto grandi, allora il computer diventa ingestibile. Penso che effettuerò quello che mi hai segnalato, speriamo di non rovinare l'hard disk! (e poi, tolgo subito quella carcassa di Windows e rimetto ubuntu!)

[Uomo_Senza_Sonno]

Se hai dimistichezza con i comandi da terminale allora non dovrebbe essere difficile ripulire i settori infetti... ma se proprio non sai come fare e hai urgenza di riavere il pc funzionante allora è preferibile eseguire uno zerofilling da ubuntu e così hai il disco piallato di netto e puoi ricominciare da 0. Considera però che devi riformattare tutto quanto e non hai alcun modo di recuperare i dati. Quindi se decidi di procedere con uno zerofilling, salva prima tutti i dati. I procedimenti e i comandi da eseguire da terminale li trovi nelle pagine del thread che ti ho segnalato. Ad ogni modo, potresti sempre postare gli screenshot dei settori 0, 1, 32, 33, 62, 63 che visualizzerai con HxD, magari con un ripristino della connessione tramite un tool chiamato LSPfix e con una piccola pulizia dei settori non è necessario ricorrere a rimedi così drastici.

(Il Thread è di novembre, e ti assicuro che a me è successa la stessa cosa e il pc si è comportato esattamente come mi stai descrivendo... solo che io ho fatto una seconda scansione con combofix e a quel punto windows non partiva più e mi dava errore 0x0000007B, e a quel punto era più semplice eseguire lo zerofilling e ripartire da zero.)

[Ale2695]

ho fatto quello segnalato nel post, ed in effetti la connessione ad internet è tornata. Ora controllo lo stato dell'MBR e ti dico.

[Ale2695]

ok, l'MBR è a posto, grazie mille! Mi hai salvato! Ed ora, via Windows, bentornato Ubuntu!

[Uomo_Senza_Sonno]

In che senso? Potresti postare il risultato del log?

[Ale2695]

non riesco a capire xchè, ma non mi salva il log, comunque la segnalazione del virus non è più presente nella schermata di mbr.

[Uomo_Senza_Sonno]

Cancella il log generato e rilancia il comando. Se è come dici, dovrebbe uscire un output del genere

Codice: Seleziona tutto

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Anche se mi sembra strano, in genere non sono così semplici da eliminare, ma se così fosse, tanto meglio.

[Ale2695]

Ecco il log

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
kernel: MBR read successfully

C'è qualcosa che non va, non riesce ad aprire l'utente... Ma se lo lancio come amministratore ci riesce, solo che non salva il log...

[Uomo_Senza_Sonno]

C'è qualcosa che non va, non riesce ad aprire l'utente..

Direi... a questo punto ti suggerirei di eseguire dalla console di ripristino di windows il comando fixmbr, in win7 è questa la procedura da seguire. Poi prova di nuovo a dare il comando

Codice: Seleziona tutto

start mbr.exe -f

per vedere che log ti genera. In più prendi in considerazione l'uso di mydefrag e ultrawipe, oltre a ottimizzare il disco ti aiutano a rimuovere le tracce del rootkit (con XP la rimozione non è così semplice, credimi).

[Ale2695]

la situazione è peggiorata, ora non riesce nemmeno a leggere il kernel:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
kernel: error reading MBR

[Uomo_Senza_Sonno]

Ma hai eseguito il comando fixmbr?

[Ale2695]

esattamente, come scritto nell'articolo che mi hai indicato

[Uomo_Senza_Sonno]

Beh, a questo punto percorriamo altre strade...

1. Sotto Ubuntu esegui il backup dei dati, possibilmente in un disco che non è stato già contaminato;
2. Scarica MyDefrag ed esegui la deframmentazione prima con lo script optimize only e successivamente consolidate space disk;
3. Scarica UltraWipe ed esegui il wiping dello spazio disponibile, ci metterà un po' ma sarà utile;
4. Scarica HxD e posta gli screenshot dei settori 0, 1, 32, 33, 62, 63;

Una volta eseguite queste operazioni, avremo la possibilità di capire quali settori devono essere editati. In questo post c'è la procedura per ripulire i primi 62 settori, ovvero quelli responsabili dell'MBR, mentre per gli ultimi settori del disco bisogna vedere un po'. Ovviamente nel thread ci sono i comandi da eseguire da terminale sotto ubuntu.

[Ale2695]

come faccio a postare gli screenshot?

[Uomo_Senza_Sonno]

Carica le immagini su http://www.imageshack.us/ e inserisci il link che ti viene fornito nel tag img (immagine)