www.MegaLab.it

[lll]

Ciao a tutti.

Vi espongo il mio problema.

Da qualche giorno, sul mio sistema Windows Vista SP2, noto alcuni comportamenti strani:

- durante la navigazione in Internet (uso Firefox, ma si verifica anche con Safari) spessissimo, su vari siti (compreso questo), mi si apre un pop up pubblicitario con il seguente url (a volte viene segnalato da FF come potenzialmente nocivo):
http:/ /77.78.247.213/index.php?9U=63P0I1AUI6FWUPQ16P2X8&L3e1G=lBPBxcNTY&nQlin=aS0ASmFObERoUn9QY1t8eAMBUFdqdQI0eXUhN2EwCGZ8&mc8=cQZvZHoYcmB7&3J59H=1SC5QJBETUQ0SHDNQH&Kiiq=Q0NXSBFPxVaVE&3E=24P9OJ305&NgNJ=jIgs8NUw4LT0yJSFbV&P38S=ixM&wUr9d=JXtme1JVZkx4A3lsewJxZmVkJVRFJA%3D%3D
[ho reso l'url non cliccabile perché invita a scaricare un programma chiaramente nocivo]

- durante la navigazione, aperto un link in una nuova scheda, vengo reindirizzato in un'altra pagina (appena mi risuccede posto il link)

- Malwerbites' antimalware non si avvia; non riesco nemmeno ad accedere al suo sito

- Avira AntiVir non rileva alcuna minaccia

- Combofix: sia in modalità normale sia in provvisoria, non si avvia nemmeno se salvato con un nome di fantasia

con SUPERantispyware riesco ad eliminare un trojan DNS changer. Dopo l'eliminazione:

- Riesco ad accedere al sito di mbam, ma anche reinstallandolo non si avvia

- Combofix, salvato con un nome di fantasia, riesce ad avvivarsi; dopo un po' mi chiede di riavviare il sistema per poter eliminare un rootkit (mi dà le seguenti info: Service: sptd; File: C:\Windows\system32\Drivers\sptd.sys). Riavviato il sistema combofix ritorna in funzione, ma ad un certo punto il PC si riavvia di colpo e alla riaccensione compare il messaggio secondo cui Windows è stato riavviato in seguito ad un errore grave.
Riprovando ad eseguire il tool si ripete la situazione descritta.

Allego log di HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.38.25, on 08/11/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18975)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/Messenger ... E_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\Windows\System32\guard32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 5575 bytes

Come firewall uso Comodo.

Ora non mi resta altro che affidarmi a voi...

[Uomo_Senza_Sonno]

Per caso combofix è riuscito a rilasciare un log, seppure incompleto?
Se i tools da installare non funzionano, prova ad utilizzare un rescue disk come quello di kaspersky: lo masterizzi ed esegui il boot da cd rom, aggiorni ed esegui la scansione di tutti i dischi

[CRYPAX]

il log mi sembra ok
hai provato a disattivare il punto di ripristino e poi fare la scansione ??
comunque spulciando in rete,C:\Windows\system32\Drivers\sptd.sys, sembra appartenere a Daemon tool
Altrimenti usa, come già detto , un rescue Disk
aggiungo che oltre a Kaspersky , molto valido e anche quello di Avira ..

[farbix89]

Oppure puoi provare ad avviare Mbam e combofix in provvisoria

http://www.MegaLab.it/6303/pc-infetto-d ... ntervenire

PS

se non ti fa accedere al sito di Mbam,prova a scaricarlo da un altro sito o a scaricarlo su un altro PC,passandolo poi con una chiavetta USB.

[hashcat]

Non vorrei sbagliarmi ma il link non è più accessibile. Per quanto riguarda il sito che ospita la pagina non siamo messi per niente bene:
Analisi google:

Codice: Seleziona tutto

Malicious software includes 13977 scripting exploit(s).

This site was hosted on 1 network(s) including AS42560 (BA).

Questo sito ha operato da intermediario causando un'ulteriore distribuzione di malware?
Negli ultimi 90 giorni 77.78.247.0 sembra aver operato come intermediario per l'infezione di 1975 siti, tra cui mediafire.com/, rert.ibelgique.com/, oocities.com/.

Questo sito ha ospitato malware?
Sì, questo sito ha ospitato software dannosi negli ultimi 90 giorni. Ha infettato 4046 domini, tra cui mediafire.com/, oocities.com/, tigals.ifrance.com/.

(http://bit.ly/csiXgp)

il sito è inoltre noto per frodi e spam:
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL97790

Oltre alla soluzione del boot cd potresti provare ad usare Hitman pro, non si sà mai, potrebbe anche funzionare, avvia il computer in modalità provvisoria con rete e se te lo fa avviare fai una scansione e posta il log.

Link hitman pro:

http://software-files-l.cnet.com/s/soft ... nPro35.exe

[lll]

Scusate per la lunga assenza, ma sono stato molto impegnato.

Ho scaricato la iso del CD di Avira... ha eliminato due file (segnalati come TR.Rootkit.Gen3); al riavvio ho dovuto inserire il CD di Windows e riparare il sistema, ma ora sembra essersi messo tutto a posto.

Giusto per completezza, segnalo i due URL in cui venivo reindirizzato quando aprivo indirizzi intenet:
- http:/ /clicks.bestquickfind.com/xtr_new?q=INDIRIZZO.A.CUI.CERCO.DI.ACCEDERE&enk=J7nmiQepZomPkWbjJuPmoSaZBuMmkQfJZslmgUaBj4k=
- http:/ /www.search.pro/results.php?q=INDIRIZZO.A.CUI.CERCO.DI.ACCEDERE&type=web&rs=1&_as=413&sx_kw=INDIRIZZO.A.CUI.CERCO.DI.ACCEDERE&_ass=74130&sx_mkw=INDIRIZZO.A.CUI.CERCO.DI.ACCEDERE&sx_v=0.0573

Grazie a tutti ;-)

[hashcat]

Scusate per la lunga assenza, ma sono stato molto impegnato.

Ho scaricato la iso del CD di Avira... ha eliminato due file (segnalati come TR.Rootkit.Gen3); al riavvio ho dovuto inserire il CD di Windows e riparare il sistema, ma ora sembra essersi messo tutto a posto.

Giusto per completezza, segnalo i due URL in cui venivo reindirizzato quando aprivo indirizzi intenet:
- http:/ /clicks.bestquickfind.com/xtr_new?q=INDIRIZZO.A.CUI.CERCO.DI.ACCEDERE&enk=J7nmiQepZomPkWbjJuPmoSaZBuMmkQfJZslmgUaBj4k=
- http:/ /www.search.pro/results.php?q=INDIRIZZO.A.CUI.CERCO.DI.ACCEDERE&type=web&rs=1&_as=413&sx_kw=INDIRIZZO.A.CUI.CERCO.DI.ACCEDERE&_ass=74130&sx_mkw=INDIRIZZO.A.CUI.CERCO.DI.ACCEDERE&sx_v=0.0573

Grazie a tutti ;-)

Il sito search.pro è noto per distribuzione di software malevolo (guarda quì):
http://www.mywot.com/it/scorecard/search.pro
http://hosts-file.net/?s=search.pro