www.MegaLab.it

[Andy97]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13.54.17, on 06/06/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

--
End of file - 1220 bytes

Comunque ho eliminato altre chiavi, e la connessione ad internet ora funziona. infatti ho aggiornato antivir

[Andy97]

Il problema è che salvando i file potresti conservare anche quelli che hanno originato l'infezione

Giusta osservazione di hashcat.Quindi ,prima di 'reimportare' i file sul computer appena reinstallato assicurati che non contengano malware .
Edit: meglio non affidare ad Avast tale compito ,visto che non li ha visti prima,non vedo come potrebbe vederli "poi" ,anche se forse con qualche aggiornamento potrebbe pure riuscirci (campa cavallo...)

Avast non funzionava più. ho installato antivir, l'ho aggiornato (ho eliminato delle chiavi con hijackthis) e sto facendo una bella scansione

[crazy.cat]

Tutto qui?

O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

Mancano un sacco di voci...

[hashcat]

Il problema è che salvando i file potresti conservare anche quelli che hanno originato l'infezione

Giusta osservazione di hashcat.Quindi ,prima di 'reimportare' i file sul computer appena reinstallato assicurati che non contengano malware .
Edit: meglio non affidare ad Avast tale compito ,visto che non li ha visti prima,non vedo come potrebbe vederli "poi" ,anche se forse con qualche aggiornamento potrebbe pure riuscirci (campa cavallo...)

Avast non funzionava più. ho installato antivir, l'ho aggiornato (ho eliminato delle chiavi con hijackthis) e sto facendo una bella scansione

Sono felice che la connessione ad internet funzioni nuovamente, ora puoi seguire questa procedura, dopodiché suggerisco una scansione con Hitman Pro:

Scarica la versione a 32 bit da qui:

Installala, e cambia le impostazioni avanzate con queste:

Esegui una scansione (richiede una connessione ad internet permanente durante la scansione), ignora tutte le minacce rilevate:

Al termine della scansione salva il log:

Postalo su paste2.org e inserisci il link nel prossimo messaggio.

Dopo aver visto il log ti dirò cosa eliminare.

[Sabbb]

Segui i consigli che ti stanno dando eugenio19911 e hashcat che sei in buone mani ,però al di la se aggiusterai la situazione o del format installa il SP3 che è molto importante.

[eugenio19911]

ed inoltre anche IE8 dato che è parzialmente legato al sistema operativo

[Al3x]

è accaduta la stessa cosa ad un pc con windows vista, menu avvio e desktop vuoti. In realtà era tutto ancora al proprio posto ed il malware aveva solamente applicato il flag hidden e read-only a tutte le cartelle presenti nel profilo utente, ivi compresa quella del menu avvio
Nella fattispecie si trattava di un virus che si trovava nell'MBR ed eliminato grazie al Recovey Disk di Avira ovviamente aggiornato via rete prima della scansione

[Andy97]

Segui i consigli che ti stanno dando eugenio19911 e hashcat che sei in buone mani ,però al di la se aggiusterai la situazione o del format installa il SP3 che è molto importante.

[hashcat]

Segui i consigli che ti stanno dando eugenio19911 e hashcat che sei in buone mani ,però al di la se aggiusterai la situazione o del format installa il SP3 che è molto importante.

Come va il computer?
A che punto sei?

[Andy97]

Ecco il log di Malwarebytes:
Sono stati rilevati abbastanza trojan, rogue e malware

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Versione database: 6785

Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 6.0.2900.2180

06/06/2011 15.09.32
mbam-log-2011-06-06 (15-09-05).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 239065
Tempo impiegato: 12 minuti, 35 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 2
File infetti: 11

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
c:\documents and settings\giuseppe\dati applicazioni\cleanup antivirus (Rogue.CleanUpAntivirus) -> No action taken.
c:\Recycle.Bin (Trojan.Spyeyes) -> No action taken.

File infetti:
c:\system volume information\_restore{03c64b93-0f2b-48f3-a19b-2c23f2a0b42a}\RP211\A0009469.sys (Trojan.Cutwail) -> No action taken.
c:\system volume information\_restore{03c64b93-0f2b-48f3-a19b-2c23f2a0b42a}\RP212\A0009500.sys (Trojan.Cutwail) -> No action taken.
c:\system volume information\_restore{03c64b93-0f2b-48f3-a19b-2c23f2a0b42a}\RP214\A0009548.sys (Trojan.Cutwail) -> No action taken.
c:\system volume information\_restore{03c64b93-0f2b-48f3-a19b-2c23f2a0b42a}\RP214\A0009575.sys (Trojan.Cutwail) -> No action taken.
c:\documents and settings\giuseppe\Desktop\cleanup antivirus.lnk (Rogue.CleanUpAntivirus) -> No action taken.
c:\documents and settings\giuseppe\menu avvio\programmi\cleanup antivirus.lnk (Rogue.CleanUpAntivirus) -> No action taken.
c:\documents and settings\giuseppe\dati applicazioni\microsoft\internet explorer\quick launch\cleanup antivirus.lnk (Rogue.CleanUpAntivirus) -> No action taken.
c:\documents and settings\giuseppe\menu avvio\cleanup antivirus.lnk (Rogue.CleanUpAntivirus) -> No action taken.
c:\documents and settings\giuseppe\impostazioni locali\Temp\_vdmstmsnd_.dat (Malware.Trace) -> No action taken.
c:\documents and settings\giuseppe\dati applicazioni\cleanup antivirus\instructions.ini (Rogue.CleanUpAntivirus) -> No action taken.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> No action taken.

[Andy97]

Cosa elimino?

[Andy97]

è accaduta la stessa cosa ad un pc con windows vista, menu avvio e desktop vuoti. In realtà era tutto ancora al proprio posto ed il malware aveva solamente applicato il flag hidden e read-only a tutte le cartelle presenti nel profilo utente, ivi compresa quella del menu avvio
Nella fattispecie si trattava di un virus che si trovava nell'MBR ed eliminato grazie al Recovey Disk di Avira ovviamente aggiornato via rete prima della scansione

Infatti tutte le cartelle del disco C erano nascoste e in sola lettura. Riusciamo solo a vederle dopo aver attivato la visualizzazione dei file nascosti

[hashcat]

Cosa elimino?

Dal log di Malwarebytes vedo che puoi eliminare tutto.

EDIT:

Non per essere indiscreto ma per cosa vengono utilizzati questi computer aziendali?

EDIT2:

Dopo aver rimosso le minacce con Malwarebytes segui il procedimento di Hitman Pro

EDIT3: Che risultati ha dato la scansione con avira?

[Andy97]

Ora faccio la scansione con Hitman e Avira e ti posto i log

[hashcat]

Ora faccio la scansione con Hitman e Avira e ti posto i log

Ok li leggerò fra un ora

[Andy97]

Con solo 2 pc connessi (il mio e quello da sistemare) l'upload per la scansione di hitman darà veloce. Ora che sono in vacanza ho tanto tempo per dedicarmici

[Andy97]

Ecco quello di HitMan:
nessun problema rilevato, ma ti posto ugualmente il LOG
http://paste2.org/p/1454982

[Andy97]

LOG Avira, niente rilevato.
Comunque ecco il LOG:

Avira AntiVir Personal
Data del file di report: lunedì 6 giugno 2011 15:59

Ricerca di 2722719 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 2) [5.1.2600]
Modalità di avvio : Modalità provvisoria con avvio di rete
Nome utente : Administrator
Nome computer : GIU-B333BD64505

Informazioni sulla versione:
BUILD.DAT : 10.0.0.81 31821 Bytes 04/04/2011 10:19:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 01/04/2011 15:09:15
AVSCAN.DLL : 10.0.3.0 54120 Bytes 28/03/2011 14:17:53
LUKE.DLL : 10.0.3.2 104296 Bytes 01/04/2011 15:09:22
LUKERES.DLL : 10.0.0.0 13160 Bytes 16/02/2010 08:15:20
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 14:17:51
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 14:17:52
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 11:54:04
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31/05/2011 11:54:10
VBASE005.VDF : 7.11.8.179 2048 Bytes 31/05/2011 11:54:10
VBASE006.VDF : 7.11.8.180 2048 Bytes 31/05/2011 11:54:10
VBASE007.VDF : 7.11.8.181 2048 Bytes 31/05/2011 11:54:10
VBASE008.VDF : 7.11.8.182 2048 Bytes 31/05/2011 11:54:10
VBASE009.VDF : 7.11.8.183 2048 Bytes 31/05/2011 11:54:10
VBASE010.VDF : 7.11.8.184 2048 Bytes 31/05/2011 11:54:11
VBASE011.VDF : 7.11.8.185 2048 Bytes 31/05/2011 11:54:11
VBASE012.VDF : 7.11.8.186 2048 Bytes 31/05/2011 11:54:11
VBASE013.VDF : 7.11.8.222 121856 Bytes 02/06/2011 11:54:11
VBASE014.VDF : 7.11.9.7 134656 Bytes 04/06/2011 11:54:11
VBASE015.VDF : 7.11.9.8 2048 Bytes 04/06/2011 11:54:11
VBASE016.VDF : 7.11.9.9 2048 Bytes 04/06/2011 11:54:12
VBASE017.VDF : 7.11.9.10 2048 Bytes 04/06/2011 11:54:12
VBASE018.VDF : 7.11.9.11 2048 Bytes 04/06/2011 11:54:12
VBASE019.VDF : 7.11.9.12 2048 Bytes 04/06/2011 11:54:12
VBASE020.VDF : 7.11.9.13 2048 Bytes 04/06/2011 11:54:12
VBASE021.VDF : 7.11.9.14 2048 Bytes 04/06/2011 11:54:12
VBASE022.VDF : 7.11.9.15 2048 Bytes 04/06/2011 11:54:12
VBASE023.VDF : 7.11.9.16 2048 Bytes 04/06/2011 11:54:12
VBASE024.VDF : 7.11.9.17 2048 Bytes 04/06/2011 11:54:12
VBASE025.VDF : 7.11.9.18 2048 Bytes 04/06/2011 11:54:12
VBASE026.VDF : 7.11.9.19 2048 Bytes 04/06/2011 11:54:12
VBASE027.VDF : 7.11.9.20 2048 Bytes 04/06/2011 11:54:12
VBASE028.VDF : 7.11.9.21 2048 Bytes 04/06/2011 11:54:13
VBASE029.VDF : 7.11.9.22 2048 Bytes 04/06/2011 11:54:13
VBASE030.VDF : 7.11.9.23 2048 Bytes 04/06/2011 11:54:13
VBASE031.VDF : 7.11.9.37 101376 Bytes 06/06/2011 11:54:13
Motore : 8.2.5.12
AEVDF.DLL : 8.1.2.1 106868 Bytes 28/03/2011 14:17:29
AESCRIPT.DLL : 8.1.3.65 1606010 Bytes 06/06/2011 11:54:20
AESCN.DLL : 8.1.7.2 127349 Bytes 28/03/2011 14:17:28
AESBX.DLL : 8.2.1.34 323957 Bytes 06/06/2011 11:54:21
AERDL.DLL : 8.1.9.9 639347 Bytes 25/03/2011 10:21:38
AEPACK.DLL : 8.2.6.8 557430 Bytes 06/06/2011 11:54:19
AEOFFICE.DLL : 8.1.1.25 205178 Bytes 06/06/2011 11:54:19
AEHEUR.DLL : 8.1.2.123 3502456 Bytes 06/06/2011 11:54:18
AEHELP.DLL : 8.1.17.2 246135 Bytes 06/06/2011 11:54:15
AEGEN.DLL : 8.1.5.6 401780 Bytes 06/06/2011 11:54:14
AEEMU.DLL : 8.1.3.0 393589 Bytes 28/03/2011 14:17:21
AECORE.DLL : 8.1.21.1 196983 Bytes 06/06/2011 11:54:14
AEBB.DLL : 8.1.1.0 53618 Bytes 28/03/2011 14:17:20
AVWINLL.DLL : 10.0.0.0 19304 Bytes 28/03/2011 14:17:34
AVPREF.DLL : 10.0.0.0 44904 Bytes 01/04/2011 15:09:14
AVREP.DLL : 10.0.0.10 174120 Bytes 06/06/2011 11:54:21
AVREG.DLL : 10.0.3.2 53096 Bytes 01/04/2011 15:09:14
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 01/04/2011 15:09:15
AVARKT.DLL : 10.0.22.6 231784 Bytes 01/04/2011 15:09:12
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 01/04/2011 15:09:14
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 13:28:20
AVSMTP.DLL : 10.0.0.17 63848 Bytes 28/03/2011 14:17:34
NETNT.DLL : 10.0.0.0 11624 Bytes 28/03/2011 14:17:43
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 12/02/2010 12:11:56
RCTEXT.DLL : 10.0.58.0 98664 Bytes 28/03/2011 14:17:54

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione rapida del sistema
File di configurazione......................: C:\Programmi\Avira\AntiVir Desktop\quicksysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:,
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Non attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Selezione intelligente dei file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: elevato
Categorie irregolari delle minacce..........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Avvio della scansione: lunedì 6 giugno 2011 15:59

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '1' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 308 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\Documents and Settings\Administrator'
Inizia con la scansione di 'C:\WINDOWS'
Inizia con la scansione di 'C:\Documents and Settings\All Users.WINDOWS'
Inizia con la scansione di 'C:\Programmi'


Fine della scansione: lunedì 6 giugno 2011 16:12
Tempo impiegato: 12:23 Minuto(i)

La scansione è stata completamente eseguita.

2699 Directory scansionate
73544 I file sono stati scansionati
0 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
0 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
73544 File non infetti
639 Archivi scansionati
0 Avvisi
0 Note

[hashcat]

Ok sembrerebbe tutto a posto

Per eseguire altri controlli veloci fai così:

TdssKiller:

Segui questa procedura:

1. Scarica TDSSKiller da qui
2. Esegui TDSSKiller e clicca su "Start Scan"
3. Al termine della scansione verrà mostrata una schermata con i rilevamenti
4. Seleziona l'opzione "Cure" per i rilevamenti "malicious" e l'opzione "Skip" per quelli "Suspicious"
5. Clicca su Next/Continue per applicare le azioni
6. Per portare a termine la disinfezione TDSSKiller potrebbe richiedere un riavvio del computer
7. Al termine della procedura posta il log di TDSSKiller che si trova in C:\TDSSKillerxxxx

Scarica Combofix e segui questa procedura:

• Disattivare o Chiudere tutte le protezioni in tempo reale di: anti-spyware, antivirus, anti-malware, che possono influenzare ComboFix
• Terminare tutti i programmi non fondamentali del tuo computer
• Fare doppio clic sul file
• Non utilizzare il computer durante l'esecuzione di Combofix (nemmeno mouse e tastiera)
• Quando Combofix finirà, salverà un log in:
  

  Codice: Seleziona tutto

  C:\ComboFix.txt

• Per informazioni aggiuntive leggere la guida:
  http://www.bleepingcomputer.com/combofix/it/come-usare-combofix
• Posta il log di Combofix su MegaLab

Il log di Combofix postalo su paste2.org

Dopo queste verifiche finali controlleremo come migliorare la configurazione di sicurezza del tuo computer (prevenzione + rilevazione + blocco).

E dopo aver finito non dimenticare di aggiornare al service pack 3, Internet Explorer 8, per controllare di possedere versioni aggiornate di tutti i programmi del computer serviti di Sumo portable e Secunia PSI.

[hashcat]

Mi sono dimenticato di fare il controllo con Vipre.

Prima di fare quanto riportato nel messaggio precedente esegui un controllo con vipre rescue.

Istruzioni:

• Se è possibile, Scarica il programma di salvataggio per il computer infetto, altrimenti scarica il programma VIPRE Rescue su un drive USB o un altro supporto rimovibile.
• Inserire il supporto nel computer infetto.
• Passare alla directory che contiene il programma VIPRE Rescue.
• Fare doppio clic su VIPRERescue9XXX.exe
• Alla richiesta, "Vuoi estrarre il salvataggio di VIPRE scanner sul computer?" fare clic su Sì.
• Ti verrà richiesto di indicare una cartella di destinazione per scompattarlo . Mantenere l'impostazione predefinita (C: \ VIPRERESCUE) o entrare in una nuova cartella, quindi fare clic su Unzip. Assicurarsi che la casella "Una volta fatto unzipping apri:. \ deep_scan.bat"sia selezionata.
• Il programma Rescue VIPRE salverà il file nella cartella di destinazione. Fare clic su OK al prompt.
• Il programma Rescue VIPRE aprirà una finestra della riga di comando ed eseguirà una scansione completa.
• Al termine delle scansione copiare il log e postarlo su MegaLab (il log si trova in C:\VIPRERESCUE\ è un file xml)

Traduzione un po' penosa ma ero di fretta