www.MegaLab.it

[Giampy]

Salve,
oggi ho provato il famoso Combofix. Sapendo della sua potenza, l'ho provato in ambiente virtuale.

Per me chi ha scritto Combofix è fuori di testa. Programmi di questo tipo fanno tutti la loro scansione eppoi, se tu lo vuoi, correggono le infezioni. Combofix no: Combofix non ti chiede se vuoi fare la correzione, la fa. A me ha cancellato una innocua cartella con dentro molto materiale importante. Roba da matti!
Quando ho visto portare via quella cartella quasi mi prende un colpo. Infatti è vero che stavo in ambiente virtuale, ma avevo paura che Combofix, nella sua potenza, andasse a toccare l'ambiente reale. Per fortuna la cartella reale è rimasta. Ma intanto il mezzo colpo mi è preso.

State attenti quindi.

[Giampy]

Sapreste spiegare perché Combofix ha portato via quella cartella innocua che si chiama X? (cioè C:\x)

[devicepenguin]

Per me chi ha scritto Combofix è fuori di testa. ecc ecc ..
State attenti quindi.

Ah ecco
E' lui quello fuori di testa adesso

Codice: Seleziona tutto

 ComboFix non dovrebbe essere utilizzato senza specifica richiesta da parte di chi vi sta aiutando
Nel caso si volessero mantenere i dati contenuti nelle cartelle sopra citate è necessario spostarli in altre posizioni prima di lanciare ComboFix

http://www.bleepingcomputer.com/combofi ... e-combofix

[Giampy]

Allego il rapporto della scansione (virtuale) con Combofix. Se qualcuno ha voglia di darci un'occhiata e dirmi se qualcosa non va, non mi dispiacerebbe. Allego solo le parti salienti del rapporto.

...
Eseguito da: c:\x\ComboFix.exe
AV: COMODO Antivirus *Disabled/Updated*
AV: Returnil System Safe 2011 *Disabled/Updated*
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\x
...
c:\x\Varie\TUBI3D.TXT
D:\x.txt
.
.
((((((((((((((((((((((((( Files Creati Da 2012-09-13 al 2012-10-13 )))))))))))))))))))))))))))))))))))
.
.
2012-10-13 14:38 . 2012-10-13 14:40 -------- d-----w- c:\programmi\Emsisoft HiJackFree
2012-10-07 10:57 . 2012-10-07 10:57 -------- d-----w- c:\documents and settings\Proprietario\Impostazioni locali\Dati applicazioni\Opera
2012-10-07 10:57 . 2012-10-07 10:57 -------- d-----w- c:\programmi\Opera
2012-10-06 23:35 . 2012-10-07 00:02 -------- d-----w- c:\programmi\Antivirus e simili
2012-10-05 11:55 . 2012-10-06 14:43 -------- d-----w- c:\documents and settings\Proprietario\Impostazioni locali\Dati applicazioni\Adobe
2012-10-01 20:56 . 2012-10-06 23:34 -------- d-----w- c:\programmi\Programmi in avvìo e in esecuzione
2012-10-01 19:04 . 2012-10-01 23:44 -------- d-----w- c:\programmi\CCleaner
2012-09-21 22:34 . 2012-09-21 22:36 -------- d-----w- c:\windows\system32\NtmsData
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-09-07 15:04 . 2012-04-16 14:58 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-28 18:24 . 2012-07-14 17:00 477168 ------w- c:\windows\system32\npdeployJava1.dll
2012-08-28 18:24 . 2010-10-19 21:04 473072 ------w- c:\windows\system32\deployJava1.dll
2012-08-28 16:39 . 2012-07-14 17:00 73728 ------w- c:\windows\system32\javacpl.cpl
2012-08-28 15:05 . 2008-04-14 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-08-28 15:05 . 2008-04-14 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2012-08-28 15:05 . 2008-04-14 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-08-28 12:07 . 2008-04-14 12:00 385024 ------w- c:\windows\system32\html.iec
2012-08-24 13:53 . 2008-04-14 12:00 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-08-23 11:32 . 2012-04-06 22:18 696520 ------w- c:\windows\system32\FlashPlayerApp.exe
2012-08-23 11:32 . 2011-05-17 10:52 73416 ------w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-23 06:27 . 2008-04-14 12:00 2152448 ------w- c:\windows\system32\ntoskrnl.exe
2012-08-23 06:27 . 2008-04-13 18:55 2031104 ------w- c:\windows\system32\ntkrnlpa.exe
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-04-29 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-04-29 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-04-29 142872]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2012-01-18 254696]
"Motive SmartBridge"="c:\progra~1\ALICET~1\SMARTB~1\MotiveSB.exe" [2006-04-21 438359]
"COMODO Internet Security"="c:\programmi\Comodo Antivirus\COMODO\COMODO Internet Security\cfp.exe" [2012-03-11 6749512]
.
c:\documents and settings\Proprietario\Menu Avvio\Programmi\Esecuzione automatica\
Copia di sicurezza....lnk - c:\util\Copia.bat [2010-4-17 266]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programmi\\Opera\\opera.exe"=
.
R0 rvsystem;rvsystem;c:\windows\system32\drivers\rvsystem.sys [01/07/2011 15.41.20 58808]
R1 cmderd;COMODO Internet Security Eradication Driver;c:\windows\system32\drivers\cmderd.sys [11/03/2012 21.13.44 18056]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [11/03/2012 21.13.46 494968]
R1 rvsmon;rvsmon;c:\windows\system32\drivers\rvsmon.sys [24/06/2011 13.50.28 276104]
R1 rvsmonf;rvsmonf;c:\windows\system32\drivers\rvsmonf.sys [24/06/2011 13.50.30 43712]
R1 rvsmonn;rvsmonn;c:\windows\system32\drivers\rvsmonn1.sys [24/06/2011 13.50.32 31096]
R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [22/07/2011 18.27.02 12880]
R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [12/07/2011 23.55.22 67664]
R2 !SASCORE;SAS Core Service;c:\programmi\SUPERAntiSpyware\SASCore.exe [11/07/2012 20.54.49 116608]
R2 RVSMONBL;Returnil System Safe Core Service;c:\programmi\Returnil System Safe\RSS\rvsmon.exe [01/07/2011 15.52.58 1801504]
R3 rvseng;rvseng;c:\windows\system32\drivers\rvseng.sys [24/06/2011 13.50.32 1091992]
S2 Network WanMiniport First Position;Network WanMiniport First Position;c:\programmi\Telecom Italia\WanMiniport1st\srvany.exe [17/08/2010 9.48.29 8192]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [25/02/2010 2.42.40 1684736]
S3 esihdrv;esihdrv;\??\c:\docume~1\PROPRI~1\IMPOST~1\Temp\esihdrv.sys c:\docume~1\PROPRI~1\IMPOST~1\Temp\esihdrv.sys
S3 u9usbser;MYWAVEU9 USB Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\u9usbser.sys c:\windows\system32\DRIVERS\u9usbser.sys
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Connection Wizard,ShellNext = "c:\programmi\Outlook Express\msimn.exe"
uInternet Settings,ProxyOverride = 127.0.0.1
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
Trusted Zone: telecomitalia.it\web.ebill-a
TCP: DhcpNameServer = ...
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
SafeBoot-02033617.sys
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-10-13 18:06
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwClose
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\guard32.dll
.
- - - - - - - > 'lsass.exe'(764)
c:\windows\system32\guard32.dll
.
- - - - - - - > 'csrss.exe'(680)
c:\windows\system32\cmdcsr.dll
.
Ora fine scansione: 2012-10-13 18:08:11
ComboFix-quarantined-files.txt 2012-10-13 16:08
.
Pre-Run: 117.922.009.088 byte disponibili
Post-Run: 117.863.362.560 byte disponibili
.
- - End Of File - - 923A6BD6F8892F98828B1659CF436F22

[Giampy]

Ah ecco
E' lui quello fuori di testa adesso

Codice: Seleziona tutto

 ComboFix non dovrebbe essere utilizzato senza specifica richiesta da parte di chi vi sta aiutando
Nel caso si volessero mantenere i dati contenuti nelle cartelle sopra citate è necessario spostarli in altre posizioni prima di lanciare ComboFix

E secondo te perché l'ho provato in ambiente virtuale?

[devicepenguin]

E secondo te perché l'ho provato in ambiente virtuale?

Si,ma vedo che 'ti lamenti' lo stesso

[VincenzoGTA]

Troppe volte vedo consigliare combofix con molta, troppa leggerezza e mai ho visto avvisare di spostare i file presenti in determinati percorsi (pena la perdita)

Personalmente lo lascio sempre come ultima spiaggia...

[The Doctor]

Troppe volte vedo consigliare combofix con molta, troppa leggerezza e mai ho visto avvisare di spostare i file presenti in determinati percorsi (pena la perdita)

La guida parla di eliminazione automatica dei file presenti in:

• Cestino
• Temporary Internet Files
• Temp

Guida

[GERONIMO*]

Combofix và usato per infezioni serie,non certo per rimuovere i cookie
ad ogni modo rimuove ciò che lui ritiene infetto,ora non si sa cosa c'era in quella cartelle,questo lo dici tu che era tutta roba leggitima,questo è sempre da verificare es..se ci sono crack..ecc.
ad ogni modo combofix prima di eseguire la scansione crea un punto di ripristino,volendo puoi recuperare quei dati effettuando un punto di ripristino prima della scansione

in mani sbagliate può fare più danni hijackthis,che combofix

[hashcat]

Dal punto di ripristino non recuperi le cartelle (dell'utente) rimosse, se il contenuto dell cartella era effettivamente importante puoi ripristinarlo in due modi:
1. Recati nella cartella C:\Qoobox\Quarantine\ e rinomina i file .vir nella loro estensione originaria.
2. Utilizza il seguenti CFscript.txt:

Codice: Seleziona tutto

Dequarantine::
C:\Qoobox\Quarantine\C\x
Quit::


Devi copiare il codice sopra-riportato nel blocco note e salvarlo con il nome CFscript.txt, poi trascinarlo sull'eseguibile di combofix.

[VincenzoGTA]

Anche perché usare il ripristino configurazione di sistema dopo aver rimosso un virus tosto, oltre che ad "inguaiare" ulteriormente la situazione, non avrebbe molto senso, anzi...

[Giampy]

Si,ma vedo che 'ti lamenti' lo stesso

Beh, ho sottolineato la pericolosità di Combofix affinché gli utenti meno pratici stiano attenti a usare questo programma-bestia. Eppoi ho riferito dello spavento che ho preso.

A proposito di spavento, non ho detto della parte più drammatica. La racconto solo per informare meglio su come funziona il programma.
Ho visto che ComboBestia non si accontenta del disco C: ma mette le mani anche sulle altre partizioni dello stesso disco fisso. Anche su D: (seconda partizione) mi ha portato via una cosa.
Lo spavento vero è quando credevo che ComboBestia mettesse le mani anche sul secondo disco fisso, lo E:, disco dove ho le copie di sicurezza e disco che... non è protetto da Returnil. Per fortuna il secondo disco fisso non lo considera.

[Giampy]

ora non si sa cosa c'era in quella cartelle,questo lo dici tu che era tutta roba leggitima,questo è sempre da verificare es..se ci sono crack..ecc.

Quella cartella l'hanno visitata più volte diversi antivirus, antimalware, antihijack e nessuno ha trovato infezioni.

[Giampy]

Comunque, come già detto all'inizio, non ho perduto nulla, la cartella C:\x è rimasta grazie all'ambiente virtuale nel quale già ero.
Combofix, malgrado la sua potenza, rimane nell'ambiente virtuale (di Returnil).

[Giampy]

Pensatela come volete, ma io lo ribadisco: è da pazzi fare un programma del genere, così potente e devastante, che effettua da solo le correzioni senza chiedere il permesso all''utente. E' come costruire una Ferrari senza freni.

[farbix89]

Riprendo un paragone concreto che avevo fatto tempo fa a riguardo di Combofix:

questo programma è un vero e proprio antibiotico informatico.

Vista la sua "comprovata" efficacia su moltissimi tipi di infezioni è paragonabile ad un antibiotico ad ampio spettro.

Ma cosa succede se prendiamo antibiotici senza motivo, anche se perfettamente sani o senza sapere cosa ci ha infettati?

Rischiamo di fare più danni di quelli provocati dall'infezione.

E a volte i danni sono davvero molto gravi...molte persone sono anche morte per colpa di antibiotici presi male o presi con dosaggi sbagliati.

Ma così come esistono inevitabilmente effetti collaterali per medicine così potenti,ci sono milioni (miliardi) di persone guarite grazie agli antibiotici in questi decenni.

Con Combofix è la stessa identica cosa in ambito informatico: se usato per testing su file e sistema puliti,i risultati diventano imprevedibili.

Nel frattempo milioni di persone si sono liberate di virus pericolosi utilizzando solo Combofix,e non hanno perso nessun file.

Quindi onestamente non capisco questa animosità verso Combofix...lo hai utilizzato nel modo errato e i risultati li hai visti sotto i tuoi occhi.

Prendi gli stessi file e mettici nel sistema(virtuale o protetto) qualche bella bestiola..vedrai il virus sparire e i file ancora al loro posto.

Abusare delle medicine (anche informatiche) porta a risultati non prevedibili e difficilmente replicabili in fase di creazione del prodotto.

[VincenzoGTA]

Appunto, lo lascio come ultima risorsa quando ormai il sistema risulta essere spacciato per i "normali antibiotici"
ovviamente con il disco d'installazione del sistema operativo, a portata di mano, vista la eventuale gravità dell'infezione

[The Doctor]

Personalmente lo uso, in modalità provvisoria, come prima risorsa su PC di cui sono certo siano dannatamente infetti (vedi virus dei 100€ ed altre schifezze). Poi procedo manualmente (registro, Hitman, Malwarebytes eccetera all'occorrenza)

[GERONIMO*]

ora non si sa cosa c'era in quella cartelle,questo lo dici tu che era tutta roba leggitima,questo è sempre da verificare es..se ci sono crack..ecc.

Quella cartella l'hanno visitata più volte diversi antivirus, antimalware, antihijack e nessuno ha trovato infezioni.

combofix,va oltre questi software trova cose che questi manco vedono
ed è ritenuto sicuro propio perché rimuove solo infezioni note,aggiornando frequentemente il suo database
oltre ad eliminare già infezioni automaticamente,restituisce un report dove si possono individuare e rimuovere manualmente,virus e rootkit
cosa che un antivirus non fa..
in più ripara file di sistema infettati da virus automaticamente,andandoli a prendere dal sistema tramite una copia
sinceramente ho sempre fatto usare combofix,nessuno riscontra problemi che dici,e ti assicuro che ne ha risolti di problemi seri sui pc
anche se avrà rimosso a volte qualcosa di leggittimo non'è mai stato nulla di importante o di irriparabile...si può sempre rimediare
come già detto non và usato per rimuovere cose leggeri o scansioni di routine
quindi credo che le tue affermazioni su Combofix,siano spropositate,ma le rispetto,ognuno ha le sue opinioni

[GERONIMO*]

ah...dimenticavo...infatti combofix nel log che hai postato ha trovato qualcosa di sospetto,anche al mbr,detected NTDLL code modification:
ZwClose,sembrerebbe un bel Rootkittino
forse riconducibile al problema che lamenti in questo topic
topic78670-100.html