Mi trovo a combattere un qualche spambot cazzuto. Non riesco a trovare servizi strani in esecuzione, HijackThis mi sembra normale. è stata fatta una passata con SpyBot S&D e con a-squared. L'antivirus è Avast.
Le scansioni precedenti hanno permesso di rimuovere diversi trojan, ma rimane questo spambot che in 10 minuti fa 50000 connessioni a server smtp.
Ho bloccato la porta 25 in uscita sul router altrimenti mi saturava le connessioni half-opened del router.

Logfile of HijackThis v1.99.1
Scan saved at 15.17.01, on 21/02/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvp2pmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\QuickTime\QTTask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\TomTom HOME\TomTomHOME.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Elisa\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programmi\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [PCMCIA Resource Monitor] nvp2pmon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203587876718
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Internet Connection Sharing Firewall Service (AccessSharing) - Unknown owner - C:\WINDOWS\system\wcntfysvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Con TCPView riesco a vedere il processo che effettua le connessioni: è Services.exe, quindi è un file di sistema:

services.exe:912 TCP acer-tw3wejb7nt:11652 acer-tw3wejb7nt:0 LISTENING
services.exe:912 TCP acer-tw3wejb7nt.cionci:11652 server57.appriver.com:smtp SYN_SENT
services.exe:912 TCP acer-tw3wejb7nt:11653 acer-tw3wejb7nt:0 LISTENING
services.exe:912 TCP acer-tw3wejb7nt.cionci:11653 mxlb.ispgateway.de:smtp SYN_SENT
services.exe:912 TCP acer-tw3wejb7nt:11654 acer-tw3wejb7nt:0 LISTENING
services.exe:912 TCP acer-tw3wejb7nt.cionci:11654 mail.mx4.compuserve.com:smtp SYN_SENT

Qualcuno ha qualche idea su come individuarlo ?

Avevo fatto male la ricerca :muro:
http://www.hwupgrade.it/forum/showthread.php?t=1669008

Però sul sistema quei due file .sys non ci sono :confused:

:D ciao

mi dispiace ma fino a quando non aggiorni il sistema operato installando la Service Pack 2 (e i relativa 90 e passi aggiornamenti sucessivi compreso IE7) non riceverai assistenza, in quanto.. tempo un paio di ore e ti infetti nuovamente

aggiorna e poi posta i log freschi freschi della guida alla disinfezione

ciau :D

Posto che il PC non è il mio :D Volevo aggiornare dopo aver rimesso a posto tutto, anche perché il sistema aveva anche altri problemi.
In teoria ora sembra tutto ok, tranne per quel problema con lo spambot. Stai sicuro che ora che è in mano mia il sistema non si infetta ;)

provvedi ad aggiornare e forse il problema si risolve

non sarebbe male sostituire avast con avira (www.free-av.com)
anche un giretto su www.secunia.com (ho visto alcuni soft vecchiotti)

buona fortuna :D

provvedi ad aggiornare e forse il problema si risolve

Prima il sistema era instabile, mi si è piantato l'aggiornamento al SP2 per 3 volte, per questo speravo di risolvere prima anche questo problema. In ogni caso bloccando la porta 25 sul router sembra molto più stabile, ora provo.

Ho aggiornato ed il problema è rimasto.
Sembra che sia un rootkit, almeno da quanto dicono Gmer e CSI.
Allego il log di CSI.

Questo computer era affetto dagli stessi sintomi del thread che ho linkato sopra, ma sembra che il problema sia leggermente diverso oppure ce n'è più di uno di rootkit.

http://rapidshare.com/files/93751904/CSI.zip.html

Ho aggiornato ed il problema è rimasto.
Sembra che sia un rootkit, almeno da quanto dicono Gmer e CSI.
Allego il log di CSI.

Questo computer era affetto dagli stessi sintomi del thread che ho linkato sopra, ma sembra che il problema sia leggermente diverso oppure ce n'è più di uno di rootkit.

http://rapidshare.com/files/93751904/CSI.zip.html

i log andrebbero allegati alla discussione non zippati utilizzando il servizio www.fileup.itadib.com

log PrevX CSI (http://www.fileup.itadib.com/download.php?id=cEwq89iNSaS21yHm3bcw)
log gmer (http://www.fileup.itadib.com/download.php?id=aVMMkxPanDcxkeYoJhaw)

log PrevX CSI (http://www.fileup.itadib.com/download.php?id=cEwq89iNSaS21yHm3bcw)
log gmer (http://www.fileup.itadib.com/download.php?id=aVMMkxPanDcxkeYoJhaw)

confermo il pc è pieno di rootkit
utilizza questi programmi e posta il report:

Panda Antirootkit
http://research.pandasoftware.com/blogs/images/AntiRootkit.zip

scansione con Dr.Web Cure it

Ho fatto una scansione con nanoscan, ma non ha trovato niente, ora provo con Dr.Web Cure it.

Ho fatto una scansione con nanoscan, ma non ha trovato niente, ora provo con Dr.Web Cure it.

nanoscan non serve, quasi, a niente

utilizza quei due programmi :D

Intanto allego il report di Panda, non ho corretto perché me lo rileva come sconosciuto.
Clicca qui per scaricare (http://www.fileup.itadib.com/download.php?id=AHUQLqwvWnOiQyA71SmY)

Per l'altro dopo cena...grazie ;)

Intanto allego il report di Panda, non ho corretto perché me lo rileva come sconosciuto.
Clicca qui per scaricare (http://www.fileup.itadib.com/download.php?id=AHUQLqwvWnOiQyA71SmY)

Per l'altro dopo cena...grazie ;)

non hai corretto in che senso?
I rootkit sono da eliminare :D

vediamo cosa sistema drweb
scansioni antivirus ne hai fatto? se no vai con bitdefender online

poi un altra scansione con prevxcsi

se non si risolve io direi di provare con la trial di kaspersky
prima direi di sentire il parere dei soci :D

Non ho corretto perché non riconosceva tutti i file, ma solo il file Vcbp29 e gli dava il nome "unknown".
DrWeb mi ha crashato il sistema con una schermata blu, ora riavvio.

Niente...DrWeb mi crasha tutto, schermata blu con scritto: "il sistema è stato arrestato per impedire che fossero causati danni".
Ci sta che sia perché è su FAT32 ?
Ora faccio un in-depth scan con Panda...

BitDefender non ha trovato il rootkit, ha solo cancellato i resti dei trojan che erano rimasti a giro.

prova VirIT light explorer dovrebbe darci qualcosa di utile ;)

se puoi intanto installa su quel pc Online Armor così possiamo meglio capire che interazioni ci sono nel sistema:
http://www.download.com/Online-Armor/3000-10435-10426782.html?part=dl-OnlineArm&subj=uo&tag=button
questa è la free

potresti anche già fare la scansione con http://noahdfear.geekstogo.com/FindAWF.exe e vediamo se hai le directories bak :)

Non capito se i servizi identificati come Rootkit da Gmer sono stati falciati da Gmer stesso (DELETE SERVICE)

Non capito se i servizi identificati come Rootkit da Gmer sono stati falciati da Gmer stesso
In che modo ? Non ho visto un tasto fix o qualcosa del genere :confused:
Io premo scan...e dopo ?
Ad una scansione successiva comunque restano lì comunque.

Edit: forse ho visto :D

In che modo ? Non ho visto un tasto fix o qualcosa del genere :confused:
Io premo scan...e dopo ?
Ad una scansione successiva comunque restano lì comunque.
Selezionando il servizio identificato come Rootkit col tasto dx del muose e clic su DELETE SERVICE

Non mi elimina Vcbp29.sys :muro: :muro: Error 0x00000010
Ora provo a riavviare e scarico Virit.

Non mi elimina Vcbp29.sys :muro: :muro: Error 0x00000010
Ora provo a riavviare e scarico Virit.

Passata con Vitit ed alleghi il log, dopodichè mi alleghi un nuovo log di gmer e prevx CSI

Dopo il riavvio gli altri servizi non sono tornati, ma ho il sospetto che non fossero più attivi (un riga del log diceva "missing" sui file), lo spambot è sempre attivo.
Provo questo virit.

Virit non ha ancora finito, ma ci è passato sopra senza segnalare niente.
Panda rilevava quel file, dite che posso rimuoverlo con Panda anche se non riconosceva il tipo di rootkit (unknown) ?

Virit non ha ancora finito, ma ci è passato sopra senza segnalare niente.
Panda rilevava quel file, dite che posso rimuoverlo con Panda anche se non riconosceva il tipo di rootkit (unknown) ?

Direi di si, attendo i log indicati qui http://www.hwupgrade.it/forum/showpost.php?p=21209884&postcount=24

Prevx (http://www.fileup.itadib.com/download.php?id=Llc0Qh4p600fgVW0P8N2)
Virit
21/02/2008 - 23:30:50

[SCANSIONE DEL REGISTRO]
OK

[C:\WINDOWS]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 19717.
Files Totali: 19717.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

Anche il log di Gmer, thx.

Stavo finendo, ho preferito inviare il messaggio perché prima mi si è piantato gmer ;)
log gmer (http://www.fileup.itadib.com/download.php?id=y2iTirUVlpop2HGtgnHa)

Grazie ;)

Stavo finendo, ho preferito inviare il messaggio perché prima mi si è piantato gmer ;)
log gmer (http://www.fileup.itadib.com/download.php?id=y2iTirUVlpop2HGtgnHa)

Grazie ;)

Allega un log di ComboFix
Download: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt e anche il file
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Sembra e dico sembra che non invii più spam :sofico:
Ora faccio una scansione con gmer.
Che roba era ?

Direi che va tutto bene :D
GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2008-02-22 00:19:40
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

Code 816C18EC KeSetProfileIrql

---- Kernel code sections - GMER 1.0.14 ----

? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Impossibile trovare il file specificato. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programmi\MSN Messenger\MsnMsgr.Exe[3444] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 5 Bytes JMP 004DE392 C:\Programmi\MSN Messenger\MsnMsgr.Exe (Messenger/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 mouclass.sys (Driver Mouse Class/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- EOF - GMER 1.0.14 ----

Grazie :ave:

Me lo alleghi il log di Combo

Edit: + log di Prevx Csi

Ecco qua:

Combofix (http://www.fileup.itadib.com/download.php?id=eeN57lZDx8NCnVTDohR3)

Che tipo di rootkit è ? Da dove è stato preso secondo te ?

Che tipo di rootkit è ? Da dove è stato preso secondo te ?


aspette che lo chiedo alla sfera di cristallo :D

non è finita allega intanto un log di questo tool nel frattempo mi controllo per bene il log di Combo http://noahdfear.geekstogo.com/FindAWF.exe

ma che ci fate co stò PC

Ma che ne so...è di una famiglia di conoscenti ;)

Ma che ne so...è di una famiglia di conoscenti ;)

me lo posti il log del tool indicato, che vediamo di andare a dormire :D ;)

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C Š ACER
Numero di serie del volume: 2629-16F0

Directory di C:\WINDOWS\SYSTEM32\BAK

08/04/2003 12.00 13.312 ctfmon.exe
1 File 13.312 byte
2 Directory 20.462.010.368 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 2629-16F0

Directory di C:\PROGRA~1\LAUNCH~1\BAK

19/03/2004 19.37 290.816 QtZiAcer.EXE
1 File 290.816 byte
2 Directory 20.462.010.368 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 2629-16F0

Directory di C:\PROGRA~1\QUICKT~1\BAK

01/11/2005 11.23 77.824 qttask.exe
1 File 77.824 byte
2 Directory 20.462.010.368 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 2629-16F0

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 20.462.010.368 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 2629-16F0

Directory di C:\PROGRA~1\SYNAPT~1\SYNTP\BAK

18/04/2003 15.20 610.304 SynTPEnh.exe
18/04/2003 14.36 110.592 SynTPLpr.exe
2 File 720.896 byte
2 Directory 20.462.010.368 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 2629-16F0

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

21/10/2003 11.52 40.960 PDVDServ.exe
1 File 40.960 byte
2 Directory 20.462.010.368 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 2629-16F0

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

15/01/2007 18.28 108.160 ashDisp.exe
1 File 108.160 byte
2 Directory 20.462.010.368 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 2629-16F0

Directory di C:\PROGRA~1\SKYPE\PHONE\BAK

19/04/2005 16.10 13.261.992 Skype.exe
1 File 13.261.992 byte
2 Directory 20.462.010.368 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 2629-16F0

Directory di C:\PROGRA~1\SCANSOFT\OMNIPA~1.0\BAK

21/03/2006 13.19 69.632 OpwareSE4.exe
1 File 69.632 byte
2 Directory 20.462.010.368 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 2629-16F0

Directory di C:\PROGRA~1\FILECO~1\MICROS~1\WORKSS~1\BAK

10/06/2003 18.48 50.688 WkUFind.exe
1 File 50.688 byte
2 Directory 20.462.010.368 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 2629-16F0

Directory di C:\PROGRA~1\FILECO~1\SCANSO~1\SSBKGD~1\BAK

30/09/2003 00.14 155.648 SSBkgdupdate.exe
1 File 155.648 byte
2 Directory 20.462.010.368 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 2629-16F0

Directory di C:\PROGRA~1\JAVA\J2RE14~1.2_0\BIN\BAK

19/08/2003 17.23 32.873 jusched.exe
1 File 32.873 byte
2 Directory 20.462.010.368 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
13312 8 Apr 2003 "C:\WINDOWS\system32\bak\ctfmon.exe"
290816 19 Mar 2004 "C:\Programmi\Launch Manager\bak\QtZiAcer.EXE"
286720 29 Jun 2007 "C:\Programmi\QuickTime\QTTask.exe"
77824 1 Nov 2005 "C:\Programmi\QuickTime\bak\qttask.exe"
110592 18 Apr 2003 "C:\Programmi\Synaptics\SynTP\Media\SYNTPLPR.EXE"
110592 18 Apr 2003 "C:\Programmi\Synaptics\SynTP\bak\SynTPLpr.exe"
610304 18 Apr 2003 "C:\Programmi\Synaptics\SynTP\Media\SYNTPENH.EXE"
610304 18 Apr 2003 "C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe"
40960 21 Oct 2003 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"
79224 4 Dec 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
108160 15 Jan 2007 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"
23233576 8 Jun 2007 "C:\Programmi\Skype\Phone\Skype.exe"
13261992 19 Apr 2005 "C:\Programmi\Skype\Phone\bak\Skype.exe"
69632 21 Mar 2006 "C:\Programmi\ScanSoft\OmniPageSE4.0\bak\OpwareSE4.exe"
50688 10 Jun 2003 "C:\Programmi\File comuni\Microsoft Shared\Works Shared\bak\WkUFind.exe"
155648 30 Sep 2003 "C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe"
32873 19 Aug 2003 "C:\Programmi\Java\j2re1.4.2_01\bin\bak\jusched.exe"


end of report

Devo eliminarli ?
Ora ricontrollo con PrevX

Abbiamo cantato vittoria troppo presto ? PrevX me lo ritrova, ed ora trova anche un altro malware. swreg.exe.
Un attimo che allego il file...

Log di PrevX: http://www.fileup.itadib.com/download.php?id=bOSotqkzRgLKfwpLKUro

gmer non lo trova, forse è rimasta qualche traccia a giro...
Il file Vcbp29.sys era sempre lì, forse per questo. L'ho rimosso senza problemi.

Scarica Avenger da qui: http://swandog46.geekstogo.com/avenger.zip Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che ti indico cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da allegare per il controllo

Files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Launch Manager\bak\QtZiAcer.EXE | C:\Programmi\Launch Manager\QtZiAcer.EXE
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPLpr.exe | C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe | C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe | C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe | C:\Programmi\Alwil Software\Avast4\ashDisp.exe
C:\Programmi\Skype\Phone\bak\Skype.exe | C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\ScanSoft\OmniPageSE4.0\bak\OpwareSE4.exe | C:\Programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\bak\WkUFind.exe | C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe | C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\SSBkgdupdate.exe
C:\Programmi\Java\j2re1.4.2_01\bin\bak\jusched.exe | C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe

Mi raccomandi non te lo ho chiesto prima ma il ripristino configurazione sistema deve essere disabilitato e devi aver fatto pulizia con Ccleaner come indicato qui: http://www.hwupgrade.it/forum/showthread.php?t=1589984

Sì tutto fatto, ora provo questo avenger...

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mintabkj

*******************

Script file located at: \??\C:\WINDOWS\system32\oahqpxgu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully.
File move operation C:\Programmi\Launch Manager\bak\QtZiAcer.EXE|C:\Programmi\Launch Manager\QtZiAcer.EXE completed successfully.
File move operation C:\Programmi\QuickTime\bak\qttask.exe|C:\Programmi\QuickTime\qttask.exe completed successfully.
File move operation C:\Programmi\Synaptics\SynTP\bak\SynTPLpr.exe|C:\Programmi\Synaptics\SynTP\SynTPLpr.exe completed successfully.
File move operation C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe|C:\Programmi\Synaptics\SynTP\SynTPEnh.exe completed successfully.
File move operation C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe|C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe completed successfully.
File move operation C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe|C:\Programmi\Alwil Software\Avast4\ashDisp.exe completed successfully.
File move operation C:\Programmi\Skype\Phone\bak\Skype.exe|C:\Programmi\Skype\Phone\Skype.exe completed successfully.
File move operation C:\Programmi\ScanSoft\OmniPageSE4.0\bak\OpwareSE4.exe|C:\Programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.exe completed successfully.
File move operation C:\Programmi\File comuni\Microsoft Shared\Works Shared\bak\WkUFind.exe|C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe completed successfully.
File move operation C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe|C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\SSBkgdupdate.exe completed successfully.
File move operation C:\Programmi\Java\j2re1.4.2_01\bin\bak\jusched.exe|C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe completed successfully.

Completed script processing.

*******************

Finished! Terminate.
:sperem:

Ti sto scrivendo uno script da inserire in Combo

Apri il Blocco Note copia e incolla queste righe:

File::
C:\WINDOWS\system32\drivers\kcp.sys
c:\wmfvdfy.exe
C:\WINDOWS\system\wcntfysvc.exe
C:\WINDOWS\System32\CommDrv.sys
C:\WINDOWS\system32\drivers\Svf40.sys
C:\WINDOWS\system32\drivers\Vcbp29.sys
C:\WINDOWS\vmm32dll.ex_
C:\WINDOWS\system32\mh.exe

Driver::
C:\WINDOWS\system32\drivers\kcp.sys
C:\WINDOWS\system32\drivers\Svf40.sys
C:\WINDOWS\system32\drivers\Vcbp29.sys

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Poi disinstalli Avast lo sostituisci con Anvir lo configuri, lo aggiorni e lanci una scansione completa del sistena eventuali malware li passi in quarantene http://www.hwupgrade.it/forum/showthread.php?t=1514684

Riepilogo dei log da allegare che guarderò domani io vado a nanna

Combo
Antivir
Nuovo log di HijackThis ma lo scarichi da qui: Download: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe


Di questo swreg.exe non ti dwvi preoccupare e relativo al Combo che qundo avremo finito ti farò disinstallare

Azzz...ce n'è ancora ? :stordita:

Azzz...ce n'è ancora ? :stordita:

si è pieno di schifezza, ho editato il post precedente, notte.

si è pieno di schifezza, ho editato il post precedente, notte.
Grazie tante !!! Ti dovrebbero fare un monumento.

Dopo questa full-immersion di Windows me ne torno al mio bel Linux...meno male che tutti dicono che su Windows è tutto più facile :D

ComboFix: http://www.fileup.itadib.com/download.php?id=FwEYFeb3kNeRWrbicemN
Avira: http://www.fileup.itadib.com/download.php?id=dKa3OB6F7CkCrAtMf3vZ
HijackThis: http://www.fileup.itadib.com/download.php?id=vIfA2YONhD1ZuNhbyVB7

ci avevo visto bene per le cartelle bak :D
cmq effettivamente con sto pc ci si sono messi di impegno :muro:

una cosa che potresti far usare a loro sono i dns di www.opendns.com (se usano il router impostali lì) perchè sono dns che possiedono la blacklist a cui non far collegare un pc inquanto chiama indirizzi malevoli, quindi si riduce di molto la possibilità di infezione :)
altra funzione utilissima, che uso con soddisfazione, è il potersi registrare gratuitamente e poter stilare una lista di combinazioni veloci per richiamare i siti che si visitano abitualmente... alcuni router, come il mio, possono far impostare l'account dnsname (io uso il servizio di no-ip.org) per mantenere la tracciabilità a opendns :)

Sono un po' restio sugli opendns, anche perché sono lenti, ci penso.
Spiegami un po' questa cosa delle cartelle Bak...
Inoltre hai capito che tipo di virus/rootkit si era beccato questo PC ?

Le cartelle BAK vengono generate dall'infezione stessa per il worm, opportunamente programmato, la prima cosa che tenta di fare (solitamente lo si è scaricato involontariamente tramite iFrame malevolo) è modificare i servizi esistenti sostituendo l'exe valido e corretto con una versione rpecedente o opportunamente modificata dal wormwriter, in questo modo se il firewall del pc non analizza le interazioni nel sistema l'utente non si accorge assolutamente di nulla.
Le regole del firewall non si modificano e tali servizi hanno già accesso alla rete quindi il worm incomincia a scaricare di tutto dai "server repository" allestiti dal viruswriter...

la mano nativa è sempre di quelkla banda di criminali che aveva realizzato il Gromozon/LinkOptimizer e poi il circuito di vendita per tool di defacement (meglio dire infezioni lato sito con Iframe estranei) via Mpack..

Un sistema per inibire e stroncare queste infezioni è appunto atraverso DNS perchès e blocchi la query verso l'host malevolo non riesci a contattarlo :p
Un altro sistema è cambiare browser e leggermente modalità d'uso ossia abituarsi a scorazzare in internet con l'esecuzione degli script inibita ed attivarli solo se strettamente necessario, IE in questo non aiuta ma Opera e Firefox sì, quest'ultimo con le estensioni NoScript e AdBlock plus è molto semplice da gestire :)

Eccoci quà non è ancora finita :rolleyes:, esegui HJT clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx delle sottoindicate voci:

O23 - Service: Internet Connection Sharing Firewall Service (AccessSharing) - Unknown owner - C:\WINDOWS\system\wcntfysvc.exe (file missing)

clicca su Fix checked

Dopodichè Start - Esegui - digita cmd e scrivi nella finestra Dos
sc stop AccessSharing - INVIO
sc delete AccessSharing - INVIO

al termine nuovo log di HJT

Coolegarsi al seguente sito http://secunia.com/software_inspector/ analizzare ed aggiornare i software obsoleti quindi vulnerabili vedi Java e Acrobat.....

Mettre in sicurezza il PC quindi leggere qui: http://www.hwupgrade.it/forum/showthread.php?t=1476319

Che tipo di rootkit è ? Da dove è stato preso secondo te ?

ieri sera o stanotte che dir si voglia :D dopo aver controllato il log di Combo concordo con l'analisi del ns.Mod. nello specifico ed almeno in un caso avete fatto conoscenza di Neosploit sempre di matrice Russa, comunque è assolutamente impensabile navigare allegramente in rete con IE6 e SP1

C:\System Volume Information\_restore{CD9C3D21-89CC-4F40-99EC-4BCBA91F52F4}\RP3\A0000238.dll

e per fortuna che ti avevo detto di disabilitare il system restore

Azz...giuro che prima era disabilitato...si è riattivato da solo ???
Tra l'altro è stata la prima cosa che ho fatto :mbe:

Devo fare qualcosa per togliere quel backup del system restore ?

Azz...giuro che prima era disabilitato...si è riattivato da solo ???
Tra l'altro è stata la prima cosa che ho fatto :mbe:

hai usato combofix?
quel programma lo riattiva in automatico :muro:

hai usato combofix?
quel programma lo riattiva in automatico :muro:
Sì...

Ecco il log di hijackthis: http://www.fileup.itadib.com/download.php?id=vEgefSzbw7wTeFeiBRnm

Azz...giuro che prima era disabilitato...si è riattivato da solo ???
Tra l'altro è stata la prima cosa che ho fatto :mbe:

Devo fare qualcosa per togliere quel backup del system restore ?

Ma stai operando le pulizie con ripristino disabilitato, vero? Altrimenti sei punto e a capo...

Ma stai operando le pulizie con ripristino disabilitato, vero? Altrimenti sei punto e a capo...
Come già detto prima era disabilitato...deneb87 ha detto che lo riabilita ComboFix...

Come già detto prima era disabilitato...deneb87 ha detto che lo riabilita ComboFix...

adesso ridisattiva :D

adesso ridisattiva :D
Già fatto ovviamente ;)

hai usato combofix?
quel programma lo riattiva in automatico :muro:

Vediamo di fare chiarezza, il system restore è preferibile disabilitarlo ad inizio procedura di disinfezione per i motivi che ben conosciamo è questo è un discorso, il che vuol dire che Combo viene utilizzato a system restore disabilitato e azzerato
Il tool durante la scansione riattiva il system resore e crea un punto di ripristino per consentire all'utente di ripristinare Win ad un punto precedente l'utilizzo di Combo stesso, questo per ulteriore sicurezza.

Log pulito, come và il PC?

Bene ora...c'è un problemi che c'è dall'inizio, con un solo utente facendo il login appare una finestrina grigia con un timer di 30 secondi ed un tasto ok con una textbox (prima di entrare nel desktop, quando l'immagine dell'utente si sposta al centro dello schermo):

Nel titolo: Ambiente utente

Nella textbox: Impossibile caricare il profilo dell'utente e per l'accesso sarà utilizzato il profilo predefinito per il sistema.

Dettagli: il sistema ha tentato di caricare o ripristinare un file nel Registro di sistema, ma il file specificato non è in un formato valido per il Registro di sistema.

Ad occhio sembra un problema nella configurazione del profilo utente.
Certo che ci si impegna anche la Acer, XP era preinstallato su FAT32 e non NTFS.

Non stiamo parlando dell'Account Administrator vero?

No, è del gruppo Administrators, ma non è Administrator.

No, è del gruppo Administrators, ma non è Administrator.

Sembra un profilo danneggiato, hai l'esigenza di salvare dei dati inerenti quel profilo ( facciamo che la risposta e no :D )

Sembra un profilo danneggiato, hai l'esigenza di salvare dei dati inerenti quel profilo ( facciamo che la risposta e no :D )
E' sì, ma non ci sono problemi, ci penso io ;)

Grazie di tutto ;)

E' sì, ma non ci sono problemi, ci penso io ;)

Grazie di tutto ;)

Perfetto , prego di nulla.

Edit: per disinstallare Combo --> Start - Esegui - digita Combofix /u --> Enter