Ciao. dopo aver seguito la guida alla rimozione delle infezioni piu diffuse:

"rootkit CLBDRIVERS.SYS - reindirizzamento ricerche su google e siti web degli antivirus"

edito da Chill-Out e aver eseguito una marea di anti spyware e malaware (anche in modalità provvisoria come suggerito dalle varie discussioni), non riesco comunque ad eliminare questa fastidiosa infezione che già da qualche settimana mi perseguita.

Ho deciso quindi come soluzione finale di postarvi il mio log di hijackthis:

LOG_01.txt (http://wikisend.com/download/264116/LOG_01.txt)

spero riusciate ad aiutarmi.

Ciauz. I

Ciao benvenuto nel pronto soccorso di HU.

hai qualche log di questa scansioni fatte?
il cd di avira non ha funzionato?

facciamo una bella pulizia completa che risolviamo al 100%

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di Malwarebytes Anti-Malware aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)
log di A-squared scansione deep aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8)
log di Kaspersky Virus Removal Tool scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) oppure di F-Secure OnLine http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5)
log di ESET SysInspector http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)


Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Qui (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) e qui (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3) esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com (http://fileqube.com/)

seguita tutta la procedura questi sono i log:

Malwarebytes log> mbam-log-2008-09-17 (18-13-15).txt (http://wikisend.com/download/680658/mbam-log-2008-09-17 (18-13-15).txt)
A-Squared log> a2scan_080917-182827.txt (http://wikisend.com/download/543022/a2scan_080917-182827.txt)
F-Secure log> F-Secure Online Scanner 3_3_1 - Scanning Report - Thursday, September 18, 2008 002331.txt (http://wikisend.com/download/206506/F-Secure Online Scanner 3_3_1 - Scanning Report - Thursday, September 18, 2008 002331.txt)
Dr.Web log> output-2293889086 - cureit.txt (http://wikisend.com/download/592020/output-2293889086 - cureit.txt)
ESET Sys log> SysInspector-ACER-1694-080918-0944.xml (http://wikisend.com/download/554412/SysInspector-ACER-1694-080918-0944.xml)
HiJackThis log> hijackthis.log (http://wikisend.com/download/949390/hijackthis.log)
Gmer log> gmer.log (http://wikisend.com/download/119748/gmer.log)
PrevxCSI log> Prevxcsi.log (http://wikisend.com/download/561364/Prevxcsi.log)

effettuate le scansioni, che hanno eliminato alcune infezioni, ho provato a vedere se riscontravo nuovamente il problema, purtroppo l'ho riscontrato...non so che fare!!! AIUTO

seguita tutta la procedura questi sono i log:

Malwarebytes log> mbam-log-2008-09-17 (18-13-15).txt (http://wikisend.com/download/680658/mbam-log-2008-09-17 (18-13-15).txt)
A-Squared log> a2scan_080917-182827.txt (http://wikisend.com/download/543022/a2scan_080917-182827.txt)
F-Secure log> F-Secure Online Scanner 3_3_1 - Scanning Report - Thursday, September 18, 2008 002331.txt (http://wikisend.com/download/206506/F-Secure Online Scanner 3_3_1 - Scanning Report - Thursday, September 18, 2008 002331.txt)
Dr.Web log> output-2293889086 - cureit.txt (http://wikisend.com/download/592020/output-2293889086 - cureit.txt)
ESET Sys log> SysInspector-ACER-1694-080918-0944.xml (http://wikisend.com/download/554412/SysInspector-ACER-1694-080918-0944.xml)
HiJackThis log> hijackthis.log (http://wikisend.com/download/949390/hijackthis.log)
Gmer log> gmer.log (http://wikisend.com/download/119748/gmer.log)
PrevxCSI log> Prevxcsi.log (http://wikisend.com/download/561364/Prevxcsi.log)

effettuate le scansioni, che hanno eliminato alcune infezioni, ho provato a vedere se riscontravo nuovamente il problema, purtroppo l'ho riscontrato...non so che fare!!! AIUTO

Innazitutto devi disabilitare il ripristino configurazione sitema e fare pulizia con ATF Cleaner, potresti essere più preciso sul problema in quanto di rootkit CLBDRIVERS.SYS non vi è traccia.

Ricarica il log di HJT hai usato usa versione obsoleta

Ciao

Il ripristino configurazione lo tengo sempre disabilitato, non ho dovuto disabilitarlo quindi.

X quanto riguarda il mio problema, sinceramente non sono sicoro che sia proprio "rootkit CLBDRIVERS.SYS" ma i sintomi mi sembravano quelli:

mi succede che quando faccio una ricerca su google (sia con explorer che con opera) e vado a clikare su uno dei risultati, invece di indirizzarmi sulla pagina richiesta, ci sono 3 4 reindirizzamenti immediati (vedo l'url cambiare 3 4 volte) per poi fermarsi su una pagina diversa da quella richiesta.
tutto questo non succede sempre ma spesso e in modo totalmente casuale. mi sono accorto però che nel tentativo di trovare soluzioni su internet, se da google clikavo su siti inerenti antivirus e simili, questo avveniva più spesso.

allego il log di HiJackThis (in effetti era una versione non vecchia di più):
hijackthis.log (http://wikisend.com/download/478274/hijackthis.log)

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\Common Files\System\NVidia_Software_PreLoad.exe"
O2 - BHO: (no name) - {6434E001-1190-3001-0099-ca3230262a11} - C:\Programmi\Common Files\System\lr40_help.acm
O2 - BHO: (no name) - {80010030-0911-00E4-3467-99ca3230262a} - C:\Programmi\Common Files\System\kbdiis.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033

Ciao

Il ripristino configurazione lo tengo sempre disabilitato, non ho dovuto disabilitarlo quindi.

Ciao, dal log di DrWeb non si direbbe

>>C:\System Volume Information\_restore{DCD64DAB-4777-4346-800F-49261ABDA17B}\RP16\A0011874.exe\avwin.chm\images/cc_event_type_infected.png - Ok
>>C:\System Volume Information\_restore{DCD64DAB-4777-4346-800F-49261ABDA17B}\RP16\A0011874.exe\avwin.chm\online/detection/detection_infectedmailbox.htm - Ok
>>C:\System Volume Information\_restore{DCD64DAB-4777-4346-800F-49261ABDA17B}\RP16\A0011875.exe\avwin.chm\images/cc_event_type_infected.png - Ok
>>C:\System Volume Information\_restore{DCD64DAB-4777-4346-800F-49261ABDA17B}\RP16\A0011875.exe\avwin.chm\online/detection/detection_infectedmailbox.htm - Ok
C:\System Volume Information\_restore{DCD64DAB-4777-4346-800F-49261ABDA17B}\RP16\A0012442.reg infettato da Trojan.StartPage.1505 - cancellato

X quanto riguarda il mio problema, sinceramente non sono sicoro che sia proprio "rootkit CLBDRIVERS.SYS" ma i sintomi mi sembravano quelli:

mi succede che quando faccio una ricerca su google (sia con explorer che con opera) e vado a clikare su uno dei risultati, invece di indirizzarmi sulla pagina richiesta, ci sono 3 4 reindirizzamenti immediati (vedo l'url cambiare 3 4 volte) per poi fermarsi su una pagina diversa da quella richiesta.
tutto questo non succede sempre ma spesso e in modo totalmente casuale. mi sono accorto però che nel tentativo di trovare soluzioni su internet, se da google clikavo su siti inerenti antivirus e simili, questo avveniva più spesso.

allego il log di HiJackThis (in effetti era una versione non vecchia di più):
hijackthis.log (http://wikisend.com/download/478274/hijackthis.log)

Esegui HJT clicca su Do a system scan only e metti il segno di spunta a sx delle sotto indicate voci

O2 - BHO: (no name) - {6434E001-1190-3001-0099-ca3230262a11} - C:\Programmi\Common Files\System\lr40_help.acm
Sconosciuto
O2 - BHO: (no name) - {80010030-0911-00E4-3467-99ca3230262a} - C:\Programmi\Common Files\System\kbdiis.dll

clicca su Fix cheked

Dopo fai girare questo tool


http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza -->> SpyBot compreso

Scusate il ritardo!!
vi posto il LOG di HiJackThis dopo i vari fix:

hijackthis2.txt (http://wikisend.com/download/507308/hijackthis2.txt)


Questo invece il log di Combofix:

log - combofix.txt (http://wikisend.com/download/612000/log - combofix.txt)


Questo, non so se risulterà utile, è il log di HiJackThis dopo aver eseguito combofix:

hijackthis3.txt (http://wikisend.com/download/512854/hijackthis3.txt)

Grazie

Chill-Out dimenticavo:
ho controllato il ripristino di sistema, ma è disattivato!! mi devo preoccupare?!

Chill-Out dimenticavo:
ho controllato il ripristino di sistema, ma è disattivato!! mi devo preoccupare?!

è giusto disattivato

in combo ci sono cose che non vanno... arrivarà uno script per il fixaggio ;)

Ho controllato per vedere i risultati delle ultime operazioni: il problema sembra (faccio corna) risolto.
Aspetto una vostra conferma dopo aver controllato i log.

Ho un quesito, nella fase di disinfezione durante l'utilizzo di A-Squared, ho spostato in quarentena i files infetti (come da guida), mi chiedo, li posso eliminare o è meglio tenerli ancora in quarantena?

Nuovamente grazie
I

in combo ci sono cose che non vanno... arrivarà uno script per il fixaggio ;)

non capisco, devo fixare qualcosa?

ps
hai risposto mentre scrivevo

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82e3b789-04a3-11dd-8100-0013ce908734}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8965d8fa-6609-11dd-a3cd-00c09fb341f3}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89f171f8-0ad7-11dd-9fa0-00c09fb341f3}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2d732ef-1042-11dd-9fb5-00c09fb341f3}]

chill asportiamo tutto?

intanto leggi bene iltrattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

di cui importanti aggiornare win a sp3 e java

aspettiamo conferma?

già letta credo di essere apposto, mi manca disistallare i programmi. grazie per gli aiuto e per la guida (utilissima)

sp3 e java non sono aggiornati... ;)

Da modalità normale
Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82e3b789-04a3-11dd-8100-0013ce908734}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8965d8fa-6609-11dd-a3cd-00c09fb341f3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89f171f8-0ad7-11dd-9fa0-00c09fb341f3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2d732ef-1042-11dd-9fb5-00c09fb341f3}]



Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt




edit:

f: che vedo in combo ma non in eset, dovrebbe essere una chiavetta usb o disco esterno infetto...
può essere?

Da modalità normale
Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto




Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt




edit:

f: che vedo in combo ma non in eset, dovrebbe essere una chiavetta usb o disco esterno infetto...
può essere?


sto controllando mica posso essere qua 24 su 24 :D poi se niil82 ci facesse la cortesia di produrre il primo log di Combo visto che l'ha fatto girare 2 volte

Lo script da inserire in Combo và bene ed è chiaro che ci sono supporti removibili infetti da disinfettare.

sp3 e java non sono aggiornati... ;)

e come li aggiorno?

F: è la chiavetta usb. Al polimi gira di tutto!!!

Chill mi sgami sempre :D!! Per quanto riguarda il primo log di combofix sono giustificato: mi sono accorto solo dopo che combofix si era impallato che avevo lasciato attivo spyboot. il log l'ha prodotto ma ho creduto fosse corrotto o non esatto quindi l'ho fatto andare nuovamente spegnendo tutto questa volta (spero).

Procedo a fixare con combofix, vi mando tra poco l'allegato col log.

ecco il log di combofix:
ComboFix.txt (http://wikisend.com/download/198828/ComboFix.txt)

prima che mi scoprite vi comunico che avevo cancellato combofix e quindi l'ho dovuto riscaricare. di conseguenza troverete che sarà il primo log effettuato (credo).

ciauz
I

il problema è che così non sapremo mai se combo ha eliminato qualcosa al primo giro...

ora le chiavi che ti ho segnalato sono sparite

nel trattamento che ti avevo già linkato ci sono tutte le info, basta saper leggere ;)

Prima di fare pulizia sulla chiavetta/e, hard disk esterni per sicurezza prima disabilità la riproduzione automatica dei dispositivi ottici (CD/DVD) e rimovibili (chiavette usb/hard disk esterni)...

Per disabilitare la funzione di riproduzione automatica su XP pro
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Sistema → Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

Oppure tieni premuto il tasto Shift ( quello tra Ctrl e Cap Lock) prima di collegarla

Una volta collegato il supporto sottoponilo a scansioni antivirus e antispyware con i programmi aggiornati.

Da risorse computer tasto destro sul supporto e scansiona con:
Antivir
Malwarebytes
A-Squared

Al termine delle scansioni, riabilita la riproduzione automatica, se l'avevi disattivata in precedenza

Chill mi sgami sempre :D!!

già :D per il resto segui le indicazioni di wj e dal momento che al polimi gira di tutto, disabilita sempre la riproduzione automatica prima di infilare la chiavetta sul PC, fermo restando che dopo l'inserimento và sempre controllata

Ciao

La chiavetta l'ho tenuta inserita durante la fase di disinfezione. faccio nuovamente un controllo cmq.

L'autorun l'ho disattivato già da tempo, ma con TweakUiPowertoy di windows.
Wjmat, ho voluto provare il tuo metodo di disattivazione autorun, ma non funge!! dopo che digito e premo invio esce scritto che il file non è stato trovato. era uscito lo stesso messaggio quando tentavo di disinstallare combofix da esegui. come mai? boh! non importa, siete stati già troppo pazienti.

Grazie per tutto ragazzi siete stati grandi!!. A presto (spero di no!!:D)

La chiavetta l'ho tenuta inserita durante la fase di disinfezione. faccio nuovamente un controllo cmq.

L'autorun l'ho disattivato già da tempo, ma con TweakUiPowertoy di windows.
Wjmat, ho voluto provare il tuo metodo di disattivazione autorun, ma non funge!! dopo che digito e premo invio esce scritto che il file non è stato trovato. era uscito lo stesso messaggio quando tentavo di disinstallare combofix da esegui. come mai? boh! non importa, siete stati già troppo pazienti.

Grazie per tutto ragazzi siete stati grandi!!. A presto (spero di no!!:D)

Scusa ma se avevi disattivato la riproduzione automatica con Tweak come hai fatto ad infettarti?

Per Combo il comando è il seguente combofix /u presta attenzione alla SPAZIO

Scusa ma se avevi disattivato la riproduzione automatica con Tweak come hai fatto ad infettarti?

Per Combo il comando è il seguente combofix /u presta attenzione alla SPAZIO

Ma credo che la chiavetta si infetti in continuazione inserendola nei vari pc di amici che se ne fregano se hanno virus e nei vari centri stampa(cerco infatti di pulirla spesso) l'importante è che con l'autorun (che nel mio note è disattivato) non entrino nel pc schifezze.

x combo: si prorio quel comando, non va, si ho provato con e senza spazio anche senza /u, ma non va cmq

Ma credo che la chiavetta si infetti in continuazione inserendola nei vari pc di amici che se ne fregano se hanno virus e nei vari centri stampa(cerco infatti di pulirla spesso) l'importante è che con l'autorun (che nel mio note è disattivato) non entrino nel pc schifezze.

x combo: si prorio quel comando, non va, si ho provato con e senza spazio anche senza /u, ma non va cmq

Mi riporti per esteso l'errore dopo aver digitato il comando combofix /u

stranamente questa volta va.

però il comando gpedit.msc da questo errore (che poi era lo stesso che mi dava con combofix): "Impossibile trovare il file "gpedit.msc". Verificare che il percorso e il nome del file siano corretti e ritentare. Per cercare un file fare clic sul pulsante start, quindi scegliere Trova."

stranamente questa volta va.

però il comando gpedit.msc da questo errore (che poi era lo stesso che mi dava con combofix): "Impossibile trovare il file "gpedit.msc". Verificare che il percorso e il nome del file siano corretti e ritentare. Per cercare un file fare clic sul pulsante start, quindi scegliere Trova."

Bene, per gpedit.msc bisogna smanettare nel registo, ma non mi sembra il caso ;)

...ma non mi sembra il caso ;)

beh, nemmeno a me.

Vi ringrazio ancora di tutto,
Ilario

beh, nemmeno a me.

Vi ringrazio ancora di tutto,
Ilario

Cioa buon proseguimento su HWU ;)