L'altro ieri mio padre mi convoca disperato perchè s'è preso apparentemente un virus. Attraverso la casella email, questo "virus" avrebbe mandato una email di richiesta denaro a tutta la sua rubrica. In effetti questa mail è arrivata anche a me. Mi presento a casa sua, ieri, e scopro che l'accesso a internet di tutta casa è parziale (lentissimo). Non solo il portatile (sebbene riesca a connettersi al modem anche attraverso wifi), ma anche i due IPAD di casa hanno una connessione lentissima. Attraverso una pennetta usb della 3 gli scarico gli aggiornamenti di avira (molto faticosamente), lancio una pulizia approfondita, trovo un paio di minacce, le elimino. Li per li ho pensato semplicemente ad un problema del provider. Apro e scopro che alcuni giorni prima, SENZA ALCUNA RICHIESTA DA PARTE DI NESSUNO, era stata aperta una segnalazione con NGI (il loro provider). "Ti pare che hanno bucato il pc a mio padre? ma che vai a pensare, sarà stato un trojan del cacchio che avrà mandato email strane a chiunque, compresi ngi, che hanno aperto una segnalazione". Apro la segnalazione aperta, vedo che ngi ha risposto che il problema è stato risolto, gli faccio presente che non gli abbiamo mandato alcuna segnalazione, gli dico che ora la connessione è sotto ai minimi. Dico a mio padre di farmi sapere in 2 giorni se il problema si fosse risolto o meno, che in caso li avrei chiamati. Stamane, per altre ragioni, si presenta a casa mia portandosi il portatile appresso. Dice "mi è arrivata un'altra email strana, dice gmail che devo mandargli soldi e dati privati, etc". Gli dico: "tranquillo, non sei te che sei infetto, sarà un'altro, ma fammi vedere". Gli accendo il computer, in effetti gli era arivata questa mail. Fin quì non potevo pensare che il problema non fosse rientrato. Lo connetto quindi alla rete wireless (incautamente, ma pensavo che il problema fosse risolto... Tra comodo ed avira, ad ogni modo, mi sentivo protetto), per scaricargli superantispyware (cosa che non m'era riuscita con la pennetta della 3 a casa sua il giorno prima), quindi lo installo e lancio l'applicazione. In questo momento sta scannerizzando il sistema. Quì nasce il grande problema. Dopo un po' che era connesso alla rete, ZAN ZAN ZAN il mio fisso perde la connessione (è collegato via wireless attraverso una pennetta esterna D-link). Strano mi dico, che sarà mai, proviamo a staccare e riattaccare... magari sono in conflitto le due antenne, magari fa confusione il router, magari è una questione di canali. Stacco e riattacco tutto, suggerendomi il buon senso di provare sempre le soluzioni più semplici. Niente. Premessa: Ieri sera, tornato a casa, preso da paranoie e scrupoli e ricordandomi di non aver eseguito queste procedure da qualche settimana, aggiorno e faccio una scansione completa con avira e GMER (che non rileva rootkit palesi) al mio fisso. Oggi, persa la connessione, chiedo anche a winzoz 7 del fisso secondo lui cosa sarebbe successo, e mi suggerisce problemi di drivers. Il tutto ciò sotto al naso alla protezione attiva sul fisso di comodo a livello alto sia di firewall che di defense+. Ecallà, mi dico, se è un virus ha incasinato il firmware del router come minimo, visto che a casa dei miei funziona a cacchio, o sul mio ha incasinato i driver della pennetta o ha fatto casino con le porte... Ora la situazione è questa: non ho la più pallida idea di cosa sia successo, e non ho la più pallida idea di come muovermi. Paradossalmente il portatile di mio padre, quello che avrebbe infettato navigando su internet ("è iniziato tutto quando ho cercato di vedere quel film in streaming", dice), è l'unico connesso alla rete di casa mia. Il mio fisso ho rilanciato gmer e ripulito con superantispyare, mo gli ridò una botta co avira, ma tanto se avira non aveva pulito il portatile ieri, e se ha infettato la mia rete oggi, non vedrà un cacchio lo stesso.

Che devo fare? mi date una mano?

vvvv-------------------------PC FISSO----------------------------------vvvv
Avira ha rilevato (dopo una prima pulizia, quindi alla seconda pulizia) un paio di file nascosti, ma non ha indicato dove
Superantispyware alla prima ha pulito molti tracking, alla seconda ha trovato gli stessi trojan trovati sul portatile, rimossi i quali, al riavvio, è tornato a funzionare normalmente, almeno all'apparenza.


vvvv-------------------------PORTATILE DI MIO PADRE-------------------vvvv

(SUPERANTISPYWARE): ***LogAllegato
ha rilevato
3 disabled security center
2 trojan agent / Gen-genome

più i vari 397 tracking

Log Parziale

Trojan.Agent/Gen-Genome
C:\WINDOWS\INSTALLER\{90110410-6000-11D3-8CFE-0150048383C9}\PPTICO.EXE
C:\WINDOWS\INSTALLER\{90110410-6000-11D3-8CFE-0150048383C9}\WORDICON.EXE




Malwarebytes non rileva nulla ***LogAllegato

Emisoft da linea di comando mi ha trovato soltanto un paio di worm (win32.worm.downup.gen) già quarantinati da Avira

F-Secure Online non rileva nulla

Hitman Pro rileva 75 tracking (non eliminati da tutto il resto?) ***LogAllegato

Hijackthis allegato ***LogAllegato

gmer pare tutto pulito

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2014-02-25 19:15:30
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD800BEVS-22RST0 rev.04.01G04 74,53GB
Running: gmer.exe; Driver: C:\DOCUME~1\tommaso\IMPOST~1\Temp\pgncrkob.sys


---- System - GMER 2.1 ----

SSDT F7AF9FB4 ZwClose
SSDT F7AF9F6E ZwCreateKey
SSDT F7AF9FBE ZwCreateSection
SSDT F7AF9F64 ZwCreateThread
SSDT F7AF9F73 ZwDeleteKey
SSDT F7AF9F7D ZwDeleteValueKey
SSDT F7AF9FAF ZwDuplicateObject
SSDT F7AF9F82 ZwLoadKey
SSDT F7AF9F50 ZwOpenProcess
SSDT F7AF9F55 ZwOpenThread
SSDT F7AF9FD7 ZwQueryValueKey
SSDT F7AF9F8C ZwReplaceKey
SSDT F7AF9FC8 ZwRequestWaitReplyPort
SSDT F7AF9F87 ZwRestoreKey
SSDT F7AF9FC3 ZwSetContextThread
SSDT F7AF9FCD ZwSetSecurityObject
SSDT F7AF9F78 ZwSetValueKey
SSDT F7AF9FD2 ZwSystemDebugControl
SSDT \??\C:\Programmi\SUPERAntiSpyware\SASKUTIL.SYS ZwTerminateProcess [0xAA754640]

---- User code sections - GMER 2.1 ----

.text C:\Programmi\Mozilla Firefox\plugin-container.exe[3772] USER32.dll!DefWindowProcA + 11A 7E3AC298 7 Bytes JMP 105F76A0 C:\Programmi\Mozilla Firefox\xul.dll
.text C:\Programmi\Mozilla Firefox\plugin-container.exe[3772] USER32.dll!SetWindowLongA + 19 7E3AC2B6 7 Bytes JMP 105F7711 C:\Programmi\Mozilla Firefox\xul.dll
.text C:\Programmi\Mozilla Firefox\plugin-container.exe[3772] USER32.dll!GetWindowInfo 7E3AC49C 5 Bytes JMP 105FB2EA C:\Programmi\Mozilla Firefox\xul.dll
.text C:\Programmi\Mozilla Firefox\plugin-container.exe[3772] USER32.dll!GetMenuContextHelpId + 1A 7E3E5319 7 Bytes JMP 105F4E6D C:\Programmi\Mozilla Firefox\xul.dll
.text C:\Programmi\Mozilla Firefox\firefox.exe[3968] ntdll.dll!LdrLoadDll 7C9263A3 5 Bytes JMP 10001FFD C:\Programmi\Mozilla Firefox\mozglue.dll
.text C:\Programmi\Mozilla Firefox\firefox.exe[3968] kernel32.dll!lstrlenW + 43 7C809ADC 7 Bytes JMP 01A10455 C:\Programmi\Mozilla Firefox\xul.dll
.text C:\Programmi\Mozilla Firefox\firefox.exe[3968] kernel32.dll!MapViewOfFileEx + 6A 7C80B990 7 Bytes JMP 01A1049D C:\Programmi\Mozilla Firefox\xul.dll
.text C:\Programmi\Mozilla Firefox\firefox.exe[3968] kernel32.dll!ValidateLocale + B1E8 7C8449F8 7 Bytes JMP 01625A06 C:\Programmi\Mozilla Firefox\xul.dll
.text C:\Programmi\Mozilla Firefox\firefox.exe[3968] GDI32.dll!SetDIBitsToDevice + 209 77E49E04 7 Bytes JMP 01A104C4 C:\Programmi\Mozilla Firefox\xul.dll

---- Devices - GMER 2.1 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys

---- EOF - GMER 2.1 ----


***LINK AL LOG FILE DROPPER (http://www.filedropper.com/logconsuntivo)

Come allegare i log http://www.hwupgrade.it/forum/showthread.php?t=1751598

grazie! sto facendo un file unico

ho aggiornato tutto, e svolte le routine del caso, tutto sembra rientrato. All'apparenza ambedue i sistemi sembrano apposto, ma se qualcuno volesse dare un'occhiata ai log di gmer e hijackthis gli sarei davvero molto grato!