tidserv

Antares88 · 29-11-2008, 00:21

Ieri Kaspersky ha iniziato a segnalarmi numerosi warning secondo i quali "generic host process win32 services" tentava di connettersi ad alcuni siti come

hxxp://stableclickz1.com/index.php
hxxp://updatemics1.com/index.php
hxxp://findzproportal1.com/index.php
hxxp://64.69.33.140/tdss/crcmds/main
hxxp://youblognews.net/tdss/crcmds/main

La navigazione web è molto lenta, ho la sensazione che venga filtrata, infatti quando faccio ricerche su google mi da risultati strani, kaspersky non riesce ad aggiornarsi e non riesco manco ad andare sul suo sito.

Cercando qua e la ho visto che sembra trattarsi del rootkit tidserv, ne parlano ad esempio qua e qua.

Che fare ? sto installando hijackthis e malwarebytes per una scansione intanto...

Antares88 · 29-11-2008, 00:26

Non mi fa installare malwarebytes, ma ecco il log di hijackthis (lo allego)

**Chill-Out** · 29-11-2008, 00:28

Fai girare questo tool

Scarica SDFix sul Desktop
Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premere un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovreste visualizzare il messaggio "Finished"
Premere un tasto per terminare lo script e ricaricare le icone del desktop
Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt

successivamente segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Antares88 · 30-11-2008, 23:16

Ok ho fatto tutte le scansioni nell'ordine consigliato, ecco i log:

Log di SDFix:
http://www.fileqube.com/file/mUdcprwN154881

Log di MalwareBytes:
http://www.fileqube.com/file/oqokxtW154880

Log di A-Squared:
http://www.fileqube.com/file/eUymkI154883

Risultato di Kaspersky Virus Removal Tool (ho usato questo al posto della scansione online di F-Secure perché quest'ultima mi crashava causando schermata blu. Posto la parte "detected" del log perché il log intero sono 240 mega

)

Quote:

Scan
----
Scanned: 1536980
Detected: 3
Untreated: 0
Start time: 29/11/2008 13.43.23
Duration: 1 days 02.07.36
Finish time: 30/11/2008 15.50.59

Detected
--------
Status Object
------ ------
deleted: Trojan program Backdoor.Win32.TDSS.blh File: C:\SDFix\SDFix\backups\catchme.zip/TDSSkfkl.dll
deleted: Trojan program Backdoor.Win32.TDSS.asz File: C:\SDFix\SDFix\backups\catchme.zip/TDSSurkv.dll
deleted: Trojan program Backdoor.Win32.TDSS.atb File: C:\SDFix\SDFix\backups\catchme.zip/TDSSottp.dll

Log DrWeb CureIt:
http://www.fileqube.com/file/pZHdSwx154885

Log SysInspector:
http://www.fileqube.com/file/SrZiVc154886

Log HiJackThis:
http://www.fileqube.com/file/LNMORtHga154887

Log Gmer:
http://www.fileqube.com/file/ONVGpac154888
nella finestra di gmer vengono evidenziati in rosso:

Quote:

Service system32\drivers\TDSSrfdc.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys

Library C:\Documents (*** hidden *** ) @ C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [1736] 0x07270000

Prevx CSI da come risultato "Clean".

**Chill-Out** · 30-11-2008, 23:48

1 Esegui Gmer, terminata la scansione seleziona il servizio evidenziato in rosso ed idenficato come hidden Service system32\drivers\TDSSrfdc.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys - tasto dx del muose e clic su DELETE SERVICE

2 Fai girare questo tool:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

3 Ripeti la scansione con A-Squared non hai messo in quarantena nulla

4 Allega correttamente il log di CureIt in formato .txt

5 Allega il log di Prevx CSI anche se il risultato è CLEAN

6 Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sotto indicata voce e clicca su Fix cheked

Quote:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemyfunny.info

Attendiamo i log, ciao.

Antares88 · 02-12-2008, 13:50

Log di Gmer:
http://www.fileqube.com/file/mIRjfH155490
Mi ha dato questo errore però quando ho dato quel comando:

Quote:

File "system32\drivers\TDSSrfdc.sys" couldn't be deleted. Error 0x00000003 !: Impossibile trovare il percorso specificato

Log di ComboFix:
http://www.fileqube.com/file/dqEuCX155518

Log A-Squared:
http://www.fileqube.com/file/JpkEMJmU155519

Log di CureIt:
http://www.fileqube.com/file/VtommPT155522

Log di PrevX:
http://www.fileqube.com/file/dqFKIqWq155523

Log di HijackThis dopo il fix:
http://www.fileqube.com/file/GmCSdQCJ155524

Grazie mille per l'aiuto

**Chill-Out** · 02-12-2008, 14:08

Mi alleghi un nuovo log di Gmer, grazie.

Antares88 · 02-12-2008, 20:07

Quote:

Originariamente inviato da Chill-Out

Mi alleghi un nuovo log di Gmer, grazie.

http://www.fileqube.com/file/GWZJHpN155698

Eccolo qui, fatto una scansione completa, grazie a te

**Chill-Out** · 02-12-2008, 21:37

Quote:

Originariamente inviato da Antares88

http://www.fileqube.com/file/GWZJHpN155698

Eccolo qui, fatto una scansione completa, grazie a te

Ecco questo và già meglio, dovremmo essere ok, riscontri ancora problemi?

Antares88 · 02-12-2008, 21:41

Quote:

Originariamente inviato da Chill-Out

Ecco questo và già meglio, dovremmo essere ok, riscontri ancora problemi?

mah non saprei, problemi evidenti come le schermate blu e il filtraggio del traffico web non mi pare, però ad esempio con firefox quando apro certi siti vedo tutto in grassetto (ad esempio i risultati delle ricerche su google), cosa che prima del trojan non accadeva.

**Chill-Out** · 02-12-2008, 21:47

Quote:

Originariamente inviato da Antares88

mah non saprei, problemi evidenti come le schermate blu e il filtraggio del traffico web non mi pare, però ad esempio con firefox quando apro certi siti vedo tutto in grassetto (ad esempio i risultati delle ricerche su google), cosa che prima del trojan non accadeva.

Bene per quanto concerne FF non credo che il problema sia riconducibile al virus, in ogni caso da Strumenti - Opzioni - Contenuti - Avanzate e metti il segno di spunta su Permetti alle pagine di scegliere................ clicca su Ok e vediamo che succede.

Antares88 · 02-12-2008, 23:50

Quote:

Originariamente inviato da Chill-Out

Bene per quanto concerne FF non credo che il problema sia riconducibile al virus, in ogni caso da Strumenti - Opzioni - Contenuti - Avanzate e metti il segno di spunta su Permetti alle pagine di scegliere................ clicca su Ok e vediamo che succede.

è già selezionata quell'opzione O.o

**Chill-Out** · 03-12-2008, 00:00

Quote:

Originariamente inviato da Antares88

è già selezionata quell'opzione O.o

Facciamo che alleghi uno screenshot del problema su fileqube poi eventualmente chiedi nel 3d di competenza

Antares88 · 07-12-2008, 14:35

Quote:

Originariamente inviato da Chill-Out

Facciamo che alleghi uno screenshot del problema su fileqube poi eventualmente chiedi nel 3d di competenza

Intendi il 3d di Firefox nell'area utility ? Comunque il pc è ancora infetto temo, infatti come si può vedere nello screenshot stesso Kaspersky ha ripreso a rilevare dei "Phishing Attack" causati da "generic host process win32 services":

http://www.fileqube.com/file/DxJgkhEy157262

Se formatto risolvo oppure c'è il rischio che rimangano tracce in giro ?

wizard1993 · 07-12-2008, 14:45

se formatti pulisci tutto, ma sinceramente non vedo il perchè; mbam ancora è impossibile installarlo?

Antares88 · 07-12-2008, 15:17

Quote:

Originariamente inviato da wizard1993

se formatti pulisci tutto, ma sinceramente non vedo il perchè; mbam ancora è impossibile installarlo?

Lo scopo sarebbe ripartire da un pc pulito e prendere migliori precauzioni, ad esempio una migliore gestione degli account e l'utilizzo di virtual machine per determinate operazioni.

Mbam clicco sull'exe dell'installer, dal task manager vedo il processo ma non succede nulla

wizard1993 · 07-12-2008, 15:24

hai provato a riscaricarlo?

29-11-2008, 00:21	#1
Antares88 Senior Member Iscritto dal: Jan 2003 Città: Roma Messaggi: 832	tidserv Ieri Kaspersky ha iniziato a segnalarmi numerosi warning secondo i quali "generic host process win32 services" tentava di connettersi ad alcuni siti come hxxp://stableclickz1.com/index.php hxxp://updatemics1.com/index.php hxxp://findzproportal1.com/index.php hxxp://64.69.33.140/tdss/crcmds/main hxxp://youblognews.net/tdss/crcmds/main La navigazione web è molto lenta, ho la sensazione che venga filtrata, infatti quando faccio ricerche su google mi da risultati strani, kaspersky non riesce ad aggiornarsi e non riesco manco ad andare sul suo sito. Cercando qua e la ho visto che sembra trattarsi del rootkit tidserv, ne parlano ad esempio qua e qua. Che fare ? sto installando hijackthis e malwarebytes per una scansione intanto... __________________ Trattative concluse su mercatino: The_Saint, ewandeep, Wiltord, maurizioi, Compulsion, mauryxxx76 Ultima modifica di Chill-Out : 29-11-2008 alle 00:25. Motivo: Editati link

29-11-2008, 00:28	#3
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Fai girare questo tool Scarica SDFix sul Desktop Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix Riavvia il sistema in modalità provvisoria F8 Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script seleziona Y per avviare la pulizia Quando richiesto premere un tasto per riavviare (il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati) Finito il caricamento dovreste visualizzare il messaggio "Finished" Premere un tasto per terminare lo script e ricaricare le icone del desktop Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt successivamente segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI: Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

02-12-2008, 14:08	#7
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Mi alleghi un nuovo log di Gmer, grazie. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

07-12-2008, 14:45	#15
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	se formatti pulisci tutto, ma sinceramente non vedo il perchè; mbam ancora è impossibile installarlo? __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

07-12-2008, 15:24	#17
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	hai provato a riscaricarlo? __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

Strumenti
Mostra una versione stampabile Invia questa pagina per email