numerose infezioni e consigli

[the_noiser]

Salve a tutti,
alla luce delle innumerevoli infezioni rilevate in questi giorni, vorrei porre alla vostra cortese ed attenta attenzione ciò di quanto affligge il mio sistema operativo, nonchè Windows Vista Home Premium con SP2 aggiornato con tutte le patch di sicurezza e aggiornamenti (installati tutti gli update importanti in windows update), per un valido consulto risolutivo.
Utilizzo in real time Avira Personal 10 e prevx 3.5 free
Navigo esclusivamente con firefox 3.6.6 sandboxato (SANDBOXIE 3.4.442)

Alla luce di questo introduttivo reportaggio tecnico, vorrei proporvi gli esiti di numerose e reiterate scansioni che sto provvedendo ad effettuare in questi giorni, rammentando innanzitutto che ho il "ripristino di sistema disattivato" e che ho effettuato alcune delle scansioni complete in "modalità provvisoria".
Qui di seguito ritrovate i dettagli tecnici con i relativi log (qualora disponibili) dei software utilizzati:

1.Scansione completa con avira personal 10 (vdf version 7.10.09.45 last update 8/7/2010) senza nessun/a avviso/infezione rilevato/a

2.Scansione completa con malwarbyte’s anti-malware con motore 4292 odierno: rilevato file con estensione mancante-[vedasi log allegato] (credo nulla di preoccupante giusto? )

3.Scansione completa con asquared free 4.5 (con motore 4.440.182 last update 8/7/2010) QUI IL VERO PROBLEMA
Trovato e rimosso un Trojan.Win32.Agent!Ik in C:\Windows\System32\drivers\tayatnq.sys
Sono esterrefatto dato che l'infezione è stata rilevata all'interno del cuore del sistema - per l'appunto nella cartella di windows

4.Scansione con Prevx 3 free: nessuna infezione rilevata; scansione effettuata in “normal boot” per l'utilizzo della connettività [vedasi log allegato]

5.Hijackthis : In allegato ritrovate anche il log di hijackthis

A seguito dei 5 punti appena enucleati vorrei mi fornisse un consulto su come arginare/prevenire questo tipo di infezioni e quali altri controlli posso effettuare per verificare che il sistema sia pulito appieno.

Vi ringrazio di cuore per il vostro preparatissimo supporto tecnico che fornirete

Qui gli allegati di hjackthis-mbam-prevx

[xcdegasp]

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

i log non vanno zippati

[the_noiser]

Quote:

Originariamente inviato da xcdegasp

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

i log non vanno zippati

Chiedo venia ma i log li ho zippati in quanto mi veniva fornita la possibilità di allegare un unico file....
Provvederò ad eseguire tutti i punti della guida.
gmer mi causa crash di sistema, probabilmente va in conflitto con i driver video (posso eseguirla da modalità provvisoria oppure mi indicate alternative?
Inoltre drweb non riesco a reperirlo?

[xcdegasp]

che il server usato per pubblicare tali logs consenta la pubblicazioni di file compressi questo esula da cio che ti abbiamo chiesto, quel server consentirebbe anche di pubblicare 4gb ma è ovvio che puoi usdarlo anche per file con dimensioni di qualche decina di kb.
le regole di sezione sono molto chiare in merito al rifiuto di log zippati

per gmer sì prova in modalità provvisoria

per dr.web cureIT basta clickare sul link "download" che trovi nella guida proprio affianco al suo nome


ovviamente l'ordine d'esecuzione va sempre rispettato quindi mi attendo che anche le scansioni abbiano rispettato tale graduatoria. ovviamente ora che dovrai rifare queste due prima scansionerai con cureIT e poi con gmer.

[the_noiser]

Come da utili chiarimenti, vi linko i vari log delle scansioni effettuate in ordine a scalare come previsto dal thread "Aiuto sono Infetto" e come sapientemente ribadito da xcdegasp (che ringrazio sinceramente)
I tempi sono stati veramente lunghissimi

1a-Log Malwarebytes Anti-Malware (*)

1b.log mbam infezione rilevata precedentemente (**)

2a.Log A-squared free (*)

2b.Screen Infezione rilevata precedentemente (**)

3.Log Scansione con F-secure OnLine nessuna infezione trovata(*)

4.Dr.Web CureIT:nessuna infezione trovata(*)

Log non disponibile
Screen:qui

5.Log ESET SysInspector (*)

Screen:qui

6.Log HiJackThis (*)

7.Log Gmer (**) nessuna stringa in rosso rilevata

accuso seri problemi durante l'utilizzo di questo tool con il driver video e probabili correlati crash di sistema

8.Log Prevx (*)

9.Log scansione completa Avira Personal 10 (*)
vorrei sottolineare che nel report sono ben evidenziati 16 HIDDEN OBJECTsui quali chiedo ulteriore supporto. qui uno screen
--------------------

• * scansione completa effettuata in normal boot
• **scansione completa in safe boot

--------------------
Dalle ultime scansioni effettuate tutto sembrerebbe essere apparentemente pulito.
Vorrei essere però chiarito circa le infezioni rilevate precedentemente (1b-2b)

A voi adesso la parola.
Ringrazio anticipatamente per l'attenzione

p.s. vorrei mi indichiate come eliminare le tracce lasciate da questi strumenti utilizzati. atf-cleaner risulta essere utilizzabile solo con xp-win2000.

[the_noiser]

Sono ancora in attesa di un vostro parere...

[xcdegasp]

purtroppo contro nostro volere è un weekend d'estate pertanto è possibile che l'attesa possa protrarsi più del normale

la scansione con dr.web cureIT devi rifarla perchè in automatico lui esegue la pura e semplice scansione veloce, tu devi fargli fare manualmente quellla completa. e poi devi filtrare il log come spiegato



in hijackthis fixa:

Codice:

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

nel log di avira non mi piacciono quuesti due oggetti hidden:

Codice:

c:\users\maurizio\appdata\local\temp\efd56ba7-b640549d-1d5211af-c7a4ad37\3a9c2_xp.exe
c:\Users\Maurizio\AppData\Local\Temp\EFD56BA7-B640549D-1D5211AF-C7A4AD37
    [NOTE]      The process is not visible.

dov'è il log di sysinspector? se tu stesso ritieni la questione un'inutile perdita di tempo pensa a come potrei vederla io che a difefrenza tua mi devo sbattere a leggere file txt di un pc che non è mio

detto questo spero che la vena sarcastica presente tra le righe possa lasciare spazio a una maggiore collaborazione attiva ma ovviamente subordinata all'ancor presente pensiero di una possibile infezione nel pc, in caso contrario good luck

[the_noiser]

Quote:

Originariamente inviato da xcdegasp

purtroppo contro nostro volere è un weekend d'estate pertanto è possibile che l'attesa possa protrarsi più del normale

Salve gentilissimo xcdegasp.
Nemmeno io sono contentissimo di questo torrido caldo (e di questi gravi problemi che sto cercando di risolvere con il suo prezioso ausilio)

Quote:

Originariamente inviato da xcdegasp

la scansione con dr.web cureIT devi rifarla perchè in automatico lui esegue la pura e semplice scansione veloce, tu devi fargli fare manualmente quellla completa. e poi devi filtrare il log come spiegato

La scansione con dr.web cureIT non mi ha fornito alcun report in quanto NESSUNA INFEZIONE E' STATA RILEVATA.
Appena riavrò sottomano il notebook provvederò ad effettuare una scansione completa e al filtraggio del relativo log (che credo mi venga generato solo in caso di rilevazione:ESATTO ?)

Quote:

Originariamente inviato da xcdegasp

in hijackthis fixa:

Codice:

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

Potrebbe chiarirmi le idee su questa voce?
Effettuando una ricerca su google non ho evito particolari problemi ad esso correlati. Ulteriori delucidazioni sono ben accette.

Quote:

Originariamente inviato da xcdegasp

nel log di avira non mi piacciono quuesti due oggetti hidden:

Codice:

c:\users\maurizio\appdata\local\temp\efd56ba7-b640549d-1d5211af-c7a4ad37\3a9c2_xp.exe
c:\Users\Maurizio\AppData\Local\Temp\EFD56BA7-B640549D-1D5211AF-C7A4AD37
    [NOTE]      The process is not visible.

A dir il vero avevo creduto fossero voci relative agli strumenti utilizzati (scansione di f-secure on line-dr.web......)
Sanno di marcio anche al sottoscritto... Come posso eliminarli?
I rimanenti object hidden?Possono ritenersi rientranti nella norma?

Quote:

Originariamente inviato da xcdegasp

dov'è il log di sysinspector?

Credo di averlo postato: link.
Ho salvato il log facendo click sulla voce "File" a destra di sysinspector :genera file log, al salvataggio ho selezionato l'estensione .xml anzichè .zip, chiedo pertando se devo linkare quest'ulitma?)

Quote:

Originariamente inviato da xcdegasp

se tu stesso ritieni la questione un'inutile perdita di tempo pensa a come potrei vederla io che a difefrenza tua mi devo sbattere a leggere file txt di un pc che non è mio

Per nulla affatto ritengo inutile la questione,
avevo creduto di eliminare (ma attualmente non sembrebbe possibile purtroppo) ogni ombra di dubbio, con tutte queste innumerevoli procedure di scansionamento e verifica.
La ringrazio infinitamente per il supporto che mi sta fornendo e per la sua grande disponibilità.

Quote:

Originariamente inviato da xcdegasp

detto questo spero che la vena sarcastica presente tra le righe possa lasciare spazio a una maggiore collaborazione attiva ma ovviamente subordinata all'ancor presente pensiero di una possibile infezione nel pc, in caso contrario good luck

Credevo di aver fatto del mio meglio e di aver postato interamente e con precisione tutti i log richiesti, molto probabilmente ho interpretato erroneamente qualche procedura e vorrei scusarmi per l'errore e pronto per correggere gli stessi..

Quote:

Originariamente inviato da xcdegasp

....ma ovviamente subordinata all'ancor presente pensiero di una possibile infezione nel pc

Ciò mi rende particolarmente "disperato" oltre che estremamente deluso date le innumerevoli scansioni effettuate
Almeno uno degli strumenti usati doveva rilevare qualcosa....

Spero di risolvere quanto prima possibile...

Grazie ancora per il suo aiuto xcdegasp

[xcdegasp]

1) a finescansione di dr.web cureit basta clickare sul pulsante "salva report" o "salva log", nulla di cosi complesso.
c'è scritto in maniera dettagliata nella guida che stai seguendo, basta sforzarsi di legggere le frasi in corsivo.

2) le voci identificate come O4 sono esecuzioni automatiche, hijackthis non rimuove file dal sistema pertanto fixare una O4 significa stoppare un esecuzione automatica inutile per liberare cpu e ram

3) svuota le cartelle temporanee con atf-cleaner e poi ricontrolla in quel percorso per verifoicare se quell'oggetto esiste ancora. se si scansionalo su www.virustotal.com e virscan.org

4) il tuo log di sysinspector se provo a visualizzarlo mi restituisce questo errore:


se puoi riifarlo te ne sarei grato altrimenti sono impossibilitato ad aiutarti

[the_noiser]

Quote:

Originariamente inviato da xcdegasp

1) a finescansione di dr.web cureit basta clickare sul pulsante "salva report" o "salva log"....

Provvedo subito alla verifica.
Ergo venia ma dalla scansione di default terminata senza rilevazioni non trovai alcun pulsante "salva report/log" perciò dovrei dedurre che sarà possibile salvarlo solo in caso di rilevazioni.

Quote:

Originariamente inviato da xcdegasp

2) le voci identificate come O4 sono esecuzioni automatiche, hijackthis non rimuove file dal sistema pertanto fixare una O4 significa stoppare un esecuzione automatica inutile per liberare cpu e ram

Ho provveduto al fix.
(il mio dubbio era relativo ad un ipotetico problema di sicurezza correlato ad WMPNSCFG.exe)

Quote:

Originariamente inviato da xcdegasp

3) svuota le cartelle temporanee con atf-cleaner e poi ricontrolla in quel percorso per verifoicare se quell'oggetto esiste ancora. se si scansionalo su www.virustotal.com e virscan.org

C'è un altro piccolo problema, atf-cleaner appare essere compatibile solo con xp/win 2000 da come si può desumere dal suo sito
Come provvedo con il vista?

Quote:

Originariamente inviato da xcdegasp

4) il tuo log di sysinspector se provo a visualizzarlo mi restituisce questo errore:
....
se puoi riifarlo te ne sarei grato altrimenti sono impossibilitato ad aiutarti

Certo, lo ri-effettuerò ri-allegeandolo...

EDIT:
Ho provveduto a quanto in sospeso
Qui il report "snellito" di cureIt (effettuato come da procedura indicata al link) che non mi ha rilevato nessuna infezione:




Qui il report ri-eseguito di sysinspector

Resto in attesa di ulteriori riscontri.
Grazie per l'ausilio.

[xcdegasp]

quella voce fixata è un processo che può inviare dei dati a microsoft, il stopparlo non evita queste trasmissioni a meno che non vengano bloccate le comunicazioni di windows media player trammite firewall.
ad ogni modo non invia dati sensibili dell'utente ma io a priori non uso windows media player quindi è segregato nell'oblio del mio hdd.


puoi usare tranquillamente atf-cleaner anche su Seven

ora dr.web ha scansionato più del doppio dei file che aveva scansionato nella precedente scansione quindi siamo ragionevolmmente più sicuri.


dal log di sysinspector vedo che hai un servizio stoppato che era riferito a un oggetto maligno almeno per prevx:
http://www.prevx.com/filenames/X9347...RVICE.EXE.html

Quote:

"Change Modem Device Service" = ""c:\windows\system32\chgservice.exe" -service" Disabled ; Stopped ; ( 6: Unknown ) ;

"Change Modem Device Service" = ""c:\windows\system32\chgservice.exe" -service" Disabled ; Stopped ; ( 6: Unknown ) ;
"File Size" = "135168"
"SHA1" = "06BE7ABE228E62A8C2660E0FC85EB87A6FF672B6"
"Creation Time" = "2010/07/03 10:44"
"Last Write Time" = "2009/08/04 15:02"
"Linked to" = "Services -> "c:\windows\system32\chgservice.exe" -service"

il driver di cui avevamo sospetti è ancora in stato di fermo:

Quote:

"utcio" = "c:\windows\system32\drivers\tayatnq.sys" At startup ; Stopped ; ( 5: Unknown ) ;

ma non fornisce altri dettagli quindi l'unica cosa che si ppuò ffare è farlo analizzare su virustotal.com e virscan.org, idem per chgservice.exe

disinstalla la ask toolbar

[the_noiser]

Quote:

Originariamente inviato da xcdegasp

quella voce fixata è un processo che può inviare dei dati a microsoft, il stopparlo non evita queste trasmissioni a meno che non vengano bloccate le comunicazioni di windows media player trammite firewall.

Nonostante il fixaggio il processo wmpnscfg.exe è ancora in esecuzione...
Come è possibile una cosa del genere?
Come lo faccio fuori?

Quote:

Originariamente inviato da xcdegasp

puoi usare tranquillamente atf-cleaner anche su Seven

Ok....su Vista....

Quote:

Originariamente inviato da xcdegasp

dal log di sysinspector vedo che hai un servizio stoppato che era riferito a un oggetto maligno almeno per prevx:
http://www.prevx.com/filenames/X9347...RVICE.EXE.html

Il servizio in riferimento è correlato alla connettività di una fastweb key...
Se lo elimino non ho modo più di utilizzarla...

Quote:

Originariamente inviato da xcdegasp

il driver di cui avevamo sospetti è ancora in stato di fermo:


ma non fornisce altri dettagli quindi l'unica cosa che si ppuò ffare è farlo analizzare su virustotal.com e virscan.org, idem per chgservice.exe

Ciò mi rende seriamente preoccupato...
Ergo venia, ma fermo che significa????

Il punto è che nel percorso in cui è stato rilevato non è più presente...
Come faccio a farlo scansionare su VT e VS?...
Come posso essere certo che non sia ancora attivo?

Questi sono i risultati di chgservice.exe: VirusTotal e VirScan

Quote:

Originariamente inviato da xcdegasp

disinstalla la ask toolbar

Tra i programmi installati non la trovo (ne in ccleaner ne nel pannello di controllo/rimuovi programmi)...
Da dove la posso disinstallare...
In FF non la trovo nemmeno tra i componenti installati....

Ancora grazie per l'aiuto...

[xcdegasp]

1) hai riavviato il pc dopo il fix? se no fai il reboot, se si allora qualcosa non ha funzionato quindi riprova ovviamente hijackthis deve essere avviato con poteri di amministratore

2) per "anche" intendevo oltre a Vista anche il Seven, indistintamente tra 32 o 64bit

3) se chgservice.exe è lecito allora non toccarlo, ma da qaundo fastweb offre connettività mobile?

4) tayatnq.sys fermo significa "stoppato" come appunto riferisce il programma con la parola "stopped"
se abiliti la visualizzazione dei file nascosti, di sistema e delle estensioni conosciute devi ppoterlo vedere a meno che non sia quindi stato rimosso da un antivirus e sia rimasta sola lavoce aperta nella chiave di registro delle esecuzioni automatiche..

5) la ask bar la trovi nei componenti di IE

[the_noiser]

1. Si, hj è avviato con i poteri di amministratore.
Riproverò e vedrò se riesco ad evitare che si avvi con sistema

Quote:

Originariamente inviato da xcdegasp

3)....ma da qaundo fastweb offre connettività mobile?

3.Mi riferivo al software delle chiavette umts della fastweb (questa è quella in mio possesso )

4) Si il .sys in questione è stato eliminato da asquared come enucleato al punto 2b del post iniziale : screen
Verificherò se lo trovo nel percorso, attivando la visualizzazione dei file nascosti

5) ma non lo uso IE .... utilizzo esclusivamente FF sandboxato
Provvederò alla rimozione dai suoi componenti aggiuntivi
(anzi quasi quasi lo disinstallo IE )

[the_noiser]

1. Riavviando più volte non ritrovo più l'exe tra i processi in esecuzione...
3. Come verifico che il .sys non è ancora presente fisicamente nel disco? Ho attivato la visualizzazione dei file nascosti e cercato con la funzionalità di windows vista "cerca" ma avendo l'indicizzazione disattivata ho dubbi sugli esiti della ricerca...
4. Ho verificato tra i componenti aggiuntivi di IE e non trovo la askbar...
Riverificando con hj non ritrovo voci alla stessa toolbar in questione...

Ulteriori interventi sono ben accetti...
Grazie...

[the_noiser]

Quote:

Originariamente inviato da the_noiser

Ulteriori interventi sono ben accetti...
Grazie...

Up....

[xcdegasp]

il driver come avevo scritto in precedenza ha una chiave di registro o un processo che lo referenzia pertanto appariva in stato di stopped.
può esserci come no sul disco ma questo non cambia assolutamente le cose sulla voce orfana che lo referenzia in stato di stopped.

la ask bar compariva all'interno del pc quindi prova a dare una controllata tra i servizi di windows o nel registro di windows.
hijackthis mostra solo quello che è in esecuzione


quindi gli strumenti da usare in entrambi i casi sono "services.msc" (avviato da start -> esegui.. ) e regedit

[the_noiser]

Quote:

Originariamente inviato da xcdegasp

il driver come avevo scritto in precedenza ha una chiave di registro o un processo che lo referenzia pertanto appariva in stato di stopped.
può esserci come no sul disco ma questo non cambia assolutamente le cose sulla voce orfana che lo referenzia in stato di stopped.
.....
.....
quindi gli strumenti da usare in entrambi i casi sono "services.msc" (avviato da start -> esegui.. ) e regedit

Ho eliminato la voce di registro .sys che appariva nel regedit
mentre per la asktoolbar non la trovo ne nel registro ne nei services...

Quote:

Originariamente inviato da xcdegasp

la ask bar compariva all'interno del pc....

Vorrei sapere in base a quale informazioni fornite dal sottoscritto appare questa presenza all'interno del pc...

[xcdegasp]

Quote:

Originariamente inviato da the_noiser

Ho eliminato la voce di registro .sys che appariva nel regedit
mentre per la asktoolbar non la trovo ne nel registro ne nei services...


Vorrei sapere in base a quale informazioni fornite dal sottoscritto appare questa presenza all'interno del pc...

nel log sysinspector

[the_noiser]

Ok....

E come faccio ad essere certo che sia stato rimosso?
Non lo trovo da nessuna parte....