possibile? pc infetto e tanta confusione.

[skorpyo]

Quote:

L'altro ieri mio padre mi convoca disperato perchè s'è preso apparentemente un virus. Attraverso la casella email, questo "virus" avrebbe mandato una email di richiesta denaro a tutta la sua rubrica. In effetti questa mail è arrivata anche a me. Mi presento a casa sua, ieri, e scopro che l'accesso a internet di tutta casa è parziale (lentissimo). Non solo il portatile (sebbene riesca a connettersi al modem anche attraverso wifi), ma anche i due IPAD di casa hanno una connessione lentissima. Attraverso una pennetta usb della 3 gli scarico gli aggiornamenti di avira (molto faticosamente), lancio una pulizia approfondita, trovo un paio di minacce, le elimino. Li per li ho pensato semplicemente ad un problema del provider. Apro e scopro che alcuni giorni prima, SENZA ALCUNA RICHIESTA DA PARTE DI NESSUNO, era stata aperta una segnalazione con NGI (il loro provider). "Ti pare che hanno bucato il pc a mio padre? ma che vai a pensare, sarà stato un trojan del cacchio che avrà mandato email strane a chiunque, compresi ngi, che hanno aperto una segnalazione". Apro la segnalazione aperta, vedo che ngi ha risposto che il problema è stato risolto, gli faccio presente che non gli abbiamo mandato alcuna segnalazione, gli dico che ora la connessione è sotto ai minimi. Dico a mio padre di farmi sapere in 2 giorni se il problema si fosse risolto o meno, che in caso li avrei chiamati. Stamane, per altre ragioni, si presenta a casa mia portandosi il portatile appresso. Dice "mi è arrivata un'altra email strana, dice gmail che devo mandargli soldi e dati privati, etc". Gli dico: "tranquillo, non sei te che sei infetto, sarà un'altro, ma fammi vedere". Gli accendo il computer, in effetti gli era arivata questa mail. Fin quì non potevo pensare che il problema non fosse rientrato. Lo connetto quindi alla rete wireless (incautamente, ma pensavo che il problema fosse risolto... Tra comodo ed avira, ad ogni modo, mi sentivo protetto), per scaricargli superantispyware (cosa che non m'era riuscita con la pennetta della 3 a casa sua il giorno prima), quindi lo installo e lancio l'applicazione. In questo momento sta scannerizzando il sistema. Quì nasce il grande problema. Dopo un po' che era connesso alla rete, ZAN ZAN ZAN il mio fisso perde la connessione (è collegato via wireless attraverso una pennetta esterna D-link). Strano mi dico, che sarà mai, proviamo a staccare e riattaccare... magari sono in conflitto le due antenne, magari fa confusione il router, magari è una questione di canali. Stacco e riattacco tutto, suggerendomi il buon senso di provare sempre le soluzioni più semplici. Niente. Premessa: Ieri sera, tornato a casa, preso da paranoie e scrupoli e ricordandomi di non aver eseguito queste procedure da qualche settimana, aggiorno e faccio una scansione completa con avira e GMER (che non rileva rootkit palesi) al mio fisso. Oggi, persa la connessione, chiedo anche a winzoz 7 del fisso secondo lui cosa sarebbe successo, e mi suggerisce problemi di drivers. Il tutto ciò sotto al naso alla protezione attiva sul fisso di comodo a livello alto sia di firewall che di defense+. Ecallà, mi dico, se è un virus ha incasinato il firmware del router come minimo, visto che a casa dei miei funziona a cacchio, o sul mio ha incasinato i driver della pennetta o ha fatto casino con le porte... Ora la situazione è questa: non ho la più pallida idea di cosa sia successo, e non ho la più pallida idea di come muovermi. Paradossalmente il portatile di mio padre, quello che avrebbe infettato navigando su internet ("è iniziato tutto quando ho cercato di vedere quel film in streaming", dice), è l'unico connesso alla rete di casa mia. Il mio fisso ho rilanciato gmer e ripulito con superantispyare, mo gli ridò una botta co avira, ma tanto se avira non aveva pulito il portatile ieri, e se ha infettato la mia rete oggi, non vedrà un cacchio lo stesso.

Che devo fare? mi date una mano?

vvvv-------------------------PC FISSO----------------------------------vvvv
Avira ha rilevato (dopo una prima pulizia, quindi alla seconda pulizia) un paio di file nascosti, ma non ha indicato dove
Superantispyware alla prima ha pulito molti tracking, alla seconda ha trovato gli stessi trojan trovati sul portatile, rimossi i quali, al riavvio, è tornato a funzionare normalmente, almeno all'apparenza.


vvvv-------------------------PORTATILE DI MIO PADRE-------------------vvvv

(SUPERANTISPYWARE): ***LogAllegato
ha rilevato
3 disabled security center
2 trojan agent / Gen-genome

più i vari 397 tracking

Log Parziale

Codice:

Trojan.Agent/Gen-Genome
	C:\WINDOWS\INSTALLER\{90110410-6000-11D3-8CFE-0150048383C9}\PPTICO.EXE
	C:\WINDOWS\INSTALLER\{90110410-6000-11D3-8CFE-0150048383C9}\WORDICON.EXE

Malwarebytes non rileva nulla ***LogAllegato

Emisoft da linea di comando mi ha trovato soltanto un paio di worm (win32.worm.downup.gen) già quarantinati da Avira

F-Secure Online non rileva nulla

Hitman Pro rileva 75 tracking (non eliminati da tutto il resto?) ***LogAllegato

Hijackthis allegato ***LogAllegato

gmer pare tutto pulito

Codice:

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2014-02-25 19:15:30
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD800BEVS-22RST0 rev.04.01G04 74,53GB
Running: gmer.exe; Driver: C:\DOCUME~1\tommaso\IMPOST~1\Temp\pgncrkob.sys


---- System - GMER 2.1 ----

SSDT            F7AF9FB4                                                                                      ZwClose
SSDT            F7AF9F6E                                                                                      ZwCreateKey
SSDT            F7AF9FBE                                                                                      ZwCreateSection
SSDT            F7AF9F64                                                                                      ZwCreateThread
SSDT            F7AF9F73                                                                                      ZwDeleteKey
SSDT            F7AF9F7D                                                                                      ZwDeleteValueKey
SSDT            F7AF9FAF                                                                                      ZwDuplicateObject
SSDT            F7AF9F82                                                                                      ZwLoadKey
SSDT            F7AF9F50                                                                                      ZwOpenProcess
SSDT            F7AF9F55                                                                                      ZwOpenThread
SSDT            F7AF9FD7                                                                                      ZwQueryValueKey
SSDT            F7AF9F8C                                                                                      ZwReplaceKey
SSDT            F7AF9FC8                                                                                      ZwRequestWaitReplyPort
SSDT            F7AF9F87                                                                                      ZwRestoreKey
SSDT            F7AF9FC3                                                                                      ZwSetContextThread
SSDT            F7AF9FCD                                                                                      ZwSetSecurityObject
SSDT            F7AF9F78                                                                                      ZwSetValueKey
SSDT            F7AF9FD2                                                                                      ZwSystemDebugControl
SSDT            \??\C:\Programmi\SUPERAntiSpyware\SASKUTIL.SYS                                                ZwTerminateProcess [0xAA754640]

---- User code sections - GMER 2.1 ----

.text           C:\Programmi\Mozilla Firefox\plugin-container.exe[3772] USER32.dll!DefWindowProcA + 11A       7E3AC298 7 Bytes  JMP 105F76A0 C:\Programmi\Mozilla Firefox\xul.dll
.text           C:\Programmi\Mozilla Firefox\plugin-container.exe[3772] USER32.dll!SetWindowLongA + 19        7E3AC2B6 7 Bytes  JMP 105F7711 C:\Programmi\Mozilla Firefox\xul.dll
.text           C:\Programmi\Mozilla Firefox\plugin-container.exe[3772] USER32.dll!GetWindowInfo              7E3AC49C 5 Bytes  JMP 105FB2EA C:\Programmi\Mozilla Firefox\xul.dll
.text           C:\Programmi\Mozilla Firefox\plugin-container.exe[3772] USER32.dll!GetMenuContextHelpId + 1A  7E3E5319 7 Bytes  JMP 105F4E6D C:\Programmi\Mozilla Firefox\xul.dll
.text           C:\Programmi\Mozilla Firefox\firefox.exe[3968] ntdll.dll!LdrLoadDll                           7C9263A3 5 Bytes  JMP 10001FFD C:\Programmi\Mozilla Firefox\mozglue.dll
.text           C:\Programmi\Mozilla Firefox\firefox.exe[3968] kernel32.dll!lstrlenW + 43                     7C809ADC 7 Bytes  JMP 01A10455 C:\Programmi\Mozilla Firefox\xul.dll
.text           C:\Programmi\Mozilla Firefox\firefox.exe[3968] kernel32.dll!MapViewOfFileEx + 6A              7C80B990 7 Bytes  JMP 01A1049D C:\Programmi\Mozilla Firefox\xul.dll
.text           C:\Programmi\Mozilla Firefox\firefox.exe[3968] kernel32.dll!ValidateLocale + B1E8             7C8449F8 7 Bytes  JMP 01625A06 C:\Programmi\Mozilla Firefox\xul.dll
.text           C:\Programmi\Mozilla Firefox\firefox.exe[3968] GDI32.dll!SetDIBitsToDevice + 209              77E49E04 7 Bytes  JMP 01A104C4 C:\Programmi\Mozilla Firefox\xul.dll

---- Devices - GMER 2.1 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                       SynTP.sys
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                       SynTP.sys

---- EOF - GMER 2.1 ----

***LINK AL LOG FILE DROPPER

[Chill-Out]

Come allegare i log http://www.hwupgrade.it/forum/showthread.php?t=1751598

[skorpyo]

grazie! sto facendo un file unico

[skorpyo]

ho aggiornato tutto, e svolte le routine del caso, tutto sembra rientrato. All'apparenza ambedue i sistemi sembrano apposto, ma se qualcuno volesse dare un'occhiata ai log di gmer e hijackthis gli sarei davvero molto grato!