rootkit CLBDRIVERS.SYS

[niil82]

Ciao. dopo aver seguito la guida alla rimozione delle infezioni piu diffuse:

"rootkit CLBDRIVERS.SYS - reindirizzamento ricerche su google e siti web degli antivirus"

edito da Chill-Out e aver eseguito una marea di anti spyware e malaware (anche in modalità provvisoria come suggerito dalle varie discussioni), non riesco comunque ad eliminare questa fastidiosa infezione che già da qualche settimana mi perseguita.

Ho deciso quindi come soluzione finale di postarvi il mio log di hijackthis:

LOG_01.txt

spero riusciate ad aiutarmi.

Ciauz. I

[wjmat]

Ciao benvenuto nel pronto soccorso di HU.

hai qualche log di questa scansioni fatte?
il cd di avira non ha funzionato?

facciamo una bella pulizia completa che risolviamo al 100%

segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema , fatto la pulizia dei file inutili con ATFCleaner , vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log
Qui e qui esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com

[niil82]

seguita tutta la procedura questi sono i log:

Malwarebytes log> mbam-log-2008-09-17 (18-13-15).txt
A-Squared log> a2scan_080917-182827.txt
F-Secure log> F-Secure Online Scanner 3_3_1 - Scanning Report - Thursday, September 18, 2008 002331.txt
Dr.Web log> output-2293889086 - cureit.txt
ESET Sys log> SysInspector-ACER-1694-080918-0944.xml
HiJackThis log> hijackthis.log
Gmer log> gmer.log
PrevxCSI log> Prevxcsi.log

effettuate le scansioni, che hanno eliminato alcune infezioni, ho provato a vedere se riscontravo nuovamente il problema, purtroppo l'ho riscontrato...non so che fare!!! AIUTO

[Chill-Out]

Quote:

Originariamente inviato da niil82

seguita tutta la procedura questi sono i log:

Malwarebytes log> mbam-log-2008-09-17 (18-13-15).txt
A-Squared log> a2scan_080917-182827.txt
F-Secure log> F-Secure Online Scanner 3_3_1 - Scanning Report - Thursday, September 18, 2008 002331.txt
Dr.Web log> output-2293889086 - cureit.txt
ESET Sys log> SysInspector-ACER-1694-080918-0944.xml
HiJackThis log> hijackthis.log
Gmer log> gmer.log
PrevxCSI log> Prevxcsi.log

effettuate le scansioni, che hanno eliminato alcune infezioni, ho provato a vedere se riscontravo nuovamente il problema, purtroppo l'ho riscontrato...non so che fare!!! AIUTO

Innazitutto devi disabilitare il ripristino configurazione sitema e fare pulizia con ATF Cleaner, potresti essere più preciso sul problema in quanto di rootkit CLBDRIVERS.SYS non vi è traccia.

Ricarica il log di HJT hai usato usa versione obsoleta

[niil82]

Ciao

Il ripristino configurazione lo tengo sempre disabilitato, non ho dovuto disabilitarlo quindi.

X quanto riguarda il mio problema, sinceramente non sono sicoro che sia proprio "rootkit CLBDRIVERS.SYS" ma i sintomi mi sembravano quelli:

mi succede che quando faccio una ricerca su google (sia con explorer che con opera) e vado a clikare su uno dei risultati, invece di indirizzarmi sulla pagina richiesta, ci sono 3 4 reindirizzamenti immediati (vedo l'url cambiare 3 4 volte) per poi fermarsi su una pagina diversa da quella richiesta.
tutto questo non succede sempre ma spesso e in modo totalmente casuale. mi sono accorto però che nel tentativo di trovare soluzioni su internet, se da google clikavo su siti inerenti antivirus e simili, questo avveniva più spesso.

allego il log di HiJackThis (in effetti era una versione non vecchia di più):
hijackthis.log

[wjmat]

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Quote:

F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\Common Files\System\NVidia_Software_PreLoad.exe"
O2 - BHO: (no name) - {6434E001-1190-3001-0099-ca3230262a11} - C:\Programmi\Common Files\System\lr40_help.acm
O2 - BHO: (no name) - {80010030-0911-00E4-3467-99ca3230262a} - C:\Programmi\Common Files\System\kbdiis.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033

[Chill-Out]

Quote:

Originariamente inviato da niil82

Ciao

Il ripristino configurazione lo tengo sempre disabilitato, non ho dovuto disabilitarlo quindi.

Ciao, dal log di DrWeb non si direbbe

Quote:

>>C:\System Volume Information\_restore{DCD64DAB-4777-4346-800F-49261ABDA17B}\RP16\A0011874.exe\avwin.chm\images/cc_event_type_infected.png - Ok
>>C:\System Volume Information\_restore{DCD64DAB-4777-4346-800F-49261ABDA17B}\RP16\A0011874.exe\avwin.chm\online/detection/detection_infectedmailbox.htm - Ok
>>C:\System Volume Information\_restore{DCD64DAB-4777-4346-800F-49261ABDA17B}\RP16\A0011875.exe\avwin.chm\images/cc_event_type_infected.png - Ok
>>C:\System Volume Information\_restore{DCD64DAB-4777-4346-800F-49261ABDA17B}\RP16\A0011875.exe\avwin.chm\online/detection/detection_infectedmailbox.htm - Ok
C:\System Volume Information\_restore{DCD64DAB-4777-4346-800F-49261ABDA17B}\RP16\A0012442.reg infettato da Trojan.StartPage.1505 - cancellato

Quote:

X quanto riguarda il mio problema, sinceramente non sono sicoro che sia proprio "rootkit CLBDRIVERS.SYS" ma i sintomi mi sembravano quelli:

mi succede che quando faccio una ricerca su google (sia con explorer che con opera) e vado a clikare su uno dei risultati, invece di indirizzarmi sulla pagina richiesta, ci sono 3 4 reindirizzamenti immediati (vedo l'url cambiare 3 4 volte) per poi fermarsi su una pagina diversa da quella richiesta.
tutto questo non succede sempre ma spesso e in modo totalmente casuale. mi sono accorto però che nel tentativo di trovare soluzioni su internet, se da google clikavo su siti inerenti antivirus e simili, questo avveniva più spesso.

allego il log di HiJackThis (in effetti era una versione non vecchia di più):
hijackthis.log

Esegui HJT clicca su Do a system scan only e metti il segno di spunta a sx delle sotto indicate voci

Quote:

O2 - BHO: (no name) - {6434E001-1190-3001-0099-ca3230262a11} - C:\Programmi\Common Files\System\lr40_help.acm
Sconosciuto
O2 - BHO: (no name) - {80010030-0911-00E4-3467-99ca3230262a} - C:\Programmi\Common Files\System\kbdiis.dll

clicca su Fix cheked

Dopo fai girare questo tool


http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza -->> SpyBot compreso

[niil82]

Scusate il ritardo!!
vi posto il LOG di HiJackThis dopo i vari fix:

hijackthis2.txt


Questo invece il log di Combofix:

log - combofix.txt


Questo, non so se risulterà utile, è il log di HiJackThis dopo aver eseguito combofix:

hijackthis3.txt

Grazie

[niil82]

Chill-Out dimenticavo:
ho controllato il ripristino di sistema, ma è disattivato!! mi devo preoccupare?!

[wjmat]

Quote:

Originariamente inviato da niil82

Chill-Out dimenticavo:
ho controllato il ripristino di sistema, ma è disattivato!! mi devo preoccupare?!

è giusto disattivato

in combo ci sono cose che non vanno... arrivarà uno script per il fixaggio

[niil82]

Ho controllato per vedere i risultati delle ultime operazioni: il problema sembra (faccio corna) risolto.
Aspetto una vostra conferma dopo aver controllato i log.

Ho un quesito, nella fase di disinfezione durante l'utilizzo di A-Squared, ho spostato in quarentena i files infetti (come da guida), mi chiedo, li posso eliminare o è meglio tenerli ancora in quarantena?

Nuovamente grazie
I

[niil82]

Quote:

Originariamente inviato da wjmat

in combo ci sono cose che non vanno... arrivarà uno script per il fixaggio

non capisco, devo fixare qualcosa?

ps
hai risposto mentre scrivevo

[wjmat]

Quote:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82e3b789-04a3-11dd-8100-0013ce908734}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8965d8fa-6609-11dd-a3cd-00c09fb341f3}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89f171f8-0ad7-11dd-9fa0-00c09fb341f3}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2d732ef-1042-11dd-9fb5-00c09fb341f3}]

chill asportiamo tutto?

[wjmat]

intanto leggi bene iltrattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

di cui importanti aggiornare win a sp3 e java

[niil82]

aspettiamo conferma?

[niil82]

già letta credo di essere apposto, mi manca disistallare i programmi. grazie per gli aiuto e per la guida (utilissima)

[wjmat]

sp3 e java non sono aggiornati...

[wjmat]

• Da modalità normale
• Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
• Apri il Blocco Note e incolla tutto il codice qui sotto

Quote:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82e3b789-04a3-11dd-8100-0013ce908734}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8965d8fa-6609-11dd-a3cd-00c09fb341f3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89f171f8-0ad7-11dd-9fa0-00c09fb341f3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2d732ef-1042-11dd-9fb5-00c09fb341f3}]

• Salva il file sul Desktop come CFScript.txt
• Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
• al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

edit:

f: che vedo in combo ma non in eset, dovrebbe essere una chiavetta usb o disco esterno infetto...
può essere?

[Chill-Out]

Quote:

Originariamente inviato da wjmat

• Da modalità normale
• Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
• Apri il Blocco Note e incolla tutto il codice qui sotto

• Salva il file sul Desktop come CFScript.txt
• Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
• al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

edit:

f: che vedo in combo ma non in eset, dovrebbe essere una chiavetta usb o disco esterno infetto...
può essere?

sto controllando mica posso essere qua 24 su 24 poi se niil82 ci facesse la cortesia di produrre il primo log di Combo visto che l'ha fatto girare 2 volte

[Chill-Out]

Lo script da inserire in Combo và bene ed è chiaro che ci sono supporti removibili infetti da disinfettare.