Invasione di virus e trojan?

[fracarro]

Salve ragazzi. Da ieri ho grossi problemi con il computer credo proprio a causa sia di virus che di trojan. Allora i problemi del computer sono nell'ordine il blocco all'avvio sulla schermzata celeste windows xp prima che appaia il desktop. Riesco a riavviare il computer rimuovendo tramite hijackthis delle voci in avvio automatico. Uuna volta avviato il computer si apre ad intervalli random una finestra di advertisement del firefox ( nonostante ci sia il blocco dei pop-up). Infine non riesco a fare l'aggiornamento dell'antivirus kaspersky internet security 8. Facendo una scansione completa con quest'ultimo mi ha rilevato quanto segue:

Codice:

17/12/2008 10.47.04	Rilevato: http://www.viruslist.com/it/advisories/32211	c:\programmi\microsoft office\office11\excel.exe		
17/12/2008 10.47.05	Rilevato: http://www.viruslist.com/it/advisories/31453	c:\programmi\microsoft office\office11\powerpnt.exe		
17/12/2008 10.47.06	Rilevato: http://www.viruslist.com/it/advisories/30975	c:\programmi\microsoft office\office11\winword.exe		
17/12/2008 10.47.22	Rilevato: http://www.viruslist.com/it/advisories/32419	c:\programmi\openoffice.org 2.4\program\soffice.exe		
17/12/2008 10.47.24	Rilevato: Packed.Win32.Krap.d	c:\System Volume Information\_restore{DD689257-916D-4270-B9E4-AEC2A6C22C5F}\RP0\A0000002.dll		
17/12/2008 10.47.25	Non isolati: Packed.Win32.Krap.d	c:\System Volume Information\_restore{DD689257-916D-4270-B9E4-AEC2A6C22C5F}\RP0\A0000002.dll	Rimandato	
17/12/2008 10.47.25	Rilevato: Trojan.Win32.Agent.avjo	c:\System Volume Information\_restore{DD689257-916D-4270-B9E4-AEC2A6C22C5F}\RP0\A0000015.dll		
17/12/2008 10.47.25	Non isolati: Trojan.Win32.Agent.avjo	c:\System Volume Information\_restore{DD689257-916D-4270-B9E4-AEC2A6C22C5F}\RP0\A0000015.dll	Rimandato	
17/12/2008 10.52.49	Rilevato: http://www.viruslist.com/it/advisories/29434	c:\Documents and Settings\All Users\Dati applicazioni\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\mia.lib		
17/12/2008 10.57.17	Rilevato: http://www.viruslist.com/it/advisories/25952	c:\programmi\File comuni\ACD Systems\PlugIns2\ID_PSP.apl		
17/12/2008 10.58.00	Rilevato: http://www.viruslist.com/it/advisories/31744	c:\programmi\File comuni\Microsoft Shared\OFFICE11\MSO.DLL		
17/12/2008 10.59.02	Rilevato: http://www.viruslist.com/it/advisories/32211	c:\programmi\microsoft office\office11\excel.exe		
17/12/2008 10.59.04	Rilevato: http://www.viruslist.com/it/advisories/31453	c:\programmi\microsoft office\office11\powerpnt.exe		
17/12/2008 10.59.05	Rilevato: http://www.viruslist.com/it/advisories/30975	c:\programmi\microsoft office\office11\winword.exe		
17/12/2008 11.06.24	Rilevato: http://www.viruslist.com/it/advisories/32270	c:\programmi\Mozilla Firefox\plugins\NPSWF32.dll		
17/12/2008 11.06.24	Rilevato: http://www.viruslist.com/it/advisories/32270	c:\programmi\Mozilla Thunderbird\plugins\NPSWF32.dll		
17/12/2008 11.07.45	Rilevato: Trojan.Win32.Agent.avjo	c:\Qoobox\Quarantine\C\Programmi\Mozilla Firefox\components\iamfamous.dll.vir		
17/12/2008 11.07.45	Non isolati: Trojan.Win32.Agent.avjo	c:\Qoobox\Quarantine\C\Programmi\Mozilla Firefox\components\iamfamous.dll.vir	Rimandato	
17/12/2008 11.07.45	Rilevato: Packed.Win32.Krap.d	c:\Qoobox\Quarantine\C\WINDOWS\system32\msqpdxosvdnrsr.dll.vir		
17/12/2008 11.07.45	Non isolati: Packed.Win32.Krap.d	c:\Qoobox\Quarantine\C\WINDOWS\system32\msqpdxosvdnrsr.dll.vir	Rimandato	
17/12/2008 11.08.36	Rilevato: http://www.viruslist.com/it/advisories/26003	c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe		
17/12/2008 11.10.03	Rilevato: http://www.viruslist.com/it/advisories/19218	c:\WINDOWS\system32\Macromed\Shockwave 10\SwOnce.dll		
17/12/2008 11.10.04	Rilevato: http://www.viruslist.com/it/advisories/32270	c:\WINDOWS\system32\Macromed\Flash\Flash.ocx		
17/12/2008 11.10.57	Rilevato: http://www.viruslist.com/it/advisories/14333	D:\download\putty2.exe		
17/12/2008 11.11.05	Rilevato: http://www.viruslist.com/it/advisories/32270	D:\download\RivaEncoderSetup.exe/file1/#		
17/12/2008 11.11.08	Rilevato: http://www.viruslist.com/it/advisories/32270	D:\download\RivaEncoderSetup.exe/file2/#		
17/12/2008 11.46.54	Rilevato: http://www.viruslist.com/it/advisories/16525	E:\UTILITIES\CD1\visualizza_processi\procexp.exe		
17/12/2008 12.06.12	Rilevato: Trojan.Win32.Agent.avjo	c:\Qoobox\Quarantine\C\Programmi\Mozilla Firefox\components\iamfamous.dll.vir		
17/12/2008 12.06.12	Eliminati: Trojan.Win32.Agent.avjo	c:\Qoobox\Quarantine\C\Programmi\Mozilla Firefox\components\iamfamous.dll.vir		
17/12/2008 12.06.12	Rilevato: Packed.Win32.Krap.d	c:\Qoobox\Quarantine\C\WINDOWS\system32\msqpdxosvdnrsr.dll.vir		
17/12/2008 12.06.12	Eliminati: Packed.Win32.Krap.d	c:\Qoobox\Quarantine\C\WINDOWS\system32\msqpdxosvdnrsr.dll.vir		
17/12/2008 12.06.12	Rilevato: Packed.Win32.Krap.d	c:\System Volume Information\_restore{DD689257-916D-4270-B9E4-AEC2A6C22C5F}\RP0\A0000002.dll		
17/12/2008 12.06.12	Eliminati: Packed.Win32.Krap.d	c:\System Volume Information\_restore{DD689257-916D-4270-B9E4-AEC2A6C22C5F}\RP0\A0000002.dll		
17/12/2008 12.06.12	Rilevato: Trojan.Win32.Agent.avjo	c:\System Volume Information\_restore{DD689257-916D-4270-B9E4-AEC2A6C22C5F}\RP0\A0000015.dll		
17/12/2008 12.06.12	Eliminati: Trojan.Win32.Agent.avjo	c:\System Volume Information\_restore{DD689257-916D-4270-B9E4-AEC2A6C22C5F}\RP0\A0000015.dll		
17/12/2008 12.06.12	
Attività completata

A questo punto credo che faccio prima a formattare che a risolvere il problema ma ho pausa di ribeccarmi il tutto se i virus sono in altre partizione del disco o sui miei dischi rimovibili. Vi allego anche i log di hijackthis e combofix.

http://www.fileqube.com/file/oIMQynM159905

Qualcuno ha qualche idea? (Spero di aver postato tutto correttamente).

[wjmat]

segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità .

Leggi bene tutto questo post, e salvo problemi gravi, arriverai in fondo alla guida in perfetta autonomia

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner, vogliamo necessariamente in ordine e anche se non è stato rilevato nulla mettendo il nome della scansione a fianco del link :

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Se il pc dovessse essere molto compromesso (es. riavvii frequenti, schermate blu) oppure hai problemi con internet per aggiornare i programmi leggi qui

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com, imageshack

[fracarro]

Allora ci ho messo due giorni ( dato che ogni scansione mediamente ha impiegato 3 ore) ma alla fine ho questi file di log:

Malwarebyte: http://www.fileqube.com/file/TPGpPUX160205
A-Squared: http://www.fileqube.com/file/gccrsLAhA160206
Kaspersky virus removal: http://www.fileqube.com/file/xNlyNim160207
Cureit: allegato
sysinspector: http://www.fileqube.com/file/hsQwlZdJi160208
hijackthis: http://www.fileqube.com/file/zmXaIpo160209
gmer: http://www.fileqube.com/file/gWWCHcXUF160210
prevxcsi: http://www.fileqube.com/file/asvrCmPx160211

Durante le prime scansioni sono stati trovati vari file infetti. Cosa mi suggerite in base alle info nei log?

P.S. Non ho avuto il tempo di provare il computer dopo queste scansioni, tuttavia la schermata blu in chiusura non si verifica più e adesso il kaspersky internet security si aggiorna regolarmente.

P.P.S. Per quanto riguarda cureit ho inserito solo gli ultimi dati del file di log dato che quest'ultimo è grosso 60MB. Ho avuto dei problemi con il kaspersky virus removal in quanto subito dopo l'installazione quando il programma si sarebbe dovuto avviare, ho ricevuto l'errore che la memoria non poteva essere read. Ho quindi lanciato a mano dalla cartella che è stata creata l'eseguibile, ma ora non riesco a cancellare questa cartella.

Grazie mille per la pazienza.

[Chill-Out]

Innazitutto avresti dovuto disabilitare il ripristino configurazione sistema come indicato in Guida

Il Kaspersky Removal Tool non funziona se si hanno prodotti Kaspersky installati sul Pc come nel tuo caso, tra l'altro è assolutamente inutile fare una scansione con un tool che gia si possiede, avresti dovuto optare per la scansione online con F-Secure, a proposito il tuo AV funziona regolarmente perchè dal log di HJT non sembra installato.

Per quanto concerne la disinstallazione leggi le info in Guida http://www.hwupgrade.it/forum/showthread.php?t=1631690

[fracarro]

Quote:

Originariamente inviato da Chill-Out

Innazitutto avresti dovuto disabilitare il ripristino configurazione sistema come indicato in Guida

Infatti è disabilitato. E' la prima cosa che ho fatto insieme all pulizia generale con l'AFTcleaner.

Quote:

Il Kaspersky Removal Tool non funziona se si hanno prodotti Kaspersky installati sul Pc come nel tuo caso, tra l'altro è assolutamente inutile fare una scansione con un tool che gia si possiede, avresti dovuto optare per la scansione online con F-Secure, a proposito il tuo AV funziona regolarmente perchè dal log di HJT non sembra installato.

Per quanto concerne la disinstallazione leggi le info in Guida http://www.hwupgrade.it/forum/showthread.php?t=1631690

Il kis sembra funziona correttamente, adesso funzionano anche gli aggiornamenti. Tuttavia se cerco di fare la scansione con f-secure appare la schermata blu causata dal klif.sys che è legato al kis. Purtroppo non sapevo qual'era la procedura corretta di disinstallazione del kaspersky remove tool quindi ho semplicemente cancellato la cartella dalla modalità provvisoria, quindi adesso ci sarà qualche casino nel registro. Ad ogni modo è sicuro che il computer vada formattato ma prima vorrei averlo ripulito per bene. I logs danno qualche info a riguardo?

[wjmat]

dal log di cureit mancano alcune informazioni

potresti caricarlo filtrato come da punto 4 modalità in firma

[Chill-Out]

Quote:

Originariamente inviato da fracarro

Infatti è disabilitato. E' la prima cosa che ho fatto insieme all pulizia generale con l'AFTcleaner.



Il kis sembra funziona correttamente, adesso funzionano anche gli aggiornamenti. Tuttavia se cerco di fare la scansione con f-secure appare la schermata blu causata dal klif.sys che è legato al kis. Purtroppo non sapevo qual'era la procedura corretta di disinstallazione del kaspersky remove tool quindi ho semplicemente cancellato la cartella dalla modalità provvisoria, quindi adesso ci sarà qualche casino nel registro. Ad ogni modo è sicuro che il computer vada formattato ma prima vorrei averlo ripulito per bene. I logs danno qualche info a riguardo?

Si il ripristino và disattivato su tutti i dischi, ti dico questo in funzione dei log visionati:

Quote:

E:\System Volume Information\_restore{E755903F-0EBB-485A-94C7-A9CA0735B58C}\RP92\A0155451.exe rilevati: Trojan.Generic!IK
E:\System Volume Information\_restore{F9F28B62-F12B-4A16-AB14-1B14FBDF3EA1}\RP126\A0089570.exe rilevati: Trojan-Downloader.Win32.Horst.a!IK
E:\System Volume Information\_restore{F9F28B62-F12B-4A16-AB14-1B14FBDF3EA1}\RP126\A0089668.exe rilevati: Trojan.Small.7168.B!IK
E:\System Volume Information\_restore{F9F28B62-F12B-4A16-AB14-1B14FBDF3EA1}\RP126\A0089761.exe rilevati: Riskware.Hacktool.Keygen.Acronis!IK

Comunque se desideri formattare, non ha senso pulire, il Pc come và? In quanto dai i log oltre alle infezioni rimosse per il momento non vedo altre anomalie.

[fracarro]

Quote:

Originariamente inviato da wjmat

dal log di cureit mancano alcune informazioni

potresti caricarlo filtrato come da punto 4 modalità in firma

Allora, ho seguito le tue istruzioni ed ecco qui il log di cureit filtrato:
http://www.fileqube.com/file/tFJpVRIKQ160314

Quote:

Originariamente inviato da Chill-Out

Si il ripristino và disattivato su tutti i dischi, ti dico questo in funzione dei log visionati:

Ho disabilitato il ripristino facendo tasto destro su risorse del computer e poi spuntando la casella. Credevo che in questo modo su tutti i dischi venisse disabilitato il ripristino. Ad ogni modo mi sono accorto come mostra questa foto allegata che il ripristino è disabilitato su tuttu gli hd anche quelli esterni tranne la penna usb che non compare nell'elenco. come mai? Forse è li che è ancora attivato?

Quote:

Comunque se desideri formattare, non ha senso pulire, il Pc come và? In quanto dai i log oltre alle infezioni rimosse per il momento non vedo altre anomalie.

Il pc non mi sembra "in forma" ma a me interessa che non sia ancora infetto. Dai risultati delle scansione sembra che i virus erano presenti sui dischi esterni quindi preferisco finire di massacrare ora il pc dato che il sistema non è più stabile piuttosto che formattarlo e ritrovarmi con qualche infezione ancora residente da qualche parte e dover rifare tutto daccapo. Comunque dopo le scansioni noto che i problemi originali sembrano spariti. Non escono finestre di popup, ne la schermata blu in chiusura. Cosa altro posso fare per verificare la "pulizia" del pc?


P.S. Un consiglio. Dopo aver formattato cosa mi consigliate di mettere accanto al kis 2009 come programma di antispyware che ha protezione in realtime? Vorrei essere protetto la prossima volta da questi attacchi.

[fracarro]

Up. Ragazzi mi avete abbandonato?
Ho fatto una scansione completa anche con il kis in allegato vi è il log.
Nonostante tutte le scansioni fatte il pc non sembra essere pulito. C'è ancora questo maledetto Trojan.Win32.Patched.dy . Su internet mi era sembrato di capire che probabilmente f-secure può rimuoverlo ma appena cerco di far fare la scansione online mi esce la schermata blu causata dal klys.sys ( ho anche provato a disabilitare dall'avvio automatico l'antivirus per vedere di risolvere il problema ma niente). C'è un modo per rimuoverlo?

[Chill-Out]

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

[fracarro]

Quote:

Originariamente inviato da Chill-Out

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Ho seguito le istruzioni e questo è il file di log creato da combofix: http://www.fileqube.com/file/fKTxWWZaz160445

Ad ogni modo sembra che sull'hd nn ci siano più i file infetti segnalati dal kis ( magari li ha cancellati quest'ultimo?)

[Chill-Out]

Apri il Blocco Note copia e incolla questa riga:

Quote:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Successivamente nuova scansione completa col Kaspesrky ed allega entrambi i log

[fracarro]

Quote:

Originariamente inviato da Chill-Out

Apri il Blocco Note copia e incolla questa riga:



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Successivamente nuova scansione completa col Kaspesrky ed allega entrambi i log

Fatto tutto ecco i log.

Combofix:
http://www.fileqube.com/file/NPMIXpkAY160576

Kaspersky in allegato.

Sono finalmente pulito? Posso passare ad una traquilla formattazione? Infine volevo chiedere secondo voi accanto al kis 2009 conviene usare spyware terminator oppure spyware doctor ( per la protezione in tempo reale?)

[wjmat]

l'operazione con combo pare non abbia sortito alcun effetto, avevi disattivato kasp?

[fracarro]

Quote:

Originariamente inviato da wjmat

l'operazione con combo pare non abbia sortito alcun effetto, avevi disattivato kasp?

Si. Ci riprovo?
Ho notato con molta sorpresa che ricontrollando il ripristino di sistema E' STATO RIATTIVATO!!!
Lo avevo disattivato all'inizio delle 8 procedure di scansione e adesso me lo ritrovo attivato. Avevo addirittura disabilitato il servizio di ripristino dall'elenco che esce digitando services.msc e pure li era avviato in automatico. Com'è possibile? Qualcuno dei programmi di scansione riattiva il ripristino di sistema?

[Chill-Out]

Quote:

Originariamente inviato da fracarro

Si. Ci riprovo?
Ho notato con molta sorpresa che ricontrollando il ripristino di sistema E' STATO RIATTIVATO!!!
Lo avevo disattivato all'inizio delle 8 procedure di scansione e adesso me lo ritrovo attivato. Avevo addirittura disabilitato il servizio di ripristino dall'elenco che esce digitando services.msc e pure li era avviato in automatico. Com'è possibile? Qualcuno dei programmi di scansione riattiva il ripristino di sistema?

Ripeti quanto indicato qui http://www.hwupgrade.it/forum/showpo...8&postcount=12

Il ripristino conf.sistema è stato riattivato da Combo, tutto regolare.

[fracarro]

Quote:

Originariamente inviato da Chill-Out

Ripeti quanto indicato qui http://www.hwupgrade.it/forum/showpo...8&postcount=12

Il ripristino conf.sistema è stato riattivato da Combo, tutto regolare.

Ecco il log di combofix dopo averci riapplicato lo script. Ha funzionato questa volta?

http://www.fileqube.com/file/AKOxbt160656

[Chill-Out]

Quote:

Originariamente inviato da fracarro

Ecco il log di combofix dopo averci riapplicato lo script. Ha funzionato questa volta?

http://www.fileqube.com/file/AKOxbt160656

Si

[fracarro]

Quote:

Originariamente inviato da Chill-Out

Si

Quindi ho ripulito il pc?

Comunque grazie a tutti per la vostra pazienza e aiuto.

[Chill-Out]

Quote:

Originariamente inviato da fracarro

Quindi ho ripulito il pc?

Comunque grazie a tutti per la vostra pazienza e aiuto.

Direi di si, prego di nulla