[win XP] whataboutadog

[xcdegasp]

Quote:

Originariamente inviato da tempestasolare

ma RIVER, sai che sei proprio un bel "fumino"

Considera che tra una scansione e l'altra, mi tocca anche lavorare, per cui l'attività con combofix pensavo di farlo stasera da casa....

Ti ringrazio comunque per la disponibilità accordata e la competenza con cui sta affrontando la mia criticità.

ciao
DA

Ci sentiamo più tardi.

non evitare quanto scritto prima perchè riguarda anche te dato che nella "guida alla disinfezione per infetti" non si accenna a nessuna sottosezione

Quote:

Originariamente inviato da tempestasolare

gentile MARMOTTA88, potresti essere meno "criptico"!
Ho letto la guida, forse non con l'attenzione dovuta, ma non riesco a capire quali siano le sottosezioni che descrivono le modalità risolutive.
A riguardo di IE il fatto che sia nella versione 6 è indice di infezione?
Tra l'altro io uso OPERA e non IE, per cui l'aggiornamento della release, visto l'uso che ne faccio (nessuno), è relativamente importante.
Anzi sai che ti dico, se potessi disinstallarlo, lo farei subito....

Comunque grazie per i consigli.

questo è quanto tu risposi a marmotta ma se tu avessi realmente letto la guida avresti già risolto

[tempestasolare]

OK, ricominciamo dall'inizio.
xcdegasp ha perfettamente ragione nell'indicare come propedeutica a qualsisi intervento, l'esecuzione della procedura riportata nelle guida alla disinfezione.
E io me scuso per primo ma a mia discolpa devo dire sinceramente che avevo effettuato quasi tutte le operazioni indicate nella guida.
Ma al fine di arrivare una risoluzione non causale e in tempi accettabile è necessario eseguire preventimente quanto descritto dalla guida in maniera puntuale.

quindi

ESET ADS Revealer
log http://www.zshare.net/download/6007361c5b143b/

A-Squared Free v3.x
log http://www.zshare.net/download/6007744b5244ee/

Prevx CSI
log http://www.zshare.net/download/60077817275773/

scansione EWIDO online NO minacce
scansione PANDA online NO minacce

HiJACKTHIS
log http://www.zshare.net/download/600819719ad07c/

GMER
log http://www.zshare.net/download/6008124ae4844f/


Grazie
DA

[xcdegasp]

a-squared:

Codice:

Value: HKEY_CLASSES_ROOT\Media Type\Extensions\.avi --> Source Filter 	rilevati: Trace.Registry.DivoCodec

Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.avi --> Source Filter 	rilevati: Trace.Registry.DivoCodec

puoi non metterlo in quarantena perchè segnalazione non corretta mentre la segnalazione sulla toolbar.dll potresti farla analizzare su www.virustotal.com e http://virusscan.jotti.org/
e sempre su questi due siti fai analizzare anche C:\WINDOWS\TEMP\TLF91F.EXE che potrebbe essere realmente dell'OfficeScan ma è sempre meglio un analisi in più che di meno..

prevx CSI:
pulito

HiJackThis:
fixare queste voci:

Quote:

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: GigagetIEHelper - {111CAA23-6F4F-42AC-8555-B48C1D87BBAB} - C:\WINDOWS\system32\gigagetbho_v10.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [sealmon] C:\Program Files\SealedMedia\sealmon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Last.fm Helper.lnk = C:\Program Files\Last.fm\LastFMHelper.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &Download All by Gigaget - C:\Program Files\Giganology\Gigaget\getallurl.htm

O8 - Extra context menu item: &Download by Gigaget - C:\Program Files\Giganology\Gigaget\geturl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

[Riverside]

Allora qui continuamo a non esserci; la trusted zone è di nuovo piena:

O15 - Trusted Zone: http://organigramma.griffon.local
O15 - Trusted Zone: *.griffon.local
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it
O15 - Trusted Zone: http://griffon.open.telecomitalia.it
O15 - Trusted Zone: http://hr.open.telecomitalia.it
O15 - Trusted Zone: http://paperless.open.telecomitalia.it
O15 - Trusted Zone: http://tils.open.telecomitalia.it
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local
O15 - Trusted Zone: http://soa404.telecomitalia.local
O15 - Trusted Zone: http://organigramma.griffon.local (HKLM)
O15 - Trusted Zone: *.griffon.local (HKLM)
O15 - Trusted Zone: http://atomwfe1.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://atomwfe2.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.ittelecom.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://griffon.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://hr.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://paperless.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://tils.open.telecomitalia.it (HKLM)
O15 - Trusted Zone: http://dwh-o2c.telecomitalia.local (HKLM)
O15 - Trusted Zone: http://soa404.telecomitalia.local (HKLM)
O15 - Trusted IP range: 10.74.27.45
O15 - Trusted IP range: http://10.173.215.15
O15 - Trusted IP range: 10.74.27.45 (HKLM)
O15 - Trusted IP range: http://10.173.215.15 (HKLM)

E' presente un processo che, ogni volta si rigenera con un nome diverso:
C:\WINDOWS\TEMP\TLF91F.EXE

E per non farci mancare nulla, il trojan Obfuscated è ancora presente:
O15 - Trusted Zone: *.doginhispen.com
O15 - Trusted Zone: *.whataboutadog.com

Quindi ora:

scarica ed installa SUPER ANTI SPYWARE: clicca qui per il download
● una volta installato, clicca sulla voce Scan you Computer
● nella finestra successiva, nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibiità di salvare il log che verrà rilasciato
Allega il log

scarica FINDAWF: clicca qui per il download
Tool per la rilevazione della directory BAK e per la rimozione del Trojan.win32.Obfuscated.dr
● una volta scaricato, avvialo
● si aprirà un finestra in stile dos: clicca su un tasto qualunque
allega il log che verrà rilasciato

scarica COMBO FIX: clicca qui per il download
● completata la prima fase della scansione il sistema verrà riavviato automaticamente; dopo il riavvio, verranno creati due log in Risorse del Computer - Disco Locale C:
● combofix.txt
● comboFix-quarantined-files.txt
allega, entrambi i log che verranno rilasciato

[tempestasolare]

Scusate l'ignoranza ma non riesco a far analizzare il file toolbar.dll..

Quote:

a-squared:
Codice:
Value: HKEY_CLASSES_ROOT\Media Type\Extensions\.avi --> Source Filter rilevati: Trace.Registry.DivoCodec

Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\Extensions\.avi --> Source Filter rilevati: Trace.Registry.DivoCodec
puoi non metterlo in quarantena perchè segnalazione non corretta mentre la segnalazione sulla toolbar.dll potresti farla analizzare su www.virustotal.com e http://virusscan.jotti.org/

come devo fare?

Intanto allego analisi del

Quote:

e sempre su questi due siti fai analizzare anche C:\WINDOWS\TEMP\TLF91F.EXE che potrebbe essere realmente dell'OfficeScan ma è sempre meglio un analisi in più che di meno..

Analisi VirusTotal del file TLF91F.EXE

http://www.zshare.net/download/60090567dce8b8/

[tempestasolare]

xcdegasp dice:

Quote:

HiJackThis:
fixare queste voci:

voci fixate

per RIVER
LE voci 015, tranne what..... e dogin..... sono inserite ad ogni connessione alla rete LAN del mio ufficio penso con script (notebook aziendale)

procedo con SUPERantiSpyware ed il resto...

grazie
SAluti

[Riverside]

Quote:

Originariamente inviato da tempestasolare

Analisi VirusTotal del file TLF91F.EXE

Pare sia leggitima; ma non è quello che preme.
Forse non ci siamo ancora capiti: qui bisogna rimuovere il trojan obfuscated
Sarebbe possibile vedere i log che ti ho richiesto nel mio ultimo reply?.

Quote:

Originariamente inviato da tempestasolare

LE voci 015, tranne what..... e dogin..... sono inserite ad ogni connessione alla rete LAN del mio ufficio penso con script (notebook aziendale)

Questo, oramai era appurato.

[Chill-Out]

Quote:

Analisi VirusTotal del file TLF91F.EXE

Trend Micro icona a forma di cane

[Riverside]

Quote:

Originariamente inviato da Chill-Out

Trend Micro icona a forma di cane

Grazie, Chill, almeno ora la cosa è chiara, una volta per tutte.

[tempestasolare]

log SAS
http://www.zshare.net/download/601128752bc47d/

log FINDAWF
http://www.zshare.net/download/601131994a2f5c/

log COMBOFIX
http://www.zshare.net/download/6011336a60d22a/
http://www.zshare.net/download/6011379f34df9d/

saLUTI
DA

[xcdegasp]

per mettere in quarantena quelle due key devi rifare la scansione e quando finisce selezioni quelle due voci e premi "quarantena"

appena puoi riavvia il notebook e poi consiglia al ufficio di SicurezzaInformatica di cambiare software perchè OfficeScan è sempre stato un antivirus mediocre, lo dimostra il fatto che esistano le cartelle bak seppur vuote che è appunto la conseguenza della lentezza con cui ha individuato un principio di infezione.
doveva individuare il problema prima che agisse come ogni antivirus degno di nota riesce a fare!

[Riverside]

@ tempestasolare allega un nuovo log di Hthis, per favore.

[tempestasolare]

ecco il log
http://www.zshare.net/download/6012937866ae9c/

Saluti
DA

[tempestasolare]

purtroppo è tornato whataboutadog...
log hijackthis
http://www.zshare.net/download/60133465312fee/

[Chill-Out]

Scarica DelDomains da qui:
http://www.mvps.org/winhelp2002/DelDomains.inf
salvalo sul DeskTop

clicca col tasto dx del mouse e scegli installa, dopidichè apri HJT e fixa tutti gli 015 in quanto come hai detto tu anche quelli aziendali vengono ricreati, al termine nuovo log di HJT.

[tempestasolare]

allego log hijackthis

http://www.zshare.net/download/60309936805f17/

sembra non abbia funzionato ....

che si fa ora?

[xcdegasp]

questa voce che fine ha fatto?
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9FA1FB0-D522-4225-95FD-95A29CD25D01}: NameServer = 85.37.17.16 85.38.28.68

persa nel camin di nostra vita?

[tempestasolare]

io non l'ho fixata ..... a meno di una svista

[xcdegasp]

hai una situazione un po' strana per il tuo pc...
rifammi una scansione con a-squared

[tempestasolare]

e se fosse stato facile. secondo te. avrei postato sul forum?