[risolto][Win XP] rootkit spambot non identificato

[cionci]

Log di PrevX: http://www.fileup.itadib.com/downloa...kzRgLKfwpLKUro

[cionci]

gmer non lo trova, forse è rimasta qualche traccia a giro...
Il file Vcbp29.sys era sempre lì, forse per questo. L'ho rimosso senza problemi.

[Chill-Out]

Scarica Avenger da qui: http://swandog46.geekstogo.com/avenger.zip Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che ti indico cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da allegare per il controllo

Quote:

Files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Launch Manager\bak\QtZiAcer.EXE | C:\Programmi\Launch Manager\QtZiAcer.EXE
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPLpr.exe | C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe | C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe | C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe | C:\Programmi\Alwil Software\Avast4\ashDisp.exe
C:\Programmi\Skype\Phone\bak\Skype.exe | C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\ScanSoft\OmniPageSE4.0\bak\OpwareSE4.exe | C:\Programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\bak\WkUFind.exe | C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe | C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\SSBkgdupdate.exe
C:\Programmi\Java\j2re1.4.2_01\bin\bak\jusched.exe | C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe

Mi raccomandi non te lo ho chiesto prima ma il ripristino configurazione sistema deve essere disabilitato e devi aver fatto pulizia con Ccleaner come indicato qui: http://www.hwupgrade.it/forum/showthread.php?t=1589984

[cionci]

Sì tutto fatto, ora provo questo avenger...

[cionci]

Codice:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mintabkj

*******************

Script file located at: \??\C:\WINDOWS\system32\oahqpxgu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully.
File move operation C:\Programmi\Launch Manager\bak\QtZiAcer.EXE|C:\Programmi\Launch Manager\QtZiAcer.EXE completed successfully.
File move operation C:\Programmi\QuickTime\bak\qttask.exe|C:\Programmi\QuickTime\qttask.exe completed successfully.
File move operation C:\Programmi\Synaptics\SynTP\bak\SynTPLpr.exe|C:\Programmi\Synaptics\SynTP\SynTPLpr.exe completed successfully.
File move operation C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe|C:\Programmi\Synaptics\SynTP\SynTPEnh.exe completed successfully.
File move operation C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe|C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe completed successfully.
File move operation C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe|C:\Programmi\Alwil Software\Avast4\ashDisp.exe completed successfully.
File move operation C:\Programmi\Skype\Phone\bak\Skype.exe|C:\Programmi\Skype\Phone\Skype.exe completed successfully.
File move operation C:\Programmi\ScanSoft\OmniPageSE4.0\bak\OpwareSE4.exe|C:\Programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.exe completed successfully.
File move operation C:\Programmi\File comuni\Microsoft Shared\Works Shared\bak\WkUFind.exe|C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe completed successfully.
File move operation C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe|C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\SSBkgdupdate.exe completed successfully.
File move operation C:\Programmi\Java\j2re1.4.2_01\bin\bak\jusched.exe|C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe completed successfully.

Completed script processing.

*******************

Finished!  Terminate.

[Chill-Out]

Ti sto scrivendo uno script da inserire in Combo

Apri il Blocco Note copia e incolla queste righe:

Quote:

File::
C:\WINDOWS\system32\drivers\kcp.sys
c:\wmfvdfy.exe
C:\WINDOWS\system\wcntfysvc.exe
C:\WINDOWS\System32\CommDrv.sys
C:\WINDOWS\system32\drivers\Svf40.sys
C:\WINDOWS\system32\drivers\Vcbp29.sys
C:\WINDOWS\vmm32dll.ex_
C:\WINDOWS\system32\mh.exe

Driver::
C:\WINDOWS\system32\drivers\kcp.sys
C:\WINDOWS\system32\drivers\Svf40.sys
C:\WINDOWS\system32\drivers\Vcbp29.sys

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

Poi disinstalli Avast lo sostituisci con Anvir lo configuri, lo aggiorni e lanci una scansione completa del sistena eventuali malware li passi in quarantene http://www.hwupgrade.it/forum/showthread.php?t=1514684

Riepilogo dei log da allegare che guarderò domani io vado a nanna

Combo
Antivir
Nuovo log di HijackThis ma lo scarichi da qui: Download: http://www.trendsecure.com/portal/en...HiJackThis.exe


Di questo swreg.exe non ti dwvi preoccupare e relativo al Combo che qundo avremo finito ti farò disinstallare

[cionci]

Azzz...ce n'è ancora ?

[Chill-Out]

Quote:

Originariamente inviato da cionci

Azzz...ce n'è ancora ?

si è pieno di schifezza, ho editato il post precedente, notte.

[cionci]

Quote:

Originariamente inviato da Chill-Out

si è pieno di schifezza, ho editato il post precedente, notte.

Grazie tante !!! Ti dovrebbero fare un monumento.

Dopo questa full-immersion di Windows me ne torno al mio bel Linux...meno male che tutti dicono che su Windows è tutto più facile

[cionci]

ComboFix: http://www.fileup.itadib.com/downloa...b3kNeRWrbicemN
Avira: http://www.fileup.itadib.com/downloa...6F7CkCrAtMf3vZ
HijackThis: http://www.fileup.itadib.com/downloa...ONhD1ZuNhbyVB7

[xcdegasp]

ci avevo visto bene per le cartelle bak
cmq effettivamente con sto pc ci si sono messi di impegno

una cosa che potresti far usare a loro sono i dns di www.opendns.com (se usano il router impostali lì) perchè sono dns che possiedono la blacklist a cui non far collegare un pc inquanto chiama indirizzi malevoli, quindi si riduce di molto la possibilità di infezione
altra funzione utilissima, che uso con soddisfazione, è il potersi registrare gratuitamente e poter stilare una lista di combinazioni veloci per richiamare i siti che si visitano abitualmente... alcuni router, come il mio, possono far impostare l'account dnsname (io uso il servizio di no-ip.org) per mantenere la tracciabilità a opendns

[cionci]

Sono un po' restio sugli opendns, anche perché sono lenti, ci penso.
Spiegami un po' questa cosa delle cartelle Bak...
Inoltre hai capito che tipo di virus/rootkit si era beccato questo PC ?

[xcdegasp]

Le cartelle BAK vengono generate dall'infezione stessa per il worm, opportunamente programmato, la prima cosa che tenta di fare (solitamente lo si è scaricato involontariamente tramite iFrame malevolo) è modificare i servizi esistenti sostituendo l'exe valido e corretto con una versione rpecedente o opportunamente modificata dal wormwriter, in questo modo se il firewall del pc non analizza le interazioni nel sistema l'utente non si accorge assolutamente di nulla.
Le regole del firewall non si modificano e tali servizi hanno già accesso alla rete quindi il worm incomincia a scaricare di tutto dai "server repository" allestiti dal viruswriter...

la mano nativa è sempre di quelkla banda di criminali che aveva realizzato il Gromozon/LinkOptimizer e poi il circuito di vendita per tool di defacement (meglio dire infezioni lato sito con Iframe estranei) via Mpack..

Un sistema per inibire e stroncare queste infezioni è appunto atraverso DNS perchès e blocchi la query verso l'host malevolo non riesci a contattarlo
Un altro sistema è cambiare browser e leggermente modalità d'uso ossia abituarsi a scorazzare in internet con l'esecuzione degli script inibita ed attivarli solo se strettamente necessario, IE in questo non aiuta ma Opera e Firefox sì, quest'ultimo con le estensioni NoScript e AdBlock plus è molto semplice da gestire

[Chill-Out]

Eccoci quà non è ancora finita , esegui HJT clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx delle sottoindicate voci:

O23 - Service: Internet Connection Sharing Firewall Service (AccessSharing) - Unknown owner - C:\WINDOWS\system\wcntfysvc.exe (file missing)

clicca su Fix checked

Dopodichè Start - Esegui - digita cmd e scrivi nella finestra Dos
sc stop AccessSharing - INVIO
sc delete AccessSharing - INVIO

al termine nuovo log di HJT

Coolegarsi al seguente sito http://secunia.com/software_inspector/ analizzare ed aggiornare i software obsoleti quindi vulnerabili vedi Java e Acrobat.....

Mettre in sicurezza il PC quindi leggere qui: http://www.hwupgrade.it/forum/showthread.php?t=1476319

Quote:

Che tipo di rootkit è ? Da dove è stato preso secondo te ?

ieri sera o stanotte che dir si voglia dopo aver controllato il log di Combo concordo con l'analisi del ns.Mod. nello specifico ed almeno in un caso avete fatto conoscenza di Neosploit sempre di matrice Russa, comunque è assolutamente impensabile navigare allegramente in rete con IE6 e SP1

Quote:

C:\System Volume Information\_restore{CD9C3D21-89CC-4F40-99EC-4BCBA91F52F4}\RP3\A0000238.dll

e per fortuna che ti avevo detto di disabilitare il system restore

[cionci]

Azz...giuro che prima era disabilitato...si è riattivato da solo ???
Tra l'altro è stata la prima cosa che ho fatto

Devo fare qualcosa per togliere quel backup del system restore ?

[deneb87]

Quote:

Originariamente inviato da cionci

Azz...giuro che prima era disabilitato...si è riattivato da solo ???
Tra l'altro è stata la prima cosa che ho fatto

hai usato combofix?
quel programma lo riattiva in automatico

[cionci]

Quote:

Originariamente inviato da deneb87

hai usato combofix?
quel programma lo riattiva in automatico

Sì...

Ecco il log di hijackthis: http://www.fileup.itadib.com/downloa...zbw7wTeFeiBRnm

[mikeshare78]

Quote:

Originariamente inviato da cionci

Azz...giuro che prima era disabilitato...si è riattivato da solo ???
Tra l'altro è stata la prima cosa che ho fatto

Devo fare qualcosa per togliere quel backup del system restore ?

Ma stai operando le pulizie con ripristino disabilitato, vero? Altrimenti sei punto e a capo...

[cionci]

Quote:

Originariamente inviato da mikeshare78

Ma stai operando le pulizie con ripristino disabilitato, vero? Altrimenti sei punto e a capo...

Come già detto prima era disabilitato...deneb87 ha detto che lo riabilita ComboFix...

[deneb87]

Quote:

Originariamente inviato da cionci

Come già detto prima era disabilitato...deneb87 ha detto che lo riabilita ComboFix...

adesso ridisattiva