[win XP] Avast, Windows Firewall, e connessione TUTTO bloccato

[koanstudio]

Ciao a tutti,
non sono messo mica tanto bene: spero che qualcuno possa darmi una mano.
Dunque, con Win XP Pro SP2, dopo una scansione in modalità provvisoria con Ad-Aware 2007, Spybot S&D, e Spy Sweeper, diciamo di manutenzione (visto che avevo una seccatura su Internet Explorer che mi reindirizzava dalle ricerche google a siti 89.xxx.xxx.xxx), quando sono andato a riavviare in modalità normale ho i seguenti sintomi:

- le icone compaiono dopo almeno 3-4 minuti di sfondo desktop (ma l'hd sembra fermo),
- il programma di gestione wireless non riesce più a comunicare con la scheda wifi (con un generico "an error has occurred"),
- la lan stessa non funziona,
- viene fuori il fumetto "nessun firewall attivato", se lo attivo manualmente mi dice di attivare il servizio, se vado ad attivare il servizio mi da errore ("impossibile attivare il servizio Windows Firewall / Condivisione connessione Internet (ICS). Errore 2001: il driver specificato non è valido")
- avast tira fuori 4 messaggi di errore in cui dice che non potrà proteggere la posta in arrivo, la posta in uscita, e le news.

Spero che non sia grave, allego il log di Hijackthis, e ringrazio chiunque mi voglia aiutare a non formattare tutto da capo:

Logfile of HijackThis v1.99.1
Scan saved at 18.34.11, on 28/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

[Il programmatore]

Ciao, allora inizia con il controllare le seguent voci:
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [StartUp] "C:\WINDOWS\trayicons.exe" /optimize speed
O20 - Winlogon Notify: gqgoitby - C:\WINDOWS\SYSTEM32\comaddinu.dll
O2 - BHO: (no name) - {F333BCEC-FE0D-4067-8310-9D19295AA86F} - c:\windows\system32\comaddinu.dll
O2 - BHO: (no name) - {17EF91F8-A924-4052-AB23-B1086B26716B} - C:\WINDOWS\system32\acctresr.dll
In maniera particolare soprattutto la prima, falla analizzare su www.virustotal.com

[murack83pa]

ciao
incomincia a seguire la guida alla disinfezione

stai attento a come posti i log, scegliendo tra:
1)i tag (code) (/code)
2)la funzione allegati, rinominando i log in formato txt
l3)caricare il log su un server come www.zshare.net, copiando qui i link x il download
è preferibile la terza opzione

NB: modifica il tuo primo post, eliminando il log di hijackthis,grazie

@ programmatore: le hai lette le regole di sezione? inoltre: nn è la prima voce quella preoccupante, ma le altre

ciao

[Riverside]

Quote:

Originariamente inviato da Il programmatore

In maniera particolare soprattutto la prima, falla analizzare su www.virustotal.com

Componente della scheda audio Realtek.
D'accordo che di norma quella voce la facciamo fixare, ma arrivare a farla analizzare su Virustotal .....
Direi di evitare, per favore: in questa sottosezione c'è già parecchia confusione.

@ koanstudio: segui le indicazioni suggerite da Murack, per favore.

[xcdegasp]

rimosso il log inquanto non conforme alle Regole di Sezione e si ricorda che per la semplice analisi di HiJackThis esiste un thread specifico

[koanstudio]

Chiedo scusa a tutti per non aver letto le regole prima di postare.
Le ho lette e le ho seguite: ho fatto scan con Ccleaner, Ads revealer, A-squared, Hijackthis, e Gmer, di cui sotto trovate i link per i relativi logs.
Purtroppo non ho potuto fare tutti quegli scan indicati che necessitavano però della connessione internet, in quanto non piu' presente.
Avast in modalità provvisoria aggiornato non ha comunque trovato nulla.
Per i sintomi (che persistono anche dopo questi scan), rimando al primo post di questo thread.
Grazie mille e ancora scusate per ieri...

log ccleaner.txt

log ads revealer.txt

log a-squared.txt

log hijackthis.txt

log gmer.txt

[Chill-Out]

Manca il log di Prevx CSI e quello di a-squared è tutto un programma.

[koanstudio]

Quote:

Originariamente inviato da Chill-Out

Manca il log di Prevx CSI e quello di a-squared è tutto un programma.

manca perchè nella guida c'era scritto che necessitava della connessione internet, e io non ce l'ho più: è uno dei sintomi!
in che senso quell'altro log è "tutto un programa"?...

[Chill-Out]

Quote:

Originariamente inviato da koanstudio

manca perchè nella guida c'era scritto che necessitava della connessione internet, e io non ce l'ho più: è uno dei sintomi!
in che senso quell'altro log è "tutto un programa"?...

C:\Programmi\eMule\Incoming\Webroot Spy Sweeper 5.5.7.48 [Cracked by Black Knight].zip/Spy Sweeper Updater 2.0.0 Alpha 4000.exe In quarantena Adware.Win32.Rabio.a

[koanstudio]

Quote:

Originariamente inviato da Chill-Out

C:\Programmi\eMule\Incoming\Webroot Spy Sweeper 5.5.7.48 [Cracked by Black Knight].zip/Spy Sweeper Updater 2.0.0 Alpha 4000.exe In quarantena Adware.Win32.Rabio.a

quello è un programma anti spyware che avevo scaricato da emule: conteneva lui un virus?

[Riverside]

Quote:

Originariamente inviato da koanstudio

manca perchè nella guida c'era scritto che necessitava della connessione internet, e io non ce l'ho più .....

E come le hai eseguite le scansioni suggerite? con la sola imposizione delle mani?.
Mi appare evidente che, allo stato, alcuni log che hai pubblicato, sono, totalmente, inattendibili.
Himo: devi far ripartire la connessione.

[koanstudio]

Quote:

Originariamente inviato da Riverside

E come le hai eseguite le scansioni suggerite? con la sola imposizione delle mani?.
Mi appare evidente che, allo stato, alcuni log che hai pubblicato, sono, totalmente, inattendibili.
Himo: devi far ripartire la connessione.

Ho scaricato i programmi suggeriti da un altro computer in buona salute, e li ho portati su quello che non va con un'unità esterna di memorizzazione: non mi sembra ci sia niente di trascendentale in questo.
I log SONO attendibili, nella misura in cui ho semplicemente salvato quello che usciva da questi programmi dopo la scansione: ovviamente essendo bloccata la connessione internet (sia wifi che lan), non posso essere in grado di fare scansioni on line o di utilizzare programmi di diagnostica che necessitano di connessione.
Ho provato anche a fixare le voci suggerite in questo thread da Il Programmatore, ma le ultime tre, appena fixate, anche in Mod Prov, tornano subito presenti ad uno scan successivo.
In ogni caso, se hai qualche idea per fare ripartire la connessione, come da te suggerito, aspetto notizie.

[koanstudio]

il file "comaddinu.dll" (che su virustotal è stato trovato infetto da trojan.crypt.morohine.gen), non si fa cancellare manualmente nemmeno in modalità provvisoria! e se si prova a rinominarlo (anche in modalità provvisoria), si autorigenera col nome giusto in circa due secondi.

[xcdegasp]

Quote:

Originariamente inviato da koanstudio

il file "comaddinu.dll" (che su virustotal è stato trovato infetto da trojan.crypt.morohine.gen), non si fa cancellare manualmente nemmeno in modalità provvisoria! e se si prova a rinominarlo (anche in modalità provvisoria), si autorigenera col nome giusto in circa due secondi.

dovresti scansionare il pc con DrWeb CureIT o con "Avira Antivir Premium" (nella sezione "AV - discussioni generiche" trovi i dettagli per averlo gratuitamente per 6 mesi) e postare il log, meglio se scansioni in modalità provvisoria.

fixa:

Quote:

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {17EF91F8-A924-4052-AB23-B1086B26716B} - C:\WINDOWS\system32\acctresr.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.9.24.dll
O2 - BHO: (no name) - {F333BCEC-FE0D-4067-8310-9D19295AA86F} - c:\windows\system32\comaddinu.dll
O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Matrox PowerDesk SE] "C:\Programmi\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Scarica tutti i video usando BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Scarica tutto usando BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Scarica usando &BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: gqgoitby - C:\WINDOWS\SYSTEM32\comaddinu.dll
O23 - Service: Matrox Centering Service - Matrox Graphics Inc. - C:\Programmi\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe

non serve a nulla installare un programma per ottimizzare i tempi di boot se poi lasci attivi tanti di quei servizi che ci vuole un CED come potenza elaborativa, ma tra queste voci ci sono anche quelle del worm che ti sta dando troppe preoccupazioni.
quelle in grassetto sono appunto quelli che dovresti prima killare e poi fixare

[koanstudio]

Grazie xcdegasp,
sto facendo fare la scansione ad Avira Classic, per ora avevo quello disponibile. Il file comaddinu.dll risulta infetto da trojan.crypt.morphine.gen. alla richiesta di quarantena non da l'autorizzazione ad essere spostato, alla richiesta di cancellazione tanto meno.
Le voci che mi hai detto di fixare si riformano subito dopo essere state fixate (basta rifare la scansione e ci sono già).
Ovviamente tutto in mod prov.
Mi potresti fare un link a quel thread come ottenere Avira Premium per 6 mesi, che non sono riuscito a trovarlo? Grazie. Così provo anche con quello e poi posto il suo log.

[koanstudio]

allora, aggiornamento: purtroppo va sempre peggio: avira classic ha trovato come detto sopra questa comaddinu.dll infetta, ma non riesce a cancellarla o metterla in quarantena.
ho provato allora a prendere l'avira premium in licenza per 6 mesi, e quando vado a fare il manual update (con le definizioni che avevano funzionato per la versione classic), il programma da "manual update failed", senza molte indicazioni aggiuntive.
ricordo che stiamo parlando di un pc su cui NON FUNZIONA la connessione internet, quindi sono obbligato a portare gli aggiornamenti con una pennina da un sistema pulito e collegato a internet.

ciao , ma hai provato con DrWeb CureIT come ti era stato suggerito da xcdegasp? (non lo devi nemmeno aggiornare o installare ti basterà scaricare la versione più recente...quindi è ottimo se non disponi di connessione ad internet) nel caso vai anche di superantispyware
http://www.superantispyware.com/

[koanstudio]

Quote:

Originariamente inviato da ShoShen

ciao , ma hai provato con DrWeb CureIT come ti era stato suggerito da xcdegasp? (non lo devi nemmeno aggiornare o installare ti basterà scaricare la versione più recente...quindi è ottimo se non disponi di connessione ad internet) nel caso vai anche di superantispyware
http://www.superantispyware.com/

li ho usati entrambi e in tutti e due non è venuto fuori un solo file infetto...

[xcdegasp]

Quote:

Originariamente inviato da koanstudio

li ho usati entrambi e in tutti e due non è venuto fuori un solo file infetto...

scarica e usa http://www.nod32.it/tools/undll.php per mettere in quarantena quella dll, con questo programmino metti fuori uso la dll così potrai spostarla o eliminarla

[koanstudio]

ti ringrazio tanto xcdegasp, ma purtroppo l'operazione non è andata a buon fine: ho provato a usare undll, ma il file in questione, al riavvio, è sempre lì...
ecco il log comunque: undll log