Attacco malware silente

[adri2906]

Gentile staff del forum, premettendo che spero di non contravvenire alle regole di sezione (riguardo a nuovi thread con simili finalità e titoli), mi potreste dare assistenza riguardo a quanto segue:

Mercoledì della settimana corrente ho utilizzato il mio netbook asus eeepc 1005 HA come ponte per trasferire dei file durante una lezione, di conseguenza tutti gli studenti hanno pluggato le pennette usb e simili per ricevere il file, alcuni perfino un hard disk esterno. Premettendo che conosco i rischi di tale sistema, mi sono sempre fidato del AVguard di Avira (configurato secondo i vostri consigli dal forum), e, se quando passavo dei file da pennette infette mi avvisava con un rilevamento, questa volta invece non ce ne sono stati, e nei minuti successivi al trasferimento generale ho utilizzato il computer per navigare in internet per un po'. Nel pomeriggio mi sono connesso ad una rete wireless non protetta ma già testata di un istituto di lingue che frequento e li avira si è attivato con decine di ripetuti rilevamenti su moltissimi file del system32 e della cartella Temp, rilevando file con evidenti nomi di malware .exe e rilevamenti di trojan e TR/Drop. Sentendomi attaccato ho lasciato che avira eliminasse quei file (probabilmente anche fondamentali del system) e quindi il computer si è disgregato con errori di sistema e impossibilità ad eseguire programmi e altro.

Nella giornata di ieri ho bonificato una penna usb perchè avevo bisogno di importanti file contenuti nel netbook, scansionata con malwareantibytes e avira due volte, l'ho inserita nell'altro computer notebook che possiedo e ovviamente (errore da vero inesperto) l'attacco si è reiterato sul notebook esattamente come sul netbook, nonostante prima di aprire la cartella da risorse del computer l'abbia scansionata con entrambi i software di cui sopra.

Ora sto seguendo passo passo la vostra guida alla disinfesione per infetti, utilizzando un mac in casa per scrivere sul forum e lavorando sul netbook in modalità provvisoria con rete (il notebook lavorava male in provvisoria e quindi sta lavorando in modalità normale perchè prima occupava le risorse al massimo in 11 ore ha scansionato solo il 23% dei file con avira)

Avete qualche informazione su questi processi che intasano la CPU facendola lavorare al 100%?
Ho notato che alcune icone del computer sono state convertite in una icona con un camioncino come se il malware le avesse infettate (ho dovuto disinstallare malwareantibytes mediante rimozione manuale di alcuni file: rundll(.exe?) compreso, con l'icona del camion) all'interno della cartella di mbam perchè la disinstallazione non si avviava nemmeno da ccleaner. Ora sono al secondo passaggio (appena finita la scansione con mbam).

Devo postare tutti i log di tutte le scansioni?
Meglio postare tutti i log insieme oppure uno per volta via via che scansiono?
Prevxcsfree mi ha individuato almeno 75 infezioni da eliminare però con la versione pro a pagamento, quindi sono passato agli altri software che consigliate (da atfcleaner in poi)
Non riesco nemmeno ad attivare il ripristino della sessione di windows ad uno stato precedente (non esiste la scheda ripristino di sistema in risorse del computer/tasto destro/proprietà) e non riesco a riattivarla mediante i processi che consigliate dal registro con quei file .txt e l'avvio del comando regsvr32 jscript.dll OK (se sono txt nonostante siano .reg come faccio ad eseguirli da esegui?).

Scusate per le molte domande e le molte righe ma è la prima volta che ho a che fare con un forum e non volevo tralasciare nulla.

Grazie

[Chill-Out]

Attendiamo la pubblicazione dei log per poterti fornire i suggerimenti del caso


Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[adri2906]

Ok ecco i log in ordine di scansione:

http://wikisend.com/download/514192/logprevx3.0free.txt

http://wikisend.com/download/500616/mbam-log-2010-03-12 (12-02-05).txt

http://wikisend.com/download/602762/...312-131521.txt

http://wikisend.com/download/520248/kasp filtrato.txt

http://wikisend.com/download/587958/cureit filtrato.txt

http://wikisend.com/download/612446/...00312-1709.xml

http://wikisend.com/download/873566/hijackthis.txt

http://wikisend.com/download/607938/log_gmer.txt

Alcune precisazioni:
Prevx3.0 è versione free e non mi fa eliminare le minacce e i malware che individua (ancora mi dice che ce ne sono con la scansione all'avvio nonostante abbia scansionato con tutti gli altri)

Ho eliminato la maggior parte dei malware attraverso malwareantibytes, asquare e kaspersky virus tool (perchè f-secureonline non mi partiva), devo dire che kaspersky mi ha visto solo un malware su system32 che però ho curato in singolo (non ho messo apply to all) però ho rifatto la scnasione e non mi dava rilevamenti o altro, il log l'ho modificato secondo le regole con parserlog però quello di kaspersky l'ho dovuto copiare/incollare dalla specifiche, omettendo i 200000 file che mi dava OK perchè mi si impallava il computer copiandoli (credo che l'importante per il log parserato siano i malware rilevati comunque che si è rivelato soltanto uno: 12/03/2010 15.31.55 Detected: Trojan.Win32.Agent.dnzj C:\WINDOWS\system32\jwtlzx.exe) Il resto dei programmi non mi ha rilevato nulla.

Vorrei giusto sapere che devo fare con il log di hijackthis (ho letto le guide ITA sul forum e ho individuato alcuni processi sospetti esempio:
O22 - SharedTaskScheduler: 7whfiudhf8s7f3oifhif7syfdhsof - {A3BA40A2-74F0-42BD-F434-00B15A2C8953} - C:\WINDOWS\system32\qo6zxeeiwy.dll (file missing) ) così da poter eliminare e fixare quelli giusti senza incorrere in problemi su processi importanti per la macchina.
Credo che mi rimanga solo quello da fixare, ora i processi sono sotto controllo tramite il taskmanager e processexplorer, quindi credo di aver bonificato il computer.

Il log di gmer mi sembra molto piccolo, è quello giusto?

Ora passo a quello grande HP zv6000 15.4pollici che è infettato con il malware che arresta il services.exe e ti riavvia il computer all'infinito da fixare con rustbfix no?(dopo aver comandato shutdown -a come scrivete nell'utilissimo thread), oltre che con il maledetto fake xp internet security e olteriori malware del system32 e nelle cartelle di Temp...non ho mai visto niente del genere comunque.

[xcdegasp]

malwarebytes era alla versione 3510 che è preistorica, siamo alla 3864
rifai la scansione completa dopo avergli aggiornato il database


in hijackthis fixa:

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\programmi\quicktime\qttask          .exe" -atboottime
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Remote System Protection] rundll32.exe C:\WINDOWS\system32\qo6zxeeiwy.dll, HUI_proc
O22 - SharedTaskScheduler: 7whfiudhf8s7f3oifhif7syfdhsof - {A3BA40A2-74F0-42BD-F434-00B15A2C8953} - C:\WINDOWS\system32\qo6zxeeiwy.dll (file missing)

il log di gmer non è completo

[adri2906]

Gentile xcdegasp ho riscontrato questi problemi:

Malwarebytes non mi permette di aggiornare il programma (anche dopo averlo disinstallato con ccleaner e averlo re-installato scaricandolo dal sito ufficiale via ctnet mirror), appena clicco su aggiorna mi visualizza la mascherina dell'aggiornamento per una frazione di secondo e poi subito il messaggio di errore:

"Si è verificato un errore. Segnala il seguente codice di errore al gruppo di supporto di Malwarebytes Anti-Malware.

Error code: 732(2, 0)

Impossibile trovare il file specificato."

E termina l'aggiornamento.

Su hijackthis ho fixato l'unica voce che c'era tra quelle che mi hai suggerito (O22 - SharedTaskScheduler: 7whfiudhf8s7f3oifhif7syfdhsof - {A3BA40A2-74F0-42BD-F434-00B15A2C8953} - (no file)), poichè con le varie scansioni credo che si siano fixate da sole le altre, ti posto i log pre e post fixaggio della suddetta voce O22 con Hthis così mi dici se per te è a posto:

PRE FIXAGGIO: http://wikisend.com/download/473676/hijackthis log prefix.txt

POST FIXAGGIO: http://wikisend.com/download/314406/hijackthis log postfix.txt

IL programma prevx3.0 free continua a darmi rilevamenti di threats (3 infections), anche se poco pericolosi (Medium risk malware e infected entry image...solo che poi non si vede il resto):

uty1nzk2.sys in c:\windows\system32\drivers: medium risk malware
\REGISTRY\Machine\System\ControlSet002\Services\uty1nzk2: Infected entry
\REGISTRY\Machine\System\CurrentControlSet\Services\uty1nzk2: Infected entry

Solo che sono tutti considerati esclusivi della versione a pagamento (L di licensed) quindi non li posso eliminare.

ecco il log di gmer aggiornato:

http://wikisend.com/download/457902/loggmer.log

Spero sia tutto, fammi sapere se ci sono altre cose da poter fare.

Per il resto il computer è abbastanza danneggiato quindi spero di poter formattare prima possibile. A proposito mi consigli qualche thread per formattare un winxp danneggiato e infettato su netbook (non so con pennette usb autoinstallanti forse) per poter poi mettere seven che va molto meglio?

Grazie in anticipo.

[xcdegasp]

controlla che in InternetExplorer tu non abbia impostato la connessione tramite proxy, magari un proxy che usi in azienda ma che ovviamente a casa non può esdsere usato, quindi metti IE su connesisone diretta a internet e poi riprova ad aggiornare malwarebytes

il log di gmer è già più corretto rispetto a prima

[adri2906]

Mh, è che io non ho mai usato internet explorer, uso solo firefox. Potrebbe essere che i malware mi abbiano cambiato le impostazioni? Ma riguardo alla formattazione con usb automatica? così in realtà risolvo alla radice il problema, comunque faccio dei tentativi per malwarebytes.

a più tardi

Grazie

[Chill-Out]

Per aggiornare MBAM in locale

http://mbam.malwarebytes.org/database/mbam-rules.exe