Olimpo Informatico

[moxon5]

Salve a tutti gli utenti del forum.Provo a spigare qui quello che mi e' capitato nella speranza sia di avere aiuto,ma anche di informare tutti e prevenire certi virus.Sto utilizzando la versione 8.10 di ubuntu perche' ormai mi sono arreso e non c'e' stato veso di togliermi questa maledette bestiaccia.Dal principio:uso un pc homemade gigabyte ga-k8nxp-sli,amd 64 3800+,4 hd sata,2 GB corsair in dual channel,2 masteriz.dvd,terratec aureon 7.1 sound card,video pci express 7600 GT.Premetto che ho(avevo) win xp home del 2002,sempre andato tutto bene,se vi era qualche virus,sempre riuscito a toglierlo.Ma da un mese a sta parte mi accorgo che qualcosa nn andava come doveva,la suite COMODO che contiene il defense+ si azzerava ad ogni reboot.Allora provo di tutto,tool di rimozione,f secure,anvir,bit defender,conficker remoover tool etc. etc. ma nulla!!!Decido allora di formattare anche se un po' scocciato,erano anni che non lo facevo+,reinstallo e al primo riavvio ho gia perso i diritti di amministrazione e autorizzazioni,che vanno a account sconosciuto tipo( S-1-5-20-456xxxxxetc) POSSIBILE?! allora tiro fuori un vecchio floppy della maxtor(NN si TROVA + IN RETE) maxpower 4.09 e formatto un hd a 0 fill,togliendo chiaramente gli altri.Finito il formatt(4 ore)rimangono 28 cluster,probabilmente danneggiati,e me li sposta in fondo.Senza rete,con tutta la calma e attenzione di questo mondo reinstallo xp da cd originale,e al primo riavvio stessa musica!!!!!Rifaccio tutto 4 5 volte(testa dura)ma nulla e si fa sempre + insistente l'idea che il verme risieda nel bios o in qualche firmware.Mi faccio prestare un macchina pulita asus K8N-se deluxe ,a cui metto,la tastiera,mause,lcd,un masterizzatore,floppy e un hd ide formattato basso livello,Ma che avevo formattato con la macchina di prima.Comincio di nuovo l'installazione primo reboot e...stessa storia,giuro che stavo impazzendo.Ho fatto ancora un tentativo su una vecchia mobo p3 stessa roba.Per cui alla fine anche per poter leggere in rete di casi simili ho messo su ubuntu e via.Vedo dal suo firewall integrato che continuano a bussare alla porta 445 e altre ma linux se ne infischia.vari ip similari al mio....Morale vi e' mai capitata una roba di questo genere?Qualcuno sa spiegarmi dove si annida questa subroutine malefica?Ho flashato anche il bios....insomma le ho provate tutte. IDEE????Scusate la lungaggine ma era doveroso x non fare un botta e risposta di cose da fare che ho gia' tentato.Fate attenzione quindi.i sintomi sono quelli di conficker ma nn sono certo.Grazie dell'attenzione prestatami.

[Sante62]

Ciao moxon5 e benvenuto....

Dobbiamo verificare se si tratta di conficker effettivamente...

Non puoi postare i risultati delle scansioni che hai fatto?

e poi segui questa discussione per fare la scansione con GMER
Ricorda che i log di GMER sono due: Autostart e Rootkit/Malware. Postali su www.freefilehosting.net come indicato quì

[moxon5]

Ciao e buon week end Sante62.Grazie per avermi risposto immediatezza e grazie fin d'ora per tutto cio' che mi consiglierai di fare,sono proprio senza idee attualmente.Come ti dicevo le ho provate tutte.Il fatto e' che in modalita normale riesco a fare ben poco,la navigazione e' lenta,se digito alcune parole chiave mi reindirizza e sopratutto non ho i diritti,quindi anche se riesco a fatica a installare un qualsiasi antivirus(barando) poi nella scansione vengono scartate le cartelle piu' importanti,system32,document and setting,etc.Ho tentato in mod. provvisoria a mettere gmer,ma non trova nulla di infetto,cio' non vuol dire che non c'e'.Ero diventato matto anche perche' tentavo di ridare a mano tutti i diritti persi,togliendo quelli sbagliati,tipo system:controllo totale,accont sconosciuto:controllo totale,tutti:controllo totale,Ma ridandoli ad esempio alla cartella sys32 poi tutte le sottocartelle avevano ereditato i diritti dall'oggetto padre al figlio e vi era il flag!!Allora togli flag rimuovi e ridai le autorizzazioni giuste...mamma che storia.Ho masterizzato anche un cd bootable della kaspersky che parte in ambiente linux si aggiorna e fa la scansione,ha trovato qualcosa ma non nel hd del SO in un altro dove tenevo dati rete.Gia che c'ero ho scansionato tutto.E ho cancellato i recycles e file system creatosi negli altri 3 hd che non si cancellavano +.Poi ho preso un vecchio semplice hd ide da 80GB montando solo quello un masteriz.e il min indispensabile e ho rifatto tutto,ma sempre uguale.Boot sector Write Virus continue y/N....ed era formattato bene.Ok ora nell'immediato non riesco a rimontare tutto per mandarti un log di gmer,ma appena ho un po' di tempo riformatto la 2 macchina di scorta,rimetto xp e ti diro' di +.Ti dico solo che nei servizi di win quasi tutti vengono presi da svchost.exe-k netsvcs e nel task compare un svchost.exe di rete in piu' del normale,cose che mi fanno pensare a una variante di conficker(la piu' evoluta credo)avedo una ridondanza cosi tremenda.Bene per ora grazie,ti faro' sapere appena posso altre cose.Grazie ancora.cordialmente moxon 5

[Sante62]

Sei sicuro che GMER non trova nulla?

Quando fai la scansione con GMER distaccati proprio dalla rete e per postare il log utilizza, se ti è possibile, un altra postazione.

Ti ricordo che i logs sono due: Autostart e Rootkit/Malware.

Al limite cerca anche di scaricare, da un altra postazione, McAfee Stinger e lo installi mediante chiavetta USB, sempre distaccandoti dalla rete.
Scarichiamolo e premiamo il pulsante Scan Now in alto.
Man mano che Stinger troverà gli elementi infetti, evidenzierà le relative voci i rosso, segnandole nel riquadro inferiore.
Al termine, rimuoverà da solo il tutto.
I problemi risultano risolti, ma consiglio una scansione con ComboFix per rimuovere i rimasugli latenti dell'infezione.
Questa è l'ucica possibilità che abbiamo.

[moxon5]

logstart.txt

loggmer rootkit.log

hijackthis1.txt

Buonaserata.Spero di aver fatto tutto come si deve,oggi ho passato tutto il sabato a fare le operazioni di reinstallazione e sca con gmer e hijackthis,la macchina era appena montata nessun programma,no rete,no sp,anche se me ne carica uno involontariamente(SP1) Il mio cd di xp del 2002 non ha sp incorporati!Se ho fatto bene potrai vedere tutti quei servizi svchost.exe in + e altro.Ora vado a cena,sono un pochino fuso,sorry.Grazie e alla prossima,good week end.

[Sante62]

Il log Rootkit di GMER e hijackthis, non sono stati completati, forse hai fermato la scansione prima...

[moxon5]

Buona Domenica rieccomi qua.Allora per quanto rigurda le scansioni di gmer io non le ho interrotte,come ti dicevo prima e' veramente una bestiaccia.Si autoprotegge,replica,camuffa,etc.Ho provato a fare le medesime scan anche in mod provv.ma con gli stessi risultati.Pare proprio che sin dalla prima installazione di xp il sistema sia gia' subito blindato infetto e inguaribile.Durante la formattazione basso livello accade che leggendo il floppy(chiuso da scrittura) compare: starting caldera dos....attenzione Himen.sys gia presente errore linea 20..poi parte normalmente e mi permette l'uso,formatto full.alla fine rimangono c.a. 128 cluster bad(non vorrei fossero stati rinominati bad dal virus) Ma che devo fare? Ho gia' cambiato 2 hd,e 3 pc,non posso continuare cosi'.Ti allego ancora qualche scan rifatta e ntuser che forse ti fara' capire meglio cio' che avviene durante l'installazione.

ntldr modprovv.txt

gmerchrootkit.log

gmerautostmodprovv..txt

RUNONCE.EXE-2803F297.pf

tracking.log

gmerautostart.txt

Altro non si riesce a fare,e' davvero tosta sta cosa,pensa che ho anche win 98,ho provato a installarlo,ma verso la fine dice impossibile caricare autoexec.bat memoria insufficente e l'installazione non va a buon fine.Mentre con win 7 si installa ma stessi problemi!!Sapevo che era un caso disperato,mai visto roba del genere e l'ultimo pc con cui ho provato non ha nemmeno la scheda di rete,parrebbe incorporato nel cd o nel masterizzatore,o in quei bad cluster.....non so + che fare e per ora non mi posso permettere di aquistare un pc ex novo,per cui LINUX va benissimo come vedi.Ah nemmeno con virtualbox in ambiente linux,xp si installa!!!Mi da errori di file mancanti che prob non passano dal virus a virtualbox.Altri colleghi hanno lo stesso problema qua si diffonde rapidamente,ma molti ne sono ignari e diventano macchine zombie.Chiavi usb,floppy,servizi RPC,e altro sono i passaggi preferiti per il contagio,oltre alla posta e rete.Saluti cordiali.

[Sante62]

Allora, tranne il log autostart di GMER, gli altri sono illeggibili.

Mi dici come è composto il tuo PC? E' recente, oppure no?
Scheda madre, Ram velicità processore eccetera?

Mi sembra strano che dopo la formattazione il S.O. non si installa...

Questo mi fa pensare che potrebbero essere danneggiate le periferiche, tipo il boot di sistema o anche gli hard disk, le partizioni etc...e non conosco le modalità di installazione di linux, forse hai fatto partire il CD Live...

Dato che alcune scansioni non vanno a buon fine, penso che qualcosa sia danneggiato, e che il virus non c'entri nulla.

In ogni caso, se riesci, scarica e fai la scansione con McAfee Stinger
Scarichiamolo e premiamo il pulsante Scan Now in alto.
Man mano che Stinger troverà gli elementi infetti, evidenzierà le relative voci i rosso, segnandole nel riquadro inferiore.
Al termine, rimuoverà da solo il tutto.
Se i problemi risultano risolti, consiglio comunque una scansione con ComboFix per rimuovere i rimasugli latenti dell'infezione.

[moxon5]

Ciao,allora la prima infezione fu sul pc bigtower preassemblato:mobo GA-K8NXP-SLI gigabyte,socket 939,CPU amd 64 3800+,2x1024GB corsair platinum seris dual channel,scheda video xfc pcci express 16x 7600 GT,audio supplem. Aureon terratec 7.1 universe,4 HD WD 200GB l'uno in config. job.Escludo danni hardware perche' ti sto' scrivendo con questo proprio al quale ho installato,prima una live cd di MEPIS x prove,poi in definitiva su un solo HD UBUNTU 8.10 amd 64 architettura.Dopo un settima di tentativi e formatt a 0 fill ho preso un altro pc mobo ASUS K8N SE deluxe,CPU amd 3000+,1GB di ram,un masterizz lg,un HD maxtor 80GB ide,aanch'esso perfettamente funzionante con linux,ma no con win.Fatta prova poi ultimamente su vecchia mobo MSI 815 pro,pentium 3,512MB ram,un benq cd rw,hd 80GB formatt.Non credo che tutte e tre le macchine abbiano problemi hardware 3 su 3 sarebbe assurdo.Ma ripeto se con s.o. diversi da win vanno tutte x me di hardware non si tratta.Poi hd ne ho cambiati 2 uno da 40GB ide e poi un altro da 80GB.Sono dell'idea che il contagio rimane in memoria HHL e si trasferisce in qualche settore che marca poi bad per non esser trovato,ma non sono un esperto,mi limito a esporre i fatti.Fatto 1 che le 2 macchine + recenti con linux su HD vanno benissimo,veloci,stabili etc.Fatto 2 che se formatto anche basso livello e installo win,perdo subito diritti admin,si autoinstalla un pseudo SP1 che il cd originale NON contiene,In propieta,protezione del disco C trovo da subito ? account sconosciuto s-1-5-xxx controllo totale.Nessuna tool di rimozione ha funzionato,pure stinger,tutte quelle rilasciate da f-secure le ho passate,gmer,antirootkit di 3 ditte diverse,le piu' sicure,antivirus vari fanno prestissimo a fare la scan,datosi che in molte cartelle gli viene impedito l'accesso.Una piccola traccia l'ho trovata ieri andando a cercare cosa fosse snapman.sys Acronis snapshot API/Acronis fa parte di un prog. di partizione disco che non ho installato io.Quei log che ho postato sono stati fatti immediatamente dopo la reinstallazione da 0.Non vi era nulla.Altro non saprei dirti,so' che e' strano ma aime' e' cosi' a posta dicevo che stavo diventando matto.Un minimo comune denominatore c'e' di sicuro,ma non so + che fare.Grazie ugualmente di tutto.

[lorenaino]

ciao,hai provato prevx edge 3.0,in versione di prova ti scansiona il pc ma non ti fà rimuovere le eventuali infezioni,però almeno potresti vedere che cosa ha "attaccato" il pc,dimenticavo,deve essere connesso a internet,perchè non dispone di un suo database interno.

http://info.prevx.com/downloadedge.asp

[Sante62]

Sono spiacente ma è alquanto strana questa cosa....

Potrebbe essere anche una questione di incompatibilità tra i vari componenti....boh...

[R16]

Ciao moxon5.
Magari non servirà a niente, (mai sentito una cosa del genere)
prova ad aggiornare il Firmware del lettore.
Oppure sostituirlo direttamente con un'altro.

[moxon5]

Ciao....Grazie dell'interessamento.Posso riprovare a usare Prevx edge,ma se non ricordo male,ho gia' tentato.Riprovare cmq non ci vuol nulla.Il fatto e' che vi sono delle parole chiave con le quali il virus reagisce e si difende,reindirizzandomi o impedendomi la navigazione.Vado in rete con molta cautela,visto che non controllo io il pc,nonostante prima di andare in rete metto il sp2 da cd orig. e un firewall decente.Ho notato e scritto alcune cose che accadono durante la reinstallazione:Dopo aver formattato con powermax,parto con win xp home edition originale e gia' nei primi momenti mentre carica i file compare BOOT SECTOR WRITE VIRUS CONTINUE Y/N se dico N e vado avanti continua l'installazione e dopo un po' si ripete lo stesso messagio per la sec volta,dico N e compare ERRORE IMPREVISTO (32769) riga 5152 d:\xpsp1\base\boot\setup\setup.c . Come se il bios vedesse un altro hd,ma ce n'e' uno solo e formattato basso.Poi finisce l'installazione e sembra tutto ok,ma se tolgo il flag a mostra file nascosti e file di sistema,vedo subito il recycle con la cartella S-1-5-20-356xxxettc.,e in molte cartelle in mod normale non mi fa entrate,dato che i diritti e le autorizzazioni sono gia' automaticamente assegnate all'account sconosciuto.Poi prima dell'infezione il sp1 lo dovevo installare io a parte,non c'e' nel cd originale,anzi dopo poi installavo direttamente il sp2 da cd certif microsoft,comprato a parte.Proseguivo installando i driver della scheda madre etc.un buon firewall e solo allora mi connettevo per andare su windows update e scaricare il resto.Ho telefonato pure alla microsoft italia,spiegando bene il tutto,ho parlato con un loro tecnico ma piu' che mandarmi per posta il loro malaware remoover tool e malawarebyts,non han fatto altro.Mi ha detto che potrebbe annidarsi nella matherboard o nel floppy firmware,che negli hanni 80' accadeva...etc.Che devo dirti,dopo sta scottatura,comincio ad apprezzare pienamente LINUX,immagina i disagi e grattacapi che ho avuto,parte del mio lavoro di segretario Ass Radioamatori Nazinale avviene col pc.Vi saluto,provero' ancora cosi' giusto per capire,ma sono abbastanza rassegnato.Grazie cmq a tutti.

[Riverside]

scusate se mi intrometto: e nessuno è venuto in mente che il
problema deriva da questo?

[moxon5]

Ciao a tutti,grazie di tutte le dritte,oggi ho insstallato sp2 poi il sp3 e fatto altre scansioni.Credo di esser vicino alla soluzione o meglio lo spero,si vedra' quando avro' un paio di floppy coi bios dei 2 pc,scaricati,scompattati e protetti da scrittura da un pc pulito.Credo di avere fatto male la procedura,ovvero dovrei formattare a basso livello HD arrivato in fondo,togliere tensione,onde evitare che nel boot si scriva di nuovo.Staccare a pc spento HD formattato.Procedere con l'aggiornamento del bios,eentrando e impostando il floppy come 1 supporto di avvio.Mettere il floppy ccol bios da flashare e avviare.Solo a questo punto posso rimontare HD e proseguire con l'installazione da capo.E' l'unica cosa che mi viene in mente x interrompere il circolo VIROSO hem vizioso.Metto altri log piu' completi fatti oggi con sp2 e 3,ma faticato parecchio per navigare bombardato continuamente da tentativi di worm su 445 e altre porte.
antirootkgmersp3.txt

autostartP3gmer.txt

hijackthislog.txt

logantirkgmer.txt

logprevx csi.log

Ora si capisce qualcosa di piu',cmq vero cio' che ha detto Riverside,nonostante il firewall COMODO sono stato sotto attaco parecchio,deviazioni e pup pop,etc.ma gia' lo sapevo.E' quel sp1 che non dovrebbe esserci che fa installare un so gia' contagiato e pronto per diffondere infezione.Grazie ancora a tutti e non scusatevi per l'intromissione,ci mancherebbe,ogni info e' gradita e c'e' sempre da imparare da tutti.Mi terro' in contatto.Grazie.

[Riverside]

Scusa moxon5, ma ci ho capito davvero pochino.
Dal log di Hijackthis (l'unico, tra quelli che hai pubblicato che è di una certa utilità) vedo che hai aggiornato il sistema operativo (ma non riesco a capire se tu abbia, o meno formattato).
L'aver installato Prevx è stata una cosa del tutto inutile (tra le altre cose, come software serve a poco, se non acquisti la regolare licenza).
Al contrario, sarebbe di maggiore utilità vedere un log rilasciato dopo aver eseguito una scansione completa del sistema con il tuo antivirus.
Tra l'altro, Comodo Internet Security come suite non è di certo il massimo: il firewall è ottimo ma l'antivirus lascia parecchio a desiderare.

Ricapitolando:

1) esegui una scansione completa del sistema con l'antivirus ed allega il log che verrà rilasciato;

2) sistema la questione software di terzi parti installando le versioni aggiornate di:
Adobe Reader (può non installarlo se hai installato Foxit Reader): clicca qui per il download
Adobe Flash Player: clicca qui per il download
JAVASun: clicca qui per il download
Se in fase di installazione, ti venisse rchiesto se vuoi installare la toolbar di Google, non la installare.

Quando hai terminato di eseguire i passaggi di cui sopra, rilancia Hijackthis e spunta le caselline in corrispondenza delle voci che ti indico sotto. Una volta spuntate tutte le voci, chiudi tutte le pagine internet aperte e clicca sul tasto Fixchecked.

Queste le voci da fixare:

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programmi\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programmi\AskBarDis\bar\bin\askBar.dll

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex /hcImpl.cab

O16 - DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} (F-Secure Health Check 1.1) - http://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab

Una volta fixate le voci, riavvia il sistema e, assieme al log della scansione con l'antivirus allega un nuovo log di Hijackthis.

Poi, scarica ed installa MalwareBytes: clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato.

[moxon5]

Ciao Riverside,e salve a tutti.Concordo con te che il firewall di Comodo e' nettamente migliore dell'antivirus,ad ogni modo ne ho provati molti altri tra cui:Malawarebytes,bit defender,anvira,avg,stinger,kaspersky etc.Perfino masterizzato iso di kaspersky Rescue disk che e' un s.o in ambiente linux e contiene l'antivirus aggiornabile da rete,il quale ti scansiona anche i file bloccati di sistema che altrimenti non potresti aprire.ma nessuno a trovato NULLA.Certo e' che se sto un po' in rete con un sistema cosi' compromesso poi qualcosa mi prendo e magari lo rilevo,ma non e' certo quella la causa dell'infezione madre.Provato anche bit defender rescue disk.I ti darei pure il controllo da remoto,per farti rendere conto di che parlo,ma non voglio aprofittare della tua gentilezza.Ora attendo i floppy del bios che un mio caro amico mi preparera',poi tentero' ancora.E' palese che resiste alla formattazione,sono rari ma ci sono.La fortuna e' cieca ma la sfiga ci vede benissimo come si suol dire.....CIH chernobyl e' una vecchia dimostrazione.Se e' una variante di conficker non lo so,pero' sicuramente ha avuto tutto il tempo di scaricarsi gli aggiornamenti dal server hacker per modificarsi e radicarsi meglio e combinare danni grossi.Un utente poco esperto manco si accorgerebbe dell'infezione,visto che passa tutti gli antivirus,ma e' una macchina zombie pronta a servire per scopi illeciti.Saluti cordiali,ci sentiamo appena ho novita'.TNX 73

[Riverside]

Dimostrazione di come si possa complicare una semplice questione.
Scusa, ma non sarebbe il caso di allegare il log che ti ho richiesto al posto di perderti in questioni che, senza quei log, non possiamo verificare?.
Non riesco a capire:
1) ti avevo suggerito come procedere, e tu continui a parlare di bios come se ci fosse la certezza assoluta che sia infetto (ipotesi tra l'altro, remota);
2) parli di infezione da conficker, ma anche questa è una tua ipotesi;
3) ti chiedo di eseguire un paio di scansioni e tu mi racconti di cose improbabili perchè non verificabili.

[moxon5]

Ciao, guarda qua http://forum.wintricks.it/showthread.php?t=142601,Poi mi perdonerai ma sto solo rispondendo alle vostre risposte,in questo momento sono sul lavoro e non posso fare nulla.Ripeto postero' qualcosa quando avro' tempo per rifare tutto e novita' importanti.Malawarebiys gia' fatto,tutto gia' fatto.E? UN MESE CHE SONO A FARE DI TUTTO non da ieri.Grazie comunque ugualmente.Non ti infervorare di log ne ho fatto fin troppi e nessuno ci ha capito nulla.Pazienza. Ora devo chiudere.Buona giornata.

[Riverside]

Bah ...