Olimpo Informatico

[Venere80]

Ciao Sante .
Non è per contraddirti, ma la cartella RRbackups fa parte della console di emergenza dei computer Lenovo (IBM) ed appartiene al programma Rescue and ricovery fatto apposta per i virus e simili, però è talmente grande che non so usarlo.

Ho fatto così sono andata in provvisoria ed entrando in RRbackups\Documents and settings ho eliminato la cartella help assitant.
Le altre 6 hanno tutte la data del 2006 quando comprai il pc. Eliminarla tutta ho paura di fare qualche danno.

Anche quel file tp4ex.exe è del Lenovo, sono sicura.

[Sante62]

Sarà....ma a me quella cartella non convince più di tanto....

Rifai l'MBR e vediamo un pò...

[Venere80]

Ho ridigitato C:\mbr.exe -f in provvisoria e C:\mbr.exe in modalità normale, ma appare lo stesso risultato.

Comunque mi sa che questo maledetto virus si è insediato più in profondità perchè oggi in modalità normale erano presenti 70 processi contro i 63 di questi giorni, e a 2 di questi nel task manager era abbinato un utente alfanumerico tipo Kchww ecc..
I file si trovano in C:Programmi\Lenovo\System Update e sono Tvsukernel e UAceexecuter, ovviamente entrambi della Lenovo.

Stealth MBR rootkit\Mebroot\Sinoval detector 0.3.7 by Gmer, http://www.gmer.net

device: opened succesfully
user: MBR read succesfully
kernel: MBR read succesfully
user & kernel MBR OK
copy of MBR has been found in sector 0x06FC4170
malicious code @ sector 0x06FC4173 !
PE file found in sector at 0x6FC4189 !

Se dovessi cancellare RRbackups come dovrei salvarla in un cd?

[Sante62]

Non è che si è insediato più in profondità.... si è insediato e basta...e adesso diventa difficile rimuoverlo, tipico dei rootkit.

La consolle di ripristino con tutta la cartella RRBackups, non la puoi disinstallare da installazione applicazioni?. E poi, se ti serve reinstallarla nuovamente quando è tutto in ordine?

Se poi mi fai un screenshot dei 70 processi che si attivano.

Mi sa che qualcosa la dovrai perdere.

In ogni caso mi consulterò, per vedere il da farsi.

[R16]

Ciao Sante62
Che ne dici di farle scaricare Combofix, "rinominarlo" , e poi tentare di fare una scansione, in modalità provvisoria?
Ovviamente se ha già installato una versione di Combofix, si dovrà disistallarla.
Poi:
Nella sezione "NTFS ADS " di Systemscan, ci sono ancora parecchie cartelle "HelpAssistant" che a mio avviso, andrebbero eliminate.

Per l'MBR, il rootkit, non è attivo, ha comunque danneggiato alcuni settori, ma per riscriverli ci vuole la Consolle di Emergenza.
Il tooll non ci riesce.
Se ho scritto uno sproposito......scusa.
Ciao!

[Sante62]

Ciao R1

Non è uno sproposito figurati.....

ogni suggerimento può essere indicativo per la risoluzione dei problemi.
Ho visto le cartelle HelpAssistant, e prima di fargliele cancellare forzatamente ho voluto sentire qualche altro parere.
Sicuramente potrà provare la soluzione da te proposta e vedere cosa succede. Vorrei evitare la consolle di ripristino, se possibile, ammesso che l'utente ne sia in possesso.

Adesso dovrebbe intervenire Bdoriano per sapere cosa ne pensa...

[Sante62]

OK, Venere80, vediamo di riprendere:

Ci sono da terminare alcuni servizi:
"NDISKIO" - NDISKIO
"UnhookMBRS" - UnhookMBRS
"CVH" - CVH
"GKZIQSK" - GKZIQSK
"N" - N
"RIZYBKWHSO" - RIZYBKWHSO

Dovrebbero essere solo i primi due da terminare, quindi vai nel pannello servizi e procedi.
Scarica nuovamente Combofix (se l'hai già scaricato, disintallalo prima) e procedi con la scansione e vediamo cosa riesce ad eliminare.

Come hanno riferito sia bdoriano che R1, alcuni settori dell'MBR non possono essere riparati, tranne con l'utilizzo di un tool specifico, ma quest'utlima parte per adesso può essere ignorata, perchè il settore principale è stato correttamente ripristinato.

[Venere80]

Ringrazio R1 e Bdoriano e ovviamente Sante.

Però NDISKIO" e "UnhookMBRS non ci sono in servizi. Se puoi dirmi il percorso perchè anche con la funzione cerca non li ho trovati.

Attendo istruzioni.

[Sante62]

Va bene, alcuni sono driver e sono anche disattivati.

Apri il blocco note e mettici queste scritte:

[Venere80]

La scansione con Combofix l' ho dovuta fare 2 volte perchè alla fine della prima il portatile ha mostrato la schermata blu, il report non è stato creato e il pc si è riavviato.

Dopo aver digitato controlpassword user2 è apparsa una finestra denominata Account utente.

Al suo interno il tab utenti conteneva Administrator nel gruppo administrators e sotto
Aspnet del gruppo Users.

Di Help assistant non c' era traccia.

ComboFix.txt

Questo il report di System scan
report.txt

Vi ringrazio

[Sante62]

Non ci siamo ancora....

Guarda il post relativo a Combofix che hai già eseguito.

Ho modificato lo script da inserire nel blocco note.

Cortesemente riesegui Combofix in quel modo.

[R16]

Scusa Sante abbiamo scritto in contemporanea.

[Venere80]

Ragazzi , scusatemi tanto, ma è due giorni che ho la febbre e con tutti questi virus sono rintronata.

Mi ero dimenticata, Combofix nella 1a scansione aveva eliminato sdra64.exe.

Ora rifaccio tutto.

[Venere80]

Vinta la febbre riproviamo con i virus telematici.

L ' utente help assistant dopo aver digitato control userpasswords2 non è apparso.
Sono apparsi administrators ed aspnet.
Ecco i log di Combo e Systemscan.

ComboFix.txt

sysrep.txt

Ciao e grazie.

[Sante62]

Mah... dobbiamo provare il modo più drastico...

Apri SystemScan>Clicca su "Removal Script".
Togli la spunta da Scan for Rootkit;
All'interno del box bianco copia ed incolla i valori riportati qui sotto:

[Venere80]

Scusate l' assenza, ma l' influenza mi ha messo ko.
Ecco i log di avenger e system scan.
Ho visto che i servizi CVH, N e GKZIQSK sono stati rimossi.

Anche UnhookMBRS.

I restanti no.

avenger.txt

report.txt

[Sante62]

Bene, adesso siamo comunque ad una svolta....

Vai su start->esegui e digita regedit;

una volta aperto il registro, segui il percorso di questa chiave, per verificare la presenza o meno di questi servizi:

[Venere80]

Ciao Sante e grazie.
Ho eliminato i 2 processi NDISKIO e RIZB....

Prima di scaricare Kaspersky Virus removal tool, volevo segnalare 2 file batch MS-DOS creatisi ieri dopo la scansione con System scan. Entrambi in C:\ , uno si chiama avexport, l' altro mestfuvf.
Non li avevo mai visti.
Nella cartella di suspect file si è creato in contemporanea ai sopraccitati, un file txt denominato avrunner con la scritta Impostazioni di configurazione.
L' ho aperto, ma è vuoto o meglio c' è una scritta dxqmjct.exe.

O forse è meglio aspettare la scansione con Kaspersky?

[Sante62]

I due file bacth non so di preciso, ma gli altri dovrebbero appartenere a Systemscan...

Comunque, procedi con la scansione di Kaspersky

[Venere80]

Ho fatto 2 volte la scansione con Kaspersky, ma ho dei dubbi.
Cliccando su report appare una finestra detailed report, non c' è save to file.
Comunque c' è una voce Autoscan : completed 14 minutes ago, eventi: 2, oggetti 232642, tempo 38,48, poi la data e accanto Task started e task completed.
Cliccandoci sopra anche con il tasto destro non si apre nulla.
Non so come fare.