Olimpo Informatico

[hagakure1985]

Cari dei,
Il mio computer ha un OD Windows Vista Service Pack 2 x86, e da qualche giorno non riusciva a portare a termine due aggornamenti tramite windows update. Insospettito, ho fatto un controllo con MBAM e ho trovato alcuni trojan che ho eliminato con lo stesso programma. poi ho riavviato il pc come richiesto. Ecco il log della prima scansione.

mbam-log-2012-09-02 (14-10-32).txt

Al riavvio, il realtime protection di Avira non parte più. ho effettuato una seconda scansione, stavolta veloce, e mi trova ancora un trojan. Ecco il log della seconda scansione.

mbam-log-2012-09-02 (14-22-25).txt

Ho eliminato anche questo tramita MBAM, ma non so se riavviare o no.
come devo procedere?

Grazie in anticipo.

[menatwork]

ciao hagakure1985

la tua e' un'infezione del rootkit zero access abbastanza rognosa ma non impossibile da togliere

fai una scansione con combofix seguendo questa guida

posta il log che rilascia, lo trovi in C come combofix.txt

[hagakure1985]

allora grazie per la risposta celere. (è pure domenica )
problema n° 1. non mi chiudeva avira. in nessun modo
2: mi ha dato due o tre volte un messaggio con su scritto è stata tentata un'operazione di scrittura in una parte del registro che deve essere cancellata (più o meno diceva così, scusa)
3. è comparso un file testo sul desktop con su scritto catch me.
4. non mi fa caricare il log su wilìkisend. nel frattempo ti invio questi dettagli, e provo a fare un copia incolla del log. ma non so se me lo fa aprire. mi da errore se cerco di aprire un file .txt

[hagakure1985]

scusa, è un po' brutto mandartelo così. però in altro modo non riesco adesso. (prima non mi si connetteva neppure a internet.)

ecco
ComboFix 12-09-01.01 - Luca 02/09/2012 19.06.21.2.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.39.1040.18.1917.1123 [GMT 2:00]
Eseguito da: c:\users\Luca\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\drivers\31ceb6fe8c2f7bb4.sys
.
La copia infetta di c:\windows\system32\drivers\asyncmac.sys è stata trovata e disinfettata
ipristinata copia da - c:\windows\ERDNT\cache\asyncmac.sys
La copia infetta di c:\windows\system32\drivers\cdrom.sys è stata trovata e disinfettata
ipristinata copia da - c:\windows\System32\DriverStore\FileRepository\cdrom.inf_c949a5b6\cdrom.sys
.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_31ceb6fe8c2f7bb4
-------\Service_31ceb6fe8c2f7bb4
.
.
((((((((((((((((((((((((( Files Creati Da 2012-08-02 al 2012-09-02 )))))))))))))))))))))))))))))))))))
.
.
2012-09-02 17:16 . 2012-09-02 17:19 -------- d-----w- c:\users\Luca\AppData\Local\temp
2012-09-02 17:16 . 2012-09-02 17:16 -------- d-----w- c:\users\Public\AppData\Local\temp
2012-09-02 17:16 . 2012-09-02 17:16 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-08-15 18:13 . 2012-08-16 10:16 -------- d-----w- c:\users\Luca\AppData\Local\Mana
2012-08-15 18:13 . 2012-08-15 18:13 -------- d-----w- c:\users\Luca\AppData\Roaming\mana
2012-08-15 18:12 . 2012-09-01 18:57 -------- d-----w- c:\program files\The Mana World
2012-08-15 08:56 . 2012-05-11 15:57 623616 ----a-w- c:\windows\system32\localspl.dll
2012-08-14 20:34 . 2012-08-14 20:34 -------- d-----w- c:\program files\Machinarium
2012-08-14 12:11 . 2012-08-14 12:11 -------- d-----w- c:\program files\GOG.com
2012-08-14 10:24 . 2012-08-14 10:24 -------- d-----w- c:\users\Luca\AppData\Roaming\InfernalBros
2012-08-14 10:24 . 2012-08-14 10:24 -------- d-----w- c:\program files\Whispers
2012-08-13 14:54 . 2012-08-13 14:54 -------- d-----w- c:\users\Luca\AppData\Local\Google
2012-08-13 11:35 . 2012-08-13 11:35 5115584 ----a-w- c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}\components\SkypeFfComponent.dll
2012-08-13 09:03 . 2012-08-13 09:03 -------- d-----w- c:\users\Luca\AppData\Roaming\Colibri Games
2012-08-13 09:03 . 2012-08-13 09:03 -------- d-----w- c:\programdata\Colibri Games
2012-08-13 09:03 . 2012-08-13 09:03 -------- d-----w- c:\program files\The Tiny Bang Story
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-30 14:25 . 2012-04-05 10:32 696520 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-08-30 14:25 . 2011-05-21 09:27 73416 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-08-13 19:01 . 2011-12-18 15:19 83392 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-08-13 19:01 . 2011-12-18 15:19 137928 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-08-01 22:51 . 2012-08-28 12:59 7023536 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{DEDFD710-685F-4722-B962-7154EAAAB2DD}\mpengine.dll
2012-07-04 14:02 . 2012-08-15 09:17 2047488 ----a-w- c:\windows\system32\win32k.sys
2012-07-03 11:46 . 2012-03-22 21:22 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-12 12:30 . 2012-06-12 12:30 161792 ----a-w- c:\windows\system32\msls31.dll
2012-06-12 12:30 . 2012-06-12 12:30 74752 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2012-06-12 12:30 . 2012-06-12 12:30 86528 ----a-w- c:\windows\system32\iesysprep.dll
2012-06-12 12:30 . 2012-06-12 12:30 76800 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2012-06-12 12:30 . 2012-06-12 12:30 63488 ----a-w- c:\windows\system32\tdc.ocx
2012-06-12 12:30 . 2012-06-12 12:30 48640 ----a-w- c:\windows\system32\mshtmler.dll
2012-06-12 12:30 . 2012-06-12 12:30 74752 ----a-w- c:\windows\system32\iesetup.dll
2012-06-12 12:30 . 2012-06-12 12:30 367104 ----a-w- c:\windows\system32\html.iec
2012-06-12 12:30 . 2012-06-12 12:30 23552 ----a-w- c:\windows\system32\licmgr10.dll
2012-06-12 12:30 . 2012-06-12 12:30 420864 ----a-w- c:\windows\system32\vbscript.dll
2012-06-12 12:30 . 2012-06-12 12:30 152064 ----a-w- c:\windows\system32\wextract.exe
2012-06-12 12:30 . 2012-06-12 12:30 150528 ----a-w- c:\windows\system32\iexpress.exe
2012-06-12 12:30 . 2012-06-12 12:30 11776 ----a-w- c:\windows\system32\mshta.exe
2012-06-12 12:30 . 2012-06-12 12:30 101888 ----a-w- c:\windows\system32\admparse.dll
2012-06-12 12:30 . 2012-06-12 12:30 35840 ----a-w- c:\windows\system32\imgutil.dll
2012-06-12 12:30 . 2012-06-12 12:30 110592 ----a-w- c:\windows\system32\IEAdvpack.dll
2012-06-06 18:59 . 2012-06-06 18:59 1070152 ----a-w- c:\windows\system32\MSCOMCTL.OCX
2012-06-05 16:47 . 2012-07-12 13:02 1401856 ----a-w- c:\windows\system32\msxml6.dll
2012-06-05 16:47 . 2012-07-12 13:02 1248768 ----a-w- c:\windows\system32\msxml3.dll
2012-08-11 18:21 . 2011-05-08 10:24 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-10-26 1458176]
"ModemListener"="c:\program files\HSPA USB MODEM\ModemListener.exe" [2010-05-10 98304]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-17 815104]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-21 61440]
"ZSSnp211"="c:\windows\ZSSnp211.exe" [2007-04-06 57344]
"Domino"="c:\windows\Domino.exe" [2006-08-18 49152]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-13 348664]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"PMBVolumeWatcher"="c:\program files\Sony\PlayMemories Home\PMBVolumeWatcher.exe" [2012-04-22 724536]
"BigDog303"="c:\windows\VM303_STI.EXE" [2006-01-24 61440]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2010-10-4 942080]
VPN Client.lnk - c:\windows\Installer\{B0BF7057-6869-4E4B-920C-EA2A58DA07F0}\Icon3E5562ED7.ico [2012-2-2 6144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2819103360-2413953174-2833830013-1000]
"EnableNotificationsRef"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-09-02 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-05 14:25]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://smart-homepage.blogspot.com
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Luca\AppData\Roaming\Mozilla\Firefox\Profiles\14u3rkyv.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://smart-homepage.blogspot.com
FF - prefs.js: keyword.URL - hxxp://www.google.com/cse?cx=partner-pub-9921204958649638:9045185518&ie=UTF-8&sa=Search&ref=pagecode.blogspot.com&q=
FF - prefs.js: network.proxy.http - proxy.unive.it
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.type - 0
FF - user.js: yahoo.homepage.dontask - true
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-09-02 19:22
Windows 6.0.6002 Service Pack 2 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BigDog303 = c:\windows\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)????????????@?@??????????????????????????
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_USERS\S-1-5-21-2819103360-2413953174-2833830013-1000\Software\AppDataLow\Software\Conduit\Community Alerts\Settings\Locales\e*n***ttdd]
@Allowed: (Read) (RestrictedCode)
@SACL=(02 0001)
"LP_LastUpdateTime"="0"
"LP_LastCheckTime"=dword:4f48a431
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgagD\1*]
"value"="?\07\05\14\131\06N"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\conime.exe
c:\program files\Cisco Systems\VPN Client\cvpnd.exe
c:\program files\Common Files\DeviceHelper\DeviceManager.exe
c:\program files\Giraffic\Veoh_GirafficWatchdog.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
c:\program files\O2Micro\o2flash.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Giraffic\Veoh_Giraffic.exe
c:\program files\Sony\PlayMemories Home\PMBDeviceInfoProvider.exe
c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Ora fine scansione: 2012-09-02 19:29:36 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2012-09-02 17:29
.
Pre-Run: 16.982.089.728 byte disponibili
Post-Run: 18.334.183.424 byte disponibili
.
- - End Of File - - 7B707178C316776C564E0C822755568A


grazie per la pazienza.

[menatwork]

riesegui malwarebytes, le infezioni che ha trovato non le hai eliminate (aggiorna le firme prima di fare la scansione ) esegui una scansione completa

quando finisce clicca su Evidenzia gli elementi trovati da malwarebyts e premi "Rimuovi elementi selezionati"

[hagakure1985]

ciao.
dice che non sono stati trovati elementi nocivi.
Ho degli elementi in quarantena, però. li cancello?

Ecco il log.

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Versione database: v2012.09.02.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Luca :: PC-LUCA [amministratore]

02/09/2012 20.06.56
mbam-log-2012-09-02 (20-06-56).txt

Tipo di scansione: Scansione completa (C:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 324716
Tempo impiegato: 1 ore, 29 minuti, 49 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)

grazie. (ma come mai non riesco più a fare l'upload?)

sarà finita?

[R16]

[hagakure1985]

ok grazie.
sì l'upload di wikisend. ora faccio andare OTL.

[hagakure1985]

ecco i log di otl

OTL.Txt

Extras.Txt

e per i file che dice in quarantena MBAM? li lascio o li cancello?

[menatwork]

[hagakure1985]

ci sono sempre i due file sulla sicurezza di internet per cui windows update mi dà errore. ed erano i due file su cui c'erano i trojan, credo.

[R16]

Segui queste indicazioni:
Possiedi una pennetta formattata?
Se sì, scarica nella pennetta questo file:

link

Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Clicca su Ripristina il computer tra le opzioni disponibili (in alto)
Seleziona la lingua
Seleziona il tuo account
Saranno ora disponibili le seguenti opzioni

[hagakure1985]

Ecco il log.

FRST.txt

Però non sono sicuro di essere entrato nella modalità provvisoria esatta.
Non ho trovato nessun ripristina il computer, allora ho selezionato modalità provissoria con prompt dei comandi dalle tre opzioni in alto.

Nel caso rifaccio.

[R16]

[hagakure1985]

se premo f8 mi dà tre comandi per modalità provvisoria, provvisoria con rete, e provvisoria con prompt dei comandi.

poi abilità registrazione avvio
attiva video a bassa risoluzione
ultima configurazione valida nota
modalità di ripristino servizi directory
disabilità riavvio automatico in caso di errore di sistema
disabilità imposizione firma hardware

avvia windows normalmente

prima ho provato ripristino servizi directory e mi ha aperto windows normalmente.

scusa, forse sbaglio qualcosa. F8 lo premo mentre si accende il computer, subito all'inizio, nella schermata nera.
sbaglio lì?

[hagakure1985]

e sì, scusa, ho vista.

[R16]

Va beh....lasciamo perdere.
Adesso spiegami meglio che puoi i problemi che riscontri.
Poi fai questa scansione:
scarica Scanner Servizio Farbar sul desktop :
link
Metti un segno di spunta in tutte le caselle sul lato sinistro.
Clicca su "Scan".
Si creerà un log (FSS.txt) nella stessa directory in cui viene eseguito lo strumento.
Posta il log.

[hagakure1985]

gli aggiornamenti di windows update che non procedono più. e mentre prima erano due ora sono tre.
questo è il log.


FSS.txt

[R16]

[hagakure1985]

Ecco, gli errori che mi dà windows update per gli aggiornamenti sono:

1)Aggiornamento della sicurezza per Microsoft .NET Framework 2.0 SP2 su Windows Vista SP2 e Windows Server 2008 SP2 x86 (KB2656374)

Dimensioni download: 470 KB
E l'errore 8e5e0147

2)Pacchetto cumulativo di aggiornamenti della sicurezza per Internet Explorer 9 per Windows Vista (KB2722913)

Dimensioni download: 11,3 MB
con errore 8e5e03fb

entrmbi gli errori gli segna come sconosciuti.

questi sono i due log che mi ha dato SSF.

FSS.txt

FSS.txt