Olimpo Informatico

[quasar186]

Il computer ha finito la scansione che avevi detto di fare, bdoriano. Dovrei notare qualcosa di particolare?
Come procediamo adesso?

Poi avrei una domanda, anche per chemicalbit se vuole: vi siete fatti un idea di quello che ho?
Insomma da ignorante mi pare di aver capito che, malgrado AVG, diversi virus (spyware, malware o vattelapesca) si sono comunque ambientati in diverse parti del mio pc. Qualcosa col Tool di Kaspersky abbiamo tolto, qualcosa credo rimanga, visto che ho ancora problemi.
Mi dite sinceramente la vostra opinione?

Grazie mille per la pazienza!

[chemicalbit]

[chemicalbit]

[quasar186]

[quasar186]

[chemicalbit]

prova con Linux "Live CD"

[quasar186]

Solo 2 cosette, poi mi dedico a far girare quei 2 programmi (tanto, male non fanno di sicuro):
- il problema del riavvio mi si è presentato 5-6 volte durante tutta la mattina di ieri con hd esterno collegato poi l'ho staccato, nel giro di 15 minuti me l'ha rifatto 1 o 2 volte (quindi quando l'hd esterno era staccato da poco), dopodichè ho fatto la procedura chkdsk di bdoriano. Per l'intero pomeriggio e la sera non ha dato più problemi.
- chkdsk, da quanto ho visto io, non ha dato una schermata per ricapitolare, piuttosto man mano che faceva la scansione (era articolata in 5 fasi "controllo file", "controllo indici", ...) c'era la percentuale di avanzamento per ogni singola fase e ti posso dire che non ci sono stati messaggi di errore o intoppi, ogni singola parte della scansione è stata completata al 100%.
Altro non so dire...

[bdoriano]

Ciao quasar186,

allora, nel log ho trovato riferimenti a 6 files di natura mooooolto sospetta.
L'unico problema è che non ho trovato il punto d'ingresso (dove vengono eseguiti) di questi files.

Purtroppo, oggi è una giornata particolarmente impegnativa.
Appena mi sarà possibile, ti posto le istruzioni per cercare ulteriori informazioni sul tuo pc. Così vediamo di stanarli definitivamente.

[quasar186]

Ciao bdoriano!

Considera che da buon mortale adepto pendo dalle tue labbra, perciò già che mi dici di aver trovato qualcosa mi rende fiducioso.

Perciò fai pure con calma, io aspetto.

Comunque come mi suggeriva l'amico chemicalbit ho appena rifatto delle scansioni con RogueRemoverFree (secondo lui tutto ok, sebbene BPSSpywareRemover sia fra i programmi che dovrebbe trovare ed eliminare... ) e SmitFraudFix: su quest'ultimo ci sarebbe da parlarne!
Premetto che l'ho fatto girare due volte perchè la prima mi aveva dato dei messaggi di errore, ma andiamo con ordine:
- lancio SFF con la sua solita schermata blu.
- sotto la prima fase "killing process...", dove poi ho scoperto che avrebbe dovuto esserci la seconda fase "hosts...", compare la scritta:
"impossibile trovare il file - C:\windows\system32\drivers\etc\hosts
impossibile trovare il file specificato"
Comunque la scansione continua.
- quando arriva a "deleting infected files..." si apre per un nanosecondo una finestra, sono abbastanza sicuro che sia quella famosa finestra della disinstallazione di BPSSR.
- alla fase "deleting temp files..." si apre la finestra di pulitura del disco, poi scompare per conto suo quando la barra di procedimento arriva al 100%.
- all'ultima parte "clean the registry?" dopo aver premuto y e invio, compare per 6-7 volte la scritta:
"impossibile trovare il file specificato"
(questo me lo aveva già fatto l'altra volta...)
- tuttavia alla fine compare comunque la scritta:
"registry cleaning done
exit"
- infine si apre il report da cui, da comune mortale, mi sembra non esserci traccia di tutto ciò. Ecco perchè ho voluto essere un po' più esplicativo.

Come vi stavo dicendo ho fatto girare SFF una seconda volta:
- stavolta ha fatto regolarmente la seconda fase "hosts..." senza alcun messaggio riguardante quel file "hosts".
- anche stavolta è comparsa per un nanosecondo la finestra di BPSSR.
- idem per la finestra di pulitura del disco.
- fatto nuovo: sotto "deleting temp files..." è comparsa la scritta:
"impossibile trovare il file C:\docume~1\winxp\impost~1\temp\*.*"
- anche stavolta nel report sembra tutto normale... boh!

Fine del tema.
Ecco i due report:

Primo

SmitFraudFix v2.319

Scan done at 10:02:08.93, 2008-04-30
Run from C:\Documents and Settings\WinXp\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Secondo

SmitFraudFix v2.319

Scan done at 10:09:26.12, 2008-04-30
Run from C:\Documents and Settings\WinXp\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Ciao e scusate la lunghezza...

[bdoriano]

Intanto vediamo di farti fare altre pulizie:

• Scarica FixWareOut da uno di questi siti:
  Sito 1 Sito 2 Sito 3
  
• Salvalo sul desktop
  
• Avvialo
  
• Clicca Next
  
• Clicca Install
  
• Assicurati che ci sia il segno di spunta su "Run fixit"
  
• Clicca Finish.
  
• Segui le indicazioni.
  
• Ti chiederà di riavviare il pc, fallo.
  
• Ci metterà parecchio a riavviarsi. Sii paziente.
  
• Alla fine dell'operazione, riavvia ancora il pc.
  
• Rifai il log di hijackthis e postalo insieme al file C:\fixwareout\report.txt

[quasar186]

Fatto tutto:

Username "WinXp" - 2008-04-30 12:24:13 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Svuotata la cache del resolver DNS.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus D92 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIBZE.EXE /FU \"C:\\WINDOWS\\TEMP\\E_S88.tmp\" /EF \"HKCU\""
"swg"="C:\\Programmi\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30, on 2008-04-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\WinXp\Google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_S88.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.gamenext.it/online/online2/peggle/popcaploader_v10_en.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: BrlAPI - Unknown owner - C:\cygwin\bin\cygrunsrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 3485 bytes

[quasar186]

Ah, quel programma mi ha pure detto qualcosa riguardo al file dnsbak.reg, avrei dovuto cliccarci sopra se avessi avuto problemi con internet... comunque sembra tutto ok, perciò lascio stare.

Grazie!

[bdoriano]

Bene! Ora, riproviamo a utilizzare combofix:
Segui le istruzioni di questo topic per postare il log di combofix.

[quasar186]

... niente da fare!
Caro bdoriano sto postando da un altro computer dato che su quell'altro sta girando combofix... purtroppo devo dirti che si è rifermato al solito punto: un ciclo continuo di finestre di windows perchè non riesce a trovare quello che gli serve per disinstallare BPSSR... mi chiede di indicargli una cartella o di inserire un cd, poi riprova per conto suo a disinstallarlo ma niente, e ritorna al puto di prima.

Che devo fare? Interrompo ed esco o provo a vedere se magari a lungo andare si "stanca" di rompere le scatole?

Dimmi tu...

[bdoriano]

[chemicalbit]

[bdoriano]

• Avvia nuovamente SystemScan
  
• metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
  
  
• clicca su Removal Script
  
  
• Nel riquadro inserisci il seguente script:
  

  Codice:

  Files to delete: C:\WINDOWS\system32\404Fix.exe C:\WINDOWS\system32\IEDFix.exe C:\WINDOWS\system32\VACFix.exe C:\WINDOWS\system32\VCCLSID.exe C:\WINDOWS\system32\WS2Fix.exe Registry keys to delete: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0BF1F54D-ECAC-4E46-A5A5-A60ED0332D3E}

  
  e clicca Proceed with removal
  
  Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
  Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt.

[quasar186]

Per quanto riguarda l'accesso ad internet state tranquilli che ormai il pc infetto lo sto usando solo per comunicare con voi qui sul forum ed eseguire i vari programmi che mi consigliate, per il resto è inattivo.

Piuttosto, bdoriano ho un problema con lo script che mi hai dato da copiare: quando clicco "Proceed with removal" mi appare un messaggio di errore con scritto "Please copy and paste a valid script file"... colpa mia che sbaglio qualcosa?

[chemicalbit]

Anche in altre discussioni leggevo di casi in cui The Avenger (in questo caso lanciato da systemScan) dà errori per script che paiono essere scritti correttamente ...

[quasar186]