Olimpo Informatico

[ppino]

Ciao a tutti, dopo un po' di tempo di tregua...sono di nuovo vittima di un virus segnalatomi dall'antivirus AVG free sul mio pc durante la navigazione.
Il virus è i JS obfuscated
Potete ancora una volta darmi una mano?
Vi lascio alcuni dettagli del mio pc:

S.O. Windows XP
Antirus: AVG free
Antispyware: Super antispyware free edition

Come sempre, grazie.
Buona serata

[R16]

Ciao.
Mi sembri un pò "avaro" di informazioni.

[ppino]

Ciao scusami hai ragione...cerco di essere più preciso..
SP: 3
Super antispyware free edition versione (sarà questa? ):
Core 4510
Trace 2322
Definizioni aggiornate ad oggi 23/01/2010


Log Super antispyware (ne ho fatti 2 perchè non ero sicuro fosse aggiornato il database delle definizioni), te li posto in ordine

SUPERAntiSpyware Scan Log - 01-23-2010 - 11-45-06.log

SUPERAntiSpyware Scan Log - 01-23-2010 - 15-02-17.log

Log Mbam
mbam-log-2010-01-23 (14-08-51).txt

Log HJT
hijackthis.log

[R16]

Ciao.
Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224

Posta il log con le solite modalità.

[ppino]

Ciao ecco il log di combo, grazie!!

combo.txt

[R16]

Ciao.

Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)
Conferma con Applica e poi OK.
Poi:
Dal Pannello di Controllo vai in Strumenti di Amministrazione ed apri Gestione Computer.
Espandi(clicca sul +) la visualizzazione di Utenti e gruppi locali.
Clicca una volta, sopra la cartellina Users,e sulla destra della pagina,trovi l'account HelpAssistant.
Clicca con il tasto destro del mouse, sull'account HelpAssistant.
clicca su: Proprietà.
Nella finestra di dialogo Proprietà metti la spunta, a l'opzione: Account disabilitato.
Poi, clicca nuovamente su: Proprietà, clicca sulla tabella in alto: "Membro di" e se nel box appare Amministratore, selezionalo, e premi il tasto "Rimuovi"
Poi,si deve eliminare la cartelle in C:\ Documents and Settings\ HelpAssistant : (le cartelle in rosso)
c:\documents and settings\HelpAssistant\WINDOWS

Riavvia il pc.

POI:
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe\ Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

[ppino]

Eccomi!

combo.txt

Grazie

[R16]

Ciao.
Segui il percorso ed elimina la cartella in rosso:
c:\documents and settings\HelpAssistant
Svuota il cestino.

Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548

[ppino]

Fatto! Questo il log

report.txt

[R16]

Ciao.
Il log di Systemscan, dice che hai l'MBR danneggiato.
Combofix, dice che lo ha messo a posto. (restaurato)
Non sò a chi credere.
Fai questa operazione:
Scarica MBR.EXE direttamente nella Directory C: (è importante che venga scaricato in C: )
link
Clicca Start

Clicca Esegui...

Digita: cmd

si apre la finestra DOS, digita: CD \

premi invio

digita: mbr -f (fai il copia-incolla)

premi invio

Poi digita: exit

premi invio

Riavvia il pc

Posta qui il contenuto del log, che troverai in C:\mbr.log
Il pc, ha problemi?
Lo trovi molto rallentato?

[ppino]

Ho provato a fare come tu dici ma... dopo aver cliccato su esegui si apre per un solo secondo una finestra (tipo dos) con sfondo nero che poi però si chiude e non mi permette dunque di scrivere cmd...
Dove sbaglio?

Il pc, rispetto a ieri, va molto meglio, non si più bloccato, mi permette di navigare e non sembra rallentato però l'antivirus avg prima ha aperto una finestra di allerta per 2 file sospetti che ha messo in quarantena...
Questo il suo report

"Infezione";"Trojan Crypt.MVN";"C:\System Volume Information\_restore{548044D8-34EF-4ABB-86D0-9493B8E30DCB}\RP83\A0063772.dll";"";"24/01/2010, 18.06.41"

"Infezione";"Trojan Crypt.MVN";"C:\System Volume Information\_restore{548044D8-34EF-4ABB-86D0-9493B8E30DCB}\RP83\A0063767.dll";"";"24/01/2010, 18.06.41"

[R16]

I virus che AVG ha trovato, si trovano nei punti di ripristino.
Li sistemiamo più tardi.
Hai scaricato il tooll in C: ..vero?
Fai:
Riavvia il Pc in modalità provvisoria
Start - Esegui - digita C:\mbr.exe -f (fai copia-incolla, in quanto c'è da rispettare uno "spazio dopo exe)) e clicca su OK
Posta il log, che troverai in C:

[ppino]

Fatto

mbr.log

[R16]

Sembra danneggiato.
Alle volte, il tooll, rileva dei "rimasugli" del rootkit rimasti nel MBR.
In ogni caso, se vuoi riscrivere un MBR nuovo, segui questa guida:
http://forum.zeusnews.com/viewtopic.php?t=43689
Poi posta un log di HJT.

[ppino]

Ecco il log di HJT

hijackthis.log

[R16]

Non hai il CD di Windows, vero? (per non dire altro )
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse, e disconnesso da Internet,premi su fix checked
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programmi\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUO16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.mypix.com/it/it/importer/newconf/aurigma5.8.1.0/ImageUploader5.cabloader5.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55. cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab

Esegui una pulizia con CCleaner.
Riavvia il pc per confermare le modifiche.
Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.
Posta un nuovo log di HJT.

[ppino]

[R16]

A parte che non sono del tutto convinto, che hai il rootkit nel MBR.
A mio avviso, hai un settore danneggiato (questo sì) nel MBR, in cui bisognerebbe riscriverlo.
Se il rootkit, fosse "attivo", dovresti avere il sistema molto rallentato, e una serie di inconvenienti sia software che hardware.
Il log di HJT può andare bene anche così.
Per eliminare i vari Tooll scaricati:
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc. (se non si riavvia, fallo tu.)
Clicca sì.
Poi, puoi eliminare OTC by OldTimer.
Se non riscontri problemi, abbiamo finito.

[ppino]

Fatto anche questo.
Problemi, come ti ho detto, non ne riscontro (prima invece ce ne erano parecchi...) però pochi secondi fa il pc, che avevo lasciato acceso mentre ero a cena, si è improvvisamente resettato
Secondo te è indice di qualche altro problema o posso sorvolare?
Ciao

[R16]

Ciao.
Cosa intendi per "resettato"?
Che si è spento?
Vedi se nei prossimi giorni, il problema si ripete.
Tienilo sotto controllo, con scansioni dei software di difesa che hai installato.
Se il problema persiste torna qui.
Ciao!