Olimpo Informatico

[unodipalermo]

Salve a tutti, ho un pc con Windows xp aggiornato all'ultimo service pack, Avira Antivirus aggiornato, Comodo FIrewall+Defence versione 3.14, con firewall impostato prevalentemente in modalità apprendimento. Il pc viene usato a casa e all'università tramite rete wifi di ateneo. Da un paio di settimane Avira ha cominciato a dare un sacco di segnalazioni, trovando virus anche in eseguibili di programmi da me conosciuti. COmincio a sospettare che lo stesso avira sia stato infettato e fatto impazzire per trovare tutte queste anomalie. All'avvio del pc comincio ad avere errori di avvio di alcuni programmi e servizi. Tempo fa sono incappato in un programma fake che mi installo una vagonata di malware, in questo momento non ricordo come si chiama perchè provai a rimuovere l'infezione ma evidentemente deve aver fatto danno. Perfino comodo firewall adesso viene rilevato come virus! Vi allego il report di Avira:

link

[menatwork]

ciao unodipalermo

spero non sia il virut ad aver creato tutto questo, avira non ha eliminato le infezioni

scarica ed esegui combofix seguendo attentamente la descrizione di questa ghuida

Posta il log , caricalo su un server

[unodipalermo]

Sono uscito di casa e al ritorno ho trovato il pc in oggetto con la schermata di avvio della modalità provvisoria. In modalità normale non parte più, posso eseguire il programma da te indicato in modalità provvisoria?

[menatwork]

[unodipalermo]

Ho dovuto eseguire due volte combofix perchè in modalità provvisoria non c'è stato verso di disattivare avira. Dopo il primo combofix, windows ha ricominciato ad avviarsi normalmente, e così ho eseguito un secondo combofix, disattivando avira che nel frattempo continuava a fare decine di segnalazioni. Ma l'impressione è che potrei farne altri 100 e ogni esecuzione di combofix troverebbe decine di file infetti. Posto i due log:

ComboFix.txt

ComboFix2.txt

[menatwork]

sembra una brutta infezione da rootkit zero access

ora segui in ordine questa procedura


scarica questo tool sul desktop e avvialo scegliendo la lettera Y

una volta terminata la scansione, rieseguilo

Postami i due log specificando con 1 e 2


scarica TDSSKiller sul desktop ed estrai il contenuto

Start > Esegui > copia/incolla il seguente comando e dai OK.

"%userprofile%\Desktop\TDSSKiller.exe"

Clicca su Start Scan.
Se c’è un’infezione, l'azione di default sarà cure. Clicca su continua.
Se c’è il sospetto di un’infezione, l'azione di default sarà skip. Clicca su continua.
Se viene richiesto il riavvio, accetta.
Il rapporto si troverà in C:, sotto queste sembianze: TDSSKiller.[Version]_[Date]_[Time]_log.txt
Se non è stato richiesto il riavvio, chiudi e clicca su report. Salva il contenuto in un file di testo e allegalo

Per ogni dubbio sono a tua disposizione

edit

da dove hai scaricato

c:\documents and settings\Marco\.texlive2011 ??

[unodipalermo]

AntiZeroAccess_Log1.txt

AntiZeroAccess_Log2.txt

TDSSKiller.2.6.19.0_16.11.2011_14.39.57_log.txt

TDSSKiller.2.6.19.0_16.11.2011_14.41.06_log.txt

.texlive2011 credo siano i file necessari al funzionamento di LaTex che il programma TextWorks ha scaricato dopo avermelo chiesto da un mirror che non saprei dirti. Textworks è stato scaricato da:

link

[menatwork]

vai qui e analizza l'eseguibile del programma non mi piace per niente quel punto , vedi cosa rilevano i 42 antivirus


c:\documents and settings\Marco\.texlive2011


appena finito l'analisi apri una pagina del blocco note e copia incolla quanto segue

[unodipalermo]

Quale eseguibile all'interno di quella cartella esattamente? ce ne sono parecchi di .exe

[menatwork]

controllane uno alla volta e vedi cosa rilevano gli antivirus

esegui lo script che ti ho postato e riesegui tds killer

posta i due log

[unodipalermo]

ok...ma solo nella cartella win32 ci sono 380 eseguibili, alla velocità con cui li carica su virus total mi ci vorrà un "pò".

come ti posto i risultati di virus total file per file? non mi sembra rilasci qualche log

[menatwork]

ascolta facciamo una cosa, rimuovilo se non ti crea problemi semmai lo reinstalli

eseguimi anche lo script di combofix e tds killer

[unodipalermo]

Tutti i programmi relativi a quella cartella sono stati disinstallati, e anche se la cartella non è sparita del tutto lo sono gli exe.

Cose strane accadute durante il trascinamento di quel file su combofix:












ecco cmq il log finale:
log161111.txt

ed ecco gli altri due log di tdskiller:

TDSSKiller.2.6.19.0_17.11.2011_09.15.12_log.txt

TDSSKiller.2.6.19.0_17.11.2011_09.15.43_log.txt

[menatwork]

hai ancora delle infezioni nel pc vediamo di eliminarle del tutto

come prima apri un file di testo e incolla questo testo

[unodipalermo]

combofix:

logqwert.txt

Cosa devo fare con la lista dei malware trovati? Nella finestra ho l'opzione per disinfettarli oltre che fare il log.

L' ho mandato in esecuzione sul disco c:, vuoi che lo faccia anche su d

mbam-log-2011-11-17 (20-46-23).txt

[menatwork]

adesso ti do una lista delle cose che devi fare seguile in quest'ordine

Evidenzia gli elementi trovati da malwarebyts e premi "Rimuovi elementi selezionati".Se ti chiede di riavviare, fallo

elimina a mano questa cartella

c:\documents and settings\Marco\Dati applicazioni\Search Settings

controlla queste cartelle se non le conoci eliminale

C:\fixc

c:\documents and settings\Marco\Impostazioni locali\Dati applicazioni\cfcf2400

c:\documents and settings\Marco\Dati applicazioni\LyX2.0

rimuovi avira da pannello di controllo

fai pulizia come descritto qui

scarica e installa avira da questa pagina

aggiornalo ed esegui una scansione completa

per maggior sicurezza riesegui anche tds killer nel log di combofix si sono creati dei driver


attendo notizie

[unodipalermo]

La cartella txtlive e fixc le ho ritrovate dopo la cancellazione (quest ultima si è ripresentata come fixc14320f) e le ho rimosse nuovamente. Ho reinstallato avira, e ho fatto più di una scansione una di seguito all'altra, eliminando di volta in volta le minacce, l'ultima scansione infine ha trovato zero elementi infetti, ti posto tutti i log:

LOGFILES.rar

ecco infine il log di tds killer:

TDSSKiller.2.6.19.0_18.11.2011_16.19.48_log.txt

[menatwork]

bene ora esegui queste operazioni

rimuovi combofix con OTC by OldTimer

eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI


elimina la cartella qoobox la trovi nel disco locale se non riesci ad eliminarla usa Inherit

mettilo nella stessa directory della cartella BackEnv e poi trascina la stessa cartella sull'icona di inherinit.Aspetta la scritta OK.

disattiva il ripristino

riavvia il pc

riattivalo e crea un nuovo punto

Attivazione e disattivazione di Ripristino configurazione di sistema in Windows XP

fai nuovamente pulizia come prima, con ccleaner pulisci anche il registro

[unodipalermo]

hijackthis.log

Avira non mi da più alert, però ho notato in task manager veramente tanti processi attivi, e credo una generale lentezza, a volte si impalla in operazioni stupide, come aprire una cartella o fare un operazione in un browser web. Niente di grave però.

[menatwork]

fai una deframmentazione del disco

start/esegui scrivi dfrg.msc e dai ok