Olimpo Informatico

[balehay]

[R16]

[Maary79]

E' un caso molto curioso...per curiosità, come fai la formattazione? Da partizione di ripristino, o da disco del SO? Windows è originale?

PS: comunque prima di buttare il PC, puoi provare a cambiare SO, mettendo Linux...sarebbe il colmo sta storia continuasse anche li!!

[balehay]

Ciao !!
Dopo un po' di tempo, ma sono tornata. Sono stata per mesi senza Pc per problemi con la batteria, quest'estate l'ho riattivato, un mese fa ho iniziato a mettere poco per volta i dati per capire che cartelle di foto creavano problemi e.... eccoli qua !!

Scusa il ritardo Maary, comunque faccio la formattazione dal disco del SO con Windows originale.

Vi spiego il problema: ieri ho notato sul desktop un file con il nome di una foto ma senza anteprima, faccio "apri con" e..zac, immagine +18 che risaliva al 28 settembre.
Il 9 settembre avevo inserito sul pc la cartella di foto più vecchia che avevo nell'HD, quindi presumo il problema stia tutto qui... ho trovatu su internet un programma: HiJackThis.
Sicuramente saprete cos'è, anche perchè non saprei come spiegarlo

Posso allegarvi il log ? Sono riuscita a capire di un solo file molto sospetto

O4 - HKLM\..\RunOnce: [Konokinu] C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Utente\AppData\Roaming\Depelapik"

Queso depelapik è un file senza anteprima di 17 kb.
In questi giorni ho installato un po' di programmi per cercare di salvare i dati del cellulare, e si è installato anche Chromium ( faccio sempre attenzione a cosa scarico, ma ero troppo disperata per i dati del cellulare e troppo rassegnata ai problemi del pc per farci caso)

Grazie della vostra infinita pazienza <3

PS. in tutto ciò ho cambiato HD interno perchè il precedente si è bruciato, potrebbe sembrare maltratti gli oggetti tecnologici, ma non è così !!
Wikisend non mi carica il log, lo invio normale




C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_23_0_0_162.exe
C:\Users\Utente\Downloads\HijackThis.exe
C:\Windows\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://it.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wcg_fremkfs_16_41&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dit%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutDtDtBtAzz0B0AyByE0ByDzztD0EtA0EtN0D0Tzu0StCyByEyDtN1L2XzutAtFtByEtFtByDtFyDtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SyD0DyB0EyE0D0FtDtGtBzyzzzytGtB0EtB0EtGtD0C0DtCtGtD0A0A0FyD0FtCyB0FyDyC0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SzyyB0EtCtBtA0CzytGtAtAzzyEtGyEtBtAtCtGzztDyEtAtGtDzz0A0E0EzztB0ByByEtD0B2QtN0A0LzuyE%26cr%3D1242560580%26a%3Dwcg_fremkfs_16_41%26os_ver%3D6.1%26os%3DWindows%2B7%2BHome%2BPremium
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://it.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wcg_fremkfs_16_41&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dit%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutDtDtBtAzz0B0AyByE0ByDzztD0EtA0EtN0D0Tzu0StCyByEyDtN1L2XzutAtFtByEtFtByDtFyDtDtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SyD0DyB0EyE0D0FtDtGtBzyzzzytGtB0EtB0EtGtD0C0DtCtGtD0A0A0FyD0FtCyB0FyDyC0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SzyyB0EtCtBtA0CzytGtAtAzzyEtGyEtBtAtCtGzztDyEtAtGtDzz0A0E0EzztB0ByByEtD0B2QtN0A0LzuyE%26cr%3D1242560580%26a%3Dwcg_fremkfs_16_41%26os_ver%3D6.1%26os%3DWindows%2B7%2BHome%2BPremium
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [KiesTrayAgent] C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe
O4 - HKLM\..\Run: [ProductUpdater] C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe
O4 - HKLM\..\RunOnce: [Konokinu] C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Utente\AppData\Roaming\Depelapik"
O4 - HKCU\..\Run: [Chromium] "c:\users\utente\appdata\local\chromium\application\chrome.exe" --auto-launch-at-startup --profile-directory="Default" --restore-last-session
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_23_0_0_162_Plugin.exe -update plugin
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Program Files\IDT\WDM\AESTSr64.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: HP Service (hpsrv) - Unknown owner - C:\Windows\system32\Hpservice.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SAMSUNG Mobile Connectivity Service (ss_conn_service) - DEVGURU Co., LTD. - C:\Program Files (x86)\Samsung\USB Drivers\27_ssconn\conn\ss_conn_service.exe
O23 - Service: @%SystemRoot%\system32\stlang64.dll,-10101 (STacSV) - IDT, Inc. - C:\Program Files\IDT\WDM\STacSV64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: Wondershare Application Framework Service (WsAppService) - Wondershare - C:\Program Files (x86)\Wondershare\WAF\2.3.0.5\WsAppService.exe
O23 - Service: Wondershare Driver Install Service (WsDrvInst) - Wondershare - C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe

--
End of file - 7505 bytes

[Maary79]

[balehay]

Nono non l'ho installato. Ho controllato e mi porta esattamente alla data del 28 settembre.
Ma se io elimino questi file, anche grazie a HJT, si elimineranno anche gli script che nascono dalle foto ?

Comunque sai qual è la cosa strana ? Che non ho attaccato nessun dispositivo, perciò E dovrebbe essere un'altra partizione, o no ??

Stasera ho attaccato l'mp3 per passare della musica e me lo portava come "E", ma comunque quando ho fatto l'analisi non era attaccato. Magari anche tra le canzoni c'è qualcosa del genere, visto che mi è già capitato sul PC fisso.
Domani provero ad eliminare il tutto, vediamo cosa ne pensa R16...

[Maary79]

Intanto puoi fixare quelle 2 voci.
Clicca su:
Do a system scan only
poi cerca le 2 voci, selezionale e premi su fix.

Considera l'installazione di un firewall, ad esempio Comodo.

Ti dico già che R16 ha bisogno di tutti i log nuovi, dunque dovrai ripetere tutte le scansioni, con i tool usati in precedenza. Controlla anche il router, resettalo se possibile.

Un'altra cosa...il pc, a cui hai cambiato l'hdd si è reinfettato a sistema appena reinstallato e senza collegare nessuna periferica usb?

Io sono sempre del parere che il virus è dentro alle tue periferiche usb (chiavette, hdd esterni), e te lo stai diffondendo ovunque, anche sul cellulare e lettore mp3, che dal sistema Windows vengono letti come delle comunissime chiavette dati.

Io ho i miei metodi drastici per controllare le partizioni e salvare eventualmente dati importanti ed essere sicuri di non salvare anche eventuali virus, rendendoli però inaccessibili al sistema Windows, usando Linux e i suoi strumenti.

Se vorrai procedere in tal senso,innanzi tutto ti serve un disco di avvio di Linux (live).
Con questo avvi il pc (come quando reinstalli Windows, dunque passando dal bios, e mettendo il lettore per primo nell'ordine di boot).
Il cd ti darà diverse opzioni, scegli la prima: prova senza installare.
Attendi il caricamento del sistema.
Cerchi e apri l'applicazione Gparted, ti troverai già selezionato il tuo hdd di default, e vedrai tutte le partizioni che ci sono, anche le più piccole.
Puoi postare un immagine di gparted nel dubbio.
Gparted è un tool di partizionamento e formattazione per hdd interni e esterni, chiavette, ecc..
Se opterai per una nuova formattazione fallo con quello, perchè a questo punto se non si riuscirà ad identificare i file infetti sulle unità usb sarebbe meglio formattarle, salvando prima i dati in una partizione non accessibile a Windows (per precauzione) che provvederemo eventualmente a creare poi.
Sempre dal live di Linux, potrai accedere alle tue unità usb, per cercare file infetti (li non c'è nulla di nascosto).
Per scaricare una versione di Linux ti segnalo Xubuntu 16.04 (32 o 64 bit a seconda del tuo sistema), il file .iso poi si masterizza come immagine.

Non credo di aver mai letto un caso come il tuo...

[R16]

Maary79 ha scritto:

[balehay]

Eliminato tutto,
ora ti posto i log. Comunque sono tornati nel momento in cui ho passato le foto, quindi sicuro sono nell'HD esterno. Vediamo se si risolve sennò passo a Linux.. il problema è che dovrei passare tutto sul pc ed analizzare tutto...
O si può fare tutto ciò direttamente sull'HD?

Addition.txt
FRST.txt

[Maary79]

Aspetta per procedere in qualche modo da Linux.
Sui log ho visto che ci sono ancora quelle 2 voci sospette. Poi ho notato che usi software per aggiornare i driver. Sappi che molti di questi nascondono malware oppure possono causare problemi seri al pc. I driver si scaricano dai siti dei produttori dell'hardware.
Aspettiamo R16, avrà di sicuro un fix.

Poi, non ho capito se hai scansionato i supporti esterni, presumevo di si, e che gli antivirus non trovassero nulla...
Se non lo hai già fatto prova a scansionare i supporti esterni.

Da Microsoft Security Essentials (visto che dal log risulta quello)
Opzioni - personalizzata - selezioni l'unità esterna e premi ok.

Da Malware Bytes:
Scansione - scansione personalizzata - avvia - selezioni l'unità esterna - scansione.

Sempre per le usb ti segnalo:
Panda usb vaccine link
BitDefender Immunizer link

[balehay]

Con Microsoft Security E. non trova nulla, Malware bytes invece rileva questi


Ma se li elimino si cancellano le foto ?

Mi sa che il file non si vede, non me lo fanno caricare nè wikisend ne tinypic

p.s devo attivare anche ricerca rootkit ?

[Maary79]

Attivala, male non fa...prova a postare di nuovo l'immagine. Ricorda di scansionare tutti i dispositivi USB, chiavette, mp3, ecc..
I file che trova intanto mettilo in quarantena, poi vediamo se si potranno recuperare.
Comunque malware bytes dovrebbe salvarti il log.

[balehay]

La scansione con rootkit ci ha messo almeno 3-4 ore, non ero in casa, mio fratello ha detto di aver salvato il log ma non lo trovo :/ quando posso riprovo.
Questa comunque è l'img di prima, nel caso non si veda:

http://imgur.com/W8cKj7t

[R16]

Ciao.
scarica questo file sul desktop: (dove si trova FRST)

link

Avvia FRST e clicca su FIX.

Attendi la fine della scansione.
Posta il file fixlog.txt.
Dimmi se o quali problemi riscontri.

[balehay]

Fixlog.txt

Buonasera, mi ha detto per un paio di volte "Plugin container firefox ha smesso di funzionare" e il browser si è chiuso

[Maary79]

I log di Malware Bytes li trovi in cronologia, log applicazione, li puoi esportare, almeno cosi vediamo cosa ha rimosso, posta gli ultimi, compreso quello dell'immagine. Li vedi suddivisi per data, non puoi sbagliare.
Per FF non preoccuparti, al max lo ripristiniamo.

[R16]

[balehay]

Ciao !
Firefox funziona, ho provato a rifare la scansione sull'HD esterno senza ricerca rootkit, ma mentre prima mi mostrava quelle chiavi nocive presenti anche sul PC, ora non le rileva più non le avevo rimosse
Non mi trova nada

[R16]

[balehay]

Si ma intendo sull'hd esterno... non ci sono più quei valori, con FRST abbiamo eliminato quelli del pc ( che erano uguali a quelli dell hd )