Olimpo Informatico

[tulli]

Salve a tutti
da circa un mese non riesco + ad avviare in modalità provvisoria questo è il messaggio della schermata blu
verificare che il cpmputer non contenga virus. rimuovere tutti i dischi rigidi o i controller dei dischi rigidi di nuova installazione. controllare che il disco rigido sia configurato correttamente e dotato degli apparati terminatori. eseguire chkdsk/F per verificare che il disco non sia danneggiato, quindi riavviare il pc.
informazioni tecniche
*** stop: 0x0000007b (0xf7905528,0xc0000034,0x00000000,0x00000000).

Lo scandisk di F non ha dato risultati

di seguito i log di Combofix e HJT

ComboFix 08-01-09.2 - Administrator 2008-01-15 14.29.32.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.623 [GMT 1:00]
Eseguito da: C:\Documents and Settings\Administrator.SAL2-KXFJJIEQPK\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino
.

((((((((((((((((((((((((( Files Creati Da 2007-12-15 al 2008-01-15 )))))))))))))))))))))))))))))))))))
.

2008-01-15 14:28 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-14 20:34 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS
2008-01-14 17:42 . 2007-06-08 09:44 8,576 --a------ C:\WINDOWS\system32\drivers\vlgjwjslbmlk.sys
2008-01-14 17:29 . 2008-01-14 17:29 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-01-14 17:29 . 2008-01-14 20:32 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-01-14 17:29 . 2008-01-14 20:32 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-01-14 17:29 . 2008-01-14 20:32 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-01-11 14:31 . 2008-01-11 14:31 <DIR> d-------- C:\Programmi\SUPERAntiSpyware
2008-01-11 14:31 . 2008-01-11 14:31 <DIR> d-------- C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\SUPERAntiSpyware.com
2008-01-11 14:31 . 2008-01-11 14:31 <DIR> d-------- C:\Documents and Settings\Administrator.SAL2-KXFJJIEQPK\Dati applicazioni\SUPERAntiSpyware.com
2008-01-11 11:18 . 2008-01-11 11:19 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-01-11 11:18 . 2008-01-11 11:19 <DIR> d-------- C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\Kaspersky Lab
2008-01-10 20:42 . 2008-01-10 20:43 <DIR> d-------- C:\Programmi\Activision
2008-01-10 15:49 . 2008-01-10 15:49 <DIR> d-------- C:\dati
2008-01-10 15:40 . 2008-01-10 15:40 <DIR> d-------- C:\Programmi\FreeSoft
2007-12-31 19:33 . 2007-12-31 19:33 <DIR> d-------- C:\Programmi\File comuni\Invention Pilot Shared
2007-12-31 19:33 . 2007-12-31 19:33 <DIR> d-------- C:\Programmi\Annotation Pilot
2007-12-31 18:24 . 2007-12-31 18:24 <DIR> d-------- C:\Documents and Settings\Administrator.SAL2-KXFJJIEQPK\Dati applicazioni\TrojanHunter
2007-12-24 15:59 . 2003-12-26 09:22 24,192 -ra------ C:\WINDOWS\system32\drivers\OLD39.tmp
2007-12-24 15:58 . 2007-12-24 15:58 <DIR> d-------- C:\Programmi\Motorola Phone Tools
2007-12-21 19:24 . 2007-12-21 19:24 <DIR> d-------- C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\TEMP
2007-12-21 19:23 . 2007-12-21 19:23 <DIR> d-------- C:\Programmi\Trojan Remover
2007-12-21 19:23 . 2007-12-21 19:23 <DIR> d-------- C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\Simply Super Software
2007-12-21 19:23 . 2007-12-21 19:23 <DIR> d-------- C:\Documents and Settings\Administrator.SAL2-KXFJJIEQPK\Dati applicazioni\Simply Super Software
2007-12-21 19:23 . 2006-05-25 14:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2007-12-21 19:23 . 2003-02-02 19:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2007-12-21 19:23 . 2005-08-26 00:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2007-12-21 19:23 . 2002-03-06 00:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2007-12-21 19:23 . 2006-06-19 12:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2007-12-21 14:03 . 2008-01-14 14:02 100 --a------ C:\index.ini
2007-12-17 22:09 . 2007-12-17 22:09 <DIR> d-------- C:\Programmi\Alwil Software
2007-12-17 22:09 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2007-12-17 22:09 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-12-17 22:09 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2007-12-17 22:09 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-12-17 22:09 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-17 22:09 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-17 22:09 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-17 22:09 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-17 22:09 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-12 14:02 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-01-12 14:02 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-12-24 14:59 24,192 ----a-w C:\Documents and Settings\Administrator.SAL2-KXFJJIEQPK\usbsermptxp.sys
2007-12-24 14:59 22,768 ----a-w C:\WINDOWS\system32\drivers\usbsermpt.sys
2007-12-24 14:59 22,768 ----a-w C:\Documents and Settings\Administrator.SAL2-KXFJJIEQPK\usbsermpt.sys
2007-12-11 17:14 --------- d-----w C:\Programmi\Windows Media Connect 2
2007-12-11 16:37 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\Office Genuine Advantage
2007-12-11 16:25 --------- d-----w C:\Documents and Settings\Administrator.SAL2-KXFJJIEQPK\Dati applicazioni\TeraCopy
2007-11-30 13:57 --------- d-----w C:\Programmi\Belarc
2007-11-27 12:59 --------- d-----w C:\Programmi\3D Space Tour
2007-11-09 13:34 819,200 ------w C:\WINDOWS\is-JLSK9.exe
2007-10-29 22:42 1,292,800 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:42 1,292,800 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:54 8,483,840 ------w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 09:01 2,109,440 ------w C:\WINDOWS\system32\dllcache\wmvcore.dll
2007-10-25 09:00 230,912 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-25 09:00 230,912 ------w C:\WINDOWS\system32\dllcache\wmasf.dll
2007-10-08 12:30 72 ------w C:\Programmi\UNWISE.INI
2007-10-08 12:30 16,496 ------w C:\Programmi\INSTALL.LOG
2003-10-30 18:17 94 ------w C:\Programmi\WFCOM.DAT
1999-06-25 09:55 149,504 ------w C:\Programmi\UNWISE.EXE
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PeerGuardian"="C:\Programmi\PeerGuardian2\pg2.exe" [2005-09-18 18:40 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BOC-425"="C:\PROGRA~1\Comodo\CBOClean\BOC425.exe" [2007-08-08 19:49 338432]
"COMODO Firewall Pro"="C:\Programmi\Comodo\Firewall\CPF.exe" [2007-10-08 00:16 1115728]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:39 15360]

C:\Documents and Settings\All Users.WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\
Microsoft Office.lnk - C:\Programmi\Microsoft Office\Office\OSA9.EXE [1999-02-17 19:05:56]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoNetworkConnections"= 01000000
"NoSMMyDocs"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoStartMenuMyMusic"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programmi\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programmi\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programmi\SUPERAntiSpyware\SASWINLO.dll

La chiave di registro SafeBoot ha bisogno di essere riparata. Questo pc non pu? avviarsi in Modalit? Provvisoria.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Uranium"=

R0 xmasbus;xmasbus;C:\WINDOWS\system32\DRIVERS\xmasbus.sys [2003-12-21 17:24]
R0 xmasscsi;xmasscsi;C:\WINDOWS\system32\Drivers\xmasscsi.sys [2003-12-23 02:15]
R1 XPROTECTOR;XPROTECTOR;C:\WINDOWS\system32\drivers\Oreans.sys [2007-10-09 16:49]
R2 FastPara;FastPara;C:\WINDOWS\system32\drivers\FastPara.sys [1999-08-20 16:05]
R3 BOCDRIVE;BOClean Kernel Monitor.;C:\Programmi\Comodo\CBOClean\BOCDRIVE.sys [2007-04-17 14:14]

*Newly Created Service* - PGFILTER
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 14:34:52
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-01-15 14:37:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-15 13:37:30
.
2007-12-12 17:22:23 --- E O F ---

Logfile of HijackThis v1.99.1
Scan saved at 14.41.04, on 15/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Comodo\CBOClean\BOCORE.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\Programmi\Microsoft Office\Office\1040\msoffice.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [BOC-425] C:\PROGRA~1\Comodo\CBOClean\BOC425.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{460C0F62-1743-410E-80AF-EE1A63156045}: NameServer = 193.70.152.15,193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{460C0F62-1743-410E-80AF-EE1A63156045}: NameServer = 193.70.152.15,193.70.152.25
O17 - HKLM\System\CS2\Services\Tcpip\..\{460C0F62-1743-410E-80AF-EE1A63156045}: NameServer = 193.70.152.15,193.70.152.25
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BOCore - COMODO - C:\Programmi\Comodo\CBOClean\BOCORE.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe

stato pc
(Sal2-kxfjjieqpk).html


analisi online hi jack free
a-squared HiJackFree Analysis.htm

[Sante62]

Ciao tulli
Mi sembra di vedere qualcosa di sospetto...
Per cortesia, fai questi passaggi:
Scansione con GMER
Ricorda che i log di GMER sono due: Autostart e Rootkit. Postali su www.freefilehosting.net come indicato quì

[tulli]

Eccoli

gmer log1.txt

gmer log2.txt

ho seguito le regole ma nelle opzioni ho l'html disattivato anche se nel profilo è attivato

[Sante62]

Nulla di pericoloso nei log di GMER. Adesso fai la scansione con Systemscan
e salva il log come indicato quì

[tulli]

15_01_2008_22_35_report.zip

[Sante62]

Neanche Systemscan pare presenti file pericolosi.
Adesso collegati aKaspersky online scanner
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus. Non appena inizia la scansione del PC disconnettiti da internet.
Alla fine carica il risultato su www.freefilehosting.net, riportando quì il link che ti viene assegnato.

[tulli]

Eccolo
kas log.txt

ma il report di HJ free é attendibile dove ci sono tutti quei file di sistema infetti?

e combofix parla di chiave registro danneggiata riguardante la mod provv?

Per la cartella smitfraudfix non so come si sia creata in documenti, me la dava pericolosa anche lo scan online di Panda av come strumenti indesiderati

panda rapporto.txt

[Sante62]

[tulli]

hijackthis post.log

il log di HJT, se intendi anche quello di avenger non lo trovo, comunque si è riavviato da solo. Ora faccio la scansione con Elibagla

[Sante62]

[tulli]

Thu Jan 17 11:23:01 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Thu Jan 17 11:23:50 2008
EliBagle v10.87 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4398
Nº Total de Ficheros: 47059
Nº de Ficheros Analizados: 11993
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Log di Elibagle, un'altra cosa che non ho detto ogno volta che apro la sessione di Firefox, il firewall mi chiede il permesso perchè cambia porta ogni volta, ho segnato quelle di ieri e oggi 1044 poi 1055,1034,1028, questi cambi sono segnati sul report di HJ free come intrusi, mi è successo anche all'avvio di thunderbird o di avast. Altra cosa in una delle scansioni precedenti non so quale mi è comparsa sul desktop l'icona di explorer, ma non è un collegamento sembra proprio l'icona del programma, posso cestinarla o si cancella il programma
Grazie

[tulli]

[Sante62]

[tulli]

avenger.txt non lo trovo da nessuna parte.
Per explorer mi riferisco ad interner explorer è una cartella di sistema, dove la devo spostare?

[Sante62]

Internet explorer è regolare sul desktop quindi non la devi spostare da nessuna parte.

[tulli]

Veramente non l'ho avuto mai sul desktop ie, per avenger qui il contenuto del file txt wlwbdcee
files to delete:
C:\Documents and Settings\Administrator.SAL2-KXFJJIEQPK\Documenti\keyfinder.exe
C:\Documents and Settings\Administrator.SAL2-KXFJJIEQPK\Documenti\All Users mi da virus stava su c forse o system 32.aawqff
C:\Documents and Settings\Administrator.SAL2-KXFJJIEQPK\Documenti\keyfinder151.zip

i suddetti files non sono stati cancellati, li ho cancellati manualmente.
Per thunderbird ho cancellato il file inbox e fatto un backup del profilo, ora è meno di un mb. E' come si ci fossero state mail nascoste, dato che avevo solo una cinquantina delle stesse

[Sante62]

Va bene..riscontri ancora problemi?

[tulli]

No oltre a quelli citati

[Sante62]

OK, adesso vedo come riparare l'avvio in modalità provvisoria.....

[Sante62]

Allora, facciamo una prova; Avvia il PC in modalità normale;
Vai su start-> esegui e digita msconfig;
Portati sul tab boot.ini e metti la spunta su safeboot; poi clicca su applica e ok;
Riavvia e il pc dovrebbe andare da se in modalità provvisoria;
Da quì rifai la stessa procedura e togli la spunta da safeboot;
clicca su applica ; ok e riavii.
Fammi sapere come è andata.