Olimpo Informatico

[SteF58]

Ciao

da qualche giorno si sono verificati alcuni problemi sul mio portatile Acer Travelmate 5720 - XP PRO SP3

Ho recentemente installato la versione trial di NOD32 che mi segnala i seguenti attacchi:

Oggetto: C:\WINDOWS\system32\drivers\iaStor.sys
Minaccia:Win32/Olmarik.RF
Commento: Si e' verificato un errore in un file modificato

Non ho osato eliminare il file. L'unica soluzione attualmente provata e' quella di reinstallare i driver AHCI Intel (risolve per un paio di giorni e poi la segnalazione si ripresenta).

===============================================

Invece tutte le volte che mi connetto a Internet appare il seguente messaggio di NOD32:
Oggetto: http://dkcs.void.ru/viaide.exe
Minaccia: Una variante di Win32/Injector.AMO trojan horse
Informazioni: connessione terminata - messo in quarantena

===============================================

L'ultima anomalia e' che Windows non mi permette di accedere alla modalita' provvisoria. Inizia la procedura ma poi fa una specie di riavvio e l'unica scelta che funziona correttamente e' quella relativa all'avvio classico di Windows

===============================================

Ho gia' provato a seguire diversi suggerimenti presi dal forum ma nessuno ha avuto effetto relativamente ai problemi succitati.
Allego il log attuale di HJT

Grazie per l'aiuto

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.47.04, on 01/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdateBeta.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\PROGRA~1\Siseco\LM\SiSrv.exe
c:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLite\viritsvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
C:\VEXPLite\MONLITE.EXE
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmi\VOIce Client\v_client.bin
C:\Programmi\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Programmi\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.siseco.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Internet Explorer Plugin - {EA44E81B-C717-4FB6-B1F6-43820D2F17A9} - (no file)
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLite\MONLITE.EXE
O4 - HKLM\..\Run: [IAAnotif] "C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: VOIce Client.lnk = C:\Programmi\VOIce Client\splashclient.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1248709499365
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = siseco.local
O17 - HKLM\Software\..\Telephony: DomainName = siseco.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = siseco.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = siseco.local
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cbssreg - C:\Documents and Settings\All Users\Documenti\Settings\cbss.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Gat Polling Service (GatPollSrv) - Si.Se.Co. - C:\WINDOWS\system32\GatPoll.exe
O23 - Service: Google Update Service (GoogleUpdateBeta) - Google Inc - C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdateBeta.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Siseco License Manager (SisecoLM) - Si.Se.Co. - C:\PROGRA~1\Siseco\LM\SiSrv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Programmi\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programmi\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: VirIT eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLite\viritsvc.exe

--
End of file - 6958 bytes

[R16]

Ciao.
Cominciamo con disistallare il Nod32.
Le versioni Trial è sconsigliato installarle.

Qui c'è anche un tool, per la rimozione del Nod32:
http://forum.zeusnews.com/viewtopic.php?t=31183

Poi, 2 antivirus installati sullo stesso pc, creano più problemi che benefici.
Per cui basta il Virit. (in seguito, ne installeremo uno di serio.)

Scarica e installa la versione Free di SuperAntispyware:
link
la configuri come da immagini :
http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
Esegui una scansione completa.

Segui le istruzioni di questo topic per usare MBAM:
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.

Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224

Carica i log di SuperAntispyware, MBAM, Combofix, su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
link

[SteF58]

Dovrei avere fatto tutto secondo le tue istruzioni.
Questo il link per i file di log

[URL=http://wikisend.com/download/709586

Resto in attesa dei tuoi commenti
Ciao e grazie

[SteF58]

Temo di aver fatto un po' di pasticci ...
Questi dovrebbero essere i link agli altri log


mbam: mbam-log-2010-01-02 (01-04-59).txt


SUPERANTISPAM: SUPERAntiSpyware Scan Log - 01-02-2010 - 00-25-44.log

[R16]

Ciao.
Per eliminare i file infetti che ha trovato MBAM, si doveva riavviare il pc.
Lo hai fatto?
Se NO, rifai la scansione, e se trova ancora file infetti, clicca su "Rimuovi selezionati" e riavvia il pc.

Fai queste operazioni:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO

Fai questa scansione con Kaspersky:
http://forum.zeusnews.com/viewtopic.php?p=297845
Se non riesci a postare il log, posta solo le eventuali infezioni che ha trovato ed eliminato.

[SteF58]

Ecco l'esito della scansione con Kaspersky - intanto adesso la modalita' provvisoria funziona

[URL=http://wikisend.com/download/540514

Ho postato l'immagine perche' non ho visto come salvare il report in formato testo. spero vada bene lo stesso.

Grazie

[R16]

Ciao.
Ok.
Disistalla Virit.
Per disistallare Virit,fai :
Start\Tutti Programmi, e trovi il suo Unistall.
Installa Avira Free:
Guida e installazione di Avira:
http://forum.zeusnews.com/viewtopic.php?t=42228
Fai una scansione completa, e posta il log.
Dimmi se i problemi che riscontravi sono risolti.
Posta un log aggiornato di HiJackThis.

[SteF58]

Ecco il link al log di Avira
AVSCAN-20100102-223112-844C743B.LOG

ed ecco quello di HiJackThis

[URL=http://wikisend.com/download/586166

Avira ha ancora rilevato il TR/rootkit.gen

In attesa di tuo riscontro al riguardo ti faccio ancora qualche domanda:

Quali sono i programmi relativi alla sicurezza che devo tenere installati?
La procedura che abbiamo seguito la posso applicare anche ad altri due PC che ho (un portatile e un desktop rispettivamente con Vista Home Premium e XP Home)?
Programmi di ottimizzazione quali ad esempio TuneUp sono corretti da utilizzare?

Grazie mille per l'attenzione

[R16]

Ciao.

[SteF58]

Scusa per la mancata risposta ma tenevo tutti i complimenti alla fine ...
Attualmente le prestazioni del pc sono assolutamente molto buone.
Molto meglio di prima della cura.
Adesso termino quanto da te indicato poi domani lo utilizzero' sicuramente molto per cui avro' modo di darti un ulteriore riscontro.
Ciao e a presto

[SteF58]

Ciao
come avevi previsto HJT non e' riuscito a intervenire su

O23 - Service: Google Update Service (GoogleUpdateBeta) - Unknown owner - C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdateBeta.exe (file missing)

Per il resto ho fatto tutto e mi sembra tutto ottimizzato.
Dimmi tu se possiamo considerare chiuso il problema.

Grazie ancora per la disponibilita' e l'indubbia competenza che mi hai messo a disposizione.

Ciao e a presto

[SteF58]

Sempre in ambito di sicurezza a livello di firewall cosa e' consigliabile installare?
Ciao ancora

[R16]

Ciao.
Togliamo di mezzo quel Servizio inutile. (la 023)

Fai cosi:
Scarica e installa Pserv sul desktop:
link
Lo lanci da "Tutti programmi" cliccando : "Services & Devices"
Nella schermata che apparirà, cerca e trova il servizio incriminato. (Google Update Service (GoogleUpdateBeta) - )
Clicca con il tasto destro sopra il servizio, e scegli : Delete.
Chiudi Pserv.
Riavvia il pc.

Disistalla Pserv con il suo Unistall che troverai sempre su Tutti Programmi.

Ti serve un Firewall, che sia abbastanza buono, ma che non ti faccia impazzire per configurarlo.
Prova questo:
link
Devi installarlo e basta.

Se tutto và bene direi che abbiamo terminato.

[SteF58]

Perfetto!
Per un ulteriore controllo ti posto il log di hijackthis dopo l'ultimo intervento


hijackthis.log

Nei prossimi giorni sara' mia cura anche installare il firewall che mi hai consigliato. ti daro' poi un riscontro.

Ciao e grazie ancora per l'attenzione

[R16]

Il log è a posto.
Ciao!