Olimpo Informatico

Smjert

Ebbene è giunta l'ora anche per me di chiedere aiuto Smile

.

Su uno dei pc di casa, appena windows è caricato, il disco comincia a macinare per 15-20 minuti, rendendo il pc quasi inutilizzabile.
Quando invece lo carico in Modalità Provvisoria questo non succede.
Con vari metodi (ProcessExplorer, ProcessMonitor) ho scoperto che è services.exe (nome legittimo, posizione legittima) che continua a fare richieste di scrittura su praticamente ogni file che c'è sul PC.
Come antivirus ho Avira Antivir, gli ho fatto fare una scansione e ha trovato un Trojan/Agent generico (un nome numerico che non ricordo) e il WORM Zhelatin (il file era "iUna.dll" dentro C:\Windows\system32 se non ricordo male).
Ho fatto poi scansioni con SUPERAntiSpyware, Spybot Search and Destroy, MBAM e Panda Active Scan, ma non hanno trovato nulla di rilevante.
Ho fatto girare anche ComboFix il quale in "Altre Eliminazioni" ha segnato dei file con nome alfanumerico in C:\Windows\Downloaded Program files\, Jestertb.dll in C:\Windows\ e Config.ini in C:\Windows.
Ho fatto girare anche systemscan ma non ho trovato nulla di strano.
Dopo tutto questo nulla è cambiato.

Mi spiace essere così vago e non potervi incollare i log ma in questo istante non posso accedere al pc (anche se in questi giorni potrò via desktop remoto).
Quindi ditemi cosa devo fare, che vi seguo.

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Ciao Smjert.
Bisognerebbe vedere i log.
Specialmente quelli di Combofix e Systemscan.
Può essere che qualcosa è sfuggito.

Smjert · Inviato: 17 Mar 2010 19:59 Oggetto:

Ecco il log di Combofix.
E il log di SystemScan (rifatto oggi).

E le cose che aveva rilevato avira erano:
WORM/Zhelatin.ATZ.177 su C:\Documents and Settings\Casa\Impostazioni locali\Temp\iUna.dll
C:\Documents and Settings\Casa\Impostazioni locali\Temporary Internet Files\Content.IE5\4VHA1B9G\eH9f2af49eV0100f070006R9deed09a102Td4a7d1e8201l0010K47475826317P000000070[1]
C:\Documents and Settings\HelpAssistant\Impostazioni locali\Temp\iUna.dll

TR/Agent.232448 [trojan] su C:\Documents and Settings\Casa\Impostazioni locali\Temporary Internet Files\Content.IE5\2KJ1X335\Setup_364s1[1].exe

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Ciao Smjert. Ciao

Hai una variante rootkit, nel MBR , che usa l'account HelpAssistant, per replicare, file e cartelle legittime di Windows, fino alla paralisi del sistema.

Scarica MBR.EXE direttamente nella Directory C:\ (è importante che venga scaricato in C:\ )
link
Avvia il Pc in modalità provvisoria

Fai: Start - Esegui - copia-incolla questo comando: C:\mbr.exe -f e clicca su OK
Non digitare quel comando; FAI il copia-incolla.(si deve rispettare uno spazio che c'è dopo exe )
Posta il log, che troverai, dove hai scaricato il Tool, ovvero in C:\

Poi devi disabilitare l'account HelpAssistant:

Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)
Conferma con Applica e poi OK.
Poi:
Dal Pannello di Controllo vai in Strumenti di Amministrazione ed apri Gestione Computer.
Espandi(clicca sul +) la visualizzazione di Utenti e gruppi locali.
Clicca una volta, sopra la cartellina Users,e sulla destra della pagina,trovi l'account HelpAssistant.
Clicca con il tasto destro del mouse, sull'account HelpAssistant.
clicca su: Proprietà.
Nella finestra di dialogo Proprietà metti la spunta, a l'opzione: Account disabilitato.
Poi, clicca nuovamente su: Proprietà, clicca sulla tabella in alto: "Membro di" e se nel box appare Amministratore, selezionalo, e premi il tasto "Rimuovi": in questo modo si esclude l'account HelpAssistant dal gruppo Amministratori.

A questo punto, si devono eliminare le cartelle in C:\ Documents and Settings\ HelpAssistant : (le cartelle in rosso)

c:\documents and settings\HelpAssistant\IETldCache
c:\documents and settings\HelpAssistant\WINDOWS
c:\documents and settings\HelpAssistant\UserData
c:\documents and settings\HelpAssistant\Preferiti
c:\documents and settings\HelpAssistant\Impostazioni locali
c:\documents and settings\HelpAssistant\Risorse di stampa
c:\documents and settings\HelpAssistant\Menu Avvio
c:\documents and settings\HelpAssistant\Modelli

Svuota il cestino.
Riavvia il pc.
Naturalmente, se vedi altre cartella HelpAssistant in c:\documents and settings, vanno eliminate.

Smjert · Inviato: 17 Mar 2010 23:54 Oggetto:

Porca pupazza, un rootkit!
Sono proprio arrugginito... posso chiederti da cosa l'hai capito? (presumo sia combofix che segna un aggancio sull'MBR, che però credevo legittimi e, noto ora riguardando meglio il log di system scan, un bel po' di ads in HelpAssistant).

Appena riesco faccio tutto, grazie Wink

.

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Smjert · Inviato: 18 Mar 2010 15:38 Oggetto:

Questo è il log di mbr.exe:

R16 · Dio maturo Registrato: 07/03/08 21:58 Messaggi: 10123

Ciao Smjert.
Alcune volte, pur correggendo l'MBR, con il tool, questo continua a dare informazioni errate.
Addirittura, è successo, che riscrivendo l'MBR con la Console di ripristino d'Emergenza, detto tool, mi segnalava sempre gli stessi settori danneggiati, quando invece, ero sicuro, che fossero riparati.
Comunque, per tagliare la testa al toro, se ne hai la possibiltà, riscrivi l'MBR con la Console di ripristino d'Emergenza.
Però a mio avviso, con le operazioni che hai fatto, sei a posto.
E dovrebbe confermartelo lo stesso pc, con prestazioni uguali a quelle che avevi prima dell'infezione.

Smjert · Inviato: 18 Mar 2010 16:06 Oggetto:

Infatti mi sono dimenticato di dire che la velocità del pc è tornata normale, oltre al fatto che ProcessExplorer non segna più services.exe in continua scrittura.
Quindi allora è risolto, grazie!