Olimpo Informatico

[flaviamile]

Ho fatto una scansione con il nod32, e mi è venuta fuori questa segnalazione:
Memoria operativa = explorer.exe(3336) - una variante di Win32/Spy.Zbot.ZR trojan horse - impossibile disinfettare.

Anche dalla scansione online, stesso problema.

sistema operativo XP Professional - SP3

il pc è quello usato per lavorare, quindi mi serve aiuto piuttosto urgente. ringrazio in anticipo.

[bdoriano]

Ciao flaviamile,

cominciamo a vedere qualche log per capire con cosa hai a che fare.

Fai questa scansione con OTL e posta i logs come indicato:
http://forum.zeusnews.com/viewtopic.php?t=51382

[flaviamile]

Scusa, ma va tutto a rallentatore qui.
Ecco i logs.
OTL.Txt
Extras.Txt

E grazie della pronta risposta. Speriamo bene.

(Aggiungo che questa mattina ho lanciato mbam, e non ha rilevato niente).

[bdoriano]

Il problema principale è rappresentato dal fatto che hai installato 2 antivirus in contemporanea:
Panda Cloud Antivirus
NOD32

Disinstalla uno dei 2 e rifai la scansione completa con MBAM partendo dalla modalità provvisoria.

[flaviamile]

Il panda l'ho installato questa mattina.
Comunque, fatto tutto. Prima ho disinstallato il panda.
Poi ho riavviato in modalità provvisoria.
Scansione con MBAM (questa volta veloce, perché l'altra ci mette 3 ore e mezza) e non ha trovato niente. Questo il log:
mbam-log-2012-04-18 (14-11-47).txt

[bdoriano]

La regola di massima è: mai 2 antivirus insieme!

La scansione con MBAM era meglio farla completa. Comunque, ora, dalla modalità provvisoria con rete:

• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  
  
  
  esegui una scansione completa del sistema
  
• Esegui una nuova scansione con OTL
  
• Carica i logs uno dei servizi di hosting indicati in questa discussione

[flaviamile]

Ricevuto!
Fatto tutto.
Il SuperAntiSpyware ha rilevato un file indicato come xPDFWriter.exe in un sacco di posti, ma è un file nostro, quindi da ignorare. Però alla fine ci sono un paio di cose.
Ecco il log (ho sostituito con una X alcuni dati sensibili, ma solo quello):
SUPERAntiSpyware Scan Log - 04-18-2012 - 16-25-28.log
Poi, ho lasciato aperto il programma, perché non sapevo se dovevo fare o meno il remove, e ho lanciato l'OTL. Ora, se dovevo prima rimuovere qualcosa, rifaccio.
Comunque, il log dell'OTL è questo (sono sempre in modalità provvisoria):
OTL.Txt
Ho visto che nomina il Panda, ma comunque non compare nei programmi e anche se c'è la cartella, è vuota.

[bdoriano]

Ok.
Ultimi 2 controlli...

Scarica MBRCheck e avvialo, ti si aprirà una finestra DOS simile a questa:

[flaviamile]

ok. log del MBR
MBRCheck_04.18.12_17.10.11.txt

con il superantispyware e l'OTL non ho rimosso niente. giusto, no?
vado avanti con il TDS intanto...

[flaviamile]

TDSSKiller già fatto. Ma non ha trovato niente.
Ecco il log: TDSSKiller.2.7.28.0_18.04.2012_17.15.43_log.txt

[flaviamile]

sto iniziando a scoraggiarmi un po'

[bdoriano]

Perfetto.
Tranquilla, OTL non rimuove niente e SuperAntiSpyware non ha rimosso nulla se non glielo hai specificato tu.
Solo una curiosità: il file XPDFWRITER.EXE è compattato?

Puoi fare una scansione con NOD32 e postare il log che ti crea?
Così vediamo dove riscontra l'eventuale presenza di malware.

Mi sono dimenticato di farti fare anche una scansione con gmer.
Fai le scansioni con GMER (sono 2: autostart e rootkit) e posta i logs come indicato qui.

[flaviamile]

Allora.
Il file xpdfwriter.exe non è compattato. E' compilato da noi in vb6 e genera una stampante PDF.
Il NOD32 non mi funziona da modalità provvisoria, si ferma al pagesys e non fa niente. Domani riavvio normale e provo a generare il log.
Il gmer ha generato questo log per l'autostart:
gmer autostart.txt
e per il rootkit, non riesco a farlo fino alla fine, devo proprio andare. comunque, domani lo faccio andare tutto. sembra essere arrivato ai files, perché stava verificando la cartella documents and settings, e avevo già visto le chiavi di registro. comunque posto lo stesso quello che è riuscito a fare. rootkit.log
grazie infinite della tua assistenza, e spero di riuscire a risolvere domani!

[flaviamile]

Rieccomi.
Il rootkit che ho lasciato andare ieri non aveva molte più cose.
Ecco il log:
rootkit completo.log
E comunque, oggi ho riavviato in modalità normale, per lanciare l'antivirus, e....stranamente, non c'è alcun virus in memoria operativa.
Ora ho lanciato la scansione completa, ma comunque prima veniva fuori proprio all'inizio della scansione.
Io non ho fatto alcun repair o remove...com'è possibile??
Può essere che non ci sia più o è soltanto qualcosa momentanea?
Incrocio le dita!

[bdoriano]

Ciao flaviamile,

può darsi che fosse un falso positivo dovuto alla presenza anche di Panda.
Eventualmente, posta il log di NOD32.
Ho visto, dagli altri logs, che ci sono alcune cosettine da sistemare (nulla di grave, non ti preoccupare), ma aspetto di vedere anche il risultato della scansione con NOD32.

[flaviamile]

No, ma il Panda l'ho installato ieri dopo la segnalazione di NOD32, così come l'MBAM. Intanto che aspettavo notizie, ho trovato su un sito 10 step per togliere i malwares, e c'erano elencati quei due lì. Quindi non era un falso positivo, ma la differenza è che nel frattempo, ho inviato a nod32 più o meno una decina di file per l'analisi (explorer.exe) come conseguenza di tutti gli scan. Che abbiano fatto qualcosa loro? boh!
Comunque, il mio scan completo è partito alle 9:15 e...non è ancora finito! Siamo alla cartella C:\Windows, quindi dovrebbe mancare poco.
Appena finisce, lo posto qui.
Grazie di nuovo!

[bdoriano]

Infatti, la domanda che volevo farti e che mi è passata di mente era:
Quando hai installato Panda? Dopo la segnalazione di NOD32 o per testarne la funzionalità?

Ma sai com'è... la vecchiaia avanza...

A dopo.

[flaviamile]

allora, ecco il log finalmente (come sempre, ho sostituito alcune informazioni sensibili):
Report NOD32.txt

[flaviamile]

Scusa.
Verificando il nod32, e girando un po', ho trovato questo sysinspector che sinceramente non so neanche come si usa.
Comunque, ho creato uno snapshot, e aprendolo, ho trovato questo:
sysinspector.JPG
mi devo preoccupare?
lì appare come livello 9, il più alto...penso sia livello di rischio.

[bdoriano]

SysInspector è un prodotto ESET (gli stessi di NOD32) che è stato integrato nella versione 5 di NOD32.
La versione standalone può essere utilizzata liberamente e include diverse interessanti funzionalità. Ma, come tutti i tools di questo genere, va usata molto attentamente.

Il file che viene segnalato è la libreria di runtime di Visual Studio 2008. Quindi, lo troverai in tutti i programmi creati con questo ambiente di sviluppo.
Comunque, nel tuo caso specifico, fa riferimento a un file di Cobian Backup 10. Nulla di preoccupante.

Il log di NOD32 non segnala la presenza di files sospetti.
Nel log di OTL, invece, ho trovato traccia di una precedente infezione, probabilmente già eliminata. L'unica cosa da sistemare è il riferimento al file infetto.

• Avvia nuovamente OTL (dal desktop)
  
  
• Copia e incolla il testo seguente nel riquadro :
  

  Citazione:

  :OTL O4 - HKU\S-1-5-21-2367948490-1968540378-3413882331-1005..\Run: [{92951494-3362-7D30-D13B-364819307F98}] "C:\Documents and Settings\Flavia\Dati applicazioni\Keawikc\ciqauh.exe" File not found :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] ""=""%1" %*" :Commands [EMPTYTEMP] [EMPTYFLASH] [EMPTYJAVA]

  
  
• clicca
  
• Se richiesto, riavvia il pc
  
• clicca
  
• carica il nuovo log su uno dei servizi di hosting indicati in questa discussione