Olimpo Informatico

[Amira]

Ciao,
ti posto il log, tuttavia non sono riuscita ad eseguire la scansione in modalità provvisoria, perché quando cercavo di avviarla in modalità provvisoria mi usciva "Failed to install the remover driver (error code 0xC007043C)", mentre la scansione si avviava normalmente solo in modalità normale.
VirusRemover.log

[bdoriano]

Che cosa curiosa...

Vabbene, ultimo tool e poi vediamo come procedere...

1. Scarica Panda Yorkyt.exe disinfection tool e salvalo sul desktop
   
2. Tieni disattivato il ripristino di sistema
   
3. Avvia Yorkyt.exe
   
4. Installerà un driver e riavvierà il pc
   
5. Al termine del lavoro, troverai il log yorkyt.exe.log sul desktop
   
6. Postalo, secondo le solite modalità

Comincio a pensare che sia una pulizia andata a male... si dovrà lavorare "manualmente" per eliminare le ultime tracce del virus.

[Amira]

Ciao,
allora appena clicco per scaricare il tool mi compare COMODO che mi dice che è un elemento dannoso per il mio computer e mi consiglia di bloccarlo, che faccio clicco su consenti e vado avanti?

[R16]

[Amira]

Ecco a voi!
che infezione mi sono beccata? che idea vi siete fatti da questi log?

yorkyt.exe.log

[bdoriano]

yorkyt sembra aver rimosso qualcosa...

Rifai la scansione con Combofix e posta il nuovo log.

[Amira]

Log rifatto,
ComboFix LOG 2.txt

[bdoriano]

Mi sa che dovremo usare altri sistemi...

fai una scansione con Avira e posta il log aggiornato.

[Amira]

Ciao,
ho fatto la scansione con Avira ma non mi fa salvare il log, te lo copio, va bene? Stavolta non ha trovato nessun oggetto nascosto, solo un avviso.

link

edit by doriano: ho salvato il log e l'ho caricato su wikisend.

[bdoriano]

Si, in effetti, il log di Avira sembra pulito...
Il pc come ti sembra?
Puoi indicare quali sono i problemi che rilevi?

Direi di fare un paio di scansioni aggiuntive:

• Segui le istruzioni di questo topic per usare MBAM
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini (clicca sui links per vederle):
  
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
  
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
  esegui una scansione completa del sistema
  
• Carica i logs uno dei servizi di hosting indicati in questa discussione

[Amira]

ciao,
allora il pc adesso va bene, non ho alcun problema. Ho aperto la discussione perché poco tempo prima avevo avuto problemi, il pc si era completamente bloccato, non mi faceva fare praticamente nulla, ho risolto da sola con Malwarebytes anti-malware e Combofix. Dopo averli utilizzati il pc è ripartito e la connessione internet si è ripristinata. Poi ho pensato di chiedere ad un'esperto una mano per analizzare tutto il pc e vedere l'eventuale presenza di virus malware e altro non ancora rimossi...questo è tutto. Se dai log analizzati credi non ci sia nulla di sospetto e nessuna traccia di virus non del tutto rimosso possiamo dire che il pc è pulito? oppure devo fare anche le scansioni che mi hai richiesto?

[bdoriano]

Ah! Ok.

Fai lo stesso le scansioni che ti ho chiesto, giusto per sicurezza.
Dopo faremo alcune operazioni di pulizia.

[Amira]

Ho fatto MBAM:

MBAM.txt

[Amira]

Ciao, superantispyware mi trova sempre qualcosa!
SUPERAntiSpyware Scan Log - 04-24-2012 - 13-02-23.log

[bdoriano]

MBAM non ha rilevato nulla. Ho notato che il database non era aggiornato all'ultima versione.
SuperAntiSpyware ha rilevato parecchi cookies, ma è una cosa normalissima.

Rimuovi Combofix, utilizzando OTC come indicato in questa discussione.

Posta un nuovo log di OTL.

[Amira]

OTL.Txt 2222.txt

[bdoriano]

• Avvia nuovamente OTL (dal desktop)
  
  
• Copia e incolla il testo seguente nel riquadro :
  

  Citazione:

  :OTL PRC - [2011/10/30 01.20.34 | 000,246,600 | ---- | M] () -- C:\Programmi\Common Files\AVG Secure Search\vToolbarUpdater\8.0.1\ToolbarUpdater.exe SRV - [2011/10/30 01.20.34 | 000,246,600 | ---- | M] () [Auto | Running] -- C:\Programmi\Common Files\AVG Secure Search\vToolbarUpdater\8.0.1\ToolbarUpdater.exe -- (vToolbarUpdater) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\AVGIDSShim.Sys -- (AVGIDSShim) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\AVGIDSFilter.Sys -- (AVGIDSFilter) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\AVGIDSEH.Sys -- (AVGIDSEH) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\AVGIDSDriver.Sys -- (AVGIDSDriver) IE - HKU\S-1-5-21-4006777494-162218441-3850407334-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.imesh.net IE - HKU\S-1-5-21-4006777494-162218441-3850407334-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=gppc&s={searchTerms}&f=4 IE - HKU\S-1-5-21-4006777494-162218441-3850407334-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100481&babsrc=SP_ss&mntrId=621c1c2a00000000000000265e20928c IE - HKU\S-1-5-21-4006777494-162218441-3850407334-1000\..\SearchScopes\{1507CC0E-B058-4E24-8CFF-1DF8920E238B}: "URL" = http://websearch.search-results.com/redirect?client=ie&tb=STC-SRS&o=41648025&src=crm&q={searchTerms} IE - HKU\S-1-5-21-4006777494-162218441-3850407334-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://tbsearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=it_IT IE - HKU\S-1-5-21-4006777494-162218441-3850407334-1000\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=621c1c2a00000000000000265e20928c&tlver=1.4.19.19&affID=16553 IE - HKU\S-1-5-21-4006777494-162218441-3850407334-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=dtZaUDSZ2yxZs4tBKgqbgPV-nWk?q={searchTerms} IE - HKU\S-1-5-21-4006777494-162218441-3850407334-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={980D87AC-BFE1-4608-8926-9A3BD38185CF}&mid=d32fda41162418a0cd0c424e34b35467-6c19ab79bf519e60dc335203402e0a87ac60227c&lang=it&ds=AVG&pr=pr&d=2011-10-30 01:20:36&v=8.0.0.34&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-4006777494-162218441-3850407334-1000\..\SearchScopes\{C54FCB23-2B10-4039-80B3-51B8E900ED4C}: "URL" = http://search.avg.com/route/?d=4b2e89e2&v=6.10.6.4&i=23&tp=chrome&q={searchTerms}&lng={language}&iy=b&ychte=us IE - HKU\S-1-5-21-4006777494-162218441-3850407334-1000\..\SearchScopes\{CBD6148F-43B5-473A-8AFC-0CE6445AA10F}: "URL" = http://search.avg.com/route/?d=4b2e89e2&v=6.10.6.4&i=23&tp=chrome&q={searchTerms}&lng={language}&iy=b&ychte=us FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{1E73965B-8B48-48be-9C8D-68B920ABC1C4}: C:\Program Files\AVG\AVG2012\Firefox4\ O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Programmi\iMesh Applications\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll () O2 - BHO: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Programmi\iMesh Applications\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll () O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\Programmi\iMesh Applications\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll () O18 - Protocol\Handler\linkscanner - No CLSID value found @Alternate Data Stream - 148 bytes -> C:\ProgramData\Temp:0E660858 @Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:0B4227B4 @Alternate Data Stream - 131 bytes -> C:\ProgramData\Temp:CE0A077E @Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:561568A4 @Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:9E22BBE8 @Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:41099CE9 @Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:131C0EE9 @Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:B623B5B8 @Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:35759C73 @Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:CDFF58FE @Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:B203B914 @Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:4F636E25 @Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:3064D21D @Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:814B9485 @Alternate Data Stream - 117 bytes -> C:\ProgramData\Temp:8750DCE4 @Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:BB24555F @Alternate Data Stream - 110 bytes -> C:\ProgramData\Temp:E1982A23 @Alternate Data Stream - 110 bytes -> C:\ProgramData\Temp:DFC5A2B2 @Alternate Data Stream - 109 bytes -> C:\ProgramData\Temp:DCAF903C @Alternate Data Stream - 109 bytes -> C:\ProgramData\Temp:798A3728 @Alternate Data Stream - 107 bytes -> C:\ProgramData\Temp:3B3A35EC @Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:ABE89FFE :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] ""=""%1" %*" :Commands [EMPTYTEMP] [EMPTYFLASH] [EMPTYJAVA]

  
  
• clicca
  
• Se richiesto, riavvia il pc
  
• clicca
  
• carica il nuovo log su uno dei servizi di hosting indicati in questa discussione

[Amira]

Ciao,
allora ho fatto come mi hai detto, ho copiato e incollato il testo e poi ho fatto Run Fix, a quel punto, però, mi è apparsa una pagina blu con delle scritte in ing che non ho fatto neanche in tempo a leggere (la prima frase mi sa che diceva che il pc si sarebbe riavviato per evitare di essere danneggiato) poi si è riavviato, ma non ha completato il rinvio perché è rimasto fermo con una pagina di color arancione. Poi l'ho resettato e per fortuna è ripartito correttamente.
E adesso? Non è normale questo comportamento, no?

[bdoriano]

Si, in effetti è un comportamento anomalo.

Segui questa guida per utilizzare WhoCrashed, così cerchiamo di scoprire cosa è successo.
Nel frattempo, ricontrollo le istruzioni che ti avevo postato.

[Amira]

Ciao,
ho seguito le istruzioni, ti copio il risultato:


Welcome to WhoCrashed (HOME EDITION) v 3.04
--------------------------------------------------------------------------------

This program checks for drivers which have been crashing your computer. If your computer has displayed a blue screen of death, suddenly rebooted or shut down then this program will help you find the root cause and possibly a solution.

Whenever a computer suddenly reboots without displaying any notice or blue screen of death, the first thing that is often thought about is a hardware failure. In reality, on Windows most crashes are caused by malfunctioning device drivers and kernel modules. In case of a kernel error, many computers do not show a blue screen unless they are configured for this. Instead these systems suddenly reboot without any notice.

This program will analyze your crash dumps with the single click of a button. It will tell you what drivers are likely to be responsible for crashing your computer. If will report a conclusion which offers suggestions on how to proceed in any situation while the analysis report will display internet links which will help you further troubleshoot any detected problems.


To obtain technical support visit www.resplendence.com/support

Click here to check if you have the latest version or if an update is available.

Just click the Analyze button for a comprehensible report ...



--------------------------------------------------------------------------------
Home Edition Notice
--------------------------------------------------------------------------------

This version of WhoCrashed is free for use at home only. If you would like to use this software at work or in a commercial environment you should get the professional edition of WhoCrashed which also allows analysis of crashdumps on remote drives and computers on the network and offers a range of additional features.

Click here for more information on the professional edition.
Click here to buy the the professional edition of WhoCrashed.



--------------------------------------------------------------------------------
System Information (local)
--------------------------------------------------------------------------------

computer name: PC-IVANA
windows version: Windows Vista Service Pack 2, 6.0, build: 6002
windows dir: C:\Windows
CPU: GenuineIntel Pentium(R) Dual-Core CPU T4200 @ 2.00GHz Intel586, level: 6
2 logical processors, active mask: 3
RAM: 3214831616 total
VM: 2147352576, free: 1996369920



--------------------------------------------------------------------------------
Crash Dump Analysis
--------------------------------------------------------------------------------

Crash dump directory: C:\Windows\Minidump

Crash dumps are enabled on your computer.


On Thu 26/04/2012 21.19.04 GMT your computer crashed
crash dump file: C:\Windows\Minidump\Mini042612-01.dmp
This was probably caused by the following module: cmdguard.sys (cmdguard+0xD07B)
Bugcheck code: 0xF4 (0x6, 0xFFFFFFFF8E22DA40, 0xFFFFFFFF911FC3DC, 0xFFFFFFFF8962CAB0)
Error: CRITICAL_OBJECT_TERMINATION
file path: C:\Windows\system32\drivers\cmdguard.sys
product: COMODO Internet Security Sandbox Driver
company: COMODO
description: COMODO Internet Security Sandbox Driver
Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.
A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: cmdguard.sys (COMODO Internet Security Sandbox Driver, COMODO).
Google query: cmdguard.sys COMODO CRITICAL_OBJECT_TERMINATION




On Thu 26/04/2012 21.19.04 GMT your computer crashed
crash dump file: C:\Windows\memory.dmp
This was probably caused by the following module: cmdguard.sys (cmdguard+0xD07B)
Bugcheck code: 0xF4 (0x6, 0xFFFFFFFF8E22DA40, 0xFFFFFFFF911FC3DC, 0xFFFFFFFF8962CAB0)
Error: CRITICAL_OBJECT_TERMINATION
file path: C:\Windows\system32\drivers\cmdguard.sys
product: COMODO Internet Security Sandbox Driver
company: COMODO
description: COMODO Internet Security Sandbox Driver
Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.
A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: cmdguard.sys (COMODO Internet Security Sandbox Driver, COMODO).
Google query: cmdguard.sys COMODO CRITICAL_OBJECT_TERMINATION





--------------------------------------------------------------------------------
Conclusion
--------------------------------------------------------------------------------

2 crash dumps have been found and analyzed. A third party driver has been identified to be causing system crashes on your computer. It is strongly suggested that you check for updates for these drivers on their company websites. Click on the links below to search with Google for updates for these drivers:

cmdguard.sys (COMODO Internet Security Sandbox Driver, COMODO)

If no updates for these drivers are available, try searching with Google on the names of these drivers in combination the errors that have been reported for these drivers and include the brand and model name of your computer as well in the query. This often yields interesting results from discussions from users who have been experiencing similar problems.


Read the topic general suggestions for troubleshooting system crashes for more information.

Note that it's not always possible to state with certainty whether a reported driver is actually responsible for crashing your system or that the root cause is in another module. Nonetheless it's suggested you look for updates for the products that these drivers belong to and regularly visit Windows update or enable automatic updates for Windows. In case a piece of malfunctioning hardware is causing trouble, a search with Google on the bug check errors together with the model name and brand of your computer may help you investigate this further.