Olimpo Informatico

chemicalbit · Dio maturo Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano

Vi posto qui un log di HijackThis per controllare se il computer di una mia amica sia pulito.

Prima di far questo log ho controllato con Lavasoft Adaware (che ha trovato solo un po' di cookie traccianti)
e Spybot Search & Destroy (che trovato due problemi relativi al firewall di windows disbilitato e al security center sempre di windows disabilitato -o qualcosa del genere).
La mia amica in precedenza aveva controllato con AVG antivirus senza trovare nulla (ma non so quanto tempo fa)

bdoriano

Ciao chemical, Ciao

Direi che la tua amica ha diversi ospiti. Rolling Eyes

chemicalbit · Dio maturo Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano

Infatti quel "notepaad" mi chiedevo che fosse, e mi puzzava alquanto.

p.s. : devo anche farle cancellare dei file?

bdoriano

I files dovrebbero essere "isolati" da hijackthis.
Prima di farle cancellare files "a mano", verifichiamo se i passaggi che ti ho indicato funzionano. Smile

chemicalbit · Inviato: 07 Mar 2008 12:28 Oggetto:

Ecco, finalmente sono riuscito a passare dalla mia maica a ripulirle il PC
(le avevo spiegato come farlo, ma sapete com'è solo un nome-scioglilingua come Hijackthis incute paura Confused

in chi non è pratico di rimozione malware)

Riprendo quindi questa discussione. (Meno male che avevo messo un titolo facile da ritrovare a questa discussione, se mettevo solo Hijackthis non lo trovavo più Wink

)

chemicalbit · Inviato: 20 Apr 2008 14:50 Oggetto:

chemicalbit · Inviato: 20 Apr 2008 16:10 Oggetto:

E adesso le novità di oggi:
non riesce più a connettrsi ad internet.

A volte appena acceso il computer riesce a connettersi, a vedere una pagina, ma poi quando si sposta su altre pagine, Internet Explorer le chiede di connettersi. Lei dice di farlo, ma quando poi prova a richiamare una pagina ottiene lo stesso messaggio (disconnesso, connettersi?)

Per certi versi però risulta connessa, rimane l'icona della connessione nell'area di notifica
E rimane anche con start --> connetti a --> tutte le connesioni e poi click sulla connessione di Alice, tastodestro , disconnetti.

Una volta capita un po' la situazione (al telefono non è stato facile),
le ho fatto controllare le impostazioni delle connessioni internet (opzioni internet da pannello di controllo o da internet explorer, scheda connessioni)
(le ho fatto cambiare da "utilizza sempre la connessione di remota predefinita" in "usa una connessione remota se non è disponibile una connessione di rete" ma senza risultati).

Poi ho saputo che due volte c'è stato un crash di lsass.exe ,
con un messaggio d'errore (diqualcosa tipo "NT Authority Error", che diceva che lsass.exe aveva causato un errore) con una sorta di "conto alla rovescia" dopo il quale il computer si è spento (o resettato, non ricordo).

le ho fatto controllare da task manager e ha solo lsass.exe (l minuscola) e non Isass.exe ( I maiuscola, so che c'è unvirus che usa 'sta..furbata) in esecuzione.

Le ho fatto rinstallare il cd d'installazione di Alice (ADSL .) ,
che ha rimosso i driver del modem (è un modem USB. Driver "sagem fast" o qualcosa del genere) .
Rieseguendo il cd li ha rinstallati,
e poi le ho fatto installare (rilanciandolo ancora quel cd, ma scegliendo un'altra opzione) un aggiornamento di Internet Explorer. Ovviamente è un aggiornamento che c'era su quel vecchio Cd (vecchio ormai di anni), ma ora perlomeno ha SP1.

A quel punto (dopo un primo momento in cui Alice non le dava la portante ADSL, vabbe... ci mancava pure quello),
è riuscita a connettersi, ha visto 2 o 3 pagine, poi il computer si è inchiodato compeltamente (probabilmente cpu al 100%) e ha dovuto spegnere il computer.

chemicalbit · Inviato: 20 Apr 2008 19:02 Oggetto:

Qualche telefonata dopo ...

ora il PC (windows XP home , a questo punto SP1) non "vede" più il modem ADSL usb (qualcosa tipo "Telecom Sagesem SA 0408-B066627 251455115AA")

Ho provato a dirle di aprire http://192.168.1.1/ (sperando che funzioni come il mio, che risponde a quell'indirizzo ... ) ma non risponde, e non risponde neanche ai ping.

Da pannello di controllo , sistema, hardwarem, gestione periferiche, ecc. ,
non risulta nulla connesso alle porte usb.

Il modem ha a volte (anzi, spesso) il secondo dei due led (il primo indica che ariva corrente -dal cavo usb, non ha altra alimentazione- , il secondo presumo indichi la presneza di "linea" ADSL)

dicevo:
ha il secondo dei due led che a volte (anzi spesso) è acceso perfino a filo del telefono staccato.

altre volte (come dicevo in un mio post prima), a filo attaccato è spento.

bdoriano · Inviato: 20 Apr 2008 20:38 Oggetto:

Falle fare le seguenti operazioni (scaricando i programmi necessari da un altro pc):

Disabilita il ripristino di sistema.
Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
Scarica Norman Malware Cleaner.
Avvia il pc in modalità provvisoria.
Avvia Norman Malware Cleaner e fagli fare la scansione completa.
Viene generato un log sul desktop chiamandolo NFix_2008-04-gg_hh-mm-ss.log, alla fine della scansione caricalo su FreeFileHosting come indicato qui e posta il link che ti viene assegnato.
Segui le istruzioni di questo topic per postare il log di combofix.

chemicalbit · Inviato: 20 Apr 2008 23:57 Oggetto:

Domanda un po' strana/supida.

Visto che devo aggiornare mettendo il service pack 2 di Windows XP (vedere sopra),
lo metto prima di fare quelle operazioni

o prima ripulisco e poi mettoil service pack?

bdoriano · Inviato: 21 Apr 2008 07:25 Oggetto:

chemicalbit · Inviato: 21 Apr 2008 16:32 Oggetto:

Ok, le ho passato i programmi necessari.

Lei mi ha portato il log di HijackThis (il pogramma era rimasto sul suo hard disk dall'altra volta, meno male) generato ieri sera -quindi ovviamente prima dell'esecuzione dei programmi che mi avete detto di utilizzare.

(In pratica abbiamo fatto uno scambio al volo, io le ho pasasto una cosa e lei mene ha passata un'altra. Chi c'ha visto c'avrà preso per due spie)

chemicalbit · Inviato: 21 Apr 2008 17:11 Oggetto:

Sempre per la serie domande strane Dubbio

bdoriano · Inviato: 21 Apr 2008 21:37 Oggetto:

Norman Malware Cleaner è abbastanza semplice da usare: Mr. Green

Si avvia
si accetta la licenza
si clicca Start Scan
si attende la fine della scansione

Ok per tutto il resto. Very Happy

chemicalbit · Inviato: 23 Apr 2008 17:00 Oggetto:

Riguardando ora mi sono accorto che doveva fare anche combofix
(cioè, probabilmente l'avevo letto, ma poi me ne sono scordato ...)

Però perlomeno il programma combofix le l'ho passato (assieme ad altri programmi, per abbondare: non ero sicuro che saremmo riusciti ad incontrarci), vedo se riesco a farlelo fare oggi, così per domani ce l'ho.

Log di Norman Malware Cleaner:
NFix_2008-04-22_18-49-03.log

bdoriano · Inviato: 23 Apr 2008 17:05 Oggetto:

Norman ha ripristinato una chiave di registro e cancellato alcuni files creati da un virus.
Appena posti il log di combofix vediamo cos'altro c'è da fare. Wink

chemicalbit · Inviato: 23 Apr 2008 20:04 Oggetto:

Ecco il log di combofix

ComboFix 08-04-20.2 - stefania 2008-04-23 18.28.31.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.0.1252.1.1040.18.96 [GMT 2:00]
Eseguito da: C:\Documents and Settings\stefania\Documenti\COSE DA SALVARE\antivirus giorgio2\Altri\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Temp\isgTi19
C:\WINDOWS\system32\nGpxx01
C:\WINDOWS\system32\pac.txt

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RDRIV

((((((((((((((((((((((((( Files Creati Da 2008-03-23 al 2008-04-23 )))))))))))))))))))))))))))))))))))
.

2008-04-22 17:42 . 2008-04-22 17:42 <DIR> d-------- C:\Programmi\CCleaner
2008-04-20 17:15 . 2008-04-20 17:15 <DIR> d-------- C:\Programmi\SAGEM
2008-04-20 17:15 . 2004-01-28 15:42 1,531,904 --a------ C:\WINDOWS\adiras.exe
2008-04-20 12:13 . 2008-04-20 12:13 <DIR> d-------- C:\WINDOWS\Cronologia

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-23 15:29 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\OpenOffice.org2
2008-04-22 16:21 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-04-20 15:15 22 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-04-20 15:15 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-04-20 12:18 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\AVG7
2008-03-02 16:53 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\PCF-VLC
2008-03-02 16:00 --------- d-----w C:\Programmi\Miro
2008-03-02 16:00 --------- d-----w C:\Documents and Settings\stefania\Dati applicazioni\Participatory Culture Foundation
2008-03-02 15:57 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\AVG7
2008-03-02 13:28 --------- d-----w C:\Programmi\IrfanView
2007-04-25 18:13 34,304 --sha-w C:\Programmi\Thumbs.db
2005-05-15 05:10 56 --sh--r C:\WINDOWS\system32\A0DE8C0F4E.sys
2005-05-15 05:10 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-31 14:00 13312]
"MSMSGS"="C:\Programmi\Messenger\msmsgs.exe" [2001-08-02 08:14 1077277]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-04 14:58 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSERIAL"="sm56hlpr.exe" [2000-11-22 05:40 462848 C:\WINDOWS\sm56hlpr.exe]
"AdaptecDirectCD"="C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" [2001-09-14 12:34 655360]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-01-20 10:57 579072]
"RealTray"="C:\Programmi\Real\RealPlayer\RealPlay.exe" [2005-07-25 17:52 26112]
"!AVG Anti-Spyware"="C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Starting up"="wvsvc.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-31 14:00 13312]
"Modem Driverz Updates"="mdmdrv.exe" []
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-28 10:58 219136]

C:\Documents and Settings\stefania\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 2.3.lnk - C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 22:57:56 393216]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
DSLMON.lnk - C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-04-20 17:15:19 962663]
EPSON Status Monitor 3 Environment Check 2.lnk - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2002-07-09 17:58:26 128000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"vidc.yv12"= yv12vfw.dll
"msacm.ac3acm"= ac3acm.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Sound Service]
@="Service"

S2 AIM;AOL Instant Messanger;"C:\WINDOWS\aim.exe" []

.
Contenuto della cartella 'Scheduled Tasks'
"2008-04-23 16:38:01 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programmi\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-23 18:33:13
Windows 5.1.2600 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.bin
.
**************************************************************************
.
Ora fine scansione: 2008-04-23 18:38:39 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-23 16:38:34

10 Directory 8,073,822,208 byte disponibili
13 Directory 8,003,190,784 byte disponibili

105

bdoriano · Inviato: 23 Apr 2008 20:34 Oggetto:

Anche combofix ha eliminato qualcosina.
Ci sono un paio di voci sospette... Think

Fagli fare le seguenti operazioni:

chemicalbit · Inviato: 23 Apr 2008 21:25 Oggetto:

bdoriano · Inviato: 24 Apr 2008 09:31 Oggetto:

Scusami, sono operazioni che considero scontate e mi dimentico di specificarle. Razz

scansionare tutti i dischi.
rimozione senza pietà di tutto quello che trova.
scansione dalla modalità provvisoria
Security level: reccomended