Olimpo Informatico

[oldman50]

Salve ragazzi, avete idea di cosa possa significare questo IDE Controller
che cambia definizione ogni volta che riavvio , dopo averlo disinstallato ?
http://www.xtremeshack.com/immagine/i13826_IdeController.JPG
Naturalmente ho già effettuato varie scansioni, senza risultato, con Combofix, drweb cureit, prevx, spybot search & destroy,MalwareBytes, Superantispyware. ( Windows XP Pro SP 3 ). Grazie

[Sante62]

Ciao oldman50

Probabilmente i driver non sono stati disinstallati correttamente;

Clicca sulla periferica col tasto destro e scegli proprietà;

Apri la sezione dei driver e disinstallali...

Il punto esclamativo, indica che vi è conflitto oppure che non trova tutto il resto...

[oldman50]

Come avevo detto ieri, i driver li ho già più volte disinstallati, ma al riavvio di Windows la periferica si ripresenta con il Punto Esclamativo Giallo.
Ora , per esempio, è cosi:
http://www.xtremeshack.com/immagine/i13997_IdeController.bmp
Ho anche preso nota del servizio relativo alla periferica, e, dopo aver fatto una ricerca nel registro con la definizione del servizio, ho eliminato manualmente tutte le voci trovate : al riavvio le chiavi si sono ricreate.
Questo è l'ID istanza periferica:
ACPI\PNPA000\4&5D18F2DF&0
e questa è la definizione attuale del servizio: aqahzexg, mentre ieri era : a4huv7tz
E' per questo che ho pensato ad un malware, per il modo in cui riesce a cambiare la definizione del Driver.

[Sante62]

[*] Segui le istruzioni di questo topic per postare il log di HiJackThis.

Scarica e lancia GetServices;

Alla fine si aprirà il blocco note con il risultato che posterai con le stesse modalità di HJT.

[oldman50]

Ecco il log di HjT:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:22, on 2009-03-25
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Avira\Avira Premium Security Suite\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\Avira Premium Security Suite\avguard.exe
C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
C:\Programmi\Avira\Avira Premium Security Suite\avesvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\LogMeIn\x86\LogMeIn.exe
C:\Programmi\LogMeIn\x86\LMIGuardian.exe
C:\Programmi\McAfee\SiteAdvisor\McSACore.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\HPHipm11.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programmi\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\siteadvisor\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\siteadvisor\mcieplg.dll
O4 - HKLM\..\Run: [StartupDelayer] "C:\Programmi\r2 Studios\Startup Delayer\Startup Launcher GUI.exe"
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229038833218
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229038765875
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED565B17-7AE4-4DE4-A7CA-AFDA3174C547}: NameServer = 193.12.150.2,212.247.152.2
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\siteadvisor\mcieplg.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: McAfee Application Installer Cleanup (0038181237418457) (0038181237418457mcinstcleanup) - Unknown owner - C:\WINDOWS\TEMP\0038181237418457mcinst.exe (file missing)
O23 - Service: Firewall Avira Premium Security Suite (AntiVirFirewallService) - Avira GmbH - C:\Programmi\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programmi\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Scheduler Avira Premium Security Suite (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programmi\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servizio assistenza di Avira Premium Security Suite MailGuard (AVEService) - Avira GmbH - C:\Programmi\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programmi\LogMeIn\x86\LogMeIn.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programmi\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)

--
End of file - 6918 bytes

N.B. i logs vanno caricati su wikisend o freefilehosting.

[Sante62]

Non riesco a localizzare le chiavi di quel servizio/driver;

Intanto ci sono residui dell'antivirus McAfee ancora installati, anche se non credo sia quello il problema.

Quindi localizza questi servizi da Pannello di controllo -> Prestazioni e manutenzione -> Strumenti di amministrazione -> Servizi:

[oldman50]

Ho disattivato i servizi McAfee, ho disinstallato SiteAdvisor ( in verità non si trattava di residui della disinstallazione dell' Antivirus, ma del componente aggiuntivo Site Advisor per Firefox, che indica i siti da evitare durante la navigazione in Internet).
Ho effettuato la scansione con Kaspersky Virus Removal Tool, che non ha trovato nulla.
Questo è il percorso delle chiavi relative al Driver Sospetto:
Ricerca effettuata per ID istanza periferica "ACPI\PNPA000\4&5D18F2DF&0":
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avrayrca\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avrayrca\Enum

Ricerca effettuata per il servizio "avrayrca" ( il nome del servizio cambia ad ogni riavvio, dopo disinstallazione della periferica):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\ACPI\PNPA000\4&5d18f2df&0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\ACPI\PNPA000\4&5d18f2df&0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\avrayrca
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI\PNPA000\4&5d18f2df&0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avrayrca

[Sante62]

Ho l'impressione che si tratti di un rootkit, che però non riesco a localizzare in questo modo.

Dovresti cortesemente fare la scansione con Systemscan e caricare il log come ho già indicato in un post precedente....

[oldman50]

Grazie Totocellux, sono io che ti chiedo " cortesemente " di interessarti ancora del mio problema.
Ecco il report di Systemscan:
Systemscan report.txt

[Sante62]

Purtroppo non c'è traccia nemmeno in questo log delle chiavi in questione, a meno che non sfugga a me.

Facciamo un altro tentativo;

individua il servizio che cambia nome ogni volta;

una volta individuato, dal pannello servizi, vedi se è presente;

se è presente, cliccaci sopra col destro->Proprietà;

assicurati che sia sul tab Generale;

Alla voce Percorso file eseguibile, vedi se risulta un file del genere, cioè il percorso di un file eseguibile;

Apri il task manager, e controlla tra i processi se qualcuno di questi ti sembra strano o sospetto e prova a terminarlo. Potrebbe essere lo stesso di quello nel percorso file eseguibile del pannello servizi.

PS: chi è Totocellux?

[oldman50]

Innanzitutto scusa per il lapsus : Totocellux opera in un altro Forum !
Per quanto riguarda il servizio da individuare, ora si chiama " akb2sxi9 ",
ma non compare con questa definizione tra i servizi di Windows, a meno che non si nasconda sotto altro nome.
Sto provando a guardare tutti i servizi attivi, per vedere se trovo qualche indizio.

[Sante62]

Guarda anche il task manager...

[oldman50]

Ho controllato tutti i processi attivi con " Process Explorer " e non sembra esserci nulla di sospetto, Una domanda: rundll32.exe è normale che sia permanentemente attivo? Process Explorer lo abbina al Servizio della scheda di rete (Marvell Yukon Service - yksvc)

[Sante62]

Si, l'avevo notato, ma ho preferito fare ulteriori controlli.

Puoi provare a terminare quel servizio, controllando però se poi funziona la scheda di rete...

Un altra cosa. Non avevi già risolto un problema simile recentemente?

[oldman50]

Terminato rundll32.exe: la scheda di rete funziona comunque, ma
al riavvio il processo ricompare nel Task manager.
L'Ide controller è sempre li, sia dopo aver terminato il processo, che dopo il riavvio.
Non mi risulta di aver avuto di recente un problema simile ne tantomeno di averlo risolto. ( magari !)
Che cosa te lo fa pensare ?

[Sante62]

[oldman50]

Non volevo assolutamente nascondere nulla, non pensavo che ti riferissi alla richiesta che avevo fatto la settimana scorsa sull'altro forum.
Il fatto è che tu mi hai chiesto se avevo " risolto " di recente un problema simile: la verità è che non ho risolto proprio nulla, ed è proprio per questo che ho voluto fare un'altro tentativo, facendo un' ulteriore richiesta di aiuto sul vs. Forum.
Se hai letto l'altro thread, avrai anche letto come si concluso:
" in questo periodo purtroppo non ho molto tempo a disposizione, ed è veramente arduo trovare il punto di innesto di un malware così progredito, non avendo a portata di mano la tastiera del tuo pc."
Mi scuso del malinteso, ma sono stato tratto in inganno dal modo in cui mi hai posto la domanda, proprio perchè. appunto, non ho mai risolto un problema simile prima d'ora.
Per tornare a noi, se termino rundll32.exe da Task Manager, si stoppa anche il servizio della scheda di rete.

[Sante62]

[oldman50]

Ho scaricato e installato la patch di Microsoft e ho fatto lo scan con BitDefender e Fsecure : non hanno trovato nulla.
Beh, se non hai altre idee, direi di gettare la spugna, soprattutto per non abusare troppo della tua disponibilità.
Del resto non possiamo dire di non averci provato...
Farò un bel repulisti e ripartirò con un sistema nuovo di zecca.
Grazie di tutto.

[Sante62]

Di nulla....è stato un piacere.

Mi dispiace di non esserne venuti a capo, ma questa cosa è comunque molto strana. Abbiamo fatto tutte le prove possibili.