• User

    @Wolf Otakar said:

    **Edit: **JeanGrey, stavo rispondendo mentre postavi! 😄

    ma io ho le ali..sono più veloce! :giggle:
    (scherzo)

    :ciauz:


  • User

    Ragazzi abbiamo vintooooooooooooooooooooooo.

    Il bagle è stato eliminato.

    Ieri sera sono arrivato a casa ho avviato combofix e mi ha riavviato il pc mentre lavorava ho visto che eliminava file e cartelle ma il log non sono riuscito a trovarlo forse in vari passaggi l'ho eliminato.

    Poi ho avviato find kill e posto il log :

    ----------------- FindyKill V4.095 ------------------

    • User : ALBERTO - PC
    • Emplacement : C:\Programmi\FindyKill
    • Outils Mis a jours le 31/10/08 par Chiquitine29
    • Suppression effectuée à 1:06:36 le 04/11/2008
    • Windows XP - Internet Explorer 6.0.2900.2180

    ((((((((((((((( *** Suppression *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wscntfy.exe

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Suppression des fichiers dans 😄

    »»»» Suppression des fichiers dans C:\WINDOWS

    »»»» Suppression des fichiers dans C:\WINDOWS\Prefetch

    Supprimé ! - C:\WINDOWS\Prefetch\E_S10MT1.EXE-04FC0A82.pf
    Supprimé ! - C:\WINDOWS\Prefetch\E_S10RN1.EXE-1666ACA2.pf
    Supprimé ! - C:\WINDOWS\Prefetch\ACRORD32.EXE-024177C5.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DRWTSN32.EXE-2B4B52AC.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DVD SHRINK 3.2.EXE-22FA1A42.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-126F8478.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-12B7EA69.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-14DE9890.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-188DF14E.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-19301221.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1DF8278B.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1E72F1F9.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-22E85CAC.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-279FB1E9.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2964F09C.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2DDC195D.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-30A32F2E.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-390B3626.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3B08B11A.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3B0BC7B0.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3D32A1FB.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3DA83044.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-427082A1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-42B23AC1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-473CC9C8.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-498110B1.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-4A877817.pf
    Supprimé ! - C:\WINDOWS\Prefetch\WINZIP32.EXE-0B71F9CD.pf
    Supprimé ! - C:\WINDOWS\Prefetch\RESCO EXPLORER 2008.EXE-33382CB8.pf
    Supprimé ! - C:\WINDOWS\Prefetch\DW20.EXE-12364FF7.pf
    Supprimé ! - C:\WINDOWS\Prefetch\WINZIP120.EXE-20E2FE48.pf
    Supprimé ! - C:\WINDOWS\Prefetch\BM-AL_2802_PATCH.EXE-33A8367D.pf

    »»»» Suppression des fichiers dans C:\WINDOWS\system32

    »»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers

    »»»» Suppression des fichiers dans C:\Documents and Settings\ALBERTO\Dati applicazioni

    »»»» Suppression des fichiers dans C:\DOCUME~1\ALBERTO\IMPOST~1\Temp

    --------------- [ Registre / Clés infectieuses ] ----------------

    Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
    Supprimé ! - HKEY_USERS\S-1-5-21-1275210071-1708537768-682003330-1003\Software\Local AppWizard-Generated Applications\winfilse

      -> Certaines clés ont été supprimées au reboot ...  
    

    --------------- [ Etat / Redémarage des services ] ----------------

    +- Services : [ Auto=2 Demande=3 Désactivé=4 ]
    Ndisuio - Type de démarrage = 3

    Ip6Fw - Type de démarrage = 2

    SharedAccess - Type de démarrage = 2

    wuauserv - Type de démarrage = 2

    wscsvc - Type de démarrage = 2

    --------------- [ Nettoyage des supports amovibles ] ----------------

    +- Informations :
    😄 - Unit? fissa
    😧 - Unit? fissa

    +- Suppression des fichiers :

    --------------- [ Registre / Moutpoint2 ] ----------------

    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\explore\Command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{2928256c-7591-11dd-807d-00064f6b3bd4}\Shell\open\Command

    --------------- [ Recherche Cracks / Keygen ] ----------------

    C:\Documents and Settings\ALBERTO\Recent\ALCOOL 120% 120 V1.9.5.2802 + CRACK.rar.lnk
    C:\Documents and Settings\ALBERTO\Recent\crack.nfo.lnk
    C:\Documents and Settings\ALBERTO\Recent\Serial + Crack.lnk

    ---------------- ! Fin du rapport ! ------------------

    Ho avviato anche ot move it ma niente log anche quì.

    Alla fine ho istallato avast l'ho avviato e posto il log finale:
    11/04/2008 01:14
    Controllo di tutti i drives locali
    File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000023.exe e infetto da Win32:Trojan-gen {Other}, Cancellato
    File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000059.exe e infetto da Win32:Beagle-AFC [Wrm], Cancellato
    File C:\System Volume Information_restore{323E875C-0510-42CF-8B63-1BEF8C6CB4AD}\RP2\A0000073.exe e infetto da Win32:Beagle-AFC [Wrm], Cancellato
    Numero di cartelle cercate: 4103
    Numero files controllati: 28197
    Numero files infetti: 3

    11/04/2008 01:43
    Controllo di tutti i drives locali
    Numero di cartelle cercate: 4025
    Numero files controllati: 27959
    Numero files infetti: 0

    Ho anche eseguito ccleaner.

    Qualche consiglio?

    Prima di spegnere avast mi aveva trovato un processo in memoria che pensava infettato e provava ad eliminarlo chiedendomi di riavviarlo e fare la scansione ma al riavvio non trovava niente ma il pc và benissimo.


  • Consiglio Direttivo

    Ciao BANG80,

    @BANG80 said:

    Il bagle è stato eliminato.

    🙂

    @BANG80 said:

    Ieri sera sono arrivato a casa ho avviato combofix e mi ha riavviato il pc mentre lavorava ho visto che eliminava file e cartelle ma il log non sono riuscito a trovarlo forse in vari passaggi l'ho eliminato.

    Vedi in: C:\Combofix.txt 😉

    @BANG80 said:

    Qualche consiglio?

    Effettua una scansione completa con, malwarebytes!

    :ciauz:


  • User

    Ok lo farò a pomeriggio.


  • Consiglio Direttivo

    😉


  • User

    Ho un'altro problema da risolvere sul mio pc.
    Vi scrivo ora ma ancora non ho provato malwarebytes.

    Quando accendo il pc esce la prima schermata del bios, poi lo schermo diventa nero e la luce della cpu si spegne aspett tipo 20-25 secondi e poi si accende la luce dopo altri 20-25 secondi esce la schermata di windows dove scorre la barra, poi quella blu di xp e alla fine il desktop ma bisogna aspettare altri 20-25 secondi per poterci lavorare.

    Io vorrei eliminare quell'attesa che ha il pc con la luce verde...cosa sarà mai?
    grazie


  • User

    Forse c'è l'ho fatta ad eliminare tutto.
    questo è il report di malwarebytes:
    Malwarebytes' Anti-Malware 1.30
    Versione del database: 1306
    Windows 5.1.2600 Service Pack 2
    05/11/2008 19.26.55
    mbam-log-2008-11-05 (19-26-55).txt
    Tipo di scansione: Scansione completa (C:|D:|)
    Elementi scansionati: 64537
    Tempo trascorso: 24 minute(s), 46 second(s)
    Processi delle memoria infetti: 0
    Moduli della memoria infetti: 1
    Chiavi di registro infette: 0
    Valori di registro infetti: 1
    Elementi dato del registro infetti: 1
    Cartelle infette: 0
    File infetti: 3
    Processi delle memoria infetti:
    (Nessun elemento malevolo rilevato)
    Moduli della memoria infetti:
    C:\WINDOWS\system32\ckvo0.dll (Trojan.Agent) -> Delete on reboot.
    Chiavi di registro infette:
    (Nessun elemento malevolo rilevato)
    Valori di registro infetti:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kamsoft (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
    Elementi dato del registro infetti:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
    Cartelle infette:
    (Nessun elemento malevolo rilevato)
    File infetti:
    C:\WINDOWS\system32\ckvo.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\ckvo0.dll (Trojan.Agent) -> Delete on reboot.
    C:\xih9.cmd (Trojan.Agent) -> Quarantined and deleted successfully.

    Alla fine della scansione ho fatto elimina i file e mi ha chiesto di riavviare per poter eliminare il file ckvo.exe e al riavvio, un pò forsato pechè si era bloccato in fase di spegnimento, ho rifatto la scansione e 0 file e processi infetti.

    Cosa devo fare altro?
    avete soluzioni per il quesito della mia domanda precedente?

    Grazie


  • User

    Ciao BANG80, suggerisco di fare un pò pulizia del sistema con CCleaner *
    ccleaner.com/download*
    Scheda pulizia > avvia pulizia
    Scheda registro > trova problemi > ripara selezionati (confermando per il backup)

    Esegui una deframmentazione ed uno scandisk

    Esegui un log di Hijackthis e copialo nella tua risposta
    trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    Leggi queste info: microsoft.com/italy/pmi/comefare/tecnologia/avvioveloce/default.mspx

    Nota: i link non sono attivi, ricorda di aggiungere il protocollo

    :ciauz:


  • User

    Non posso usare anche bootVis-tool?
    Ccleaner l'ho già usato.


  • User

    Certo che puoi usarlo 🙂


  • User

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18.06.06, on 07/11/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programmi\Alwil Software\Avast4\ashServ.exe
    C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programmi\ActiveSync\wcescomm.exe
    C:\PROGRA~1\ACTIVE~1\rapimgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    O4 - HKLM..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
    O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU..\Run: [H/PC Connection Agent] "C:\Programmi\ActiveSync\wcescomm.exe"
    O4 - HKCU..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
    O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
    O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe

    End of file - 5115 bytes


  • User

    Ciao BANG80, non vedo i link delle voci R0 R1, quindi non so se ci sono redirect, ma c'è sicuramente un file infetto: ckvo.exe
    w w w.bleepingcomputer.com/startups/ckvo.exe-23750.html

    Con tutte le applicazioni chiuse e disconnesso da internet
    Avvia Hijack e clicca su "do a system scan only"
    Metti la spunta a queste voci e clicca su "fix checked"

    O4 - HKCU..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe

    Elimina manualmente, in modalità provvisoria
    C:\WINDOWS\system32*ckvo.exe*
    Controlla anche che non ci siano queste dll
    C:\WINDOWS\system32**ckvo0.dll
    *C:\WINDOWS\system32*ckvo1.dll

    Oppure puoi usare Avenger
    http:/ /swandog46.geekstogo.com/avenger.zip

    Lo salvi in una cartella, scompatti il file .zip
    Individua avenger.exe, lo avvii
    Inserisci questo script nel box bianco

    Files to delete:
    C:\WINDOWS\system32\ckvo.exe

    C:\WINDOWS\system32\ckvo0.dll
    C:\WINDOWS\system32\ckvo1.dll

    Clicca su Execute
    Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)
    Posta il log che verrà creato in C:\Avenger

    :ciauz:


  • User

    Quel file l'ho già cancellato almeno spero.
    Oggi rifaccio uno scan e ti faccio sapere.