14 replies to this topic

[zed73]

Sono due giorni che cerco di risolvere il mio problema senza successo.
Credo di avere un grosso problema di sicurezza e dovendo accedere quotidianamente da casa alla rete aziendale, non sono per niente tranquillo.
Quando avvio il computer i programmi in esecuzione automatica sulla barra delle applicazioni non si aprono più (l'antivirus AVG 8, Spybot - Search & Destroy, Skype, DAEMON Tools Lite, il multifunzione Epson, ecc.); nel Task Manager di XP l'antivirus AVG 8 sembrerebbe in funzione, ma il Teatimer di "Spybot-S&D" e gli altri programmi non ci sono più. Ho provato ad aprire il file di registro di XP con il comando regedit in esegui del Menù di avvio ma non si apre (il desktop scompare e dopo 2 secondi riappare senza aprire il file di registro). Tra le altre cose ogni tanto quando apro una pagina web con "Firefox", qualche volta al posto del link che ho aperto si aprono pagine pubblicitarie ed inoltre il tasto sinistro del mio mouse è impazzito (non riesco più a selezionare nulla, ma funziona sempre come se facessi doppio click).
Ho fatto una scansione manuale con "AVG 8", "Ad-Aware", "a-squared Free", "Spybot-S&D" e l'Antivirus Symantec Online , ma non hanno trovato niente, poi ho seguito la vostra "guida base alla disinfezione rapida" e "MalwareByte" ha trovato diversi files, valori e chiavi di registro infetti.

[/code]
 
 Malwarebytes' Anti-Malware 1.34
 Versione del database: 1798
 Windows 5.1.2600 Service Pack 3
 
 24/02/2009 16.07.27
 mbam-log-2009-02-24 (16-07-27).txt
 
 Tipo di scansione: Scansione completa (C:\|E:\|)
 Elementi scansionati: 126856
 Tempo trascorso: 1 hour(s), 10 minute(s), 41 second(s)
 
 Processi delle memoria infetti: 0
 Moduli della memoria infetti: 0
 Chiavi di registro infette: 11
 Valori di registro infetti: 16
 Elementi dato del registro infetti: 1
 Cartelle infette: 14
 File infetti: 5
 
 Processi delle memoria infetti:
 (Nessun elemento malevolo rilevato)
 
 Moduli della memoria infetti:
 (Nessun elemento malevolo rilevato)
 
 Chiavi di registro infette:
 HKEY_CLASSES_ROOT\CLSID\{a3628b71-12f5-82e7-9b56-0d7e91241adb} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
 HKEY_CLASSES_ROOT\msvcl1.bhoapp (Trojan.BHO) -> Quarantined and deleted successfully.
 HKEY_CLASSES_ROOT\msvcl1.bhoapp.1 (Trojan.BHO) -> Quarantined and deleted successfully.
 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e596df5f-4239-4d40-8367-ebadf0165917} (Rogue.Installer) -> Quarantined and deleted successfully.
 HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
 HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a3628b71-12f5-82e7-9b56-0d7e91241adb} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\rhclbwj0ep0a (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dnlsvc (Rootkit.Agent) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect (Trojan.Agent) -> Quarantined and deleted successfully.
 
 Valori di registro infetti:
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ADriver (Trojan.Clicker) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\DriverCheck (Trojan.Clicker) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\DriverLoad (Trojan.Clicker) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\FDriver (Trojan.Clicker) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\SystemDriver (Trojan.Clicker) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\SystemDriverLoad (Trojan.Clicker) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\alpha (Trojan.Agent) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\beta (Trojan.Agent) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ddriver (Trojan.Agent) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\gamma (Trojan.Agent) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost (Trojan.Clicker) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost1 (Trojan.Clicker) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost2 (Trojan.Clicker) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost3 (Trojan.Clicker) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost4 (Trojan.Clicker) -> Quarantined and deleted successfully.
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhclbwj0ep0a (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
 
 Elementi dato del registro infetti:
 HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 
 Cartelle infette:
 C:\Documents and Settings\Administrator\Dati applicazioni\rhclbwj0ep0a (Rogue.Multiple) -> Quarantined and deleted successfully.
 C:\Documents and Settings\Administrator\Dati applicazioni\rhclbwj0ep0a\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
 C:\Documents and Settings\Administrator\Dati applicazioni\rhclbwj0ep0a\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
 C:\Documents and Settings\Administrator\Dati applicazioni\rhclbwj0ep0a\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
 C:\Documents and Settings\Administrator\Dati applicazioni\rhclbwj0ep0a\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
 C:\Documents and Settings\Administrator\Dati applicazioni\rhclbwj0ep0a\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
 C:\Documents and Settings\Administrator\Dati applicazioni\rhclbwj0ep0a\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
 C:\Documents and Settings\Administrator\Dati applicazioni\rhclbwj0ep0a\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
 C:\Documents and Settings\Administrator\Dati applicazioni\rhclbwj0ep0a\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
 C:\Documents and Settings\Administrator\Dati applicazioni\rhclbwj0ep0a\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
 C:\Documents and Settings\Administrator\Dati applicazioni\rhclbwj0ep0a\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
 C:\Documents and Settings\LocalService\Dati applicazioni\sysproc64 (Trojan.Agent) -> Quarantined and deleted successfully.
 C:\Programmi\altcmd (Trojan.Agent) -> Quarantined and deleted successfully.
 C:\WINDOWS\system32\sysproc64 (Trojan.Agent) -> Quarantined and deleted successfully.
 
 File infetti:
 C:\Documents and Settings\LocalService\Dati applicazioni\sysproc64\sysproc32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
 C:\Programmi\altcmd\uninstall.bat (Trojan.Agent) -> Quarantined and deleted successfully.
 C:\WINDOWS\crock+mock.config (Worm.Zhelatin) -> Quarantined and deleted successfully.
 C:\WINDOWS\system32\sysproc64\sysproc32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
 C:\WINDOWS\system32\sysproc64\sysproc86.sys (Trojan.Agent) -> Quarantined and deleted successfully.
  
 [code]

Nonostante "Malwarebytes" abbia eliminato diversi file infetti non è cambiato nulla. Non sapendo se l'antivirus "AVG 8" e il firewall di XP funzionano correttamente e per il fatto che non sono protetto da "Spybot-S&D", come ho gia detto prima non sono tranquillo.
Spero che qualcuno sia in grado di aiutarmi.
Ringrazio tutti.

Allego il log di "Hijackthis".

Allega File

•  hijackthis.log   9.58KB   4 Numero di downloads

[angelique]

Ciao zed73,
Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

O4 - HKLM\..\Policies\Explorer\Run: [CDriver] c:\google.com\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [m1vtf95wGz] C:\Documents and Settings\All Users\Dati applicazioni\raboxono\rajetory.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll

Esegui combofixed allega il report

[zed73]

Ciao.

Ti ringrazio.

Ho fixato le voci che mi hai detto, ma Combofix non ne vuole sapere di funzionare (ho scaricato il file, ma quando clicco su esegui, dopo si vede solo la barra di caricamento e una volta scomparsa non succede niente).

Mi puoi consigliare come fare a farlo funzionare o mi puoi indicare un altro programma simile di cui posso allegarti il report?

[angelique]

Controlla che Combofix sia sul desktop

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\combofix.exe" /killall

[zed73]

Ho provato ma non funziona.

può essere che AVG 8 forse è attivo e non sono in grado di disattivarlo perchè non appare sulla barra delle applicazioni; se è per questo motivo quale di questi processi devo terminare?:

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe

Devo essere scollegato da internet per usare Combofix? (ho provato anche scollegandomi, ma non funziona)

[angelique]

Elimina combofix che hai...

Scarica Combofix sul desktop (usa IE)
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file", cambia il nome che ti appare in abc.exe e salvalo obbligatoriamente sul desktop)

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK
(se usi vista start > tutti i programmi accessori > esegui
se tutto va bene parte il programma che potrebbe impiegare molto
attendi pazientemente il termine delle operazioni e posta il report C:\ComboFix.txt.

Se non dovesse funzionare segui le indicazioni per SDFix (tool n.2)

[zed73]

Anche seguendo le tue ultime indicazioni Combofix non ne vuole sapere di funzionare.

Proverò ad usare SDFix sperando di non combinare un guaio peggiore data la mia inesperienza nel campo.

Ti ringrazio per il tuo supporto sperando che almeno SDFix funzioni.

[zed73]

Ho provato con tutte e tre le modalità provvisorie, ma con le prime due quando provo ad avviare RunThis.bat il prompt dei comandi non parte e di apre una finestra dal titolo "desktop" che dice:

Windows è in esecuzione in modalità provvisoria. La modalità provvisoria è una modalità diagnostica che consente di correggere i problemi causati da impostazioni non corrette di rete o hardware. Accertarsi che queste impostazioni siano corrette nel pannello di controllo, quindi provare a riavviare windows. In modalità provvisoria alcune periferiche potrebbero non essere disponibili.

Per continuare a lavorare in modalità provvisoria, scegliere sì. Se si preferisce utilizzare ripristino configurazione di sistema per ripristinare una precedente configurazione del sistema, scegliere no.

io scelgo sì e mi riporta al desktop (ho riprovato più volte ma mi riappare sempre la stessa finestra)


Ho provato a riavviare in modalità provvisoria con comandi prompt dos, si avvia il prompt, avvio il file RunThis.bat e il prompt scompare e rimane solo la schermata del desktop in modalità provisoria senza icone. l'unica cosa che dopo riesco a far apparire e il Task Manager con il comando CTRL+ALT+CANC , nella cartella Applicazioni non c'è nessuna Operazione in esecuzione, neanche il Prompt, e l'unica cosa che riesco a fare è spegnere il computer tramite il Task Manager (ho seguito tutte le indicazioni)

Devo provare a digitare in esegui "%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe" ???

E' normale che quando si sta avviando windows in modalità provvisoria appaia questo messaggio?:

"press esc to cancell loading sptd.sys"

Non so più cosa fare.

E' possibile che un malware abbia disattivato il prompt e il file di registro per impedire di fixare i cambiamenti fatti al registro di windows??? (in passato mi era successo di essere stato infettato da un virus, che, fingendosi un antivirus ( antivirus windows 2008: se non mi sbaglio si chiamava "Miltraut" o qualcosa del genere), bloccava il pannello di controllo, ma una volta usato Spybot S&D, AVG 8 e fixato con HijackThis ero riuscito a risolvere il problema.

Ti ringrazio per il tuo aiuto e per la tua pazienza.

[angelique]

Ciao zed73,
Scarica ELIBAGLA
Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata e clicca su Explorar
Posta il log C:\InfoSat.txt
Il download lo trovi in fondo alla pagina:


Scarica Findykill e segui le indicazioni a fondo pagina
allega il report

[zed73]

Ciao Angelique.

Grazie per avermi risposto.

Ho seguito le tue indicazioni e dai report dei due programmi mi sembra di aver capito che non sono infetto e che il firewall di windows e l'antivirus AVG 8 funzionano, allora a cosa può essere dovuto che il file di registro non è più accessibile, Spybot S&D non è più attivo, i programmi in esecuzione automatica non ci sono nel Task Manager di windows e non appaiono più sulla barra delle applicazioni, il tasto sinistro del mouse non funziona correttamente e quando navigo con Firefox invece della pagina desiderata si aprono quasi sempre siti pubblicitari?

Non riesco proprio a capire a cosa siano dovuti questi malfunzionamenti di Windows XP.

Mi sai consigliare come riattivare Spybot S&D, visto che da quanto ho capito non sono più protetto dagli Spywares e da modifiche non desiderate al file di registro?

Allego come mi hai detto i report.

Ti ringrazio nuovamente per il tuo aiuto.

Allega File

•  InfoSat.txt   594bytes   1 Numero di downloads
•  FindyKill.txt   2.87KB   1 Numero di downloads

[angelique]

Ciao zed73

Spybot si attiva dal resident, anche se io non ti consiglio di attivarlo...


Scarica ed esegui questa utility

[zed73]

Ciao Angelique.

Ho usato le opzioni tools:
1 ) Abilita task manager e regedit
3 ) Imposta "Shell" = "Explorer.exe"
5 ) Abilita Firewall e notifiche
6 ) Abilita notifiche del Centro Sicurezza Windows
10 ) Abilita Opzioni Cartella
12 ) Abilita barra degli strumenti Internet Explorer
14 ) Abilita servizio "Registro Eventi" (Eventlog)
15 ) Abilita servizio "Centro sicurezza PC" (Wscsvc)
17 ) Rimuovi Prefetch, Recent e Cookies

perchè nelle istruzioni c'era scritto:
Si raccomanda di eseguire i ripristini strettamente necessari.

non sapendo bene cosa fossero le altre opzioni.

Quali altre opzioni mi consigli?

Ho provato ad aprire il registro di Windows con il comando regedit ma non si apre

con le opzioni che ho usato, la situazione non sembra cambiata (ho gli stessi problemi del precedente messaggio)

Volevo chiederti perchè non mi consigli di attivare Spybot S&D; non lo ritieni un buon programma?; se è così, me ne consigli uno migliore che mi protegga dagli Spyware e dalle modifiche non desiderate al file di registro?

Avevo ragione nel precedente messaggio a supporre di non avere problemi di sicurezza, ma solo problemi di funzionamento di windows? Se si, se non riesco a risolvere i mie problemi, questi non pregiudicheranno adesso o in futuro la sicurezza di windows?

[angelique]

Ciao zed73,

Start > Esegui > gpedit.msc
Configurazione utente > Modelli amministrativi > Sistema > Impedisci accesso agli strumenti di modifica del Registro: se fosse disattivato clicca su "Proprietà" - Non configurato.
Scarica ed esegui questo .reg

Leggi qui

Spybot scegli tu se tenerlo attivo o meno... a me non piace molto, ma sono gusti personali

[zed73]

Ciao Angelique,

Ho usato il comando gpedit.msc , il registro è già su Non configurato.

Ho scaricato ed eseguito il file di registro, ma non è cambiato niente.

Ho letto il topic che mi hai consigliato e non sapendo quale parte seguire ho fatto tutti i passaggi consigliati:

- non ci sono file winlogon.exe estranei al sistema;
- ho usato FxNetsky.exe, ma non ha trovato il virus W32.Netsky;
- ho cercato l'allegato (restoreregistry) di Kuma (dalla risposta del 31/01/06, 15:04), ma non l'ho trovato (??????????);
- ho rinominato regedit.exe in altro.exe e sono riuscito ad aprire il registro
- non ho trovato la chiave del registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

ma ho trovato solo la chiave di registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

devo cancellare queste sottochiavi??? allego immagine "Registro_regedit.jpg"

 Registro_regedit.jpg   88.82KB   2 Numero di downloads


- non sono riuscito a trovare il file di registro che Kuma consigliava di importare (dalla risposta del 01/02/06, 20:26)
- Mi consigli di creare un nuovo profilo da amministratore, perchè pensi che il mio profilo sia danneggiato?;
se creerò questo nuovo profilo, pensi che risolverò tutti i problemi che ho citato nei precedenti messaggi?
- Spybot S&D in resident è attivo, ma non risulta attivo nel Task Manager; visto che non funziona e a te non piace, mi sai consigliare un Antispyware Free che abbia le stesse funzioni?


Ti volevo dire anche che in questi ultimi due giorni Firefox continua a chiudersi per continui errori, cosa che non mi era mai successa prima, per essere precisi non mi si era mai chiuso; come browser è stato sempre molto stabile.

mi sono apparse, spesso, anche queste due finestre di errore riguardanti "EXPLORER.EXE" e "NSAPPSHELL: EVENT WINDOWS: FIREFOX.EXE ERRORE DI APPLICAZIONE" con la stessa descrizione:

l'istruzione a "0x74915dee" ha fatto riferimento alla memoria a "0x00000020" la memoria non poteva essere "read" fare ckic su OK per terminare l'applicazione.

Mi sai dire a che cosa sono dovuti questi errori?

Ti ringrazio per il tuo aiuto.

[angelique]

Ciao zed73,
credo che il sistema sia estremamente instabile, e che probabilmente c'è bisogno di rinfrescarlo con una bella formattazione

Prova intanto a creare un nuovo account (salva i tuoi dati prima)

Come antispyware puoi provare SpywareTerminator