PDA

Visualizza la versione completa : Malware - Disconnessione, problema irreversibile


Solved
03-09-2010, 11:28
Buongiorno,

ho un computer portatile Sony Vaio VGN-NS31M affetto da una serie di malware.
Per l'analisi e la pulizia del sistema ho utilizzato i seguenti programmi:

- Kaspersky rescue disk 10 (live CD)
- Malwarebytes
- Spybot
- CCleaner
- Combofix
- Hijekt

Fino ad ora ho individuato e rimosso i segienti malware:

- Antivir solution pro
- Trojan Qoobox
- Rouge.AntimalwareDoctor
- Malware.Packer.Gen
- Malware.Trace

Adesso sempre gli stessi programmi che ho elencato non rilevano minacce.
A Windows avviato e solo dopo aver connesso il computer a internet si apre una finestra di dilogo:

"La disconnessione sta per essere eseguita, Si è verificato un problema irreversibile. windows verrà riavviato automaticamente tra un minuto. Salvare il lavoro in corso."

Dopo un minuto il sistema si riavvia.

Inserisco parte del report di Combofix dove potete vedere anche i dati relativi al sistema operativo. Per il file intero posso inviarlo via email in formato txt a richiesta.

Ho letto nel forum che anche altri utenti hanno avuto un problema simile, rimango in attesa di qualche suggerimento.

Grazie!

ComboFix 10-08-29.04 - *xxx* 30/08/2010 19.46.23.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.39.1040.18.3038.2106 [GMT 2:00]
Eseguito da: c:\users\*xxx*\Desktop\ComboFix.exe
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
ADS - Windows: deleted 24 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
((((((((((((((((((((((((( Files Creati Da 2010-07-28 al 2010-08-30 )))))))))))))))))))))))))))))))))))
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"NSUFloatingUI"="c:\program files\Sony\Network Utility\LANUtil.exe" [2008-12-21 274432]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-01-06 6703648]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-10 835584]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2008-12-18 317288]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-01-06 1833504]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2010-07-20 2048352]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2009-01-19 10:49 98304 ----a-w- c:\windows\System32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Wind ows^Start Menu^Programs^Startup^P2 Card Manager.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\P2 Card Manager.lnk
backup=c:\windows\pss\P2 Card Manager.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-06-01 08:21 153136 ----a-w- c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2009-01-29 22:20 57344 ----a-w- c:\program files\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-07-21 13:53 141608 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57 153136 ----a-w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
2009-11-11 09:57 1451520 ----a-w- c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-18 20:16 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-09-28 08:10 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
2009-05-26 22:31 85160 ----a-w- c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):65,d8,e3,99,2d,10,ca,01

R2 VCFw;VAIO Content Folder Watcher;c:\program files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2009-01-14 5184872]
R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2008-12-23 50704]
R3 ONDAusbmdm6k;ONDA Proprietary USB Driver;c:\windows\system32\DRIVERS\ONDAusbmdm6k.sy s [2008-04-03 104960]
R3 ONDAusbnet;ONDA USB-NDIS miniport;c:\windows\system32\DRIVERS\ONDAusbnet.sy s [2008-04-03 110080]
R3 ONDAusbnmea;ONDA NMEA Port;c:\windows\system32\DRIVERS\ONDAusbnmea.sys [2008-04-03 104960]
R3 ONDAusbser6k;ONDA Diagnostic Port;c:\windows\system32\DRIVERS\ONDAusbser6k.sys [2008-04-03 104960]
R3 Samsung UPD Service;Samsung UPD Service;c:\windows\System32\SUPDSvc.exe [2010-03-16 132464]
R3 SOHCImp;VAIO Media plus Content Importer;c:\program files\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2009-01-20 120104]
R3 SOHDBSvr;VAIO Media plus Database Manager;c:\program files\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe [2009-01-20 70952]
R3 SOHDms;VAIO Media plus Digital Media Server;c:\program files\Common Files\Sony Shared\SOHLib\SOHDms.exe [2009-01-20 390440]
R3 SOHDs;VAIO Media plus Device Searcher;c:\program files\Common Files\Sony Shared\SOHLib\SOHDs.exe [2009-01-20 75048]
R3 SOHPlMgr;VAIO Media plus Playlist Manager;c:\program files\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe [2009-01-20 91432]
R3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2009-01-19 394536]
R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe [2009-01-16 83240]
R4 gupdate;Servizio di Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-12-19 135664]
R4 uCamMonitor;CamMonitor;c:\program files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2010-02-23 335240]
S2 Autorun CDROM Monitor;Autorun CDROM Monitor;c:\windows\system32\SupportAppXL\cdrom_mon .exe [2008-01-14 81920]
S2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2010-03-03 297752]
S2 NSUService;NSUService;c:\program files\sony\Network Utility\NSUService.exe [2008-12-21 303104]
S2 regi;regi;c:\windows\system32\drivers\regi.sys [2007-04-17 11032]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2008-12-19 415592]
S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilte r.sys [2008-04-24 17920]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2008-11-19 9344]


--- Altri Servizi/Drivers In Memoria ---
.
.
------- Scansione supplementare -------
.
************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-30 20:00
Windows 6.0.6002 Service Pack 2 NTFS

************************************************** ***********************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\k rotxrl]

.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000001
"MSCurrentCountry"=dword:00000059

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'Explorer.exe'(3900)
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_eng.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
.
------------------------ Altri processi in esecuzione ------------------------
.
.
************************************************** ************************

Solved
03-09-2010, 12:22
Se mi spiegate come fare posso allegare i report completi di combofix e hijackthis.

menatwork
03-09-2010, 12:45
caricali qui (www.wikisend.com)

Solved
03-09-2010, 13:09
Combofix:
Combofix_log_300810.txt (http://wikisend.com/download/455598/Combofix_log_300810.txt)


Hijackthis:
hijackthis_log_030910.txt (http://wikisend.com/download/251976/hijackthis_log_030910.txt)

Solved
03-09-2010, 17:01
Aggiornamento situazione:
Anzlizzando il log di combofix ho identificato il file COMINE.EXE come possibile causa lo ho rinominato e spostato, ma non è cambiato niente. E' impossibile navigare su internet appena mi connetto si è verifica il "problema irreversibile e windows viene riavviato".

C'è qualche utente online disponibile per analizzare il problema?
Chiedo scusa se vi metto fretta..

menatwork
03-09-2010, 17:05
sembra che ci sia qualcosa che nemmeno combofix ha rilevato

vai sul sito di virus total e analizza questo file in grassetto

C:\Windows\System32\SUPDSvc.exe

nel frattempo ti preparo lo script per combofix


controlla anche il file COMINE.EXE ma non prendere decisione affrettate, potresti creare problemi piu' seri

Solved
03-09-2010, 17:17
Interessante il sito..

Il file SUPDSvc.exe sembra pulito VirusTotal - Free Online Vi...pdf (http://wikisend.com/download/445740/VirusTotal - Free Online Vi...pdf)

Anche il file COMINE.EXE sembra pulito VirusTotal - Free Online conime.pdf (http://wikisend.com/download/886138/VirusTotal - Free Online conime.pdf)

Lo ho già rimosso da system32, ma ho tenuto una copia. Provvedo a ripristinarlo?

menatwork
03-09-2010, 17:24
mi controlli le proprieta' del file? tasto destro>>>>proprieta', vorrei sapere a quale societa' appartiene quel file

una cosa

se mi nascondi l'utente, come in questa riga,non credo che lo script avra' effetto positivo nell'eliminazione

c:\users\*XXX* \AppData\Local\Temp\rxanwcmsoe.exe

Solved
03-09-2010, 17:33
SUPDSvc.exe

Verfisone file: 1.95.0.0
Descrizione: Samsung UPD Service
Copyright: (c) Samsung Electronics CO., LTD. All rights reserved.

firma digitale:
Samsung Electronics CO., LTD.

nome firmatario:
VeriSign Time Stamping Services Signer - G2

CONIME.exe
Verfisone file: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
Descrizione: Console IME
Copyright: © Microsoft Corporation. All rights reserved.


Per l'omissione *xxx* mi scuso, quando mi mandi il file lo correggo prima di lanciarlo.

menatwork
03-09-2010, 17:43
ti ho fatto analizzare il secondo file ma credo che hai digitato una lettera per un'altra


Anche il file COMINE.EXE sembra pulito

il file che hai analizzato e' CONIME.EXE e non COMINE.EXE



apri un file di testo (dal blocco note di windows), al suo interno incollaci il seguente script:


Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\krotxrl]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ krotxrl]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ krotxrl]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ krotxrl]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ krotxrl]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\krotxrl]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\k rotxrl]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\k rotxrl]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\k rotxrl]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\k rotxrl]


NetSvcs::
krotxrl


Driver::
krotxrl

salva il file nella stessa cartella dove hai messo combofix chiamandolo obbligatoriamente CFScript.txt

Fatto ciò, con il puntatore del mouse, trascina il file sull'icona di combofix. Il programma avvierà una nuova scansione, come la precedente. Non fare e non muovere nulla. Al termine di essa, se non si riavvierà automaticamente il computer, fallo tu. Allega il nuovo file c:\combofix.txt prodotto dalla scansione.

Loading