Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 20
  1. #1
    Utente di HTML.it
    Registrato dal
    Sep 2010
    Messaggi
    54

    Malware - Disconnessione, problema irreversibile

    Buongiorno,

    ho un computer portatile Sony Vaio VGN-NS31M affetto da una serie di malware.
    Per l'analisi e la pulizia del sistema ho utilizzato i seguenti programmi:

    - Kaspersky rescue disk 10 (live CD)
    - Malwarebytes
    - Spybot
    - CCleaner
    - Combofix
    - Hijekt

    Fino ad ora ho individuato e rimosso i segienti malware:

    - Antivir solution pro
    - Trojan Qoobox
    - Rouge.AntimalwareDoctor
    - Malware.Packer.Gen
    - Malware.Trace

    Adesso sempre gli stessi programmi che ho elencato non rilevano minacce.
    A Windows avviato e solo dopo aver connesso il computer a internet si apre una finestra di dilogo:

    "La disconnessione sta per essere eseguita, Si è verificato un problema irreversibile. windows verrà riavviato automaticamente tra un minuto. Salvare il lavoro in corso."

    Dopo un minuto il sistema si riavvia.

    Inserisco parte del report di Combofix dove potete vedere anche i dati relativi al sistema operativo. Per il file intero posso inviarlo via email in formato txt a richiesta.

    Ho letto nel forum che anche altri utenti hanno avuto un problema simile, rimango in attesa di qualche suggerimento.

    Grazie!

    ComboFix 10-08-29.04 - *xxx* 30/08/2010 19.46.23.1.2 - x86
    Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.39.1040.18.3038.2106 [GMT 2:00]
    Eseguito da: c:\users\*xxx*\Desktop\ComboFix.exe
    SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .
    ADS - Windows: deleted 24 bytes in 1 streams.

    ((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))) )
    .
    .
    ((((((((((((((((((((((((( Files Creati Da 2010-07-28 al 2010-08-30 )))))))))))))))))))))))))))))))))))
    .
    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
    .
    .

    ((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* i valori vuoti & legittimi/default non sono visualizzati.
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
    "NSUFloatingUI"="c:\program files\Sony\Network Utility\LANUtil.exe" [2008-12-21 274432]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
    "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-01-06 6703648]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-10 835584]
    "ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2008-12-18 317288]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
    "Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-01-06 1833504]
    "AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2010-07-20 2048352]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
    2009-01-19 10:49 98304 ----a-w- c:\windows\System32\VESWinlogon.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\System32\avgrsstx.dl l

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Wind ows^Start Menu^Programs^Startup^P2 Card Manager.lnk]
    path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\P2 Card Manager.lnk
    backup=c:\windows\pss\P2 Card Manager.lnk.CommonStartup
    backupExtension=.CommonStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
    2007-06-01 08:21 153136 ----a-w- c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
    2009-01-29 22:20 57344 ----a-w- c:\program files\SlySoft\CloneCD\CloneCDTray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    2010-07-21 13:53 141608 ----a-w- c:\program files\iTunes\iTunesHelper.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    2007-03-01 13:57 153136 ----a-w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
    2009-11-11 09:57 1451520 ----a-w- c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2010-03-18 20:16 421888 ----a-w- c:\program files\QuickTime\QTTask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
    2009-09-28 08:10 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
    2009-05-26 22:31 85160 ----a-w- c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "VistaSp2"=hex(b):65,d8,e3,99,2d,10,ca,01

    R2 VCFw;VAIO Content Folder Watcher;c:\program files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2009-01-14 5184872]
    R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2008-12-23 50704]
    R3 ONDAusbmdm6k;ONDA Proprietary USB Driver;c:\windows\system32\DRIVERS\ONDAusbmdm6k.sy s [2008-04-03 104960]
    R3 ONDAusbnet;ONDA USB-NDIS miniport;c:\windows\system32\DRIVERS\ONDAusbnet.sy s [2008-04-03 110080]
    R3 ONDAusbnmea;ONDA NMEA Port;c:\windows\system32\DRIVERS\ONDAusbnmea.sys [2008-04-03 104960]
    R3 ONDAusbser6k;ONDA Diagnostic Port;c:\windows\system32\DRIVERS\ONDAusbser6k.sys [2008-04-03 104960]
    R3 Samsung UPD Service;Samsung UPD Service;c:\windows\System32\SUPDSvc.exe [2010-03-16 132464]
    R3 SOHCImp;VAIO Media plus Content Importer;c:\program files\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2009-01-20 120104]
    R3 SOHDBSvr;VAIO Media plus Database Manager;c:\program files\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe [2009-01-20 70952]
    R3 SOHDms;VAIO Media plus Digital Media Server;c:\program files\Common Files\Sony Shared\SOHLib\SOHDms.exe [2009-01-20 390440]
    R3 SOHDs;VAIO Media plus Device Searcher;c:\program files\Common Files\Sony Shared\SOHLib\SOHDs.exe [2009-01-20 75048]
    R3 SOHPlMgr;VAIO Media plus Playlist Manager;c:\program files\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe [2009-01-20 91432]
    R3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2009-01-19 394536]
    R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe [2009-01-16 83240]
    R4 gupdate;Servizio di Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-12-19 135664]
    R4 uCamMonitor;CamMonitor;c:\program files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960]
    S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2010-02-23 335240]
    S2 Autorun CDROM Monitor;Autorun CDROM Monitor;c:\windows\system32\SupportAppXL\cdrom_mon .exe [2008-01-14 81920]
    S2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2010-03-03 297752]
    S2 NSUService;NSUService;c:\program files\sony\Network Utility\NSUService.exe [2008-12-21 303104]
    S2 regi;regi;c:\windows\system32\drivers\regi.sys [2007-04-17 11032]
    S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
    S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2008-12-19 415592]
    S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilte r.sys [2008-04-24 17920]
    S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2008-11-19 9344]


    --- Altri Servizi/Drivers In Memoria ---
    .
    .
    ------- Scansione supplementare -------
    .
    ************************************************** ************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-08-30 20:00
    Windows 6.0.6002 Service Pack 2 NTFS

    ************************************************** ***********************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\k rotxrl]

    .
    --------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000001
    "MSCurrentCountry"=dword:00000059

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    --------------------- Dlls caricate dai processi in esecuzione ---------------------

    - - - - - - - > 'Explorer.exe'(3900)
    c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
    c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
    c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_eng.nlr
    c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
    .
    ------------------------ Altri processi in esecuzione ------------------------
    .
    .
    ************************************************** ************************

  2. #2
    Utente di HTML.it
    Registrato dal
    Sep 2010
    Messaggi
    54
    Se mi spiegate come fare posso allegare i report completi di combofix e hijackthis.

  3. #3
    Utente di HTML.it L'avatar di menatwork
    Registrato dal
    May 2009
    Messaggi
    4,330
    caricali qui

  4. #4

  5. #5
    Utente di HTML.it
    Registrato dal
    Sep 2010
    Messaggi
    54
    Aggiornamento situazione:
    Anzlizzando il log di combofix ho identificato il file COMINE.EXE come possibile causa lo ho rinominato e spostato, ma non è cambiato niente. E' impossibile navigare su internet appena mi connetto si è verifica il "problema irreversibile e windows viene riavviato".

    C'è qualche utente online disponibile per analizzare il problema?
    Chiedo scusa se vi metto fretta..

  6. #6
    Utente di HTML.it L'avatar di menatwork
    Registrato dal
    May 2009
    Messaggi
    4,330
    sembra che ci sia qualcosa che nemmeno combofix ha rilevato

    vai sul sito di virus total e analizza questo file in grassetto

    C:\Windows\System32\SUPDSvc.exe

    nel frattempo ti preparo lo script per combofix


    controlla anche il file COMINE.EXE ma non prendere decisione affrettate, potresti creare problemi piu' seri

  7. #7
    Utente di HTML.it
    Registrato dal
    Sep 2010
    Messaggi
    54
    Interessante il sito..

    Il file SUPDSvc.exe sembra pulito VirusTotal - Free Online Vi...pdf

    Anche il file COMINE.EXE sembra pulito VirusTotal - Free Online conime.pdf

    Lo ho già rimosso da system32, ma ho tenuto una copia. Provvedo a ripristinarlo?

  8. #8
    Utente di HTML.it L'avatar di menatwork
    Registrato dal
    May 2009
    Messaggi
    4,330
    mi controlli le proprieta' del file? tasto destro>>>>proprieta', vorrei sapere a quale societa' appartiene quel file

    una cosa

    se mi nascondi l'utente, come in questa riga,non credo che lo script avra' effetto positivo nell'eliminazione

    c:\users\*XXX* \AppData\Local\Temp\rxanwcmsoe.exe

  9. #9
    Utente di HTML.it
    Registrato dal
    Sep 2010
    Messaggi
    54
    SUPDSvc.exe

    Verfisone file: 1.95.0.0
    Descrizione: Samsung UPD Service
    Copyright: (c) Samsung Electronics CO., LTD. All rights reserved.

    firma digitale:
    Samsung Electronics CO., LTD.

    nome firmatario:
    VeriSign Time Stamping Services Signer - G2

    CONIME.exe
    Verfisone file: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
    Descrizione: Console IME
    Copyright: © Microsoft Corporation. All rights reserved.


    Per l'omissione *xxx* mi scuso, quando mi mandi il file lo correggo prima di lanciarlo.

  10. #10
    Utente di HTML.it L'avatar di menatwork
    Registrato dal
    May 2009
    Messaggi
    4,330
    ti ho fatto analizzare il secondo file ma credo che hai digitato una lettera per un'altra

    Anche il file COMINE.EXE sembra pulito
    il file che hai analizzato e' CONIME.EXE e non COMINE.EXE



    apri un file di testo (dal blocco note di windows), al suo interno incollaci il seguente script:

    Registry::
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\krotxrl]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ krotxrl]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ krotxrl]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\ krotxrl]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\ krotxrl]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\krotxrl]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\k rotxrl]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\k rotxrl]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\k rotxrl]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\k rotxrl]


    NetSvcs::
    krotxrl


    Driver::
    krotxrl
    salva il file nella stessa cartella dove hai messo combofix chiamandolo obbligatoriamente CFScript.txt

    Fatto ciò, con il puntatore del mouse, trascina il file sull'icona di combofix. Il programma avvierà una nuova scansione, come la precedente. Non fare e non muovere nulla. Al termine di essa, se non si riavvierà automaticamente il computer, fallo tu. Allega il nuovo file c:\combofix.txt prodotto dalla scansione.

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.