No update antivirus windows, worm su chiavetta

[felsineo]

Un saluto ed un ringraziamento anticipato per l'attenzione. Ho letto di altre situazioni simili alla mia in questo forum, ma non riesco ad uscirne.

Con WinXPSP3 aggiornato al 19 Gennaio, improvvisamente mi ritrovo inibiti i siti microsoft e di vari produttori di antivirus. IE segnala DNS error.

Dato che il mio AVG8 non riesce più ad aggiornarsi, ho scaricato gli aggiornamenti su di un altro computer, li ho dati in pasto ad AVG, ho aggiornato Spybot, ho avviato il PC in modalità provvisoria ed ho eseguito una scansione completa in tutte le utenze, ma non è stato rilevato nulla.

Ho installato e aggiornato Malwarebytes e l'ho eseguito in modalità normale. Allego il log http://freefilehosting.net/download/447e7

Inserendo la chiavetta per scaricare il log su questo PC (linux) ho constatato che sulla chiavetta è stato creato un autorun.inf binario ed una cartella recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

Allego anche il log hijackthis qui http://freefilehosting.net/download/447e8 ed il binari zippati qui http://freefilehosting.net/download/447e59

Grazie ancora...

[Deifobe]

ciao
per le prossime volte, non postare più link a file infetti, cortesemente.
se vuoi, puoi inviarli a suspectfile.com o puoi inviare il link a me... ma con un messagggio privato

scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Freefilehosting e posta sul forum il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[felsineo]

Scusami, mi rendo conto di non aver avuto un'idea brillante... :berto:

Ho eseguito e postato qui http://freefilehosting.net/download/448gi

Grazie

[Deifobe]

ciao,

Scarica Avenger e questa utility

esegui avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\WINDOWS\system32\qzlyolb.dll
C:\WINDOWS\system32\03.tmp

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\e gwrizqvd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\e gwrizqvd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentontrolSet\Service s\egwrizqvd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\enum\root\ legacy_egwrizqvd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\enum\root\ legacy_egwrizqvd
HKEY_LOCAL_MACHINE\SYSTEM\currentControlSet\enum\r oot\legacy_egwrizqvd

Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc si riavvierà.

Dopo il riavvio, esegui l'utility e riattiva gli aggiornamenti automatici e il centro sicurezza pc (14 e 7)


ciao

[felsineo]

Complimenti, risolto il problema DNS. Accedo ed aggiorno il PC.

Non mi si apriva avenger.exe, ho dovuto riavviare in modalità provvisoria con supporto di rete, e così sono riuscito ad eseguire quanto mi hai richiesto.

Ho avviato microsoft update, ha trovato KB954430 da installare. L'ho scaricato e riavviando il computer in teoria l'avrebbe installato. Riavviando però l'aggiornamento sul sito risulta scaricato ma non installato.

Nell'elenco delle applicazioni installate in control-panel installa applicazioni c'è "MSXML 4.0 SP2 (KB954430).

Questa cosa era accaduta anche prima dell'incidente! Credi che ci siano relazioni?

Il log degli aggiornamenti:

Prodotto Aggiornamento Stato Data Origine

Windows XPAggiornamento della protezione per Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)giovedì 22 gennaio 2009Aggiornamenti automatici
Windows XPAggiornamento della protezione per Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)giovedì 22 gennaio 2009Microsoft Update
Windows XPAggiornamento della protezione per Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)giovedì 22 gennaio 2009Aggiornamenti automatici
Windows XPAggiornamento della protezione per Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)mercoledì 14 gennaio 2009Aggiornamenti automatici
Windows XPAggiornamento della protezione per Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)martedì 13 gennaio 2009Aggiornamenti automatici
Windows XPStrumento di rimozione malware di Microsoft Windows - gennaio 2009 (KB890830)martedì 13 gennaio 2009Microsoft Update
Windows XPAggiornamento della protezione per Windows XP (KB958687)martedì 13 gennaio 2009Microsoft Update
Windows XPAggiornamento della protezione per Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)martedì 13 gennaio 2009Microsoft Update
Windows XPAggiornamento della protezione per Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)martedì 13 gennaio 2009Aggiornamenti automatici
Windows XPAggiornamento della protezione per Microsoft XML Core Services 4.0 Service Pack 2 (KB954430)lunedì 12 gennaio 2009Aggiornamenti automatici

Francamente non capisco perché non si aggiorna il PC.
Credi che ci siano relazioni con quanto accaduto, o che sia il caso di aprire una nuova discussione?

Grazie ancora

[Deifobe]

no, è legittimo, guarda => http://www.microsoft.com/downloads/d...DisplayLang=it


mi posti un nuovo systemscan?

[felsineo]

OK, trovi qui il log http://freefilehosting.net/download/44a6l

Nel frattempo mi è venuto un sospetto, allora ho collegato un disco USB che utilizzo per i salvataggi al portatile linux e... stesso autorun e recycler. Li ho eliminati con nautilus di linux come avevo fatto con la chiavetta.

Nel frattempo ti mando questo scan e rimando a domani un'altro scan con il disco esterno acceso, dato che immagino che i tempi si dilatino di parecchio.

Ti segnalo, se utile, che IE ogni tanto si chiude senza messaggi, mentre tentavo di aprire una nuova scheda, la terza.

Ciao

[Deifobe]

ok, quando inserisci il disco esterno tieni premuto il tasto shift.

per quanto riguarda il rapporto di systemscan postato, da hijackthis fixa:

O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} -
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} -
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

[felsineo]

Ciao,
puoi trovare http://freefilehosting.net/download/44b44 il rapporto di SystemScan che avevo lanciato con tutti i dischi USB connessi.

Ho fissato le voci che mi hai suggerito con HiJackThis. Ho eseguito di nuovo l'aggiornamento ma invano.

Il sito di Microsoft Update mi segnalava ancora per KB954430:
Totale: 1 aggiornamenti , 0 KB , 0 minuti *
*Scaricato e pronto per l'installazione

Allora ho rimosso nuovamente da pannello di controllo installazione applicazioni l'aggiornamento, ho resettato, sono tornato su Microsoft Update, l'ho reinstallato (non me lo ha scaricato ma solo installato) e finalmente mi ha chiesto il riavvio!

Ora risulta tutto OK, ed anche la finestra di CardReaderLookup che non si chiude durante lo spegnimento è scomparsa.

GRAZIE

Devo eseguire un'ultima verifica con SystemScan?

Intanto eseguo una scansione con AVG e SpyBot.

Ancora Grazie e complimenti per la competenza.

[Deifobe]

in verità le voci che dovevi fixare ci sono ancora...
dopo averle spuntate hai cliccato su "fix Checked"?

se si, esegui la mia utility, clicca su "Abilita task manager e regedit" e ripeti il fix con hijackthis.