Log di Combofix per rimozione ServiceUpd.exe

[Albaro]

Salve, seguendo una discussione già esistente in questa sezione ho seguito le indicazioni e salvato il log di Combofix

log.txt

Scusate se ho aperto una nuova discussione ma non ero sicuro se la soluzione data nella discussione già esistente poteva esser valida anche nel mio caso, grazie.

[R16]

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

codice:

KillAll::

Driver::
52079072
52079071
ServUpdater

File::
c:\windows\unins000.exe
c:\documents and settings\Io\Impostazioni locali\Dati applicazioni\ServUpdater\ServiceUpd.exe 

Folder::
c:\documents and settings\Io\Impostazioni locali\Dati applicazioni\ServUpdater

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Il servizio ServUpdater sarà rimosso, assieme ai suoi collegamenti.

[Albaro]

E mi sembra giusto spiegare perché è un Grande :

1) Questa discussione è stata letta da + di 80 persone ma evidentemente solo lui conosce la soluzione ( sono pronto a giocarci qualcosa )
2) Ho passato un pomeriggio su google e non si trova molto sulla soluzione circa il serviceUpd.exe e devo constatare che l'enormità do google è oramai composta al 90% di inutili rifiuti o risposte improvvisate nei vari forum , unica positiva la precedente discussione su html forum dove appunto R16 rispondeva aiutando un altro utente e questo è il link alla discussione , importante :

http://forum.html.it/forum/showthrea...readid=1495258

importante perché contiene le indicazioni di R16 per risolvere il problema ma soprattutto importante perché se adesso cercano su google indicazioni sul problema digitando "rimuovere" oppure "eliminare" ServiceUpd.exe questa discussione è tra le prime consigliate da google , provare per credere, quindi è giusto che chi si trova in difficoltà come è successo a me possa accedere anche alla vecchia discussione per venire a conoscenza di combofix ecc. ecc.

3) Seguendo gli altri consigli inutili trovati su google ho installato Sophos in cambio della mia mail, nome cognome CAP e telefono ma dopo approfondite scansioni non ha trovato niente.
Ho scaricato Tinger.exe , altro famoso rootkit remover e non ha trovato niente.
Ovviamente avevo già provato in modalità provvisoria a fixare le varie voci riguardanti il problema con HijackThis ma si ripresentavano subito dopo e inutile dire che era impossibile eliminare l'exe presente nella cartella del SeviceUPD presente in C: anche usando Unlocker, quindi potete capire il piacere di trovare la risposta di R16 in questa discussione , grazie a lui il problema è risolto e tutto funziona perfettamente , riattivata la console di ripristino e creato nuovo punto

4) R16 è un grande perché ha risposto facendo onore al forum di htlm , ad essere sincero stavo già meditando di disturbarlo tramite PVT e sono felice che non ce ne sia stato bisogno .

Grazie R16, Alvaro.

[Albaro]

Se sono presenti altri elementi da eliminare accetto i consigli

log.txt

[R16]

Ciao Albaro

E mi sembra giusto spiegare perché è un Grande :

I complimenti fanno sempre piacere, ma non mi sento un "Grande".

1) Questa discussione è stata letta da + di 80 persone ma evidentemente solo lui conosce la soluzione

Sbagli.
In questo forum, più di una persona era in grado di risolvere il tuo problema.
Il perchè non ti hanno risposto,è da ricercare nel motivo in cui non hanno potuto risponderti, non per le loro conoscenze informatiche.
Che ti garantisco, che sono superiori alle mie.

Se sono presenti altri elementi da eliminare accetto i consigli

No, il log non presenta anomalie.

Torno a ringraziarti per la stima (anche se un pò esagerata) dimostratami.
Ciao.

[Albaro]

Per il semplice fatto che ad installare un programma come Combofix , copia e incolla uno script da trascinare sull'icona con le istruzioni passo passo davanti è alla portata di tutti, ma conoscere le potenzialità di combofix e saperlo usare è un valore, senza contare lo script personalizzato che parla di driver numerati, non penso sia sufficiente la fantasia o un appassionato di Lottomatica, sarebbe anche interessante sapere come nasce.
Nel mio piccolo grazie a poche nozioni di htlm imparate su questo sito riesco a far sopravvivere 2 siti , ma sai quante volte con copia/incolla ho tralasciato una semplice > (non so come si chiama ) e mi sono ritrovato con la pagina ribaltata passando ore a confrontare visivamente tutte le righe da una pagina di backup per scoprire dove era il guaio , questo per dirti che le cose non son semplici per tutti.
Il PC dalla scorsa notte ha ripreso a funzionare e sta ancora lavorando perciò un
" arigrazie" mi sembra il minimo, ciao , Alvaro.

[Albaro]

Originariamente inviato da Albaro
senza contare lo script personalizzato che parla di driver numerati, non penso sia sufficiente la fantasia o un appassionato di Lottomatica, sarebbe anche interessante sapere come nasce.

Ed infatti.... ieri ho scoperto che anche il muletto è infettato da PowerOffer e PLauncher, per cui ho scaricato Combofix e ingenuamente gli ho dato in pasto il CFScript usato su questo PC, ovviamente non ha funzionato e quindi dal log di hijack ho sostituito gli indirizzi che riguardano i succitati presenti sul muletto
ricreando il CFScript come questo :

CFScript.txt

Trascinato su combofix mi ha dato questo risultato :

log.txt

Ho rifatto la scansione con Hijack e questo è il risultato :

hijackthis.log

Adesso sto facendo il 6° tentativo , sono a conoscenza che non si devono prendere iniziative personali ma essendo io "di coccio" sono pronto a subirne le conseguenze e reinstallare il SO con clonezilla come ho fatto 3 giorni orsono avendo sostituito l'HD principale.
Naturalmente vi faccio sapere l'esito del 6° però come già avevo accennato sarebbero utili le istruzioni su come creare il CFScript giusto sia per soddisfazione personale ma soprattutto per non dover disturbare se possibile il forum con le stesse richieste alle quali spero che R16 risponda

P.S. Al primo tentativo quando ho dato a combofix il CFScript dell'altri PC oramai risanato sotto Drive erano presenti 2 serie di numeri
Driver::
52079072
52079071
Spero non abbiano compromesso qualcosa sul muletto che sto cercando di ripulire ,al momento sembra tutto OK

[Albaro]

log.txt

hijackthis.log

Devo ammettere che questo Wikisend è veramente una figata.
Un ultimo favore se leggete i report e secondo voi ci sono altre cose da eliminare.....grazie

[R16]

Ciao.

e ingenuamente gli ho dato in pasto il CFScript usato su questo PC, ovviamente non ha funzionato

Non può funzionare, perche gli script sono personalizzati, per lo specifico computer infetto .

Oltretutto il primo script è sballato. (i file sono una cosa, le cartelle un'altra, e non si possono mischiare)

P.S. Al primo tentativo quando ho dato a combofix il CFScript dell'altri PC oramai risanato sotto Drive erano presenti 2 serie di numeri
Driver::
52079072
52079071
Spero non abbiano compromesso qualcosa sul muletto che sto cercando di ripulire ,al momento sembra tutto OK

Tranquillo, se i driver numerati li ho eliminati, vuol dire che andavano eliminati.
Non sono abituato a eliminare cose a vanvera.
Purtoppo il log con Wikisend, è scaduto,e non mi ricordo più a cosa si riferivano.

ma essendo io "di coccio" sono pronto a subirne le conseguenze

Oh di questo non ho dubbi....
Senza avere nemmeno un briciolo di "infarinatura" sull'uso di Combofix, prima o poi il disastro lo combini.
E' solo questione di tempo.
Guarda che non è mia intenzione offenderti,il pc è tuo, e sei libero di farne quello che vuoi.

Inoltre se proprio vuoi avere un pc con una protezione almeno decente, vedi di aggiornare l'antivirus.
La versione che hai installato, (Avast 5 ) è vecchia di almeno un paio d'anni.
Siamo alla versione 7 .
http://www.avast.com/it-it/free-antivirus-download

Questo è lo script corretto:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

codice:

KillAll::

DirLook::
c:\documents and settings\Andrea\Dati applicazioni\ProgSense

Driver::
PowerOffer Service

File::
c:\windows\unins000.exe

Folder::
c:\documents and settings\Andrea\Impostazioni locali\Dati applicazioni\ServUpdater
c:\documents and settings\Andrea\Impostazioni locali\Dati applicazioni\PowerOffer
c:\documents and settings\Andrea\Impostazioni locali\Dati applicazioni\PosService

RegNull::
[HKEY_USERS\S-1-5-21-725345543-1935655697-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{50625839-03F0-FA0C-CAE2-3F3C3DDC7086}*]

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.

[Albaro]

Originariamente inviato da R16
Tranquillo, se i driver numerati li ho eliminati, vuol dire che andavano eliminati.
Non sono abituato a eliminare cose a vanvera.
Purtoppo il log con Wikisend, è scaduto,e non mi ricordo più a cosa si riferivano.

Inoltre se proprio vuoi avere un pc con una protezione almeno decente, vedi di aggiornare l'antivirus.
La versione che hai installato, (Avast 5 ) è vecchia di almeno un paio d'anni.

Non metto in dubbio che andassero eliminati solo che lo script era destinato al primo PC infetto ed io ho usato lo stesso script anche per il secondo PC infetto per questo ero preoccupato.
Lo script che ho usato al 6° tentativo è questo :

CFScript.txt

e i report del risultato sono quelli che ho indicato nel post precedete e come vedi da Hijack per il momento non sono più presenti il PowerOffer e PLauncher,ho ricollegato il PC a internet e il sygate firewall non mi ha segnalato nessuna richiesta di connettersi semra che il PC adesso sia e soprattutto rimanga pulito perciò aspetto a usare il tuo FCSript , solo per capire se effettivamente sono riuscito a ripulirlo intuendo alcune funzioni dello script ,anche se non si ripresenta fra un paio di giorni inserisco il tuo che è certamente più completo , questo solo per capire se ho speso bene il tempo nei tentativi e nella ricostruzione dello script incollando i percorsi dal report di Hijack.
Sarebbe interessante individuare il programma che ha infettato i 2 PC, probabilmente tramite torrent.

Riguardo ad Avast ci deve essere un errore in quanto i miei avast free si rinnovano automaticamente , lo uso da anni ed è presente sui 4 PC giornalmente in funzione in casa mia + 2 portatili , sono andato a controllare e sul PC in questione sta funzionando la versione 7.0.1426
Ovviamente ancora un grazie per la risposta e per l'aiuto , con gli anziani ci vuole pazienza , aggiornamenti su come va a finire