Reindirizzamnento su siti non richiesti [era: mi sono beccato il malware!!!]

[GRY72]

Ciao , la bestiaccia c'è ancora!!!!
stamattina il cmp mi sembra lento, vado a vedere gli utenti abilitati ed è ricomparso helpassistant!!!!
Incavolato nero ho fatto queste cose sperando di non avere fatto casini...
1-eliminato manualmente l'utente Helpassistant e disattivato l'accesso da remoto
2-ho scoperto in C una cartella Helpassistant backup ----> eliminata manualmente
3-ho fatto girare HelpAsst mebroot fix qui il log
C:\Documents and Settings\Agazzi\Impostazioni locali\Temporary Internet Files\Content.IE5\V7T7C8C3\HelpAsst_mebroot_fix[1].exe
14/07/2010 at 7.32.35,65

No HelpAssistant account in User list


~~ Checking for termsrv32.dll ~~

termsrv32.dll present! ~ attempting to remove
Remove on reboot: C:\WINDOWS\system32\termsrv32.dll

~~ Checking firewall ports ~~

backing up DomainProfile\GloballyOpenPorts\List registry key
closing rogue ports

HKLM\~\services\sharedaccess\parameters\firewallpo licy\domainprofile\globallyopenports\list
"65533:TCP"=-
"52344:TCP"=-
"5778:TCP"=-
"5777:TCP"=-
"3389:TCP"=-
"3115:TCP"=-
"4730:TCP"=-
"7351:TCP"=-
"7352:TCP"=-
"7114:TCP"=-
"7115:TCP"=-
"4224:TCP"=-
"6948:TCP"=-

backing up StandardProfile\GloballyOpenPorts\List registry key
closing rogue ports

HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\globallyopenports\list
"65533:TCP"=-
"52344:TCP"=-
"5777:TCP"=-
"5778:TCP"=-
"3389:TCP"=-
"3115:TCP"=-
"4730:TCP"=-
"7351:TCP"=-
"7352:TCP"=-
"7114:TCP"=-
"7115:TCP"=-
"4224:TCP"=-
"6948:TCP"=-

~~ Checking profile list ~~

HelpAssistant profile found in registry ~ backing up and removing S-1-5-21-3250203075-2804593661-1431998383-1004
~ No profile directory exists for S-1-5-21-3250203075-2804593661-1431998383-1004 ~
HelpAssistant profile found in registry ~ backing up and removing S-1-5-21-3250203075-2804593661-1431998383-1006
~ No profile directory exists for S-1-5-21-3250203075-2804593661-1431998383-1006 ~

~ All HelpAssistant profiles removed from registry ~

~~ Checking mbr ~~

user & kernel MBR OK

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Status check on 14/07/2010 at 7.33.31,75

No HelpAssistant account in User list

~~ Checking mbr ~~

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys xfilt.sys ACPI.sys hal.dll >>UNKNOWN [0x8958C78A]<<
kernel: MBR read successfully
user & kernel MBR OK

~~ Checking for termsrv32.dll ~~

termsrv32.dll present!


HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\termservice\parameters
ServiceDll REG_EXPAND_SZ %systemroot%\System32\termsrv.dll

~~ Checking profile list ~~

No HelpAssistant profile in registry

~~ Checking for HelpAssistant directories ~~

none found

~~ Checking firewall ports ~~

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\domainprofile\GloballyOpenPorts\List]

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]


~~ EOF ~~
4-fatto girare in modalità provvisoria mbr.exe -f il log è Ok nessun codice "malato"
5-fatto girare combofix che ha evidenziato attività root kit .. qui il log

http://www.megaupload.com/?d=8IT4IKLT

6-fatto girare hijackthis qui il log

http://www.megaupload.com/?d=8R2036IC

7-fatto girare CCcleaner

Non abbandonatemi, la bestiaccia sembra rognosa e da solo non ce la posso fare.... :master:
Grazie
GRY72

[menatwork]

il log di combofix riporta ancora l' mbr infetto, non vorrei che avessi sbagliato a postare quello buono....per precauzione ora esegui questi passaggi

vai in C:\ ed elimina TUTTI i file di testo mbr.log

vai in provvisoria

Start>> Esegui e digita mbr.exe -f

posta il rapporto


visualizza i file nascosti

-Tasto destro su Start--Esplora--Menù Strumenti--Opzioni Cartella--Visualizzazione -Mettere la spunta a 'Visualizza tutti i files' o "Visualizza cartelle e files nascosti" -Togliere la spunta a 'Non visualizzare cartelle e files di sistema' o "Nascondi i files protetti di sistema"


Dal Pannello di Controllo vai in Strumenti di Amministrazione ed apri Gestione Computer.
Espandi(clicca sul +) la visualizzazione di Utenti e gruppi locali.
Clicca una volta, sopra la cartellina Users,e sulla destra della paginadovresti trovare l'account HelpAssistant.
Clicca con il tasto destro del mouse sull'account HelpAssistant.
clicca su: Proprietà.
Nella finestra di dialogo Proprietà metti la spunta, a l'opzione: Account disabilitato e confermi con OK. Clicca nuovamente su: Proprietà, clicca sulla tabella in alto: "Membro di" e se nel box appare Amministratore, selezionalo, e premi il tasto "Rimuovi"

[GRY72]

log mbr.exe
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

mi sembra pulito

L'account Helpassistant non lo vedo + dopo che l'avevo rimosso manualmente.

provo a far rigirare combofix ???

[menatwork]

ma hai disbilitato l'account come ti ho descritto nel post?

[GRY72]

Ciao e buona giornata
L'account l'ho prorio eliminato!!!!
Hai ragione, devo aver fatto casini con i log
Ho lanciato mbr.exe
qui il log
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C4581
malicious code @ sector 0x01D1C4584 !
PE file found in sector at 0x01D1C459A !
eseguito mbr.exe -f senza risultato il codice malatoè ancora li'
lanciato combofix in provvisoria qui il log
combofixlog.txt
e stavolta anche qui ho la conferma che il rootkit c'e ancora.
Da quel poco che ne capisco io il problema di reindirizzamento internet sembra risolto, MBR è infetto, esiste una copia sana di Mbr ma non riesco a ripristinarla ed eliminare il rootkit.
Giusto? come posso fare
Ola Graziano

[menatwork]

ti anticipo che non sara' una bella passeggiata....per ora esegui questi programmi

installa Norman SinowalMBR Cleaner

Avvia il pc in modalità provvisoria.

Doppio click sull'icona di Norman SinowalMBR Cleaner.exe

Clicca su Accept >>> poi su start scan

Al termine della scansione, viene generato un log sul desktop chiamandolo NFix_2008-MM-GG_hh-mm-ss.log

fai una scansione anche con prevx e controlla se rileva qualcosa

finite queste operazioni riesegui il comando mbr.exe -f da provvisoria

[GRY72]

Aggiornamento
Ho fatto la scansione con prex e mi ha rilevato questo file
nircmd in c:\windows\ ,naturalmente per rimuoverlo chiede l'acquisto della licenza...
Ho il dubbio che questo file sia legato a combofix che non ho ancora disinstallato, è un'utilità che permette di scrivere nel registro????
Non so aspetto chiarimenti,dall'esperto
Norman SinowalMBR Cleaner è un tool di rimozione che avevo gia' fatto girare (non in provvisoria ma in normale ) e non aveva fatto nulla...Che faccio riprovo??
dici che sistemscan o Cureit.exe possono servire???
Ciaaooo

[GRY72]

Ciao rieccomi,
qui il log di Norman
NFix_2010-07-16_12-24-11.log
Ho provato a far girare ad-aware ha trovato qualcosa che ho eliminato qui il log
log adware.txt
ripassato combofix qui il log
ComboFix2.txt
Non so piu' che fare.....