Virus/Rootkit "Windows XP Repair 2011" (Falso antivirus)

**ElKunAguero10** · 20-06-2011, 12:22

Ciao menatwork!
Grazie per la celere risposta e scusa per no nessere riuscito a postare ieri sera i log richiesti!
Ho eseguito entrambe le scansioni con combofix e hijackthis!
Con Hijackthis nessun problema con combofix un problemino all'inizio: Non appena ho lanciato il programma ha iniziato a estrarre file e si è bloccato circa al 40/50 % :a quel punto il pc si è riavviato da solo e al riavvio mi ha dato errore critico di sistema.
Ho tuttavia continauto lanciando id nuovo combofix che ha ripreso l'estrazione dal 40/50% e si è avviato. Subito ha rilevato un rootkit e per eliminarlo ha richiesto un secondo riavvio del pc.
Fatto il riavvio ha terminato la scansione e creato 2 log uno in c:/ e uno chiamato catchme.log sul desktop in cui parla solo del rootkit.
Credo che il rootit sia stato rimosso in quanto no nvedo reindirizzamenti del browser e è ricomparso il suono su internet explorer! Una cosa che mi ero scordato di dire è che in pannello di controllo Strumenti di amministrazione è vuoto (credo a causa del virus) ancora ora dopo l'utilizzo di combofix! (Ma questo è un problema minore quindi prima vogli oassicurarmi dlel'eliminazione totale del rootkit!)
Allego dunque ora i log dei due programmi più i lterzo log catchme.log:
EDIT: Non sono riuscito ad allegare quindi li psoto per esteso:
1) ComboFix.txt in C:\
ComboFix 11-06-17.04 - Del Bove Giulio 19/06/2011 22.19.58.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.511.221 [GMT 2:00]
Eseguito da: c:\documents and settings\Del Bove Giulio\Desktop\ComboFix.exe
AV: ESET NOD32 Antivirus 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is active
.
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
c:\windows\IsUn0410.exe
.
La copia infetta di c:\windows\system32\drivers\volsnap.sys è stata trovata e disinfettata
ipristinata copia da - Kitty had a snack

.
((((((((((((((((((((((((( Files Creati Da 2011-05-19 al 2011-06-19 )))))))))))))))))))))))))))))))))))
.
.
2011-06-19 11:52 . 2011-06-19 11:52 -------- d-----w- c:\documents and settings\Del Bove Giulio\Impostazioni locali\Dati applicazioni\Threat Expert
2011-06-19 11:28 . 2011-06-19 11:28 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2011-06-19 10:41 . 2011-06-19 20:16 -------- d-----w- c:\programmi\PC Tools Security
2011-06-19 10:41 . 2011-06-19 20:14 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2011-06-19 10:35 . 2011-06-19 20:14 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\PC Tools
2011-06-18 22:51 . 2011-06-18 22:51 -------- d-sh--w- c:\documents and settings\Del Bove Giulio\PrivacIE
2011-06-18 22:48 . 2011-06-18 22:48 -------- d-sh--w- c:\documents and settings\Del Bove Giulio\IETldCache
2011-06-18 22:43 . 2011-06-18 22:44 -------- dc-h--w- c:\windows\ie8
2011-06-18 22:17 . 2011-06-18 22:17 -------- d-----w- c:\windows\Sun
2011-06-18 22:16 . 2011-06-18 22:16 -------- d-----w- c:\programmi\File comuni\Java
2011-06-18 22:15 . 2011-06-18 22:15 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-06-18 22:15 . 2011-06-18 22:15 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-06-18 22:15 . 2011-06-18 22:15 -------- d-----w- c:\programmi\Java
2011-06-18 17:44 . 2011-06-18 17:44 -------- d-----w- c:\documents and settings\Del Bove Giulio\Dati applicazioni\Malwarebytes
2011-06-18 17:22 . 2011-05-29 07:11 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-18 17:21 . 2011-06-18 17:21 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2011-06-18 17:21 . 2011-06-18 17:22 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2011-06-18 14:31 . 2011-06-19 14:29 -------- d-----w- c:\documents and settings\Administrator
2011-06-07 10:35 . 2011-06-07 10:35 103864 ----a-w- c:\programmi\Mozilla Firefox\plugins\nppdf32.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2011-05-19 13:16 . 2011-05-19 13:16 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-27 . 8E036EEC565910417EA020CE0962AA24 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys
.
[-] 2008-04-27 . D5E120A3BA164D2E7307A6688FEB26B2 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\G oogleToolbarNotifier.exe" [2010-10-31 39408]
"msnmsgr"="c:\programmi\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"DAEMON Tools Lite"="c:\programmi\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"PC Suite Tray"="c:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-11-11 1451520]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SoundMAXPnP"="c:\programmi\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528]
"Motive SmartBridge"="c:\progra~1\ALICET~1\SMARTB~1\Motive SB.exe" [2006-04-21 438359]
"ATICCC"="c:\programmi\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"egui"="c:\programmi\ESET\ESET NOD32 Antivirus\egui.exe" [2010-08-12 2215064]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"HP Component Manager"="c:\programmi\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2010-11-29 421888]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"TkBellExe"="c:\programmi\Real\RealPlayer\update\r ealsched.exe" [2011-03-08 273544]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2011-04-08 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\documents and settings\Del Bove Giulio\Menu Avvio\Programmi\Esecuzione automatica\
Utilit… controllo supporti di PMB.lnk - c:\programmi\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2010-11-13 333088]
.
[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [18/11/2010 17.44.46 691696]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [29/07/2010 14.31.26 115008]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfw tdir.sys [03/08/2010 14.28.36 95896]
R2 ekrn;ESET Service;c:\programmi\ESET\ESET NOD32 Antivirus\ekrn.exe [12/08/2010 15.16.26 810144]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate. exe [31/10/2010 16.34.21 136176]
S2 MBAMService;MBAMService;c:\programmi\Malwarebytes' Anti-Malware\mbamservice.exe [18/06/2011 19.22.00 366640]
S2 Network WanMiniport First Position;Network WanMiniport First Position;c:\programmi\Telecom Italia\WanMiniport1st\srvany.exe [31/10/2010 13.20.24 8192]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate .exe [31/10/2010 16.34.21 136176]
S3 MBAMProtector;MBAMProtector;\??\c:\windows\system3 2\drivers\mbam.sys --> c:\windows\system32\drivers\mbam.sys [?]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\dr ivers\mbamswissarmy.sys [18/06/2011 19.22.00 39984]
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-06-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-10-31 14:34]
.
2011-06-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2010-10-31 14:34]
.
2011-06-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1957994488-688789844-1547161642-1003Core.job
- c:\documents and settings\Del Bove Giulio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2011-06-18 08:44]
.
2011-06-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1957994488-688789844-1547161642-1003UA.job
- c:\documents and settings\Del Bove Giulio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2011-06-18 08:44]
.
2011-05-28 c:\windows\Tasks\hpwebreg_CN07H2958D05D1.job
- c:\programmi\HP\HP Deskjet 2050 J510 series\Bin\hpwebreg.exe [2010-02-02 10:20]
.
2011-06-19 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1957994488-688789844-1547161642-1003.job
- c:\programmi\Real\RealUpgrade\realupgrade.exe [2011-01-24 13:25]
.
2011-06-19 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1957994488-688789844-1547161642-1003.job
- c:\programmi\Real\RealUpgrade\realupgrade.exe [2011-01-24 13:25]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Settings,ProxyOverride = 127.0.0.1
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5 017F567343CA.dll/cmsidewiki.html
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
HKLM-Run-DXDllRegExe - dxdllreg.exe
AddRemove-Adobe Photoshop 6.0 - c:\windows\ISUN0410.EXE
AddRemove-Adobe SVG Viewer - c:\windows\IsUn0410.exe
.
.
.
************************************************** ************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-19 22:26
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
************************************************** ************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2011-06-19 22:30:28
ComboFix-quarantined-files.txt 2011-06-19 20:30
.
Pre-Run: 56.849.711.104 byte disponibili
Post-Run: 57.340.739.584 byte disponibili
.
- - End Of File - - B940A8C9738F5DBBD93DBDF8E89D4CF9
2) catchme.log sul desktop (creato da combofix)
File "C:\WINDOWS\system32\drivers\volsnap.sys" added successfully
File list cleared

Discussione: Virus/Rootkit "Windows XP Repair 2011" (Falso antivirus)

Strumenti discussione

Ricerca discussione

Visualizza

Visualizzazione discussione

Permessi di invio