infezione persistente

[drakko]

ciao a tutti, ecco il problema:
pc fisso con trend micro, mi accorgo che non fa più gli aggiornamenti automatici (chissà da quanto), lo tolgo e metto avg che mi trova un centinaio di infez. varie (trojan, malware, delle rootkit e altro..), pulisco tutto facendo fare un giro a spybot e cccleaner, riavvio e mi connetto, dopo poco avg ricomincia con minacce multiple...alché guardo un pò i file interessati e cerco in rete per capire in particolare cos'a il file win32 perché mi salta fuori il messaggio '..errore in generic host process for win32. l'app.verrà chiusa', poi nn mi permette neanche di disconnettermi, ma non sono più connesso...leggo un pò scarico l'occorrente e poi parto di nuovo quindi prima fleggo 'disattiva ripristino conf. di sist.', poi msconfig e riavvio in mod. provv.
a questo punto lancio malwarebytes (alla terza volta non ha trovato più nulla), poi spybot (due volte), poi cccleaner (due volte sia per internet che per il registro)...quindi ho impostato per il riavvio normale e una volta riavviato ho fatto ripartire il ripristino config. di sist. (il tutto senza la connessione attiva)(e son passati due giorni)...
ora i problemi sono:
-all'avvio mi dice che: l'unità conf. di sist. è stat att. per app. mod.alla mod. di avvio di win...devo scegliere la mod. normale dalla scheda generale...click su ok e lui ti ci porta (stessa vodeata di msconfig) ma non è più fleggata la casella per partire in mod. provv. e non me lo spiego...meglio non so dove clikkare...;
-in più mi dice ad ogni avvio che: per rendere effettive le mod. della config. di sist. devo riavviare;
-dopo qualche minuto di connessione avg (a cui ho detto di non mostrare le finestre), mi fa vedere una finestra per chiedere che fare di altre minacce multilple, subito dopo ancora win32 e la connessione salta...;
-come mai sul portatile, su cui per sicurezza ho installato e fatto tutti i controlli (negativi), non compaiono mai mess. di minaccia e nella quarantena ho due cookie traccianti e basta....??
-faccio prima a formattare?si sono annidati così bene da sputtanare irrimediabilmente?

ringrazio chiunque mi possa aiutare, di seguito l'hjt log, allegato l'errore win 32 coi dettagli e mi scuso se ho sbagliato nel postare, grazie ancora.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21.29.31, on 02/06/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\PROGRA~1\AVG\AVG10\avgchsvx.exe
C:\PROGRA~1\AVG\AVG10\avgrsx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVG\AVG10\avgwdsvc.exe
C:\Programmi\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\Google\Update\GoogleUpdate.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\AVG\AVG10\avgnsx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\AVG\AVG10\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe
J:\HiJackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG10\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AVG_TRAY] C:\Programmi\AVG\AVG10\avgtray.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: PowerReg Scheduler.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: PowerReg Scheduler.exe (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C695387D-0CA5-4C56-8210-06FCB21E149B}: NameServer = 85.37.17.8 85.38.28.73
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG10\avgpp.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG10\avgwdsvc.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5931 bytes

[R16]

Salve.
Non mi meraviglia, le infezioni che prendi con un S.O obsoleto, e un browser pieno di bug.
In quelle condizioni, sarai sempre ad alto rischio di infezioni. (e piuttosto serie)

Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.

Dimenticavo: (per postare il log di Combofix)
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[drakko]

intanto grazie,

al fondo ho incollato il forum link (spero vada bene), ma non ho capito una cosa, combofix ha eliminato della roba, cioé ha messo a posto(in teoria)?
inoltre credo e spero di aver messo a posto altro, cioé per ora non chiede il riavvio perenne, poi ho messo avast e sto aspettando che finisca, poi volevo navigare e vedere che capita, ma magari aspetto ulteriori indicazioni...


log.txt

[R16]

Disattiva il Tea Timer di SpyBot:
Apri SpyBot in modalità avanzata (menù modalità - avanzata) poi vai in utilità - resident e togli la spunta a TeaTimer, e riavvia il pc.

[drakko]

fatto....mi son connesso e neanche aperto il browser mi ha aperto un pop up dicendo di aver bloccato un potenziale malware(C:\windows\system32)...però adesso sembra che si riesca a lavorare e vada tutto bene, quindi per ora ancora mille grazie, ti farò sapere se si ripresenta la para e se hai dei consigli su cosa togliere/mettere son ben accetti!!

p.s.
per capire dato che non sono molto esperto, solo combofix è riuscito a togliere il vero problema, che se non ho capito male era un rootkit?

[R16]

Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "start"
al termine della scansione ti chiederà il riavvio, dai ok.

Per eliminare i vari Tooll scaricati:
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

No, non erano rootkit, ma trojan.
In ogni caso, se non aggiorni il S.O al SP3, e non sostituisci il browser con versioni più aggiornate, di virus ne prenderai sempre.
Non c'è antivirus che tenga.

service pack3 di Windows XP :

http://www.microsoft.com/downloads/d...DisplayLang=it

Internet Explorer 8

http://www.microsoft.com/downloads/d...displaylang=it

[drakko]

bene, ho fatto girare tfc, ho riavviato e poi ho navigato dopo aver messo ie8 (che però è leeeento, ma nn importa..), avast mi ha bloccato da ieri una deicna di para, poi dopo qualche ora è tornato il generic host process for win32....
ho cercato in rete e scarico un aggiornamento direttamente da microsoft per fixare un bug relativo a un trojan che ha lo stesso nome, se non ho capito male e se è quello, infatti nei processi ci sono a volte anche 6 svchost.exe (3 del system, 2 servizio di rete e un serv. locale)...non risolve nulla, ritorna imperterrito il win32....(ho aggiornato e mandato ancora spybot, avast, malwarebytes, cccleaner e riavviato ancora)...
-ora se metto il sp3, vengono richiesti codici?è originale ma installato dal cd di un amico, quindi nel caso devo recuperarli...
-a parte questo aggiornamento, sarei quasi propenso a fare ancora un giro di tutto (quello che ho fatto io, con quello indicato nella guida del sito e quello che mi hai detto tu) per poi mettere anche il sp3...ma può tornare utile?risolve?
-magari esiste un modo per trovare i singoli file e eliminarli manualmente?qualora fosse possibile...
o mi rimane la formattazione, ma col dubbio a questo punto che non si risolva nulla se sto schifo si è annidato alla grande....

thanks a lot

[R16]

Ciao.
Ti consiglio di installare Firefox (ultima versione) al posto di IE8:
http://www.mozilla-europe.org/it/

Poi esegui questa scansione, per accertare che non ci siano rootkit in memoria:
Scarica TDSSKiller.zip sul desktop :
http://support.kaspersky.com/viruses...?qid=208280684
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan "
Se trova qualche infezione di default avrai l'opzione "Cure " per cui, clicca su "Continue ".
Se un file sospetto viene trovato,l'azione di default sarà skip ,clicca su "Continue ".
Se è richiesto il riavvio, acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui. (con Wikisend)

Poi vediamo in generale come è messo quel pc: (non viene eliminato niente, ma mi permette di scovare delle infezioni che altri software non rilevano, vedi HJT)

SYSTEM SCAN
scaricalo sul desktop
http://www.suspectfile.com/systemscan
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now "
Finita la scansione verrà rilasciato (sempre sul desktop all'interno della cartella suspectfile)un report.
POstalo qui. (sempre con Wikisend)

[drakko]

bene...ieri mi compare l'errore win32 e son costretto a riavviare, poi ho lanciato tds e sembra non abbia trovato nulla....mi son riconnesso oggi ed è quasi un'ora che navigo e non succede nulla e nella quarantena di avast non c'è nulla bloccato di oggi...spero che continui....ma continuo a non capire, si è "arreso" o cosa....;
in ogni caso mi ero scordato di dire che prima di tds e dopo la pulizia che avevo fatto, era anche comparso un errore tipo win32 ma su avast, dicendo che sarebbe stato chiuso...(magari è un info che serve, non so..)....in ogni caso di seguito riporto i log tds e systemscan, e veramente i miei complimenti....dopo aver letto un pezzo del log di systemscan mi è venuta voglia di ubruiacarmi....

report.txt

TDSSKiller.2.5.3.0_04.06.2011_14.01.56_log.txt

[R16]

Da Installazione Applicazioni rimuovi TUTTE le versioni Java che trovi.
Installa questa:
http://www.java.com/it/download/index.jsp

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Il log di Systemscan è pulito.
Ci sono solo alcuni "rimasugli" da togliere.
Segui il percorso, ed elimina le cartelle in rosso:

C:\Programmi\AVG

C:\Documents and Settings\ciccio\Dati applicazioni\AVG10

C:\Documents and Settings\ciccio\Dati applicazioni\Vygyf

Le infezioni, le ha tolte Combofix.
Se il pc funziona bene abbiamo concluso.