Recycled - boot.com - Autorun.inf

[Androide17]

Ho scaricato una suite per software portable.
Il mio problema si è verificato dopo aver lavorato con questa suite.
Riavviando il PC mi è comparsa una pagina blu con messaggio d'errore:

IRQL_NOT_LESS_OR_EQUAL

Informazioni Tecniche
***stop:0X0000000A(0X022B0020,0X00000002,0X0000000 0,0X805185FB)

Informandomi in internet ho trovato delle informazioni che riguardano i files indicati nel titolo.
Dovrebbero essere dei Malware, sono riuscito ad eliminare i files ma vorrei controllare se sono ancora attivi eliminandone le tracce residue.

[Androide17]

Log:

Logfile of HijackThis v1.99.1
Scan saved at 11.15.38, on 11/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~2\AVGFRE~1\avgwdsvc.exe
C:\Programmi Personali\Pro Show Producer 3.0\ScsiAccess.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\PROGRA~2\AVGFRE~1\avgrsx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\PixArt\PAC7302\Monitor.exe
C:\PROGRA~2\AVGFRE~1\avgtray.exe
C:\Documents and Settings\Francesco\Documenti\Da Masterizzare\Hijackthis 1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi Personali\AVG Free 8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~2\AVGFRE~1\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\4.1.509. 5470\swg.dll
O2 - BHO: CodecPlugin Class - {e161c562-11aa-4eae-9d60-0e18ebb4b0fc} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~2\AVGFRE~1\AVGTOO~1.DLL
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~2\AVGFRE~1\avgtray.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{99A26F77-F489-49FC-9559-A1FBACDA9FC9}: NameServer = 85.255.113.141;85.255.112.145
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.141;85.255.112.145
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.113.141;85.255.112.145
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.141;85.255.112.145
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi Personali\AVG Free 8\avgpp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~2\AVGFRE~1\avgwdsvc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi Personali\Pro Show Producer 3.0\ScsiAccess.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

[ryan atwood]

scarica Malwarebytes
aggiornalo
esegui la scansione completa del PC
Posta il risultato

[Deifobe]

lascio solo 2 piccolissimi appunti..

Originariamente inviato da Androide17
Informandomi in internet ho trovato delle informazioni che riguardano i files indicati nel titolo.

controlla anche eventuali partizioni e dispositivi usb con memoria (pen, HD esterni...)

e poi, ti consiglio di fixare:

O17 - HKLM\System\CCS\Services\Tcpip\..\{99A26F77-F489-49FC-9559-A1FBACDA9FC9}: NameServer = 85.255.113.141;85.255.112.145
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.141;85.255.112.145
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.113.141;85.255.112.145
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.141;85.255.112.145

e anche:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: CodecPlugin Class - {e161c562-11aa-4eae-9d60-0e18ebb4b0fc} - (no file)

poi esegui la scansione consigliata

ciao

[Androide17]

Originariamente inviato da Deifobe
lascio solo 2 piccolissimi appunti..


controlla anche eventuali partizioni e dispositivi usb con memoria (pen, HD esterni...)

e poi, ti consiglio di fixare:



e anche:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: CodecPlugin Class - {e161c562-11aa-4eae-9d60-0e18ebb4b0fc} - (no file)

poi esegui la scansione consigliata

ciao

Ho già formattato il pen drive infetto.

O17 - HKLM\System\CCS\Services\Tcpip\..\{99A26F77-F489-49FC-9559-A1FBACDA9FC9}: NameServer = 85.255.113.141;85.255.112.145
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.141;85.255.112.145
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.113.141;85.255.112.145
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.141;85.255.112.145

Ho provato a fixarli e ne elimina soltanto uno (il terzo) che però ricompare quando riavvio.
Quindi rimangono tutti e quattro.

In questo momento sto eseguendo la scansione con Malwarebytes.
Vi farò sapere...

[Androide17]

Dimenticavo di dire che AVG8 Free non riesce ad aggiornarsi.

[ryan atwood]

Che errore ti dà AVG???
Posta il risultato di Malwarebytes!!!

[Androide17]

AVG8 tenta la connessione per l'aggiornamento ma dà il messaggio"Failed".
Al momento non riesco a dare il report di malwarebytes perchè non riesco più a connettermi.
è saltata anche la connessione.
Proverò da un altro PC come sto facendo adesso.
Intanto come potrei ristabilire la connessione?
Il segnale c'è ma non carica alcuna pagina.

[Deifobe]

il problema sta nel sapere se il pc era davvero pulito.
teoricamente potresti passare dei programmi sul pc con una pen usb.... ma se il pc è infetto, infetterà la pen e non potrai utilizzarla su un altro pc..

quindi da questo punto in poi dovremo fare le analisi e tu dovrai riportare i risultati senza trasferire i rapporti...

possiamo provare, per vedere se ci sono file autorun basta systemscan.

se x te va bene, ti dico quello che devi trasferire in un solo passaggio, in modo da avere tutto sul pc

[Androide17]

Certo che per me va bene.
Dimmi cosa fare!