Malware che blocca la connessione alla Rete

[natasha]

Buongiorno a tutti,
ho un cliente col sottosistema di connessione alla Rete distrutto: iexplore.exe va in crash appena lanciato in esecuzione (ed anche Firefox se è per questo), anche dopo averlo collegato via Wi-Fi ad una ADSL non riesce ad andare più in là del router, ecc. ecc.
Il problema è che, ovviamente, antivirus ed antispyware non li posso aggiornare via Rete.
Avast all'ultimo aggiornamento non ha trovato niente; idem per ClamWin eseguito da USB; SpyBot non avvia proprio la GUI; Ad-Aware 2008 l'ho aggiornato tramite core.aawdef, ma anch'esso non trova niente.
Vi è un modo per ripristinare le funzionalità di collegamento ad Internet onde poter poi procedere alla disinfezione, ad es. sostituendo qualche DLL o .sys dalla Modalità Provvisoria?

[Deifobe]

scarica e trasferisci sul pc infetto SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[natasha]

Originariamente inviato da Deifobe
scarica e trasferisci sul pc infetto SystemScan ....

Fatto.
Ti ho postato il direct link con un messaggio privato.

[Deifobe]

vado a controllare

[Deifobe]

fatto..

Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

files to delete:
C:\WINDOWS\system32\wertyu.dll
C:\WINDOWS\system32\av.exe
C:\WINDOWS\system32\getwn32.dll
C:\WINDOWS\Clc1200e.INI
C:\WINDOWS\system32\drivers\TDSSmqlt.sys

registry keys to delete:
HKLM\system\currentcontrolset\services\TDSSserv.sy s
HKLM\system\controlset001\services\TDSSserv.sys
HKLM\system\controlset002\services\TDSSserv.sys

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | svchost.exe

registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon | System

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

dopo il riavvio, elimina C:\WINDOWS\system32\svch?st.exe
quello con il ? oppure diommi cosa trovi. Non eliminare svchost

A questo punto dovrebbe essere visibile l'infezione. Posta un nuovo systemscan così finiamo di rimuovere il resto.

appena dopo il riavvio, fai eseguire le modifiche indicate nello script a spybot (ossia, non negarle altrimenti resta tuitto com'è ora)
Ciao

[natasha]

dopo il riavvio, elimina C:\WINDOWS\system32\svch?st.exe
quello con il ? oppure diommi cosa trovi. Non eliminare svchost

C'erano due svchost.exe, ed ho rinominato in .bak quello più recente.
Al riavvio, Avast ha cominciato a trovare istanze di LDPINCH-BF una bellezza (per la verità le aveva rilevate già Prevx CSI 3.0... ma lo scanner è gratuito, la rimozione NO), ed insomma sembra a questo punto possa procedere con gli "usuali" strumenti.
Grazie

[Deifobe]

riguardo svch?st.exe: zippa entrambi i file trovati e carica il .zip su freefilehosting. il link, però, non postarlo sul forum ma inviamelo con un messaggio privato.

poi devi postarmi un nuovo systemscan

[natasha]

Originariamente inviato da Deifobe
riguardo svch?st.exe: zippa entrambi i file trovati e carica il .zip su freefilehosting. il link, però, non postarlo sul forum ma inviamelo con un messaggio privato.

poi devi postarmi un nuovo systemscan

fatto.

[Deifobe]

elimina manualmente
C:\WINDOWS\system32\TDSSlxwp.dll
C:\WINDOWS\system32\TDSSorvd.dat

da quello che hai scritto, ora dovresti avere l'svchost legittimo, è giusto?

mi fa piacere per la connessione

fai solo 1 scansione:

Fai una scansione on-line con Kaspersky:
clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
=> seleziona "my computer" (a sinistra) e da questo momento in poi, puoi anche disconnettere il pc da internet
=> al termine della scansione clicca su "View Scan Report"
=> "Save Report As" => salva e posta il rapporto.


oppure:


Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto e non rimuovere nulla

[natasha]

fai solo 1 scansione:

Ho fatto una scansione con entrambi, ed entrambi non hanno trovato nulla.
Ad ogni modo, per tua curiosità, ti ho inviato entrambi i report.
Grazie di nuovo