Rimozione di win32 qandr

[extrabyte]

Salve a tutti, ieri pomeriggio Avast ha trovato e cancellato alcuni file
infetti. Al successivo riavvio di windows, mi segnalava la presenza di win32
qandr. Trovando vecchi post su google, ho letto che si tratta di un rootkit
ed era consigliato il tool di Sophos, che ha trovato un eseguibile sospetto
nella cartella Esecuzione Automatica, dopodichè ho utilizzato Hijackthis,
che ha trovato un paio di voci sospette, tra cui quella trovata da Sophos,
quindi le ho fixate.

Da precisare, che windows per avviarsi impiegava moltissimo tempo: non
riusciva a caricare il menu start e i programmi in esecuzione automatica.
Una volta avviato (dopo circa 30 minuti) la cpu era impegnata al 50% da
svchost. Ho fatto varie scansioni con avast e online (f-secure, bitdefender)
ma non hanno trovato nulla. Dopo che ho fixato le voci sospette con
Hijackthis, al riavvio impiegava moltissimo tempo, ma una volta avviato la
cpu è libera.

Stamane ho utilizzato il tool Combofix, che è stato velocissimo
(evidentemente non ha trovato nulla). Il problema è cmq rimasto: windows (XP
sp2) ha impiegato moltissimo tempo per avviarsi.

Se qualcuno può darmi qualche suggerimento....

Allego il log di Combofix e di Hijackthis

p.s. ho eseguito il defrag e una scansione con un programma antispyware che non ha rilevato nulla, non so se il problema è ancora presente perchè non ho ancora riavviato. Evidentemente c'è qualche processo strano che non permette il caricamento della tray bar in tempi normali. Ho contrallato i processi in esecuzione automatica e sembra tutto ok,.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\templ ate\DRIVEN~1\syncer\MCCITR~1.EXE
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\JGsoft\EditPadLite\EditPad.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Documents and Settings\extrabyte\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet
Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat
7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection -
{53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft
Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO -
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -
C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309 .3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper -
{DBC80044-A445-435b-BC74-9C25C1C588A9} -
C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -
C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Motive SmartBridge]
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [AliceRE_McciTrayApp]
C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\templ ate\DRIVEN~1\syncer\MCCITR~1.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched]
"C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows
Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search &
Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and
Settings\extrabyte\Impostazioni locali\Dati
applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [swg]
C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File
comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti
aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk =
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search -
res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links -
res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page -
res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel -
res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages -
res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English -
res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil
Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil
Software\Avast4\ashWebSv.exe
O23 - Service: Servizio di Google Update (gupdate1ca20ae96719a4a)
(gupdate1ca20ae96719a4a) - Google Inc. -
C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google -
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun
Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Network WanMiniport First Position - Unknown owner -
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe

[extrabyte]

Aggiornamento: da msconfig ho tolto la spunta a tutti i programmi in esecuzione automatica, quindi ho riavviato ma il problema è rimasto, in ogni caso risultavano comunque spuntate le voci: nvcpl.dll, nvstartup, che sono della scheda video.

Ho provato anche scollegare il router dalla scheda di rete, disabilitando anche questa, per poi rimuovere un hd esterno. Ma l'avvio è comunque lento....

[Nobody33]

Buona sera

Il log di hijackthis è pulito.
Che file ti ha cancellato avast e combofix? puoi postare i file eliminati?

Il pc è lento solo all'avvio o anche quando esegue dei programmi. Per verificarlo, apri 3-4 programmi contemporaneamente e vedi come si comporta.

Puoi provare ad andare nel prompt dei commandi e digitare chkdsk/f, con il disco di windows inserito.
Se non funziona, procedi al ripristino del sistema (che non è formattazione ecc, ma ti riprirstina solo Xp)

[extrabyte]

Originariamente inviato da Nobody33
Buona sera

Il log di hijackthis è pulito.
Che file ti ha cancellato avast e combofix? puoi postare i file eliminati?

Avast ha cancellato un bel pò di file infetti, mentre navigavo in rete. Al successivo riavvio mi segnalava la presenza del rootkit, quindi ho riavviato in MP e ho scansionato, ma non ha trovato nulla.

Combofix probabilmente non ha eliminato nulla, perchè la scansione è stata molto veloce...

Ho scansionato anche con malwarebytes e ha trovato 1 spyware (rimosso). Ho eseguito altre due scansioni online (f-secure e bitdefender) ed è ok.

In ogni caso, penso di aver eliminato il malware con hijackthis (il log che ho postato è quello dopo aver ripulito), e si trovava nella cartella esecuzione automatica.

Originariamente inviato da Nobody33
Il pc è lento solo all'avvio o anche quando esegue dei programmi. Per verificarlo, apri 3-4 programmi contemporaneamente e vedi come si comporta.

La cosa strana è che il PC è ok: è lento solo all'avvio. Precisamente, carica le icone su desktop ma è lento a caricare la barra delle applicazioni, cioè carica le iconcine sulla traybar per bloccarsi e rimanere in attesa di circa 10 minuti, dopodichè è tutto normale.

Ho ripulito:

C:\windows\prefetch

tranne il file layout.ini. Proverò ad escludere dall'avvio i servizi (non di windows). Ho già provato con i programmi in esecuzione automatica, ma non ha risolto.

Originariamente inviato da Nobody33
Puoi provare ad andare nel prompt dei commandi e digitare chkdsk/f, con il disco di windows inserito.
Se non funziona, procedi al ripristino del sistema (che non è formattazione ecc, ma ti riprirstina solo Xp)

ho già fatto il ripristino ma non ha dato risultati, magari riproverò, compreso chksdk...

ps. subito dopo che avast mi ha segnalato il worm, il pc era lento anche dopo l'avvio: il 50% della cpu era occupata da svchost. Purtroppo non posso utilizzare il task manager quando si inchioda all'avvio, perchè non risponde nemmeno ai comandi di tastiera...

[Nobody33]

Se avresti detto sin da subito che ti sei preso un verme, la situazione sarebbe diversa e non ti avrei mai detto di usare il ripristino della configurazione del sistema ..
Se magari ti ricordi qual'è il suo nome , postalo.
In linea generale, con i worm, non usare MAI il ripristino finché il pc non torna normale.

Per combofix: rinominalo come ti piace ed eseguilo.

Per il log di hjt è certo che è pulito se già hai eliminato tutto..

Rifai la scansione di mbam in mod. provvisoria, con internet sconnesso e di tutto il pc .

fa sapere

[extrabyte]

Originariamente inviato da Nobody33
Se avresti detto sin da subito che ti sei preso un verme, la situazione sarebbe diversa e non ti avrei mai detto di usare il ripristino della configurazione del sistema ..
Se magari ti ricordi qual'è il suo nome , postalo.
In linea generale, con i worm, non usare MAI il ripristino finché il pc non torna normale.

Win32 qaudr (è un rootkit). Ma l'ho rimosso cmq.... Il problema è nella partizione, perchè ho visto che non eseguiva chkdsk nemmeno dalla consolle di ripristino, quindi ho utilizzato partition magic da cd e mi dà un errore nella partizione (il n di errore è 1516)

http://service1.symantec.com/SUPPORT...0&csm=no&tpre=

qui consigliano chkdsk c:/f e alla fine sono riuscito ad eseguirlo, ma non ha trovato nulla e il problema è rimasto....

c'è un modo per fixare la partizione?

[extrabyte]

sto pensando di utilizzare questo:

http://www.cgsecurity.org/wiki/TestDisk

[extrabyte]

risolto: erano i driver della sk audio!!

Da gestione periferiche ho visto un tot di punti esclamativi, quindi ho disinstallato i driver da pannello di controllo>installazione applicazioni, dopodichè ho riavviato (e già ho visto che era più veloce), reinstallato i driver e ora è ok.

ps. in contemporanea ho escluso dall'avvio alcuni servizi non di windows, quali network miniport, google updater, java quick starter, nvidia display driver service. Ripristino questi servizi, o sono completamente inutili?

[Nobody33]

...non penso proprio che siano completamente inutili...



p.s.: quando sei sicuro al 100%, creati dei dischi ti ripristino per eventuali futuri errori. Dato che ne capisci di pc, basta che ti fai una ricerca in giro e trovi quello che cerchi. Possono tornare sempre utili...

[extrabyte]

Originariamente inviato da Nobody33
...
p.s.: quando sei sicuro al 100%, creati dei dischi ti ripristino per eventuali futuri errori. Dato che ne capisci di pc, basta che ti fai una ricerca in giro e trovi quello che cerchi. Possono tornare sempre utili...

Ok. In ogni caso, i dati più importanti sono su un'altra partizione, quindi anche se dovevo formattare la partizione primaria, non avrei subito grossi danni (se non il tempo di reinstallare tutto)