Dropper.gen (analisi report combofix)

[Marins]

Salve volevo sapere se qualche volenteroso ha possibilità e tempo da dedicarmi per risolvere il problema.
In effetti ho beccato il trojan dropper.gen e l'avira me lo rileva ma non riesce a far altro che mettere in quarantena una serie di file che il trojan produce assegnando loro una numerazione progressiva: risultato il mio pc è diventato lentissimo.

Leggendo un po in giro ho visto dei suggerimenti di manatwork ed ho seguito i suoi consigli per quanto ho potuto. Ora sono al punto che ho il combofix.txt e non so se ha fatto il suo lavoro o è necessario qualche altro intervento perchè non credo che da solo abbia risolto il problema del dropper.gen (non ne sono sicuro).

Se qualcuno mi può analizzare il report allegato e dirmi come stanno le cose vi sono grato.

http://www.freefilehosting.net/combofix_9


Grazie ancora.

[TDL3 Rootkit]

Fai un click destro in un punto vuoto del Desktop
● scegli la voce Nuovo
● clicca su Documento di testo
● copia ed incolla, all'interno del documento appena creato, queste righe:

Folder::
C:\Windows\Tasks
C:\Windows\temp

Registry::
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Cpqset" =-
"BigDog305" =-
"SGPUpdater" =-
"FBSearch" =-

RegLock::
[HKEY_USERS\S-1-5-21-3867303547-3430087209-633744069-500\Software\Microsoft\Internet Explorer\User Preferences]

● clicca su File
● clicca su Salva con nome
● accertati, nel menù a sinistra, che il file venga salvato sul Desktop: se cosi' non fosse, seleziona Desktop
● in Nome file: scrivi CFScript.txt
Ora:
● con il tasto sinistro del mouse, trascini sull' icona di ComboFix il file di testo: parte la scansione di ComboFix
● non toccare più nulla, finché non è finita: lascia lavorare il programma, senza interferire
● se il sistema non si riavvia da solo, riavvialo tu
● a questo punto, allega il log di ComboFix

Inoltre:
Scarica ed installa Malwarebytes' Anti-Malware Free Version: http://www.malwarebytes.org
Nota - durante l'installazione:
● ti verrà richiesto di aggiornare le definizioni virali di Malwarebytes, e di avviarlo una volta installato: consenti, lasciando la spunta a:
Aggiorna Malwarebytes' Anti-Malware
Avvia Malwarebytes' Anti-Malware

Una volta installato:
● verrà mostrata la schermata principale del tool
● clicca sul pulsante Scansione completa
● ti verrà richiesto quali drive vuoi scansionare; selezionali tutti, e clicca su Scansione
● attendi pazientemente la fine della stessa
● se vengono rilevate infezioni, eliminale cliccando su Rimuovi elementi selezionati
● al termine della scansione verrà rilasciato automaticamente un log: salvalo sul Desktop perché lo dovrai allegare

[Marins]

Ciao ti ringrazio,
ho fatto come mi hai detto unico neo è stato che combofix riscontrava la presenza attiva di Antivir Desktop (AVIRA) nonostante io lo abbia disabilitato ed era con ombrellino chiuso, non riuscendo a terminarlo ho accettato di proseguire la scansione di combofix "a mio rischio" come avvertiva il prg e ti posto qui di seguito il log post scansione.

http://www.freefilehosting.net/combofix_10


ti ringrazio anche per il suggerimento dell'altro prg lo sto eseguendo ora in scansione ti faccio sapere come va in effetti il notebook è ancora molto lento rispetto a prima dell'infezione ma pare vada già meglio ora, dovrò ripulirlo per bene dopo le scansioni malware... se c'è qualcosa che puoi consigliarmi anche per quello ti sono davvero molto grato.

saluti

[TDL3 Rootkit]

Ciao Marins.

Disinstalla:
Trojan Dropper . Small Removal
The Cleaner

Oltre al Report di MalwareBytes allegane poi uno di HJT, in tal modo:
Scarica ed installa Hijackthis: http://www.trendmicro.com/ftp/produc...HiJackThis.msi
Nota: per lanciare Hijackthis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull' icona di Hijackthis e nel menù contestuale scegli Esegui come Amministratore

● lancia Hijackthis
● clicca sul pulsante Do a system scan and save a logfile
● al termine della scansione, che durerà una manciata di secondi, verrà rilasciato un file di testo: allegalo

[Marins]

Grazie TDL3 Rootkit

ho fatto come mi hai indicato e questo il log hijackthis

http://www.freefilehosting.net/hijackthis_81

[TDL3 Rootkit]

Ciao. Sei infetto.
Disinstalla:
McAfee Security Scan Plus

Poi:

Scarica Pserv: http://p-nand-q.com/download/pserv_cpl/pserv-2.7.exe
● installa questo tool, seguendo i semplici passaggi proposti

Una volta installato:
● clicca su Start - Tutti i programmi
● lancia Services & Devices
● nell'elenco, individua questi servizi:

Utilità di pianificazione di LiveUpdate automatico
JavaQuickStarterService

● tasto destro del mouse sui servizi in questione
● scegli Delete
● una volta rimossi i servizi, riavvia il sistema

Infine:

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Nota:
● il programma devi scaricarlo preferibilmente con Internet Explorer

Posiziona ComboFix sul Desktop ed esegui queste operazioni preliminari:
● disconnettiti da Internet
● sconnetti, fisicamente, il modem/router dal Computer

E' assolutamente necessario, se attivo:
● disattivare l'Antivirus in uso, dall'icona presente sulla traybar (accanto all'orologio di Windows)
● disattivare il Firewall eventualmente installato, dall'icona presente sulla traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un account con privilegi di Amministratore e segui le istruzioni che verranno rilasciate per eseguire la scansione
● verrà richiesta la installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi la scansione e la fase di creazione del log

Note - durante la scansione:
● verranno creati alcuni file sul Desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer, qualora già non ci fosse

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente (in caso contrario, riavvialo tu)
● ricollega, fisicamente, il modem/router al Computer
● connettiti a Internet
● vai in Disco Locale C:, cerca il log dal nome combofix.txt ed allegalo


Quindi, al termine del lavori, allega, su WikiSend:
Per allegare i log, utilizza questo servizio di upload: http://www.wikisend.com
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.
I log di:
ComboFix
Malwarebytes
Hijackthis

Buon lavoro, buone feste, saluti

[TDL3 Rootkit]

Scusa, Marins, mi sono sbagliato.
Ma come faccio ad editare i post su questo forum?

Comunque, fai cosi', e lascia stare il mio precedente messaggio:

Disinstalla:
McAfee Security Scan Plus

Scarica Pserv: http://p-nand-q.com/download/pserv_cpl/pserv-2.7.exe
● installa questo tool, seguendo i semplici passaggi proposti

Una volta installato:
● clicca su Start - Tutti i programmi
● lancia Services & Devices
● nell'elenco, individua questi servizi:

Utilità di pianificazione di LiveUpdate automatico
JavaQuickStarterService

● tasto destro del mouse sui servizi in questione
● scegli Delete
● una volta rimossi i servizi, riavvia il sistema

Rilancia Hijackthis:
Nota: per lanciare Hijackthis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull' icona di Hijackthis e dal menù contestuale scegli la voce Esegui come Amministratore

● clicca sul pulsante Do a system scan only
● spunta la casellina a fianco di ogni singola voce che ti indicherò sotto
● una volta spuntate le voci:
chiudi tutte le applicazioni aperte
chiudi tutte le pagine Internet aperte
● in Hijackthis fixa le voci cliccando su Fix checked
Queste le voci da fixare:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1;*.local
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Programmi\Fast Browser Search\IE\FBStoolbar.dll (file missing)
O3 - Toolbar: Fast Browser Search Toolbar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Programmi\Fast Browser Search\IE\FBStoolbar.dll (file missing)
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programmi\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Family Tree Builder Update] C:\Programmi\MyHeritage\Bin\FTBCheckUpdates.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleT oolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe " -t (User 'SYSTEM')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/...oUploader5.cab
O16 - DPF: {6D0E375A-7C00-4DB2-9D7E-D5B1ACDAF1F2} (FEWatch4 Control) - http://39.1.154.178/FEWatch.cab
O16 - DPF: {829FD93E-03AB-4AEB-8773-3CE510CB62C4} (LiveLetActivex Control) - http://194.244.107.13/LiveLetActivex.ocx

Al termine, allega un log di Malwarebytes e uno di Hijackthis.

[Marins]

Ciao TDL3 inserisco i link dei report post "trattamento" come da tue istruzioni, sembra che vada tutto molto meglio, il sistema è diventato più veloce.

hijackthis 100111.log

mbam-log-2011-01-10 (15-53-29).txt

Noto che al momento sei bannato... mi spiace io sono nuovissimo come utente non so perchè lo sei ma spero sia solo per un franteso che si risolverà presto, a me sei stato molto utile come partecipante a questo furum.
saluti e ancora grazie.