cartella imiqed file ykoco

[rupe2455]

Ciao a tutti
è da qualche giono che ho problemi con internet.
IE che mi si chiude da solo, rallentamento nella apertura di pagine web e altro.
Facendo pulizia con CCliner ho scoperto di avere in esecuzione all'avvio un esegubile che non ho idea da dove sia saltato fuori anzi per dirla giusta da dove sia saltato dentro.
il file è "ykoco.exe" e si trova dentro la cartella "Imiqed".
Una ricerca sul web del file di cui sopra mi ha dato risposte illeggibili.
Qualcuno sa dirmi qualche cosa a riguardo?
Ciao a tutti e buon lavoro.
Roberto

NB. nell'attesa di risposte ho provato a disattivare prima e a cancellare il file poi senza nessun risultato. dopo pochi minuti dalla cancellazione tutto torna come prima.

[R16]

Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obbligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.

Per postare il log:

Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[rupe2455]

ciao R16 questo è l'unico modo che mi è riuscito per incollare il file spero vada bene lo stesso.
NB. dopo il lancio di combofix il problema pare risolto. Dimmi cosa ne pensi.
Grazie
Roberto


ComboFix 12-02-07.01 - Roberto 07/02/2012 17.39.34.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.39.1040.18.503.181 [GMT 1:00]
Eseguito da: c:\documents and settings\Roberto.DCL0S12J\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: avast! Antivirus *Disabled* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
C:\Autorun.inf
c:\documents and settings\All Users\Dati applicazioni\TEMP
c:\documents and settings\Roberto.DCL0S12J\Dati applicazioni\Imiqed\ykoco.exe
c:\documents and settings\Roberto.DCL0S12J\WINDOWS
c:\programmi\MyWaySA
c:\windows\Downloaded Installations\BMP
c:\windows\Downloaded Installations\BMP\{88EB2295-59C3-4EB1-AF9F-B5BC941A45D4}\1040.MST
c:\windows\Downloaded Installations\BMP\{88EB2295-59C3-4EB1-AF9F-B5BC941A45D4}\BACS.msi
c:\windows\IsUn0410.exe
c:\windows\iun6002.exe
c:\windows\system32\mscore.dll
c:\windows\unin0410.exe
.
.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_FAD
-------\Legacy_RKHIT
-------\Service_RkHit
.
.
((((((((((((((((((((((((( Files Creati Da 2012-01-07 al 2012-02-07 )))))))))))))))))))))))))))))))))))
.
.
2012-02-07 11:05 . 2012-02-07 14:41 -------- d-----w- c:\documents and settings\Roberto.DCL0S12J\Dati applicazioni\Leac
2012-02-04 14:02 . 2012-02-04 14:02 -------- d-----w- c:\programmi\File comuni\Skype
2012-01-27 18:10 . 2012-01-30 14:45 -------- d-----w- c:\documents and settings\Roberto.DCL0S12J\Impostazioni locali\Dati applicazioni\RadioSure
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2011-12-06 16:05 . 2011-12-06 16:05 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-28 18:01 . 2011-02-23 11:11 41184 ----a-w- c:\windows\avastSS.scr
2011-11-28 18:01 . 2011-02-23 11:11 199816 ----a-w- c:\windows\system32\aswBoot.exe
2011-11-28 17:53 . 2011-12-17 17:37 435032 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-11-28 17:53 . 2011-02-23 11:11 314456 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-11-28 17:52 . 2011-02-23 11:11 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-11-28 17:52 . 2011-02-23 11:11 52952 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-11-28 17:52 . 2011-02-23 11:11 111320 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-11-28 17:51 . 2011-02-23 11:11 105176 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-11-28 17:51 . 2011-02-23 11:11 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-11-28 17:48 . 2011-02-23 11:11 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-11-14 08:27 . 2004-09-09 11:01 12400 ----a-w- c:\windows\system32\drivers\secdrv.sys
.
Infected c:\windows\system32\svchost.exe hex repaired
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\00 avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-11-28 18:01 122512 ----a-w- c:\programmi\Alwil Software\Avast5\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"avast"="c:\programmi\Alwil Software\Avast5\avastUI.exe" [2011-11-28 3744552]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]
.
c:\documents and settings\Roberto.DCL0S12J\Menu Avvio\Programmi\Esecuzione automatica\
antidep.txt [2011-2-18 741]
Cose da fare.txt [2012-1-27 261]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMyMusic"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"NoSMMyPictures"= 0 (0x0)
"NoStartMenuMyMusic"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"=rddv1021.dll
"midi1"=rddv1021.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-19 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programmi\\Virtual Skipper 4\\Vsk4.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programmi\\Vsk5\\Vsk5.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"3418:TCP"= 3418:TCP:*isabled:bcccot
.
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05/07/2006 13.46.06 63352]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.s ys [17/12/2011 18.37.54 435032]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [23/02/2011 12.11.25 314456]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswF sBlk.sys [23/02/2011 12.11.26 20568]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [10/01/2007 15.13.17 33792]
S2 cfwpdfkd;Installer Update;c:\windows\system32\svchost.exe -k netsvcs [09/09/2004 12.01.33 14336]
S2 dtlpxj;Shell Installer;c:\windows\system32\svchost.exe -k netsvcs [09/09/2004 12.01.33 14336]
S2 eyynpgkb;Microsoft Network;c:\windows\system32\svchost.exe -k netsvcs [09/09/2004 12.01.33 14336]
S2 rqigmtee;echcaqlxf;c:\windows\system32\svchost.exe -k netsvcs [09/09/2004 12.01.33 14336]
S2 SkypeUpdate;Skype Updater;c:\programmi\Skype\Updater\Updater.exe [31/01/2012 15.09.34 158856]
S2 wuutl;Network Image;c:\windows\system32\svchost.exe -k netsvcs [09/09/2004 12.01.33 14336]
S3 cpudrv;cpudrv;c:\programmi\SystemRequirementsLab\c pudrv.sys [18/12/2009 9.58.52 11336]
S3 RDID1021;EDIROL UA-20;c:\windows\system32\drivers\rdwm1021.sys [25/09/2007 11.15.57 162590]
S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\syna sUSB.sys [07/01/2007 16.05.11 16896]
S3 u9usbser;MYWAVEU9 USB Device for Legacy Serial Communication;c:\windows\system32\drivers\u9usbser .sys [21/07/2009 9.06.59 99456]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
wuutl
dtlpxj
eyynpgkb
cfwpdfkd
rqigmtee
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
Toolbar-Locked - (no file)
HKCU-Run-{D9B8EC2C-BA6B-EC62-EE41-AFADA01FC91B} - c:\documents and settings\Roberto.DCL0S12J\Dati applicazioni\Imiqed\ykoco.exe
Notify-WgaLogon - (no file)
AddRemove-Adobe Photoshop Elements 2.0 - c:\windows\ISUN0410.EXE
AddRemove-Cool's_Codec_pack_4.12 - c:\windows\iun6002.exe
.
.
.
************************************************** ************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-02-07 22:37
Windows 5.1.2600 Service Pack 2 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
************************************************** ************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\c fwpdfkd]
"ServiceDll"="c:\windows\system32\nnfywpwl.dll "
--
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\d tlpxj]
"ServiceDll"="c:\windows\system32\nnfywpwl.dll "
--
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\e yynpgkb]
"ServiceDll"="c:\windows\system32\nnfywpwl.dll "
--
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\r qigmtee]
"ServiceDll"="c:\windows\system32\nnfywpwl.dll "
--
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\w uutl]
"ServiceDll"="c:\windows\system32\nnfywpwl.dll "
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_USERS\S-1-5-21-2856701644-1088457852-1036599267-1006\Software\Microsoft\SystemCertificates\Address Book*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(476)
c:\windows\System32\BCMLogon.dll
.
- - - - - - - > 'lsass.exe'(532)
c:\windows\system32\rddv1021.dll
.
- - - - - - - > 'explorer.exe'(3376)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\programmi\Alwil Software\Avast5\AvastSvc.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
c:\windows\system32\locator.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\NOTEPAD.EXE
c:\windows\system32\NOTEPAD.EXE
.
************************************************** ************************
.
Ora fine scansione: 2012-02-07 22:41:49 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2012-02-07 21:41
.
Pre-Run: 5.953.572.864 byte disponibili
Post-Run: 5.869.236.224 byte disponibili
.
- - End Of File - - 7F5710331F902BC26CEB0A614B3C65D4

[R16]

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

codice:

KillAll::

ClearJavaCache::

Driver::
cfwpdfkd;
dtlpxj
eyynpgkb
rqigmtee
wuutl

NetSvcs::
wuutl
dtlpxj
eyynpgkb
cfwpdfkd
rqigmtee

File::
c:\windows\system32\nnfywpwl.dll

Folders::
c:\documents and settings\Roberto.DCL0S12J\Dati applicazioni\Imiqed

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3418:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cfwpdfkd]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dtlpxj]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\eyynpgkb]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rqigmtee]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wuutl]

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera , mouse o altro.
Posta il log aggiornato di combofix

N.B:
Avevo spiegato (mi sembra bene) come postare i log.

[rupe2455]

scusa ma non ho dimestichezza con ste cose
Nel file CFScript.txt devo copiare anche la scritta "codice:" che stà fuori dal riquadro tratteggiato o solo quello che sta dentro?

[R16]

devo copiare anche la scritta "codice:" che stà fuori dal riquadro tratteggiato o solo quello che sta dentro?

NON devi copiare la parola Codice.
Solo quello che è racchiuso all'interno .

[rupe2455]

log.txt


stavolta spero di aver capito bene sul copia incolla.

[R16]

Sì hai capito bene.

C'è ancora un'infezione.

Ri-Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

codice:

KillAll::
DirLook::
c:\documents and settings\Roberto.DCL0S12J\Dati applicazioni\Leac
Driver::
cfwpdfkd
NetSvcs::
cfwpdfkd
File::
c:\windows\system32\nnfywpwl.dll
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cfwpdfkd]

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix

[rupe2455]

Ciao r16
dopo il lavoro di combo la cartella Leac è ancora presente (se non ho capito male è quella infetta) fammi sapere se ho detto una minchiata.
qui sotto comunque il risultato della scansione di combo.


log.txt

NB: dimenticavo di dirti che il pc comunque gira benissimo, internet, programmi vari ecc. insomma pare tutto ok

[R16]

Ciao.

fammi sapere se ho detto una minchiata.

Beh....visto che ci tieni.....sì.... hai detto una minchiata....
La cartella " Leac " non era contrassegnata per eliminarla, ma per vedere cosa conteneva .
E, senza effettuare un'altra scansione, (per non "stressare" troppo il pc) devi seguirne il percorso,ed eliminarla manualmente.
Quella cartella (Leac) contiene un' infezione .

Se il pc funziona bene, puoi eseguire queste oprazioni finali:

Disattiva il ripristino configurazione sistema.

Scarica OTL, e salvalo sul desktop :

http://oldtimer.geekstogo.com/OTL.exe

Aprilo, e clicca su CleanUP
Si disistallerà sia Combofix che OTL.

Fai una pulizia con CCleaner. (registro compreso)

Riattiva il ripristino configurazione sistema.