Pc infetto da variante worm Kolab [era: generic host process for win32 services]

[Soletitti]

Mi appare una finestra con su scritto "Generic host process for win 32 services"
ho fatto innumerevoli scansioni antivirus anche in modalità provvisoria, con scarsi risultati: la finestra continua ad apparirmi.
Ho provato a fare scansione online con kaspersky e panda ma non mi fa accedere alla pagina e dice che è inesistente, mentre su altri pc si apre tranquillamente.
Ho fatto la scansione con Hijackthis
Questo è il risultato:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.21.10, on 21/06/2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Microsoft Security Client\Antimalware\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\ctfmon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\I E\rpbrowserrecordplugin.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programmi\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Interest recogniser for Moovida (powered by Spointer) - {E2A7BD67-0EAF-497f-B05B-748D7BF3C421} - C:\Programmi\Fluendo\Moovida\spointer\extensions\m oovida_air_ie.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O2 - BHO: Bandoo IE Plugin - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Programmi\Fun4IM\Plugins\IE\ieplugin.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programmi\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [MSC] "C:\Programmi\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [CanonSolutionMenuEx] C:\Programmi\Canon\Solution Menu EX\CNSEMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\templ ate\DRIVEN~1\syncer\MCCITR~1.EXE
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programmi\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [APSDaemon] "C:\Programmi\File comuni\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\programmi\real\realplayer\update\realsched.exe " -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\csdrive32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Nunzio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Facebook Update] "C:\Documents and Settings\Nunzio\Impostazioni locali\Dati applicazioni\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
O4 - HKCU\..\Run: [uTorrent] "C:\Programmi\uTorrent\uTorrent.exe" /MINIMIZED
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Xnsksh] C:\Documents and Settings\Nunzio\Dati applicazioni\Xnsksh.exe
O4 - HKCU\..\Run: [zaber0] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\csdrive32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-1085031214-515967899-1801674531-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Administrator')
O4 - HKUS\S-1-5-21-1085031214-515967899-1801674531-500\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1284114470187
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1284114454515
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\progra~1\fun4im\bndhook.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Fun4IM Coordinator - Discordia Limited - C:\PROGRA~1\Fun4IM\Bandoo.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Canon Inkjet Printer/Scanner/Fax Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Windows Internet Name Service - Unknown owner - C:\WINDOWS\system32\config\systemprofile\Impostazi oni locali\Dati applicazioni\Windows Internet Name Service\wins.exe

--
End of file - 9924 bytes

Grazie.

P.S.: da quando ho fatto questa scansione il pc non si blocca più.

[amvinfe]

Ciao prima di tutto, il pc è stato infettato da un worm
scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Vai su www.wikisend.com e carica il file con estensione .zip

Nella tua prossima risposta copia/incolla l'URL per poter scaricare il report.

Ricordati d'effettuare la scansione senza connessione attiva.

NB:
ricordati di disattivare l'antivirus prima di scaricare il programma e prima d'effettuare la scansione e di riattivarlo prima di riconnetterti ad internet.

[amvinfe]

Se è un pc all'interno di una LAN, prima di eseguire la scansione con SystemScan, stacca fisicamente il cavo di rete dal tuo pc ed inserisci eventuali supporti removibili (chiavette o quant'altro) che normalmente utilizzi.

[Soletitti]

ciao! ti posto quanto mi avevi chiesto

21_06_2012_20_30_report.zip

Nel frattempo mi è riapparsa la finestrella con

GENERIC HOST PROCESS FOR WIN32 SERVICES

Help me... è proprio tosto sto worm!
Grazie mille

[amvinfe]

NON COLLEGATO AD INTERNET E CON L'ANTIVIRUS DISATTIVATO:

apri SystemScan clicca poi su Removal Script. All'interno della finestra copia/incolla i valori riportati qui sotto

Files to delete:
C:\DOCUME~1\Nunzio\IMPOST~1\Temp\41530318191755060 9.tmp
C:\DOCUME~1\Nunzio\IMPOST~1\Temp\41530318191754384 3.tmp
C:\DOCUME~1\Nunzio\IMPOST~1\Temp\10384292911754307 8.tmp
C:\DOCUME~1\Nunzio\IMPOST~1\Temp\16825761117543062 .tmp
C:\DOCUME~1\Nunzio\IMPOST~1\Temp\15116100991753900 0.tmp
C:\DOCUME~1\Nunzio\IMPOST~1\Temp\15116100991753457 8.tmp
C:\DOCUME~1\Nunzio\IMPOST~1\Temp\33970514581753456 2.tmp
C:\DOCUME~1\Nunzio\IMPOST~1\Temp\15116100991753565 6.tmp
C:\DOCUME~1\Nunzio\IMPOST~1\Temp\35906606021753454 6.tmp
C:\DOCUME~1\Nunzio\IMPOST~1\Temp\35906606021753389 0.tmp
C:\WINDOWS\csdrive32.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\30C.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\30B.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\30A.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\342.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\340.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\306.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\31A.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\319.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\317.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\307.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\303.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\304.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\301.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\346.exe
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe
C:\Documents and Settings\Nunzio\Dati applicazioni\Xnsksh.exe

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run | Microsoft Driver Setup
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Microsoft Driver Setup

Clicca su "Proceed with removal".

Dopo il riavvio apri il Blocco note ed inserisci al suo interno il seguente script, fai un copia/incolla

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"Xnsksh"=-
"zaber0"=-
;

clicca in alto a sx su File e successivamente su "Salva con nome" > Al fianco di "Nome file" scrivi fix.reg > Al fianco di "Salva come" seleziona (dal menu a tendina) "Tutti i file (*.*)" Il file va salvato sul desktop.

Esegui il file fix.reg, accetta le modifiche al registro, riavvia il pc.


Collegati ad internet:
scarica, installa, aggiorna Malwarebytes ed esegui una scansione COMPLETA del pc.
Eilimina i valori infetti.

Riavvia il pc

Esegui una nuova scansione con SystemScan, allega il report.


Malwarebytes: http://it.malwarebytes.org/products/malwarebytes_free

[Soletitti]

ecco il nuovo report

23_06_2012_01_53_report.zip

Pare sia andato tutto a posto solo che non riesco più a leggere il contenuto degli hard disk esterni. Cosa conviene fare?

Grazie mille per l'aiuto

[amvinfe]

Ci sono ancora valori da rimuovere.
Come prima cosa salva sul desktop, fai una taglia/incolla, il file avenger.txt che trovi in C:\ e rinominalo in avenger1.exe

Poi.

NON COLLEGATO AD INTERNET E CON L'ANTIVIRUS DISATTIVATO:

apri SystemScan clicca poi su Removal Script. All'interno della finestra copia/incolla i valori riportati qui sotto

Files to delete:
C:\Documents and Settings\Nunzio\Dati applicazioni\325.exe

Clicca su "Proceed with removal".

Dopo il riavvio portati in C:\ e salva sul desktop il file avenger.txt

Ora:
apri il Blocco note ed inserisci al suo interno il seguente script, fai un copia/incolla

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"Xnsksh"=-
;

clicca in alto a sx su File e successivamente su "Salva con nome" > Al fianco di "Nome file" scrivi fix.reg > Al fianco di "Salva come" seleziona (dal menu a tendina) "Tutti i file (*.*)" Il file va salvato sul desktop.

Esegui il file fix.reg, accetta le modifiche al registro, riavvia il pc.

==

Apri Malwarebytes, portati nella parte dedicata ai Logs salva sul dekstop, in un file di testo, il suo contenuto (la scansione di ieri).

==

crea una nuova cartella sul desktop e inserisci e zippa:

a. il file avenger.txt
b. il file avenger1.txt
c. il log di Malwarebytes
d. carica l'archivio su wikisend.com, scrivi il link per poterlo scaricare
==

Ulteriori pulizie:

scarica ed installa CCleaner Free http://www.piriform.com/ccleaner/download

durante l'installazione NON installare la toolbar.

Eseguilo e clicca (in alto a sx) su "Opzioni">"Avanzate" togli il flag da:

"Cancella i file in Windows Temp solo se più vecchi di 24 ore"

Torna nella sezione "Pulizia", in alto a sx, clicca in basso a dx su "Avvia Pulizia" (eseguilo due volte).

Portati nella sezione "Registro", clicca in basso a sx su "Trova Problemi" e successivamente su "Ripara selezionati", esegui la procedura due volte.

Riavvia