|
|
Rank: AiutAmico
Iscritto dal : 5/27/2010
Posts: 102
|
Ciao a tutti
già un anno fa avevo un problema (MBR rootkit) e grazie a voi l'ho risolto alla grande senza "spargimenti di sangue.
Ora il problema è sul PC della mia ditta.
Una workstation collegata alla rete aziendale
Antivirus PANDA centralizzato sul SERVER e non installato direttamente sul mio PC.
Oggi mentre navigavo BOOM e schermata Blu:
mi diceva BAD POOL HEADER
al riavvio è partito "windows Securtiy alert" che finge di scansionaermi il PC
no nriesco a fare niente, nemmeno ad interromperlo con TaskManager (che non riesco ad aprire)
ora ho avviato in modalità provvisoria ....... ma non so cosa fare
sto facendo la scansione con MalWareBytes (scaricato e aggioranato)
se qualcuno ha volgia e tempo di aiutarmi gliene sarei grato
spero di risolvere il problema senza formattare e senza coinvolgere il sistemista della mia ditta ..... (perchè è scarso e per evitare le sue lamentele in direzione ....)
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 5/27/2010
Posts: 102
|
ecco il log di MalawareBytes Malwarebytes' Anti-Malware 1.46 www.malwarebytes.orgVersione database: 6847 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 8.0.6001.18702 13/06/2011 16.39.26 mbam-log-2011-06-13 (16-39-26).txt Tipo di scansione: Scansione completa (C:\|) Elementi esaminati: 243732 Tempo trascorso: 24 minuti, 57 secondi Processi infetti in memoria: 0 Moduli di memoria infetti: 0 Chiavi di registro infette: 0 Valori di registro infetti: 0 Voci infette nei dati di registro: 4 Cartelle infette: 0 File infetti: 3 Processi infetti in memoria: (Non sono stati rilevati elementi nocivi) Moduli di memoria infetti: (Non sono stati rilevati elementi nocivi) Chiavi di registro infette: (Non sono stati rilevati elementi nocivi) Valori di registro infetti: (Non sono stati rilevati elementi nocivi) Voci infette nei dati di registro: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken. Cartelle infette: (Non sono stati rilevati elementi nocivi) File infetti: C:\Documents and Settings\tec1.FORNARA\Impostazioni locali\Temp\FC.exe (Trojan.FakeAlert) -> No action taken. C:\Documents and Settings\tec1.FORNARA\Impostazioni locali\Temp\FD.dll (Trojan.FakeAlert) -> No action taken. C:\Documents and Settings\All Users\Dati applicazioni\16506660.exe (Trojan.Agent) -> No action taken. ho eliminato tutti i file che diceva e ora riavvio (nel frattempo disabilito l'opzione "punto di ripristino")
|
|
Rank: AiutAmico
Iscritto dal : 5/27/2010
Posts: 102
|
ho riavviato. è uscita una tendina di Panda che diceva di aver messo in quarantena il file "test.reg" non ricordo in quale cartella fosse per un istante sono riapparse le mie icone sul desktop + una icona WINDOWS XP RESTORE e sono riuscito ad entrare in TaskManager: l'unico programma in esecuzione era proprio questo WINDOWS XP RESTORE che non risucivo nemmeno a chiudere forzatamente, ripartiva in continuazione. Nessun altro dei miei programmi del normale avvio sono partiti. Nel frattempo ho trovato qui http://www.tomshw.it/forum/sicurezza/185888-windows-xp-restore-fasullo.htmlche l'utente R16 (è lo stesso che partecipa anche a questo forum?? ) che dalle indicaizoni per la sistemzione di un problema analogo. Eseguo anche io o aspetto altre istruzioni ?? grazie per chi avrà pietà di me e mi aiuterà.
|
|
Rank: AiutAmico
Iscritto dal : 11/8/2008
Posts: 13,964
|
Ciao, si r16 è il nostro esperto in questa sezione, puoi seguire quelle istruzioni e posta qui i log, poi vediamo.
|
|
Rank: AiutAmico
Iscritto dal : 5/27/2010
Posts: 102
|
grazie
il problema è che no nriesco a far partire combofix perchè no nso come disattivare il mio antivirus (panda sul server aziendale)
hia un'idea?
|
|
Rank: AiutAmico
Iscritto dal : 5/27/2010
Posts: 102
|
dopo aver fatto nuovamente MalwareBytes in modalità provvisoria, gli ho fatto eliminare dalla cartella C:\Documents and Settings\All Users\Dati applicazioni il file che diceva Malwarebytes' Anti-Malware 1.46 www.malwarebytes.orgVersione database: 6847 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 8.0.6001.18702 13/06/2011 17.13.55 mbam-log-2011-06-13 (17-13-55).txt Tipo di scansione: Scansione completa (C:\|) Elementi esaminati: 235496 Tempo trascorso: 22 minuti, 8 secondi Processi infetti in memoria: 0 Moduli di memoria infetti: 0 Chiavi di registro infette: 0 Valori di registro infetti: 0 Voci infette nei dati di registro: 0 Cartelle infette: 0 File infetti: 1 Processi infetti in memoria: (Non sono stati rilevati elementi nocivi) Moduli di memoria infetti: (Non sono stati rilevati elementi nocivi) Chiavi di registro infette: (Non sono stati rilevati elementi nocivi) Valori di registro infetti: (Non sono stati rilevati elementi nocivi) Voci infette nei dati di registro: (Non sono stati rilevati elementi nocivi) Cartelle infette: (Non sono stati rilevati elementi nocivi) File infetti: C:\Documents and Settings\All Users\Dati applicazioni\16572196.exe (Trojan.Agent) -> No action taken. sono entrato anche io nella cartella e ho trovato un altro .exe che non c'entrava niente e l'ho eliminato STiHfQsWqJ.exe così pure una serie di file senza estenzione che avevano dimensione 1kb 16506660 16572196 ecc ecc e ho riavviato. il PC è partito ma è lentissimo e il menù Start (per esempio) è senza programmi ... ho porvato a salvare TDSSKILLER sul desktop e avviarlo ... ma non parte. lo faccio in modalità provvisoria ???
|
|
Rank: AiutAmico
Iscritto dal : 11/8/2008
Posts: 13,964
|
Allora ti consiglio di attendere le istruzioni di r16, se legge il topic interviene.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
I PC AZIENDALi sono sempre una "rogna". Comunque: Scarica OTL by Oldtimer http://oldtimer.geekstogo.com/OTL.exeEsegui il file OTL.exe (Dopo aver eseguito OTL, sui sistemi Windows 7 e Windows Vista si dovrà rispondere in modo affermativo alla comparsa del messaggio di avviso di UAC.) Metti la spunta nelle caselle: Scan all users (lo trovi in alto) Processes: Use safe listServices: Use safe listStandard Registry: All Modules: AllDrivers: AllClicca sulla freccettina di File Age e seleziona 60 Days Seleziona All alle voci " Files created within" e " File modified within" Clicca su Run scanLascia che il programma, venga eseguito, senza interruzioni. Finita la scansione, OTL produrrà due file di log (OTL.txt ed Extras.txt), memorizzati nella medesima cartella del programma. Posta i log con : http://www.wikisend.com/
|
|
Rank: AiutAmico
Iscritto dal : 5/27/2010
Posts: 102
|
grazie R16
ho scaricato il file e quindi domani mattina faccio quello che hai scritto qui.
spero che avrai la possibilità di aiutarmi passo a passo domani. Sennò dimmi per favore già da ora quali altre cose dovrò poi fare.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:Sennò dimmi per favore già da ora quali altre cose dovrò poi fare. Niente. Visto che non si riesce a fare la scansione con Combofix, per il Panda, che non puoi disattivare, provo con OTL, sperando che riesca la scansione. In base al log di OTL, si potranno eliminare le voci infette che troverò, mediante script.
|
|
Rank: AiutAmico
Iscritto dal : 5/27/2010
Posts: 102
|
ri-eccomi, buongiorno nel mio 3° posto paralvo di un file che mi aveva trovato Panda e messo in quarantena: test.reg. Me lo ha trovato anche oggi ed è nella cartella impostazioni locali\temp\ ecco i link dei due file di log: Extras.TxtOTL.Txtattendo istruzioni ciao
|
|
Rank: AiutAmico
Iscritto dal : 5/27/2010
Posts: 102
|
segnalo un altra cosa che ho notato ora (non so se serve ..)
da task manager vedo che tra le applicazioni in corso c'è "WindowsMediaPlayer" e anche un "rundll"
in realtà io non ho aperto nessuno dei due programmi. Se provo a chiudere MediaPlayer mi dice
"il programma non si puo' chiudere perchè è in attesa di input dall'utente ..."
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Avvia OTL. Sotto " Custom Scans\Fixes" copia-incolla questo codice: Code::OTL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1260437185362 (WUWebControl Class) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1260518724704 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) [2011/06/13 15.09.54 | 000,000,000 | -H-D | C] -- C:\Documents and Settings\tec1.FORNARA\Menu Avvio\Programmi\Windows XP Restore [2011/05/03 09.37.41 | 186,747,896 | -H-- | C] (AVG Technologies) -- C:\Documents and Settings\tec1.FORNARA\Documenti\avg_free_x64_all_2011_1325a3589.exe [2011/04/14 12.47.59 | 165,492,080 | -H-- | C] (AVG Technologies) -- C:\Documents and Settings\tec1.FORNARA\Documenti\avg_free_x86_all_2011_1321a3540.exe [2011/01/24 10.09.32 | 000,000,000 | ---D | C] -- C:\WINDOWS\XSxS [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [2011/06/13 15.09.57 | 000,000,822 | -H-- | C] () -- C:\Documents and Settings\tec1.FORNARA\Desktop\Windows XP Restore.lnk @Alternate Data Stream - 95 bytes -> C:\Documents and Settings\All Users\Dati applicazioni\TEMP:5C321E34 :commands [emptytemp] [EMPTYFLASH] [Reboot] Clicca sul pulsante RUN FIX. Lascia fare la scansione senza interferire. Posta il log. N.B:Le scansioni che hai fatto con Malwarebytes, le hai fatte con una versione stravecchia. Aggiorna Malwarebytes, prima di una nuova scansione.
|
|
Rank: AiutAmico
Iscritto dal : 5/27/2010
Posts: 102
|
ciao da oggi, per collegarmi a internet devo entrare in modalità provvisoria. Se ci provo dopo un avvio normale I.E. sembra partire, ma poi non si vede, e il desktop non ricompare +. cmq ho fatto come mi hai detto, anche se dopo aver lanciato il programma con il codice che mi hai indicato ... mi sono accorto che ero ancora in modalità provvisoria. devo rifarlo in modalità normale? ecco il log 06152011_085319.logAnche dopo questo che mi hai fatto fare, I.E. non va. per vedere i tuoi consigli dovrò sempre rientrare in modalità provvisoria, temo. per ora ti ringrazio altre note: quando chiudo windows mi dice che non riesce a chiudere il programma AutoComplete (avevo aggiornato il database di Malaware (al 13/6/2011). ora scarico anche versione aggiornata del programma)
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Allora: Tutte le operazioni che indico, si devono eseguire in Modalità normale. Solo in caso di non funzionamento del software, si può tentare la Modalità provvisoria. Per collegarti a internet, (in modalità normale) prova questa operazione: Apri Internet Explorer. Clicca su: Strumenti" Opzioni Internet. Connessioni. Impostazioni LAN Sotto: "Server proxy" Togli la spunta a: " utilizza un server proxy per le connessioni lan". Clicca OK. In questo modo,Internet Explorer dovrebbe funzionare. Poi ti raccomando la scansione con Malwarebytes. ( aggiornato) Elimina quello che trova. Posta il log. Poi, vediamo se hai qualche bootkit nel MBR: ASWMBR: Scarica aswMBR.exe sul desktop. http://public.avast.com/~gmerek/aswMBR.exe Fai doppio clic aswMBR.exe per eseguirlo Clicca sul pulsante Scan per avviare la scansione Al termine della scansione clicca su Save log,e salvalo sul desktop. Postalo qui.
|
|
Rank: AiutAmico
Iscritto dal : 5/27/2010
Posts: 102
|
Ciao R16,
L’impostazione LAN era già spuntata.
Descrivo meglio il problema: quando clicco su I.E. si apre la finestra ma poi prima sparisce l’icona sulla banda a fondo pagina e poi sparisce del tutto anche la finestra del programma senza che si sia caricato nemmeno google.it
Lunedì e martedì invece riuscivi a navigare, a parte il fatto che mi apriva spesso pagine che non volevo e nella cronologia c’erano un sacco di siti che io manco avevo visto visualizzarsi sullo schermo ……
Va bè, magari si sistemerà poi anche questo con il resto (spero!)
Ieri ho scaricato e aggiornato Mbam (versione 1.51 – database del 15giu11 – n°6860). E’ la seconda volta che lancio la scansione e che non trova nessun file sospetto. (quindi non ti posto nemmeno il log……)
Ho scaricato il programma che hai detto: ecco il log:
aswMBR version 0.9.6.399 Copyright(c) 2011 AVAST Software
Run date: 2011-06-16 09:44:05
09:44:05.218 OS Version: Windows 5.1.2600 Service Pack 3
09:44:05.218 Number of processors: 8 586 0x1706
09:44:05.218 ComputerName: PRECISION-T5400 UserName: tec1
09:44:05.765 Initialize success
09:44:12.718 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
09:44:12.734 Disk 0 Vendor: Hitachi_ P21O Size: 76293MB BusType: 3
09:44:12.796 Disk 0 MBR read successfully
09:44:12.812 Disk 0 MBR scan
09:44:12.828 Disk 0 unknown MBR code
09:44:12.859 Disk 0 scanning sectors +156232125
09:44:12.906 Disk 0 scanning C:\WINDOWS\system32\drivers
09:44:20.171 Service scanning
09:44:22.718 Disk 0 trace - called modules:
09:44:22.750 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x891be1ed]<<
09:44:22.765 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89b9c030]
09:44:22.796 3 CLASSPNP.SYS[f7637fd7] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x89b80030]
09:44:22.812 \Driver\iastor[0x89baa680] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> 0x891be1ed
09:44:22.843 Scan finished successfully
09:44:43.953 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\tec1.FORNARA\Desktop\MBR.dat"
09:44:43.984 The log file has been saved successfully to "C:\Documents and Settings\tec1.FORNARA\Desktop\aswMBR.txt"
Ciao e grazie
(purtroppo andiamo a rilento perché alla sera quando porti le risposte io sono a casa …. E non posso portarmi con me il computerone infetto ……… mi spiace tenerti in ballo così tanto tempo ……)
|
|
Rank: AiutAmico
Iscritto dal : 5/27/2010
Posts: 102
|
problema internet:
in compenso ho notato che nei processi che si vedono sotto TaskManager c'è ne sempre uno/due che si chiamano iexplorer.exe attivi ...
Panda ad ogni avvio mi segnala che c'è questo Adware che chiama "Windows Recovery" e manda in quarantena il file test.reg
(probabilmente molte delle cose che scrivo sono inutili, ma mi sembra giusto segnalare tutto ciò che mi insospettisce)
ciao
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Fai quest'altraprova: Start\ pannello di controllo\ connessioni di rete clicca con il tasto destro del mouse sulla tua connessione. seleziona Proprietà. doppio click su " Protocollo Internet(TCP/IP) metti la spunta a "ottieni indirizzo server DNS automaticamente". Clicca OK. Riavvia il pc. Se non funziona: Apri IE Strumenti. Opzioni Internet Avanzate Clicca su "Reimposta". E poi ancora su Reimposta. Qui il problema è il Panda che non permette fare le scansioni che vorrei. Apri OTL: Sotto " Custom Scans\Fixes" copia-incolla questo codice: Code:Netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32 /all
%SYSTEMDRIVE%\*.*
CREATERESTOREPOINT
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%appdata%\*.*
%PROGRAMFILES%\*. Clicca su Run scanLascia che il programma, venga eseguito, senza interruzioni. Posta il log
|
|
Rank: AiutAmico
Iscritto dal : 5/27/2010
Posts: 102
|
ma non c'è un modo per disabilitare momentaneamente il Panda ?
Se è sul server, non è che magari scollegando la rete aziendale cambia qualcosa? io la butto lì ..........
|
|
|
Guest |