Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

VIRUS - PC AZIENDALE - WINDOWS SECURITY ALERT Opzioni
cerax
Inviato: Monday, June 13, 2011 4:27:23 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
Ciao a tutti

già un anno fa avevo un problema (MBR rootkit) e grazie a voi l'ho risolto alla grande senza "spargimenti di sangue.

Ora il problema è sul PC della mia ditta.
Una workstation collegata alla rete aziendale
Antivirus PANDA centralizzato sul SERVER e non installato direttamente sul mio PC.

Oggi mentre navigavo BOOM e schermata Blu:
mi diceva BAD POOL HEADER

al riavvio è partito "windows Securtiy alert" che finge di scansionaermi il PC
no nriesco a fare niente, nemmeno ad interromperlo con TaskManager (che non riesco ad aprire)

ora ho avviato in modalità provvisoria ....... ma non so cosa fare

sto facendo la scansione con MalWareBytes (scaricato e aggioranato)


se qualcuno ha volgia e tempo di aiutarmi gliene sarei grato


spero di risolvere il problema senza formattare e senza coinvolgere il sistemista della mia ditta ..... (perchè è scarso e per evitare le sue lamentele in direzione ....)
Sponsor
Inviato: Monday, June 13, 2011 4:27:23 PM

 
cerax
Inviato: Monday, June 13, 2011 4:43:17 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
ecco il log di MalawareBytes


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 6847

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

13/06/2011 16.39.26
mbam-log-2011-06-13 (16-39-26).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 243732
Tempo trascorso: 24 minuti, 57 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 4
Cartelle infette: 0
File infetti: 3

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\Documents and Settings\tec1.FORNARA\Impostazioni locali\Temp\FC.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\tec1.FORNARA\Impostazioni locali\Temp\FD.dll (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\16506660.exe (Trojan.Agent) -> No action taken.



ho eliminato tutti i file che diceva e ora riavvio

(nel frattempo disabilito l'opzione "punto di ripristino")

cerax
Inviato: Monday, June 13, 2011 5:05:09 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
ho riavviato.

è uscita una tendina di Panda che diceva di aver messo in quarantena il file "test.reg" non ricordo in quale cartella fosse

per un istante sono riapparse le mie icone sul desktop + una icona WINDOWS XP RESTORE
e sono riuscito ad entrare in TaskManager:
l'unico programma in esecuzione era proprio questo WINDOWS XP RESTORE che non risucivo nemmeno a chiudere forzatamente, ripartiva in continuazione. Nessun altro dei miei programmi del normale avvio sono partiti.

Nel frattempo ho trovato qui
http://www.tomshw.it/forum/sicurezza/185888-windows-xp-restore-fasullo.html
che l'utente R16 (è lo stesso che partecipa anche a questo forum?? ) che dalle indicaizoni per la sistemzione di un problema analogo.
Eseguo anche io o aspetto altre istruzioni ??

grazie per chi avrà pietà di me e mi aiuterà.
cbbusto
Inviato: Monday, June 13, 2011 5:16:21 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ciao, si r16 è il nostro esperto in questa sezione, puoi seguire quelle istruzioni e posta qui i log, poi vediamo.
cerax
Inviato: Monday, June 13, 2011 5:24:08 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
grazie

il problema è che no nriesco a far partire combofix perchè no nso come disattivare il mio antivirus (panda sul server aziendale)

hia un'idea?
cerax
Inviato: Monday, June 13, 2011 5:38:46 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
dopo aver fatto nuovamente MalwareBytes in modalità provvisoria, gli ho fatto eliminare dalla cartella
C:\Documents and Settings\All Users\Dati applicazioni
il file che diceva

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 6847

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

13/06/2011 17.13.55
mbam-log-2011-06-13 (17-13-55).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 235496
Tempo trascorso: 22 minuti, 8 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 1

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\Documents and Settings\All Users\Dati applicazioni\16572196.exe (Trojan.Agent) -> No action taken.




sono entrato anche io nella cartella e ho trovato un altro .exe che non c'entrava niente e l'ho eliminato
STiHfQsWqJ.exe
così pure una serie di file senza estenzione che avevano dimensione 1kb
16506660 16572196 ecc ecc

e ho riavviato.
il PC è partito ma è lentissimo e il menù Start (per esempio) è senza programmi ...

ho porvato a salvare TDSSKILLER sul desktop e avviarlo ... ma non parte.
lo faccio in modalità provvisoria ???
cbbusto
Inviato: Monday, June 13, 2011 6:30:55 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Allora ti consiglio di attendere le istruzioni di r16, se legge il topic interviene.
r16
Inviato: Monday, June 13, 2011 8:08:00 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
I PC AZIENDALi sono sempre una "rogna".

Comunque:
Scarica OTL by Oldtimer

http://oldtimer.geekstogo.com/OTL.exe

Esegui il file OTL.exe
(Dopo aver eseguito OTL, sui sistemi Windows 7 e Windows Vista si dovrà rispondere in modo affermativo alla comparsa del messaggio di avviso di UAC.)

Metti la spunta nelle caselle:
Scan all users (lo trovi in alto)
Processes: Use safe list
Services: Use safe list
Standard Registry: All
Modules: All
Drivers: All
Clicca sulla freccettina di File Age e seleziona 60 Days
Seleziona All alle voci "Files created within" e "File modified within"


Clicca su Run scan
Lascia che il programma, venga eseguito, senza interruzioni.
Finita la scansione, OTL produrrà due file di log (OTL.txt ed Extras.txt), memorizzati nella medesima cartella del programma.

Posta i log con :
http://www.wikisend.com/
cerax
Inviato: Monday, June 13, 2011 10:23:00 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
grazie R16
ho scaricato il file e quindi domani mattina faccio quello che hai scritto qui.

spero che avrai la possibilità di aiutarmi passo a passo domani. Sennò dimmi per favore già da ora quali altre cose dovrò poi fare.
r16
Inviato: Monday, June 13, 2011 10:31:06 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Sennò dimmi per favore già da ora quali altre cose dovrò poi fare.

Niente.
Visto che non si riesce a fare la scansione con Combofix, per il Panda, che non puoi disattivare, provo con OTL, sperando che riesca la scansione.
In base al log di OTL, si potranno eliminare le voci infette che troverò, mediante script.
cerax
Inviato: Tuesday, June 14, 2011 8:42:51 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
ri-eccomi, buongiorno

nel mio 3° posto paralvo di un file che mi aveva trovato Panda e messo in quarantena:
test.reg.
Me lo ha trovato anche oggi ed è nella cartella impostazioni locali\temp\

ecco i link dei due file di log:
Extras.Txt
OTL.Txt

attendo istruzioni
ciao
cerax
Inviato: Tuesday, June 14, 2011 9:04:14 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
segnalo un altra cosa che ho notato ora (non so se serve ..)
da task manager vedo che tra le applicazioni in corso c'è "WindowsMediaPlayer" e anche un "rundll"
in realtà io non ho aperto nessuno dei due programmi. Se provo a chiudere MediaPlayer mi dice
"il programma non si puo' chiudere perchè è in attesa di input dall'utente ..."
r16
Inviato: Tuesday, June 14, 2011 6:38:47 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Code:
:OTL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1260437185362 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1260518724704 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
[2011/06/13 15.09.54 | 000,000,000 | -H-D | C] -- C:\Documents and Settings\tec1.FORNARA\Menu Avvio\Programmi\Windows XP Restore
[2011/05/03 09.37.41 | 186,747,896 | -H-- | C] (AVG Technologies) -- C:\Documents and Settings\tec1.FORNARA\Documenti\avg_free_x64_all_2011_1325a3589.exe
[2011/04/14 12.47.59 | 165,492,080 | -H-- | C] (AVG Technologies) -- C:\Documents and Settings\tec1.FORNARA\Documenti\avg_free_x86_all_2011_1321a3540.exe
[2011/01/24 10.09.32 | 000,000,000 | ---D | C] -- C:\WINDOWS\XSxS
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2011/06/13 15.09.57 | 000,000,822 | -H-- | C] () -- C:\Documents and Settings\tec1.FORNARA\Desktop\Windows XP Restore.lnk
@Alternate Data Stream - 95 bytes -> C:\Documents and Settings\All Users\Dati applicazioni\TEMP:5C321E34

:commands
[emptytemp]
[EMPTYFLASH]
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.

Posta il log.

N.B:
Le scansioni che hai fatto con Malwarebytes, le hai fatte con una versione stravecchia.
Aggiorna Malwarebytes, prima di una nuova scansione.
cerax
Inviato: Wednesday, June 15, 2011 9:17:41 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
ciao
da oggi, per collegarmi a internet devo entrare in modalità provvisoria. Se ci provo dopo un avvio normale I.E. sembra partire, ma poi non si vede, e il desktop non ricompare +.

cmq ho fatto come mi hai detto, anche se dopo aver lanciato il programma con il codice che mi hai indicato ... mi sono accorto che ero ancora in modalità provvisoria. devo rifarlo in modalità normale?

ecco il log
06152011_085319.log

Anche dopo questo che mi hai fatto fare, I.E. non va. per vedere i tuoi consigli dovrò sempre rientrare in modalità provvisoria, temo.

per ora ti ringrazio

altre note:
quando chiudo windows mi dice che non riesce a chiudere il programma AutoComplete


(avevo aggiornato il database di Malaware (al 13/6/2011). ora scarico anche versione aggiornata del programma)
r16
Inviato: Wednesday, June 15, 2011 5:44:28 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Allora:
Tutte le operazioni che indico, si devono eseguire in Modalità normale.
Solo in caso di non funzionamento del software, si può tentare la Modalità provvisoria.

Per collegarti a internet, (in modalità normale) prova questa operazione:
Apri Internet Explorer.
Clicca su: Strumenti"
Opzioni Internet.
Connessioni.
Impostazioni LAN

Sotto: "Server proxy" Togli la spunta a:
"utilizza un server proxy per le connessioni lan".

Clicca OK.

In questo modo,Internet Explorer dovrebbe funzionare.

Poi ti raccomando la scansione con Malwarebytes. (aggiornato)
Elimina quello che trova.
Posta il log.

Poi, vediamo se hai qualche bootkit nel MBR:
ASWMBR:
Scarica aswMBR.exe sul desktop.
http://public.avast.com/~gmerek/aswMBR.exe
Fai doppio clic aswMBR.exe per eseguirlo
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui.




cerax
Inviato: Thursday, June 16, 2011 9:39:33 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
Ciao R16,

L’impostazione LAN era già spuntata.
Descrivo meglio il problema: quando clicco su I.E. si apre la finestra ma poi prima sparisce l’icona sulla banda a fondo pagina e poi sparisce del tutto anche la finestra del programma senza che si sia caricato nemmeno google.it
Lunedì e martedì invece riuscivi a navigare, a parte il fatto che mi apriva spesso pagine che non volevo e nella cronologia c’erano un sacco di siti che io manco avevo visto visualizzarsi sullo schermo ……

Va bè, magari si sistemerà poi anche questo con il resto (spero!)

Ieri ho scaricato e aggiornato Mbam (versione 1.51 – database del 15giu11 – n°6860). E’ la seconda volta che lancio la scansione e che non trova nessun file sospetto. (quindi non ti posto nemmeno il log……)

Ho scaricato il programma che hai detto: ecco il log:

aswMBR version 0.9.6.399 Copyright(c) 2011 AVAST Software
Run date: 2011-06-16 09:44:05

09:44:05.218 OS Version: Windows 5.1.2600 Service Pack 3
09:44:05.218 Number of processors: 8 586 0x1706
09:44:05.218 ComputerName: PRECISION-T5400 UserName: tec1
09:44:05.765 Initialize success
09:44:12.718 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
09:44:12.734 Disk 0 Vendor: Hitachi_ P21O Size: 76293MB BusType: 3
09:44:12.796 Disk 0 MBR read successfully
09:44:12.812 Disk 0 MBR scan
09:44:12.828 Disk 0 unknown MBR code
09:44:12.859 Disk 0 scanning sectors +156232125
09:44:12.906 Disk 0 scanning C:\WINDOWS\system32\drivers
09:44:20.171 Service scanning
09:44:22.718 Disk 0 trace - called modules:
09:44:22.750 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x891be1ed]<<
09:44:22.765 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89b9c030]
09:44:22.796 3 CLASSPNP.SYS[f7637fd7] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x89b80030]
09:44:22.812 \Driver\iastor[0x89baa680] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> 0x891be1ed
09:44:22.843 Scan finished successfully
09:44:43.953 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\tec1.FORNARA\Desktop\MBR.dat"
09:44:43.984 The log file has been saved successfully to "C:\Documents and Settings\tec1.FORNARA\Desktop\aswMBR.txt"





Ciao e grazie
(purtroppo andiamo a rilento perché alla sera quando porti le risposte io sono a casa …. E non posso portarmi con me il computerone infetto ……… mi spiace tenerti in ballo così tanto tempo ……)
cerax
Inviato: Thursday, June 16, 2011 4:51:25 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
problema internet:
in compenso ho notato che nei processi che si vedono sotto TaskManager c'è ne sempre uno/due che si chiamano iexplorer.exe attivi ...

Panda ad ogni avvio mi segnala che c'è questo Adware che chiama "Windows Recovery" e manda in quarantena il file test.reg

(probabilmente molte delle cose che scrivo sono inutili, ma mi sembra giusto segnalare tutto ciò che mi insospettisce)
ciao
r16
Inviato: Thursday, June 16, 2011 6:17:18 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Fai quest'altraprova:

Start\ pannello di controllo\ connessioni di rete
clicca con il tasto destro del mouse sulla tua connessione.
seleziona Proprietà.
doppio click su "Protocollo Internet(TCP/IP)
metti la spunta a "ottieni indirizzo server DNS automaticamente".
Clicca OK.
Riavvia il pc.

Se non funziona:
Apri IE
Strumenti.
Opzioni Internet
Avanzate
Clicca su "Reimposta".
E poi ancora su Reimposta.

Qui il problema è il Panda che non permette fare le scansioni che vorrei.
Apri OTL:
Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Code:
Netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32 /all
%SYSTEMDRIVE%\*.*
CREATERESTOREPOINT
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
%appdata%\*.*
%PROGRAMFILES%\*.


Clicca su Run scan
Lascia che il programma, venga eseguito, senza interruzioni.
Posta il log

cerax
Inviato: Thursday, June 16, 2011 9:49:30 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
ma non c'è un modo per disabilitare momentaneamente il Panda ?
Se è sul server, non è che magari scollegando la rete aziendale cambia qualcosa? io la butto lì ..........
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.