Kaspersky rileva Net-Worm.Win32.Kido.ih

[ivo]

Il mio collega di lavoro ha un pc con Windows XP SP3 sempre costantemente aggiornato.
Ha sempre Skipe e Outlook Espress attivi.
Da qualche giorno l'antivirus Kaspersky 2010 (sempre aggiornato) segnala la presenza del virus Net-Worm.Win32.Kido.ih (anche più volte al giorno).
Non riesce a disinfettalro ma riesce ad eliminarlo.
Abbiamo installato il software MalwareBites
Effettuato una scansione veloce e ha rilevato 3 file malevoli e li ha disinfettati (non ricordiamo i nomi).
Riavviato il pc.
Effettuato una scansione completa che non ha rilevato nient'altro.
Nessuna altra anomalia rilevata (es. lentezza o altro).
Avete qualche idea su come fare a debellare alla radice questo Worm ??
Anche perchè il mio collega essendo programmatore crea, tra le altre cose, i cd delle installazioni dei software e non vorrei che il worm si diffondesse anche presso i nostri clienti.
Ringrazio in anticipo per le vostre pronte risposte.

[Riverside]

Avete qualche idea su come fare a debellare alla radice questo Worm ??

Si, ma potrebbe non essere percorribile (dopo te lo spiego) ....conficker (ovvero Kido) è un virus piuttosto bastardo.
Per ora, il problema è questo:

Anche perchè il mio collega essendo programmatore crea, tra le altre cose, i cd delle installazioni dei software ...

Il tuo collega usa programmi specifici?.

[Riverside]

Però Ivo, a ben rileggere il tuo post ci sono diverse cose che non quadrano:

Il mio collega di lavoro ha un pc con Windows XP SP3 sempre costantemente aggiornato.

Ne sei certo? proprio per evitare una inferzione da Kido (e varianti) Microsoft a suo tempo aveva rilasciato una patch
vedi qui

Da qualche giorno l'antivirus Kaspersky 2010 (sempre aggiornato) segnala la presenza del virus Net-Worm.Win32.Kido.ih (anche più volte al giorno). Non riesce a disinfettalro ma riesce ad eliminarlo.

Infatti Kaspersky aveva risolto il problema di Net-Worm.Win32.Kido.ih già nel 2009 ---> vedi questa discussione sul forum di Kaspersky.

Ora mi viene un dubbio (visto che lo elimina per poi risegnalarlo): quel computer viene collegato anche all'interno di una retre? (se si, temo che la rete sia infetta - da qui il nuovo tentativo di infezione).
A meno che il tuo collega non utilizzi periferiche esterne di archiaviazione dati e queste siano infette.
Non mi spiego altrimenti il perché, come dici, Kaspersky rimuova il virus e poi torni a rilevarlo (e rimuoverlo).

[ivo]

Riverside ha scritto:
Ora mi viene un dubbio (visto che lo elimina per poi risegnalarlo): quel computer viene collegato anche all'interno di una retre? (se si, temo che la rete sia infetta - da qui il nuovo tentativo di infezione).
A meno che il tuo collega non utilizzi periferiche esterne di archiaviazione dati e queste siano infette.
Non mi spiego altrimenti il perché, come dici, Kaspersky rimuova il virus e poi torni a rilevarlo (e rimuoverlo).

il pc è in rete aziendale
ho rimosso tutte le cartelle condivise
ho forzatamente un eseguito un aggiornamento di Windows selezionando anche il materiale facoltativo.
Aggiornato Java, visto che mi veniva richiesto
ho riavviato e sono apparsi altri aggiornamenti automatici di Windows che ho correttamente installato.
Ma la segnalazione del Kaspersky per il Net-Worm.Win32.Kido.ih è appena riapparsa (proprio mentre stavo scrivendo questo post)

[Luke57]

Ciao,scarica Combofix da qui, sul desktop:
http://www.bleepingcomputer.com/combofi ... e-combofix
all'interno della pagina troverai una guida sul corretto utilizzo del programma, leggila attentamente.
Non installare la Console di Ripristino.

Portati, finita la scansione, in C:\ apri il file di testo ComboFix.txt copia ed incolla il suo contenuto in un prossimo post.

NB
durante la rimozione non dev'essere attiva la connessione internet e l'antivirus dev'essere disattivato.

Inoltre, se qualcosa ti mpedisse di avviare combofix.exe, eliminalo e scaricalo di nuovo, ma prima prima di salvarlo sul desktop rinomina il file in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file", cambia il nome che ti appare in abc.exe e salvalo obbligatoriamente sul desktop)

Poi, da start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK, si dovrebbe avviare la scansione

Una volta terminata, posta il report di combofix che trovi in C:\combofix.txt.

[ivo]

abbiamo scaricato e direttamente rinominato come abc.exe combofix ...
levato il cavo di rete e disabilitato antivirus
avviato .
ecco quanto richiesto

Codice: Seleziona tutto

ComboFix 10-09-15.02 - MASSIMO 16/09/2010  15.42.43.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.39.1040.18.1790.1076 [GMT 2:00]
Eseguito da: c:\documents and settings\MASSIMO.DATASERVICES\Desktop\abc.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\setup.ini

.
(((((((((((((((((((((((((   Files Creati Da 2010-08-16 al 2010-09-16  )))))))))))))))))))))))))))))))))))
.

2010-09-16 13:08 . 2010-09-16 13:08   --------   d-----w-   c:\windows\LastGood
2010-09-16 13:01 . 2010-09-16 13:01   503808   ----a-w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-56f2e57b-n\msvcp71.dll
2010-09-16 13:01 . 2010-09-16 13:01   499712   ----a-w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-56f2e57b-n\jmc.dll
2010-09-16 13:01 . 2010-09-16 13:01   348160   ----a-w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-56f2e57b-n\msvcr71.dll
2010-09-16 13:01 . 2010-09-16 13:01   61440   ----a-w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5c6e188f-n\decora-sse.dll
2010-09-16 13:01 . 2010-09-16 13:01   12800   ----a-w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5c6e188f-n\decora-d3d.dll
2010-09-16 13:00 . 2010-09-16 13:00   423656   ----a-w-   c:\windows\system32\deployJava1.dll
2010-09-16 12:58 . 2010-09-16 12:58   --------   d-----w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\Windows Search
2010-09-16 12:48 . 2010-09-16 12:48   --------   d-sh--w-   c:\documents and settings\LocalService\IETldCache
2010-09-16 12:48 . 2010-09-16 12:50   --------   d-----w-   c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\Adobe
2010-09-16 12:44 . 2010-09-16 12:44   --------   d-----w-   c:\programmi\File comuni\Windows Live
2010-09-16 12:44 . 2010-09-16 12:44   --------   d-----w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\Windows Desktop Search
2010-09-16 12:44 . 2010-09-16 12:44   --------   d-----w-   c:\programmi\Windows Desktop Search
2010-09-16 12:44 . 2010-09-16 12:44   --------   d-----w-   c:\windows\system32\GroupPolicy
2010-09-16 12:43 . 2008-04-14 12:00   221184   ----a-w-   c:\windows\system32\wmpns.dll
2010-09-16 12:43 . 2010-09-16 12:43   --------   d-----w-   c:\programmi\Windows Media Connect 2
2010-09-16 12:43 . 2010-09-16 12:43   --------   d-----w-   c:\windows\system32\drivers\UMDF
2010-09-16 12:43 . 2010-09-16 12:43   --------   d-----w-   c:\windows\system32\LogFiles
2010-09-15 16:36 . 2010-09-15 16:44   --------   d-----w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\ZoomBrowser EX
2010-09-15 16:29 . 2010-09-15 16:44   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\ZoomBrowser
2010-09-15 16:28 . 2010-09-15 16:29   --------   d-----w-   c:\programmi\Canon
2010-09-15 16:27 . 2010-09-15 16:27   --------   d-----w-   c:\programmi\File comuni\Canon
2010-09-15 16:23 . 2008-04-13 17:13   159232   ----a-w-   c:\windows\system32\ptpusd.dll
2010-09-15 16:23 . 2001-08-30 21:07   5632   ----a-w-   c:\windows\system32\ptpusb.dll
2010-09-15 16:23 . 2008-04-13 09:45   15104   ----a-w-   c:\windows\system32\drivers\usbscan.sys
2010-09-15 16:23 . 2008-04-13 09:45   15104   ----a-w-   c:\windows\system32\dllcache\usbscan.sys
2010-09-15 08:40 . 2010-09-15 08:40   --------   d-----w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\Malwarebytes
2010-09-15 08:40 . 2010-04-29 13:39   38224   ----a-w-   c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-15 08:40 . 2010-09-15 08:40   --------   d-----w-   c:\programmi\Malwarebytes' Anti-Malware
2010-09-15 08:40 . 2010-09-15 08:40   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-09-15 08:40 . 2010-04-29 13:39   20952   ----a-w-   c:\windows\system32\drivers\mbam.sys
2010-09-13 16:02 . 2010-09-13 16:02   --------   d-----w-   c:\programmi\Desktop Media
2010-09-13 14:09 . 2010-09-13 14:22   --------   d-----w-   c:\programmi\DataServices
2010-09-13 08:00 . 2010-09-13 08:00   --------   d-----w-   c:\windows\Sun
2010-09-08 11:00 . 2010-09-08 11:00   --------   d-sh--w-   c:\documents and settings\Default User\IETldCache
2010-09-06 10:17 . 2010-09-06 10:17   --------   d-----w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\Ahead
2010-09-06 09:18 . 2010-09-06 09:18   --------   d-----w-   c:\programmi\Uninstall ModuliControllo7302010
2010-09-06 09:17 . 2010-09-06 09:17   --------   d-----w-   C:\Entratel
2010-09-06 09:17 . 2010-09-06 09:17   --------   d--h--w-   c:\programmi\Zero G Registry
2010-09-06 09:16 . 2010-09-16 13:01   --------   d-----w-   c:\programmi\File comuni\Java
2010-09-06 09:16 . 2010-09-16 13:00   --------   d-----w-   c:\programmi\Java
2010-09-06 09:16 . 2010-09-06 09:16   --------   d-----w-   c:\documents and settings\MASSIMO.DATASERVICES\Impostazioni locali\Dati applicazioni\Sun
2010-09-06 06:51 . 2010-09-06 06:51   340456   ----a-w-   c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\avp.exe
2010-09-06 06:51 . 2010-09-06 06:51   170512   ----a-w-   c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\prloader.dll
2010-09-06 06:51 . 2010-09-06 06:51   170584   ----a-w-   c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\prloader.dll
2010-09-06 06:51 . 2010-09-06 06:51   340520   ----a-w-   c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\avp.exe
2010-09-06 06:35 . 2009-08-06 17:23   274288   ----a-w-   c:\windows\system32\mucltui.dll
2010-09-06 06:35 . 2009-08-06 17:23   215920   ----a-w-   c:\windows\system32\muweb.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-16 13:36 . 2010-08-09 15:58   --------   d-----w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\Skype
2010-09-16 13:03 . 2010-08-09 12:54   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab
2010-09-16 12:44 . 2009-03-16 14:32   512664   ----a-w-   c:\windows\system32\perfh010.dat
2010-09-16 12:44 . 2009-03-16 14:32   92660   ----a-w-   c:\windows\system32\perfc010.dat
2010-09-13 16:13 . 2009-03-21 15:42   --------   d-----w-   c:\programmi\File comuni\Adobe
2010-09-13 08:46 . 2010-08-09 13:38   --------   d-----w-   c:\programmi\WinMerge
2010-09-09 12:34 . 2010-08-13 12:47   --------   d-----w-   c:\programmi\Microsoft Silverlight
2010-09-06 11:02 . 2010-08-09 12:47   --------   d-----w-   c:\programmi\Microsoft Works
2010-08-17 13:17 . 2009-03-16 14:31   58880   ----a-w-   c:\windows\system32\spoolsv.exe
2010-08-10 12:50 . 2010-08-10 12:50   --------   d-----w-   c:\programmi\JavaSoft
2010-08-10 12:50 . 2010-08-09 14:46   --------   d--h--w-   c:\programmi\InstallShield Installation Information
2010-08-10 09:46 . 2010-08-10 09:46   --------   d-----w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\Genie-Soft
2010-08-10 09:46 . 2010-08-10 09:46   --------   d-----w-   c:\programmi\Genie-Soft
2010-08-10 08:34 . 2010-08-10 08:34   68056   ----a-w-   c:\documents and settings\MASSIMO.DATASERVICES\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-08-10 08:31 . 2010-08-10 08:31   159168   ----a-w-   c:\windows\system32\drivers\afcdp.sys
2010-08-10 08:31 . 2010-08-10 08:31   --------   d-----w-   c:\programmi\File comuni\Acronis
2010-08-10 08:31 . 2010-08-10 08:31   902432   ----a-w-   c:\windows\system32\drivers\tdrpm251.sys
2010-08-10 08:31 . 2010-08-10 08:31   570016   ----a-w-   c:\windows\system32\drivers\timntr.sys
2010-08-10 08:31 . 2010-08-10 08:31   157248   ----a-w-   c:\windows\system32\drivers\snapman.sys
2010-08-10 08:31 . 2010-08-10 08:31   --------   d-----w-   c:\programmi\Acronis
2010-08-10 08:20 . 2010-08-10 08:19   --------   d-----w-   c:\programmi\File comuni\Macromedia
2010-08-10 08:19 . 2010-08-10 08:19   --------   d-----w-   c:\programmi\Macromedia
2010-08-10 08:19 . 2010-08-09 14:43   --------   d-----w-   c:\programmi\File comuni\InstallShield
2010-08-09 16:09 . 2010-08-09 16:09   --------   d-----w-   c:\programmi\BORGChat
2010-08-09 16:00 . 2010-08-09 16:00   56   ---ha-w-   c:\windows\system32\ezsidmv.dat
2010-08-09 16:00 . 2010-08-09 16:00   --------   d-----w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\skypePM
2010-08-09 15:57 . 2010-08-09 15:57   --------   d-----r-   c:\programmi\Skype
2010-08-09 15:57 . 2010-08-09 15:57   --------   d-----w-   c:\programmi\File comuni\Skype
2010-08-09 15:57 . 2010-08-09 15:57   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Skype
2010-08-09 14:45 . 2010-08-09 14:45   --------   d-----w-   c:\programmi\Rainbow Technologies
2010-08-09 14:18 . 2010-08-09 14:18   --------   d-----w-   c:\programmi\NSIS
2010-08-09 13:46 . 2010-08-09 13:46   --------   d-----w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\TeamViewer Manager
2010-08-09 13:45 . 2010-08-09 13:45   --------   d-----w-   c:\programmi\TeamViewer Manager 4
2010-08-09 13:45 . 2010-08-09 13:45   --------   d-----w-   c:\programmi\Microsoft SQL Server
2010-08-09 13:44 . 2010-08-09 13:44   --------   d-----w-   c:\documents and settings\MASSIMO.DATASERVICES\Dati applicazioni\TeamViewer
2010-08-09 13:44 . 2010-08-09 13:44   --------   d-----w-   c:\programmi\TeamViewer
2010-08-09 13:36 . 2010-08-09 13:36   --------   d-----w-   c:\programmi\WinSCP
2010-08-09 13:13 . 2010-08-09 12:55   97549   ----a-w-   c:\windows\system32\drivers\klick.dat
2010-08-09 13:13 . 2010-08-09 12:55   113933   ----a-w-   c:\windows\system32\drivers\klin.dat
2010-08-09 13:13 . 2010-08-09 13:13   109072   ----a-w-   c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\mzvkbd3.dll
2010-08-09 13:13 . 2010-08-09 13:13   133720   ----a-w-   c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\mmpprtc.dll
2010-08-09 13:13 . 2010-08-09 13:13   80400   ----a-w-   c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\fssync.dll
2010-08-09 13:13 . 2010-08-09 13:13   315408   ----a-w-   c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\sys\i386\5.1\klif.sys
2010-08-09 12:54 . 2010-08-09 12:54   --------   d-----w-   c:\programmi\Kaspersky Lab
2010-08-09 12:54 . 2010-08-09 12:54   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab Setup Files
2010-08-09 12:53 . 2010-08-09 12:52   --------   d-----w-   c:\programmi\File comuni\Ahead
2010-08-09 12:52 . 2010-08-09 12:52   --------   d-----w-   c:\programmi\Nero
2010-08-09 12:47 . 2010-08-09 12:47   --------   d-----w-   c:\programmi\Microsoft.NET
2010-08-09 12:41 . 2009-03-21 15:41   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2010-08-09 08:33 . 2010-08-09 08:33   68448   ----a-w-   c:\documents and settings\MASSIMO\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-08-09 06:57 . 2010-08-09 06:57   --------   d-----w-   c:\programmi\MSXML 4.0
2010-08-06 08:51 . 2010-08-06 08:51   12   ----a-w-   c:\windows\system32\drivers\FSC__PI__ESPRIMO P2550    __FUJITSU     _D2950-A1__Version 6.00 R1.05.2950.A1_FSC - 60000_6.00 R1.05.2950.A1   __NVIDIA GeForce 7100 NVIDIA nForce 630i.MRK
2010-08-06 08:51 . 2010-08-06 08:51   12   ----a-w-   c:\windows\system32\drivers\10CF_FUJITSU_FTS_ESPRIMO P2550    _PI_FUJITSU     _D2950-A1_Version 6.00 R1.05.2950.A1_FSC - 60000_6.00 R1.05.2950.A1   _NVIDIA GeForce 7100 NVIDIA nForce 630i.MRK
2010-08-06 08:50 . 2010-08-06 08:50   --------   d-----w-   c:\programmi\MSBuild
2010-08-06 08:48 . 2010-08-06 08:48   --------   d-----w-   c:\programmi\Reference Assemblies
2010-07-22 15:48 . 2009-03-16 14:31   590848   ----a-w-   c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25   5632   ----a-w-   c:\windows\system32\xpsp4res.dll
2010-06-30 12:31 . 2009-03-16 14:31   149504   ----a-w-   c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2009-03-16 14:32   916480   ----a-w-   c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2009-03-16 14:32   1851904   ----a-w-   c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2009-03-16 14:31   354304   ----a-w-   c:\windows\system32\drivers\srv.sys
2010-06-18 17:45 . 2009-03-16 14:32   293888   ----a-w-   c:\windows\system32\winsrv.dll
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programmi\Skype\Phone\Skype.exe" [2010-05-13 26192168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="c:\programmi\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" [2010-09-06 340520]
"TrueImageMonitor.exe"="c:\programmi\Acronis\TrueImageHome\TrueImageMonitor.exe" [2009-09-12 5048488]
"Acronis Scheduler2 Service"="c:\programmi\File comuni\Acronis\Schedule2\schedhlp.exe" [2009-09-12 357384]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\MASSIMO.DATASERVICES\Menu Avvio\Programmi\Esecuzione automatica\
BORGChat.lnk - c:\programmi\BORGChat\BORGChat.exe [2007-4-1 1041920]
Outlook Express.lnk - c:\programmi\Outlook Express\msimn.exe [2009-3-16 60416]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Desktop Media.lnk - c:\programmi\Desktop Media\mediadetect.exe [2010-9-13 163840]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programmi\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Windows Search.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Windows Search.lnk
backup=c:\windows\pss\Windows Search.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06   976832   ----a-w-   c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 02:08   35696   ----a-w-   c:\programmi\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-13 18:14   1695232   ----a-w-   c:\programmi\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 13:40   155648   ----a-w-   c:\programmi\File comuni\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2009-08-04 13:01   18702336   ----a-w-   c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44   248552   ----a-w-   c:\programmi\File comuni\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"3000:TCP"= 3000:TCP:Mdaemon

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 21.18.34 36880]
R0 tdrpman251;Acronis Try&Decide and Restore Points filter (build 251);c:\windows\system32\drivers\tdrpm251.sys [10/08/2010 10.31.20 902432]
R1 oxmep;OXPCI support driver;c:\windows\system32\drivers\oxmep.sys [06/08/2010 18.26.33 4224]
R1 oxpar;OX16PCI95x Parallel port driver;c:\windows\system32\drivers\oxpar.sys [06/08/2010 18.26.33 75904]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programmi\File comuni\Acronis\CDP\afcdpsrv.exe [10/08/2010 10.31.22 2326920]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [10/08/2010 10.31.22 159168]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 14.42.46 32272]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [06/08/2010 18.26.33 1684736]
.
Contenuto della cartella 'Scheduled Tasks'

2010-09-16 c:\windows\Tasks\User_Feed_Synchronization-{0A1ED3F0-A44F-41BC-81C0-2FBEB4798CA8}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]

2010-09-16 c:\windows\Tasks\User_Feed_Synchronization-{C2C43CDA-A92C-4A8E-BD66-DAB9F74908BE}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {227608C1-55AA-498F-9CE6-DB4327598A8A} = 128.0.0.201
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

AddRemove-Client Arcos - c:\programmi\DataServices\thin\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-16 15:46
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140210900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Ora fine scansione: 2010-09-16  15:46:55
ComboFix-quarantined-files.txt  2010-09-16 13:46

Pre-Run: 449.169.580.032 byte disponibili
Post-Run: 449.332.191.232 byte disponibili

- - End Of File - - CB3A26DAEDC013EC835A4505CDF7A874


non ho ancora eseguito la procedura cancellazione, perché mi aspetto che mi diciate voi cosa fare ...

[Riverside]

Direi che non ci siamo Ivo.
Provate in questo modo:

Scarica il tool di rimozione di BitDefender

Sempre a macchina dedicata (quindi disconesso dalla rete):

1) estrai tutti i files contenuti nel file zippato

2) verrà creata una cartella bd_rem_tool ed al suo interno troverai troverai il file bd_rem_tool_gui.exe

3) lancialo e segui le istruzioni che verranno rilasciate

Al termine riavvia il computer, e ripeti la scansione con Kaspersky e vedi se lo rileva ancora.

Sicuro che il tuo collega non utilizzi pendrive o altre periferiche esterne (potebbero essere quelle infette)?

[Riverside]

Se non risolvi con il tool, ti ho trovato una guida per la rimozione manuale (la procedura è verso fine Guida).

[ivo]

abbiamo provato con il tool della BitDefender
poi per scrupolo ho controllato anche con il link che ci hai dato per la rimozione manuale
e per adesso sembrano sparite le righe di registro incriminate
per adesso sembra essere sparito
vedremo domani
se non abbiamo ulteriori segnalazioni mando un post di ringraziamento
altrimenti vi dirò come si è evoluta la situazione

P.D.
accendo idealmente un cero a SAN CASSIANO
PATRONO DEGLI INFORMATICI.

[Riverside]

oK buona serata, Ivo.

[ivo]

vi confermo che a tutt'ora non ho più avuto segnalazioni da parte di Kaspersky.
Sembra sparito il worm.
Nel frattempo, il mio collega si è fatto dare un hd esterno da 1.5 terabyte
gli avevo precedentemente installato Acronis backup
e questa sera provvederemo ad effettuare un backup dell'intero so.

[Riverside]

vi confermo che a tutt'ora non ho più avuto segnalazioni da parte di Kaspersky.
Sembra sparito il worm.

Amen .... ed anche questa volta i cattivi sono stati sconfitti

[ivo]

ringrazio tutti i partecipanti a questa operazione di disinfestazione
per il moderatore: puoi mettere sul titolo del post [RISOLTO]