Grave infezione da trojan Sirefef.BP... Aiuto!

[bob20]

Ho dimenticato di scrivere che il file attualmente presente nella cartella Drivers non risulta essere stato modificato (non ricordo di preciso la data in "Ultima modifica", ma comunque è di anni fa), anche per questo motivo non so se ha senso sostituire il file tcpip.sys.
Potrei tuttavia provare lo stesso, però, non vorrei fare danni... Posso andare tranquillo sostituendo un file .sys? Nel link non è molto chiaro perché parla di "reinserire" il file, e non specifica se bisogna sostituirlo anche se è già presente, come nel mio caso...

[Luke57]

Ciao, prova queste operazioni:

1) Scarica BlitzBlank e salvalo sul desktop
• Click OK
• Clicca sul tab Script e incolla il seguente testo
http://download1.emsisoft.com/BlitzBlank.exe
CopyFile:
C:\WINDOWS\system32\dllcache\tcpip.sys C:\WINDOWS\system32\drivers\tcpip.sys

Clicca su Execute Now. Il pc avrà bisogno di riavviarsi per rimpiazzare I file.
(L'operazione viene fatta per controllare se il driver tcp sia corrotto sostiuendolo con una copia).

se al riavvio è tutto come prima:
Nel caso ancora la connessione sia mancante,disinstallare e reinstallare il protocollo (l'hai già fatta ma conviene ripeterla).

1)Vai su start-esegui e scrivi notepad c:\windows\inf\nettcpip.inf (spazio dopo notepad).Un file di testo si aprirà.
Sotto TCP/IP Primary Install trova la sezione seguente:Characteristics=0xA0
Edita 0XA0 e rimpiazzalo con 0x80(rimpiazza A con 8 .
Sotto file menu salva e chiudi il file di testo.

2)Vai a start pannello di controllo.Doppio clic su connessione di rete.Click destro sulla tua connessione e seleziona proprietà.
Sul tab generale clicca su installa-seleziona protocollo-aggiungi-clicca su disco driver e scrivi c:\windows\inf.Clicca su ok-seleziona protocollo(TCP/IP) e poi ok.Ritorna sulla tua connessione,seleziona internet protocollo(TCP/IP) e clicca su disinstalla e poi su si.Fino a che non ti chiede di arrestare,poi conferma.

3)Rifai la stessa procedura del punto 1,solo che adesso rimpiazza 0x80 con 0xA0.Salva e chiudi.

4)Torna sulla tua connessione di rete-proprietà,sul tab generale clicca su installa-seleziona protocollo-Seleziona Internet Protocol(TCP/IP) e poi clicca ok.Aspetta che ti chieda di arrestare.

[bob20]

Ciao Luke, grazie mille per questi nuovi consigli. Ho avuto però un problema all'inizio della prima operazione, io ho incollato questo testo:

CopyFile:
C:\WINDOWS\system32\dllcache\tcpip.sys C:\WINDOWS\system32\drivers\tcpip.sys

e quando poi clicco su Execute now mi dice che c'è un errore nella riga due.
Non so se può essere utile, nè se sia normale che sia così, ma segnalo anche che nella cartella system 32 non ho alcuna sottocartella chiamata dllcache.

La seconda parte della riga invece corrisponde esattamente al percorso del file tcpip.sys

Attendo tue indicazioni.

[Luke57]

Ciao, apri risorse del computer>strumenti>opzioni cartella>visualizzazione, metti la spunta a Visualizza file e cartelle nascosti e toglila a Nascondi file protetti e di sistema>applica>Ok.
Fai sapere se la cartella dllcache è presente sotto system32.

[bob20]

Ho fatto come hai detto, e la cartella dllcache è presente. Però mi sono accorto di alcune cose che secondo me potrebbero essere importanti (soprattutto la seconda):
1) nella cartella dllcache non è presente alcun file chiamato tcpip;
2) la cartella dllcache è stata modificata l'ultima volta il 6 marzo alle 18.32... ho controllato sotto la voce Eventi di Antivir, e gli ultimi rilevamenti del virus sono il 6 marzo alle 18.33 (ultimo di una lunghissima serie) e alle 18.38 (ultimissimo in assoluto).
3) infine ti segnalo di preciso l'errore segnalatomi dopo quel comando con BlitzBlank: è un "syntax error" nella seconda riga, e c'è scritto anche "invalid file path"

[Luke57]

Ciao, se hai un punto di ripristino valido prima dell'avvenuta infezione usalo per ripristinare il computer a quella data.ù
vedi qui come fare:
http://acer-it.custhelp.com/app/answers ... -vista-e-7

se non è possibile prova a ripetere la procedura di reistallazione del protocollo TCP/IP

Se non funziona, personalmente non vedo altre possibilità rispetto alla formattazione.

[bob20]

Ciao Luke. Solo un paio di domande...
Prima di tentare il ripristino di configurazione del sistema, devo fare il backup dei file salvati in data successiva a quella scelta per il ripristino?
E riguardo proprio alla scelta della data... Il virus è stato rilevato il 5 marzo la prima volta... Posso scegliere un qualsiasi punto di ripristini antecedente a quella data, anche solo di una settimana, o per sicurezza è meglio stare piu larghi e sceglierne uno più vecchio? Potrebbe esserci il rischio che il virus fosse nascosto nel pc da molto prima del 5 marzo?

Scusa la mia ignoranza, ma non ho mai usato i punti di ripristino.

Grazie ancora

[Luke57]

Ciao, perdi solamente i programmi la cui installazione ha modificato il registro. Per i file non ci sono problemi. Magari è meglio stare un pò più largo nella scelta del punto di ripristino.

[bob20]

Non mi è stato possibile ripristinare il computer, ho fatto due tentativi, con una data di gennaio e una di dicembre, ma in entrambi i casi, dopo il riavvio, mi è comparso lo stesso messaggio d'errore: "Ripristino non completato. Impossibile ripristinare il computer allo stato in cui si trovava [data] Non è stata apportata alcuna modifica al computer"

Allora, sempre seguendo i tuoi consigli, ho provato a ripetere la procedura di reistallazione del protocollo TCP/IP, e stavolta ha funzionato! Infatti ora ti sto scrivendo finalmente dal mio XP
Grazie mille, inutile dire che senza il tuo aiuto non ce l'avrei mai fatta.

Ora restano gli altri problemi di grafica e audio (a cui, forse, bisogna ora aggiungere il malfunzionamento della funzione di ripristino del sistema, ma è il meno). Per questi c'è qualcosa che posso provare a fare?

[bob20]

Avevo cantato vittoria troppo presto... Questo maledetto virus è ricomparso, non so come. Dopo aver navigato un po' (pochi siti, tutti sicuri e ufficiali), aver installato gli aggiornamenti di Avira Antivir, e aver lasciato il computer acceso ma senza farci niente per circa 15 minuti, mi è comparso un messaggio di Antivir con la rilevazione di un nuovo Sirefef (stavolta 948, mi sembra). Ho immediatamente staccato il cavo della connessione internet, poi ho fatto partire una scansione con Antivir (fortunatamente l'avevo appena aggiornato) e mi ha rilevato 4 virus, che ho già eliminato dalla quarantena, qui il report:

Codice: Seleziona tutto


Avira AntiVir Personal
Data del file di report: lunedì 26 marzo 2012  18:33

Ricerca di 3603312 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - Free Antivirus
Numero di serie       : 0000149996-ADJIE-0000001
Piattaforma           : Windows XP
Versione di Windows   : (Service Pack 3)  [5.1.2600]
Modalità di avvio     : Booting eseguito regolarmente
Nome utente           : SYSTEM
Nome computer         : ESSEDI-0EC7476F

Informazioni sulla versione:
BUILD.DAT             : 10.2.0.103     36070 Bytes  25/01/2012 14:04:00
AVSCAN.EXE            : 10.3.0.7      484008 Bytes  21/07/2011 10:24:39
AVSCAN.DLL            : 10.0.5.0       55144 Bytes  21/07/2011 10:26:15
LUKE.DLL              : 10.3.0.5       45416 Bytes  21/07/2011 10:25:43
LUKERES.DLL           : 10.0.0.0       13160 Bytes  16/02/2010 08:15:20
AVSCPLR.DLL           : 10.3.0.7      119656 Bytes  21/07/2011 10:24:39
AVREG.DLL             : 10.3.0.9       90472 Bytes  21/07/2011 10:24:31
VBASE000.VDF          : 7.10.0.0    19875328 Bytes  06/11/2009 08:05:36
VBASE001.VDF          : 7.11.0.0    13342208 Bytes  14/12/2010 05:56:40
VBASE002.VDF          : 7.11.19.170 14374912 Bytes  20/12/2011 16:35:38
VBASE003.VDF          : 7.11.21.238  4472832 Bytes  01/02/2012 17:26:03
VBASE004.VDF          : 7.11.21.239     2048 Bytes  01/02/2012 17:26:03
VBASE005.VDF          : 7.11.21.240     2048 Bytes  01/02/2012 17:26:03
VBASE006.VDF          : 7.11.21.241     2048 Bytes  01/02/2012 17:26:03
VBASE007.VDF          : 7.11.21.242     2048 Bytes  01/02/2012 17:26:03
VBASE008.VDF          : 7.11.21.243     2048 Bytes  01/02/2012 17:26:03
VBASE009.VDF          : 7.11.21.244     2048 Bytes  01/02/2012 17:26:03
VBASE010.VDF          : 7.11.21.245     2048 Bytes  01/02/2012 17:26:03
VBASE011.VDF          : 7.11.21.246     2048 Bytes  01/02/2012 17:26:03
VBASE012.VDF          : 7.11.21.247     2048 Bytes  01/02/2012 17:26:04
VBASE013.VDF          : 7.11.22.33   1486848 Bytes  03/02/2012 19:20:19
VBASE014.VDF          : 7.11.22.56    687616 Bytes  03/02/2012 19:20:22
VBASE015.VDF          : 7.11.22.92    178176 Bytes  06/02/2012 00:43:02
VBASE016.VDF          : 7.11.22.154   144896 Bytes  08/02/2012 10:55:10
VBASE017.VDF          : 7.11.22.220   183296 Bytes  13/02/2012 19:09:45
VBASE018.VDF          : 7.11.23.34    202752 Bytes  15/02/2012 23:59:43
VBASE019.VDF          : 7.11.23.98    126464 Bytes  17/02/2012 23:59:43
VBASE020.VDF          : 7.11.23.150   148480 Bytes  20/02/2012 00:34:58
VBASE021.VDF          : 7.11.23.224   172544 Bytes  23/02/2012 15:48:23
VBASE022.VDF          : 7.11.24.52    219648 Bytes  28/02/2012 16:09:47
VBASE023.VDF          : 7.11.24.152   165888 Bytes  05/03/2012 15:47:51
VBASE024.VDF          : 7.11.24.204   177664 Bytes  07/03/2012 15:48:13
VBASE025.VDF          : 7.11.25.30    245248 Bytes  12/03/2012 15:49:09
VBASE026.VDF          : 7.11.25.121   252416 Bytes  15/03/2012 15:49:13
VBASE027.VDF          : 7.11.25.177   202752 Bytes  20/03/2012 15:49:19
VBASE028.VDF          : 7.11.25.233   169984 Bytes  23/03/2012 15:49:27
VBASE029.VDF          : 7.11.25.234     2048 Bytes  23/03/2012 15:49:28
VBASE030.VDF          : 7.11.25.235     2048 Bytes  23/03/2012 15:49:28
VBASE031.VDF          : 7.11.26.8     185856 Bytes  26/03/2012 15:49:32
Motore                : 8.2.10.28
AEVDF.DLL             : 8.1.2.2       106868 Bytes  28/10/2011 13:23:43
AESCRIPT.DLL          : 8.1.4.13      442746 Bytes  26/03/2012 15:51:09
AESCN.DLL             : 8.1.8.2       131444 Bytes  28/01/2012 00:23:04
AESBX.DLL             : 8.2.5.5       606579 Bytes  26/03/2012 15:51:16
AERDL.DLL             : 8.1.9.15      639348 Bytes  30/09/2011 13:34:49
AEPACK.DLL            : 8.2.16.7      803190 Bytes  26/03/2012 15:51:04
AEOFFICE.DLL          : 8.1.2.25      201084 Bytes  30/12/2011 16:35:27
AEHEUR.DLL            : 8.1.4.8      4514165 Bytes  26/03/2012 15:50:56
AEHELP.DLL            : 8.1.19.0      254327 Bytes  21/01/2012 17:26:35
AEGEN.DLL             : 8.1.5.23      409973 Bytes  26/03/2012 15:49:46
AEEXP.DLL             : 8.1.0.25       74101 Bytes  26/03/2012 15:51:17
AEEMU.DLL             : 8.1.3.0       393589 Bytes  21/04/2011 05:55:57
AECORE.DLL            : 8.1.25.6      201078 Bytes  26/03/2012 15:49:38
AEBB.DLL              : 8.1.1.0        53618 Bytes  21/04/2011 05:55:57
AVWINLL.DLL           : 10.0.0.0       19304 Bytes  21/04/2011 05:56:18
AVPREF.DLL            : 10.0.3.2       44904 Bytes  21/07/2011 10:24:28
AVREP.DLL             : 10.0.0.10     174120 Bytes  21/07/2011 10:24:31
AVARKT.DLL            : 10.0.26.1     255336 Bytes  21/07/2011 10:24:06
AVEVTLOG.DLL          : 10.0.0.9      203112 Bytes  21/07/2011 10:24:23
SQLITE3.DLL           : 3.6.19.0      355688 Bytes  21/07/2011 13:12:33
AVSMTP.DLL            : 10.0.0.17      63848 Bytes  21/04/2011 05:56:17
NETNT.DLL             : 10.0.0.0       11624 Bytes  21/04/2011 05:56:31
RCIMAGE.DLL           : 10.0.0.35    2589544 Bytes  21/07/2011 10:26:21
RCTEXT.DLL            : 10.0.64.0      99176 Bytes  21/07/2011 10:26:21

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Programmi\Avira\AntiVir Desktop\sysscan.avp
Report......................................: standard
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, E:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: avanzato

Avvio della scansione: lunedì 26 marzo 2012  18:33

È stata avviata la scansione per accertare la presenza di oggetti nascosti.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'rsmsink.exe' - '28' modulo(i) scansionato(i)
Scansione processo 'msdtc.exe' - '40' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '60' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'vssvc.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '65' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '63' modulo(i) scansionato(i)
Scansione processo 'jucheck.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'wuauclt.exe' - '50' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'wmiapsrv.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'ALUSchedulerSvc.exe' - '28' modulo(i) scansionato(i)
Scansione processo 'VProSvc.exe' - '47' modulo(i) scansionato(i)
Scansione processo 'avshadow.exe' - '26' modulo(i) scansionato(i)
Scansione processo 'jqs.exe' - '85' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '54' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '25' modulo(i) scansionato(i)
Scansione processo 'realsched.exe' - '37' modulo(i) scansionato(i)
Scansione processo 'VProTray.exe' - '34' modulo(i) scansionato(i)
Scansione processo 'jusched.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '47' modulo(i) scansionato(i)
Scansione processo 'SOUNDMAN.EXE' - '23' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '52' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '50' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '98' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '42' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '32' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '168' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '39' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '52' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '58' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '61' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '12' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
    [INFO]      Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
    [INFO]      Nessun virus è stato trovato!
Record di avvio 'E:\'
    [INFO]      Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 401 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\Qoobox\Quarantine\C\Documents and Settings\Roberto\Impostazioni locali\Dati applicazioni\6057cb59\X.vir
  [RILEVAMENTO] Si tratta del cavallo di Troia TR/Drop.Sirefef.B.914
C:\System Volume Information\_restore{CC28BE79-7EAA-4888-8AFA-24F951B1705B}\RP42\A0009139.sys
  [RILEVAMENTO] Si tratta del cavallo di Troia TR/Drop.Sirefef.B.948
C:\System Volume Information\_restore{CC28BE79-7EAA-4888-8AFA-24F951B1705B}\RP42\A0009460.dll
  [RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
C:\System Volume Information\_restore{CC28BE79-7EAA-4888-8AFA-24F951B1705B}\RP42\A0009461.dll
  [RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
Inizia con la scansione di 'E:\' <Volume>

Avvio della disinfezione:
C:\System Volume Information\_restore{CC28BE79-7EAA-4888-8AFA-24F951B1705B}\RP42\A0009461.dll
  [RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
  [NOTA]      Il file è stato spostato in quarantena con il nome '4c93044b.qua'!
C:\System Volume Information\_restore{CC28BE79-7EAA-4888-8AFA-24F951B1705B}\RP42\A0009460.dll
  [RILEVAMENTO] Si tratta del cavallo di Troia TR/Trash.Gen
  [NOTA]      Il file è stato spostato in quarantena con il nome '54042bec.qua'!
C:\System Volume Information\_restore{CC28BE79-7EAA-4888-8AFA-24F951B1705B}\RP42\A0009139.sys
  [RILEVAMENTO] Si tratta del cavallo di Troia TR/Drop.Sirefef.B.948
  [NOTA]      Il file è stato spostato in quarantena con il nome '065b7104.qua'!
C:\Qoobox\Quarantine\C\Documents and Settings\Roberto\Impostazioni locali\Dati applicazioni\6057cb59\X.vir
  [RILEVAMENTO] Si tratta del cavallo di Troia TR/Drop.Sirefef.B.914
  [NOTA]      Il file è stato spostato in quarantena con il nome '602a3ec0.qua'!


Fine della scansione: lunedì 26 marzo 2012  19:00
Tempo impiegato: 27:09 Minuto(i)

La scansione è stata completamente eseguita.

   2384 Directory scansionate
 129002 I file sono stati scansionati
      4 Rilevati virus e/o programmi indesiderati
      0 I file sono stati classificati come sospetti
      0 I file sono stati eliminati
      0 I virus o i programmi indesiderati sono stati riparati
      4 File spostati in quarantena
      0 File rinominati
      0 Impossibile scansionare i file
 128998 File non infetti
   4134 Archivi scansionati
      0 Avvisi
      4 Note
 186019 Oggetti scansionati durante la scansione dei rootkit
      0 Sono stati rilevati oggetti nascosti



Ora se riesco aggiorno anche Anti-Malware (non l'avevo mai aggiornato, per la mancanza della connessione) e faccio una scansione anche con quello.

Com'è possibile che il virus sia tornato?

[bob20]

Ho aggiornato Malwarebytes e ho fatto una scansione, da cui non sono stati rilevati virus.

Codice: Seleziona tutto

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Versione database: v2012.03.26.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Roberto :: ESSEDI-0EC7476F [amministratore]

26/03/2012 19.19.46
mbam-log-2012-03-26 (19-19-46).txt

Tipo di scansione: Scansione completa
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 190610
Tempo impiegato: 21 minuti, 6 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)


Qui il log di HiJackThis, se può servire:

Codice: Seleziona tutto

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19.42.33, on 26/03/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Norton Ghost\Agent\VProTray.exe
C:\Programmi\Real\RealPlayer\update\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Norton Ghost\Agent\VProSvc.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\File comuni\Java\Java Update\jucheck.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\notepad.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Norton Ghost 12.0] "C:\Programmi\Norton Ghost\Agent\VProTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\Real\RealPlayer\update\realsched.exe"  -osboot
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil11e_ActiveX.exe -update activex
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 6105 bytes


Tornando invece al discorso sulla grafica, devo fare una precisazione. Come avevo già scritto, vedo malissimo i video che ho salvati sul pc (come lettore uso vlc), mentre su youtube stranamente si vedono bene (benchè la grafica del monitor sia pessima, infatti su yt le dimendioni del video sono maggiori).

[Luke57]

Ciao, tanto ormai sei diventato un esperto, elimina combofix che hai sul computer,
lo rinomini Unistall e fai doppio click su di esso.
Poi riscarica una nuova copia sul desktop e fai una nuova scansione postando il relativo log. Non penso che il malefico sia ancora presente nel computer.
ps Avira ha trovato il rootkit nella quarantena di combofix e nel ripristino configurazione di sistema. La quarantena di combofix puoi eliminarla,così come quelli presenti nel ripristino. Lo disattivi e poi lo riattivi, ecco come fare:
http://support.microsoft.com/kb/310405/it

[bob20]

Ok, grazie, ieri mi ero un po' spaventato.

Ho fatto tutto quello che mi hai detto. Questo è il nuovo log di ComboFix:

Codice: Seleziona tutto

ComboFix 12-03-27.02 - Roberto 27/03/2012  18.27.32.3.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.39.1040.18.495.107 [GMT 2:00]
Eseguito da: c:\documents and settings\Roberto\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {0012F2B4-5CC9-7C92-0300-000000000000}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
(((((((((((((((((((((((((   Files Creati Da 2012-02-27 al 2012-03-27  )))))))))))))))))))))))))))))))))))
.
.
2012-03-18 09:55 . 2012-03-26 15:15   --------   d-----w-   c:\programmi\XP TCPIP Repair
2012-03-18 09:55 . 2008-11-13 08:26   616024   ----a-w-   c:\windows\system32\COMCTL32.OCX
2012-03-15 18:21 . 2012-03-15 18:21   --------   d---a-w-   C:\.Trash-999
2012-03-14 18:42 . 2012-03-14 18:42   --------   d-----w-   c:\documents and settings\Roberto\Dati applicazioni\Malwarebytes
2012-03-14 18:42 . 2012-03-14 18:42   --------   d-----w-   c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-03-14 18:42 . 2012-03-14 18:42   --------   d-----w-   c:\programmi\Malwarebytes' Anti-Malware
2012-03-14 18:42 . 2011-12-10 14:24   20464   ----a-w-   c:\windows\system32\drivers\mbam.sys
2012-03-05 14:43 . 2012-03-05 14:43   --------   d-----r-   c:\documents and settings\NetworkService\Preferiti
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-01 08:27 . 2011-09-29 17:21   414368   ----a-w-   c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-19 21:03 . 2011-10-01 17:24   134104   ----a-w-   c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-09-29 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2011-09-28 55296]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-09-28 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-09-28 114688]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"Norton Ghost 12.0"="c:\programmi\Norton Ghost\Agent\VProTray.exe" [2007-03-28 2037352]
"TkBellExe"="c:\programmi\Real\RealPlayer\update\realsched.exe" [2011-11-06 273528]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\explorer.exe"= %windir%\explorer.exe
"c:\\Programmi\\Real\\RealUpgrade\\realupgrade.exe"=
.
R2 Utilità di pianificazione di LiveUpdate automatico;Utilità di pianificazione di LiveUpdate automatico;c:\programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe [25/10/2011 17.20.24 554352]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [29/09/2011 16.24.56 136176]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [29/09/2011 16.24.56 136176]
.
[COLOR=RED]NETSVCS REQUIRES REPAIRS - current entries shown[/COLOR]
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
ERSvc
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
cimnotify
queuemgr
cachemanxp
oracleorahome92tnslistener
SaiClass
usb_rndisx
cvspydr2
tversitymediaserver
U2SP
AsuhfivrO
prtg4service
rtl8029
nimdbgk
vzfw
mvserver
STV672
s116obex
sifilter
nvsmu
snoopfree
cpuidlep
aracpi
RR2IOMod
tifm21
MRENDIS5
vpcbus
rootmodem
oraclesnmppeerencapsulator
plsremotesvc
se44mdfl
tm_cfw
WmaCVideo32
odclientservice
PEVSystemStart
zdeviceservice
WISTechVIDCAP
nv
AsIO
StarOpen
USB_NDIS_51
WmUsbHid
zBackupAssistService
ZSMC301b
STV680m
stirusb
SetupNT
stllssvr
svcwmu
w810mgmt
srvdpi
sonypvs1
sysaidagent
ypcservice
tb2launch
sbcssvc
stac97
WINIO
se58nd5
se45mdfl
SfCtlCom
websensedcagent
3compxe
vaiomediaplatform-mobile-gateway
sp_clamsrv
uagp35
se45unic
trioservice
XilinxPC4Driver
VNUSB
sbpci
sonytvc
TeamViewer
smapint
SPCtl
SQTECH9080
ventrilo
vaiomediaplatform-integratedserver-upnp
se58mgmt
SMCB000
umpusbxp
usb20l
TPwSav
slabbus
tavsvc
WMIService
V0070VID
tng-doba
vsmon
ShockMgr
syslogd
wtwservice
sfsync04
evteng
regsrvc
se58obex
tmesrv3
w810obex
tosrfsnd
symredrv
symids
SGIR
w550bus
ZDPSp50
wlsetupsvc
vmount2
tfsnudf
UCTblHid
UNDPX2A
sfhlp01
wanatw
VC4CB104
PD0620VID
nvport
UsbserFilt
uphclean
pavsrv
digictrl
iap
icraplus
pdscheduler
pdlnepkt
tfsncofs
vwkernel
Eplpdx02
wampmysqld
siswlsvc
U81xmgmt
cxpt_service
3comtftp
emupia
pdlnatcm
ccispwdsvc
epsonbidirectionalagent
tunmp
db2remotecmd
elbycdio
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
SRService
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wscsvc
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN
napagent
hkmsvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
.
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-03-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-09-29 14:24]
.
2012-03-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-09-29 14:24]
.
2012-03-27 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-606747145-1606980848-854245398-1004.job
- c:\programmi\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
2012-03-27 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-606747145-1606980848-854245398-1004.job
- c:\programmi\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
TCP: DhcpNameServer = 83.103.25.250 62.101.93.101
FF - ProfilePath - c:\documents and settings\Roberto\Dati applicazioni\Mozilla\Firefox\Profiles\5t1ozb7i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-27 18:34
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'explorer.exe'(3836)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Avira\AntiVir Desktop\sched.exe
c:\windows\SOUNDMAN.EXE
c:\programmi\Avira\AntiVir Desktop\avguard.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\Avira\AntiVir Desktop\avshadow.exe
c:\programmi\Norton Ghost\Agent\VProSvc.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Ora fine scansione: 2012-03-27  18:36:39 - Il pc è stato riavviato
ComboFix-quarantined-files.txt  2012-03-27 16:36
ComboFix2.txt  2012-03-15 18:51
.
Pre-Run: 63.698.350.080 byte disponibili
Post-Run: 63.692.214.272 byte disponibili
.
- - End Of File - - 49E264BA60CF414CCC1D7305F35AE9EE


[Luke57]

Ciao, sembra proprio tutto a posto.

[bob20]

Bene, grazie ancora di tutto.
Non vorrei abusare della tua pazienza, ma ci sarebbero ancora i problemi audio/video (uniti all'impossibilità di mettere il pc in standby) causati dal virus. Potresti dirmi, per favore, cosa posso fare per risolverli?

[bob20]

Se può essere utile, ho notato che in Gestione periferiche, le seguenti voci hanno un punto esclamativo in un tondino giallo: Realtek AC'97 Audio - Intel (R) 82852/82855 GM/GME Graphic Controller (quest'ultima è presente 2 volte, sempre col punto esclamativo).

Aprendo le proprietà, c'è sempre questo messaggio:

Impossibile caricare il driver di periferica per questo hardware. Il driver potrebbe essere danneggiato o mancante. (Codice 39)

Per avviare la Risoluzione dei problemi, scegliere Risoluzione problemi.

(Anche Controller di rete e Modem PCI hanno il punto esclamativo, ma con messaggi diversi, e comunque internet funziona)

Devo cliccare su Risoluzione problemi, oppure è meglio seguire qualche altra procedura?

Chiedo scusa se sono un po' prudente, ma non molto tempo fa ho avuto problemi di BSOD dovuti a problemi di driver (alla fine è stato necessario formattare) e non vorrei ritrovarmi di nuovo in quella situazione. Specifico che il mio pc è un portatile (Acer), quindi suppongo di dover andare sul sito della Acer e scaricare eventualmente da lì i driver mancanti/danneggiati.

[Luke57]

Ciao, prova a utilizzare questo ptogramma per trovare e installare i driver mancanti:
http://programmigratiscomputer.blogspot ... canti.html

[bob20]

Ciao Luke. Ho provato a usare quel programma. Mi ha trovato molti driver da scaricare e installare, solo che per ognuno di essi, quando vado per scaricarlo, la barra del download rimane ferma per diversi secondi e alla fine compare un messaggio con scritto che è impossibile effettuare la connessione al server remoto... Cosa devo fare?

[Luke57]

Ciao, cerca altri programmi in rete, ce ne sono. Comunque non è più un problema che riguarda la sicurezza, quindi ti consiglio di inserire una nuova discussione nel settore sistemi operativi windows ed esporre il problema.

[bob20]

Ok, ho seguito il tuo consiglio.
Intanto grazie di nuovo per avermi aiutato così pazientemente a rimuovere questo virus odioso e a ripristinare la navigazione.