Impossibilità di arrivare su siti di antivirus e usare tool

[Dylan666]

Ho un virus che non mi fa aprire il sito Microsoft, quello di Avast e quello Symantec (e probabilmente altri).
Chiude anche lo Stinger e altri tool, HijackThis no ma non lo rileva.

Allego il log di ComboFix e Systemscan, grazie dell'aiuto che saprete darmi

[Luke57]

Ciao, prova in questo modo:

Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla questo script:

Codice: Seleziona tutto

files to delete:
C:\WINDOWS\system32\xivvr.dll

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERaccess\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ERaccess\Parameters

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.

Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.
Fai sapere.

[Dylan666]

Domanda: questi pure come attributi non ti sembrano strani?

Codice: Seleziona tutto

2009-03-19 16:56 . 2009-03-20 10:02   2,516   --ahs----   c:\documents and settings\All Users\Dati applicazioni\KGyGaAvL.sys
2009-03-19 16:56 . 2009-03-19 16:56   8   -r-hs----   c:\documents and settings\All Users\Dati applicazioni\CF7CB33637.sys


[Dylan666]

Perfetto, l'esito dello script è positivo:

Codice: Seleziona tutto

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\uvrkobhv

*******************

Script file located at: \??\C:\nbwpmocl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\xivvr.dll deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERaccess\Parameters deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ERaccess\Parameters deleted successfully.
Program C:\Documents and Settings\Administrator\Desktop\suspectfile\sys86203.exe successfully set up to run once on reboot.

Completed script processing.

*******************

Finished!  Terminate.

I siti ora li vedo. Degli altri due file che ne pensi?
PS: ma un backup della dll viene fatto da qualche parte? Era possibile fare un rename invece di un delete?

[Luke57]

Ciao, il primo è buono, il secondo non so, fallo semmai analizzare su virus total. Avenger crea una cartella di backup delle voci eliminate in C:\avenger\backup. Il programma non prevede il rename, solo delete, move e Files to replace with dummy (Serve per sostituire un determinato file, con un altro con lo stesso nome e stessa estensione, però
vuoto e quindi innocuo. Ciò potrebbe impedire ad un determinato virus di ricreare il file, in quanto
già esistente; anche qui, una copia del file sostituito, sarà creata come backup)

[Dylan666]

Ho usato Gmer oggi e mi segnalava ancora la presenza del servizio ERaccess e il file KGyGaAvL.sys si è ricreato.
Invece VirusTotal una volta analizzato CF7CB33637.sys mi scrive:

TrID..: File type identification
MS Flight Simulator Aircraft Performance Info (100.0%)

Ma nelle proprietà non risulta Microsoft come produttore ed è grande solo 8 byte.
Non sarà dannoso ma non è neanche di sistema.

Ti allego lo screenshot di Gmer e di Avast che segnala la presenza di un rootkit Wi enlla cartella c:\windows\system32\x

[Norton-Forum-Assist]

Ciao Dylan666 ,

Mi chiamo Peter e lavoro per un servizio esterno d’ assistenza di Symantec. In nome di Symantec vorremmo scusarci per il tuo problema. Abbiamo inoltrato la questione all’ assistenza alla clientela di Symantec e abbiamo ricevuto la risposta seguente:

Sembra un'infezione del DNS. Non è causata da Norton, ma può provare a usare il prompt dei comandi da Start, quindi fare clic su Esegui, quindi scrivere cmd, e nel prompt dei comandi scrivere: ipconfig /flushdns
In questo modo si risolve il problema DNS.

Per procedere, scaricare la versione di prova da www.symantec.com/trial-it . La versione corrente verrà disinstallata e sostituita dalla versione 2009 durante l'installazione. L'abbonamento viene rinnovato automaticamente,
rilevato e aggiunto nella versione aggiornata.
Dopo l'installazione, eseguire una scansione completa del sistema per rilevare e rimuovere l'infezione.
CAMBIARE IL COLLEGAMENTO ALLA VERSIONE DI PROVA

Altra soluzione:
Se si dispone di una versione 2006, 07 o 08, è possibile eseguire l'aggiornamento gratuitamente per risolvere il problema (se si dispone di Windows XP Service Pack 2 o Vista) scaricando la versione di prova del prodotto. A questo scopo andare a
Symantec.com-> Norton -> Downloads->Features updates
La versione corrente verrà disinstallata e sostituita dalla versione 2009 durante l'installazione. L'abbonamento viene rinnovato automaticamente,
rilevato e aggiunto nella versione aggiornata.
Dopo l'installazione, eseguire una scansione completa del sistema per rilevare e rimuovere l'infezione.

Prova per favore e fammi sapere se il tuo problema è risolto. Un feedback sarebbe strepitoso!

Tanti saluti,
Peter
Norton Forum Assist Team

[Luke57]

@Dylan
Ciao, esegui systemscan e allega il suo report

PS. L'intervento di Nortonforum o come si chiama mi sembra smaccatamente pubblicitario.

[Dylan666]

Non solo è pubblicitario, ma pure fuori luogo.
Io non ho assoluatmente un prodotto Norton installato su quel pc.
Li trovo pessimi e li sconsiglio a tutti i miei amici/clienti.

Fra l'altro i nostro consigliere si è registrato con la mail di un dominio registrato a maggio 2008, mai andato oltre la pagina in costruzione e che scade fra 2 mesi:
http://www.forum-assist.com/
http://whois.domaintools.com/forum-assist.com

Dubito che quelli della Symantec abbiano qualcoa a che farci

[Dylan666]

Ho un altro PC con sintomi simili. Ti allego il log

[Luke57]

Ciao, prova in questo modo:

Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla questo script:

Codice: Seleziona tutto

files to delete:
C:\WINDOWS\system32\astvw.dll

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xmipiq
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xmipiq
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\xmipiq
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\enum\root\legacy_xmipiq
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\enum\root\legacy_xmipiq
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\enum\root\legacy_xmipiq

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.

Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.
Fai sapere.