computer che si impalla..possibile virus (log Gmer)

[sar2784]

salve!

da un po di tempo il computer mi si blocca dopo circa venti minuti di attività ,specie se mi connetto a internet...
ho fatto alcune scansioni di superantispyware e avast...ma niente...
ecco cosa mi ha dato Gmer dopo che l'ho avviato..

GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-05-13 15:25:18
Windows 5.1.2600


---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.14 ----


che dite??

[sar2784]

ragà nessun aiuto???

completo un po ora che ho tempo il mio preblema dicendo che per un certo periodo dopo un po che ero connesso a internet mi partiva cmd.exe, ora non parte più.....ho anche eliminato un po di exe strani che erano in windows/sistem32...poi un 'altra cosa : non sia avvia FindAWF (esce la scermata per mezzo secondo poi va via....

[Luke57]

Ciao, posta il report di gmer dopo la scansione fatta nella posizione Rootkit.
Poi falla un'altra nella posizione Autostart (il log si forma, al termine dello scan, premi copy e puoi incollare tutto il report dove vuoi)

[sar2784]

grazie Luke!

ecco quello che mi hai chiesto:

GMER 1.0.14.14205 - http://www.gmer.net
Autostart scan 2008-05-15 21:15:45
Windows 5.1.2600


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SASWinLogon@DLLName = C:\Programmi\SUPERAntiSpyware\SASWINLO.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Fax@ = %systemroot%\system32\fxssvc.exe
SCardSvr@ = %SystemRoot%\System32\SCardSvr.exe
SLService@ = slserv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx@ = /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} = C:\Programmi\SUPERAntiSpyware\SASSEH.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{5F327514-6C5E-4d60-8F16-D07FA08A78ED} /*Estensione finestra proprietà di aggiornamento automatico*/C:\WINDOWS\System32\wuaueng.dll = C:\WINDOWS\System32\wuaueng.dll
@{C169E5F0-E2B3-41F3-B81A-7BA529CBE193} /*ZipGenius Shell Extension*/C:\Programmi\ZipGenius\contmenu.dll = C:\Programmi\ZipGenius\contmenu.dll
@{2E5AC2E0-406D-11D4-86B3-FA5861508E25} /*ZipGenius Zip InfoTip*/C:\Programmi\ZipGenius\contmenu.dll = C:\Programmi\ZipGenius\contmenu.dll
@{310A0C95-EA11-42AE-A8E4-53E69E650310} /*ZipGenius Drop handler*/C:\Programmi\ZipGenius\drophandler.dll = C:\Programmi\ZipGenius\drophandler.dll
@{63542C48-9552-494A-84F7-73AA6A7C99C1} /*OpenOffice Property Sheet Handler*/C:\Programmi\OpenOffice.org1.1.2\program\shlxthdl.dll = C:\Programmi\OpenOffice.org1.1.2\program\shlxthdl.dll
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/C:\Programmi\Alwil Software\Avast4\ashShell.dll /*file not found*/ = C:\Programmi\Alwil Software\Avast4\ashShell.dll /*file not found*/
@{acb4a560-3606-11d3-aef4-00104bd0f92d} /*KodakShellExtension*/C:\Programmi\File comuni\Kodak\ifscore\KodakShX.dll = C:\Programmi\File comuni\Kodak\ifscore\KodakShX.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll /*file not found*/
DAP_Menu@{BED4C38B-F765-45AC-8C56-613F76BBF43E} = C:\PROGRA~1\DAP\PRIVAC~1\DAPCTX~1.DLL
DAP_ShredMenu@{BED4C38B-F765-45AC-8C56-613F76BBF43E} = C:\PROGRA~1\DAP\PRIVAC~1\DAPCTX~1.DLL
ZipGenius@{C169E5F0-E2B3-41F3-B81A-7BA529CBE193} = C:\Programmi\ZipGenius\contmenu.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
DAP_ShredMenu@{BED4C38B-F765-45AC-8C56-613F76BBF43E} = C:\PROGRA~1\DAP\PRIVAC~1\DAPCTX~1.DLL
ZipGenius@{C169E5F0-E2B3-41F3-B81A-7BA529CBE193} = C:\Programmi\ZipGenius\contmenu.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll /*file not found*/

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\System32\ssmypics.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.msn.com = http://www.msn.com
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout:blank = about:blank
@Local PageC:\WINDOWS\System32\blank.htm = C:\WINDOWS\System32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\System32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
lid@CLSID = C:\WINDOWS\System32\msvidctl.dll
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
tv@CLSID = C:\WINDOWS\System32\msvidctl.dll
vnd.ms.radio@CLSID = C:\WINDOWS\System32\msdxm.ocx

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\System32\wiascr.dll

---- EOF - GMER 1.0.14 ----

---------------------------------------------------------------------------------------------------------------------------------------


GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-05-15 21:23:58
Windows 5.1.2600


---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B79 804D4F8E 1 Byte [ 06 ]

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- EOF - GMER 1.0.14 ----

[Luke57]

Ciao, non vedo infezioni, vai qui:
viewtopic.php?f=7&t=49521
fai uno scan on line con bitefender.

[sar2784]

allora...come mi hai detto ho fatto una scansione online..e in effetti ha trovato qualche centinaio di file infetti sparsi un po su tutte le cartelle del pc e tutti finivano con scritte incomprensibili tipo:kjhllgxj e simili e diceva che erano worm ...ha trovato anche una decina di trojan...il problema l'ho avuto quando alla fine ho cliccato per esportare il log..la finestra si è bloccata e non rispondeva +...alla fine ho dovuto spegnere..
poco dopo ho provato per 2 volte una nuova scansione che però si bloccava sempre quando arrivava a un file di questo tipo:
c:\eied_57.cab=eied_57_c3.exe..

aggiungo che ho avuto anche un arresto sistema(che stà capitando sempre + spesso in varie occasioni) causato da LSASS.exe terminato in modo inprevisto con codice 128

[sar2784]

aggiungo che : c:\eied_57.cab=eied_57_c3.exe.. veniva individuato come trojan downloader.mediket.ap

[sar2784]

aggiungo che : c:\eied_57.cab=eied_57_c3.exe.. veniva individuato come trojan downloader.mediket.ap

poco fa ho cercato il file citato qui sopre col Cerca di qindows...l'ho trovato e l'ho anche cancellato (spero di aver fatto bene) poi ho provato a rifare la scansione online...è riuscita all'80% circa in tutti e 2 i casi e si bloccava sempre controllando la cartella: c://.....impostazioni locali/dati

[Luke57]

Ciao, scarica ComboFix sul desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Disconettiti da internet

Avvia il file ComboFix.exe
Digita 1 per avviare il tool (non fare altre manovre durante la scansione, se le icone del desktop spariscono è normale)
Segui le istruzioni e alla fine verrà generato un log.
collegati e posta il report (C:\combofix.txt)

[sar2784]

Ciao, scarica ComboFix sul desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Disconettiti da internet

Avvia il file ComboFix.exe
Digita 1 per avviare il tool (non fare altre manovre durante la scansione, se le icone del desktop spariscono è normale)
Segui le istruzioni e alla fine verrà generato un log.
collegati e posta il report (C:\combofix.txt)

posting.php?mode=quote&f=7&p=415053

[sar2784]

combofix..non riesco ad avviarlo, un po come findawf..

provo in modalita provvisoria ora..anche se la vedo difficile..

[sar2784]

ciao!

in attesa di una tua risposta luke...ho provato a fare questo procedimento trovato su un altro forum... alla fine cmq non sono riuscito lo stesso a far partire combofix

Ciao, al di là della disperazione, mi sarebbe utile conoscere quale versione di windows hai nel computer.
Comunque:
prova questa procedura
1)scarica atfcleaner sul desktop
http://www.atribune.org/ccount/click.php?id=1

2)Poi scarica otmoveit2.exe sul desktop
http://download.bleepingcomputer.com.../OTMoveIt2.exe

3)scarica questo file:
http://www.didierstevens.com/files/data/SafeBoot.zip
Scompattalo e scegli il file a seconda che la versione di Windows sia 2000 o Xp. Clicca due volte sul file, che verrà automaticamente aggiunto al registro. Riavvia il computer, premi ripetutamente il tasto f8 prima che si carichi windows; nella schermata grigia che appare scegli modalità provvisoria.

Una volta entrato in modalità provvisoria:

4)Avvia ATFCleaner.exe con un doppio click
- clicca sul menu main
- seleziona la casella Select All
- clicca sul pulsante Empty selected
- aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta)
(se usi opera o firefox,spunta anche le loro sezioni)

5)lancia di nuovo elibagla;

6)Doppio click su OTMoveIT2.exe
Copia/incolla quanto segue nella finestra "Paste List of Files/Folders to be moved"

Codice:

C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\downld

clicca su MoveIT
Se ti viene proposto il riavvio clicca su YES e aproduce un log in C:\_OTMoveIt\MovedFiles


Poi scarica combofix sul desktop
ComboFix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Disconettiti da internet
disattiva l'antivirus


Avvia il file ComboFix.exe
Digita 1 per avviare il tool (non fare altre manovre durante la scansione, se spariscono le icone dal desktop è normale, la scansione è piuttosto lenta)
Segui le istruzioni e alla fine verrà generato un log in C:\combofix.txt.

Riavvia il pc, collegati e allega in una tua risposta il report di combofix e il report di otmoveit2 .

Informa di eventuali intoppi e problemi riscontrati.

[Luke57]

Ciao, non vanno fatte operazioni a casaccio, comunque
Scarica sul desktop systemscan
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Allega il file con estensione .zip nella tua prossima risposta.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

[sar2784]

ho fatto quello che mi hai detto, ma puntualmente è uscito fuori il problema!!non viene rilasciato il file zip..!!ricordo anche che durante la scansione mi esce per un centinaio di volte un messaggio di errore che dice impossibile trovare il file..poi premendo sempre ok, riesco a concludere il tutto..
ecco 2 foto allegate:
la prima fa vedere un messaggio che mi da sempre poco prima della scansione, la seconda e la fine della scansione con anche il nome del file zip che dovrebbe essere rilasciato..

[Luke57]

Ciao, non so che cosa dire, prova a selezionare solo le voci "recent files, days old a 60gg, e "hidden obiects". Poi allega il report.

[sar2784]

ciao!!
ho provato in tutti i modi e un sacco di volte , ma alla fine non si crea mai nessun log...
azz....e come si fa????

allora riepilogando un po non si riesce a far funzionare nessuno dei programmi da te gentilmernte consigliati...in più lo scanner online di bit defender si blocca sualla cartella:
C:\Documents and Settings\Michele\Impostazioni locali\Dati

ho fatto un paio di scansioni mirate su alcune cartelle...ed ecco il log:


*Scan report generated at: Thu, May 22, 2008 - 14:33:52*

*Scan path: *C:\Documents and Settings\All
Users\Documenti;A:\;C:\Documents and Settings\Teresa;C:\Documents and
Settings\administretor;C:\!KillBox;C:\Rustbfix;C:\Program
Files;C:\ZGtemp;C:\_OTMoveIt;C:\BITWARE;C:\TEMP;C:\VISITCD;C:\Avenger;D:\;E:\;C:\Documents
and Settings\Michele\Desktop\ludoteca;C:\Documents and
Settings\Michele\Desktop\curriculum_europeo;C:\Documents and
Settings\Michele\Desktop\gmer;

*Statistics*

Time
00:02:58

Files
1907

Folders
134

Boot Sectors
2

Archives
1

Packed Files
18

*Results*

Identified Viruses
2


* Status*

C:\Avenger\backup.zip=>avenger/ashDisp.exe

Infected with: Trojan.Generic.208347

C:\Avenger\backup.zip=>avenger/ashDisp.exe

Deleted

C:\Avenger\backup.zip

Updated

C:\Avenger\backup-07.04.2007-21.23.29,59.zip=>avenger/ashDisp.exe

Infected with: Trojan.Downloader.Agent.XZU

C:\Avenger\backup-07.04.2007-21.23.29,59.zip=>avenger/ashDisp.exe

Deleted

C:\Avenger\backup-07.04.2007-21.23.29,59.zip


Updated

ecco la seconda che però ho salvato coln l'ultimo pannello che mi da dopo che finisce la scansione... i 2 file ifetti sono combofix..che è stato anche cancellato e Sistemscan..che invece non ha cancellato...
BitDefender Online Scanner - Real Time Virus Report
Generated at: Thu, May 22, 2008 - 14:15:49
Scan Info
Scanned Files
285
Infected Files
2
Virus Detected
Application.Generic.9407
1
DeepScan:Generic.Zlob.38B68927
1
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

[Luke57]

Ciao, scarica runscanner da qui:
http://www.ilsoftware.it/querydl.asp?ID=1054
lo avvii, selezioni l'opzione "expert mode", premi "start scan", al termine della scansione premi sulla barra dei menu "Save .run file", sarà creato un file .run, salvalo con nome (che ne so report.run) e allegalo a un post.

[sar2784]

estensione RUN non è permessa!!

[sar2784]

chiarisco non è permesso salvarlo come allegato..
ti metto il log.

[Luke57]

Ciao, non mi sembra di aver rilevato granchè, comunque il file .run zippalo e invialo come allegato, posso controllarlo meglio.