log combofix (Hacktool rootkit?)

[cinamone]

ciao a tutti. Sabato ho scaricato un programma tramite p2p che si è poi rivelato essere un malaware: all'apertura mi è apparsa una schermata di recupero dati da scatole nere, il pc si è come arrestato e improvvisamente mi è apparso l'avviso del centro sicurezza pc che mi segnalava l'assenza di un antivirus (io ho xp sp3 amd based con NIS 2009 in prova). Poi NIS è impazzito: ha iniziato a segnalarmi la presenza di Hacktool rootkit e continui tentativi di intrusione nel mio pc. Poi il pc ha iniziato a rallentare, la CPU a surriscaldarsi e ieri non mi permetteva più nè di aprire hijackthis nè di iniziare la sessione in modalità provvisoria. Nel frattempo al lavoro avevo letto vari forum sulle possibili cause di blocco hj e su hacktool e fortunosamente ho scaricato combofix (rinominato abc come consigliato in queste pagine) e così dopo vari tentativi di scansione da parte di NIS e inutili tentativi di avvio in modalità provvisoria ho lanciato combofix (di cui allego log): non avevo letto le istruzioni per cui non so se ho permesso la piena attività del tool (NIS era attivo) però ho visto che ha cancellato un po' di file (c:\windows\..\drives\dwnload\123...) e al riavvio hj era finalmente utilizzabile (allego anche il suo log dove c'è già il famoso problema usale.lsp.dll). Poi ho lanciato VirIt che non ha trovato nulla, il tool di prevx per gromozon che non ha trovato nulla, prevx csi che non ha trovato nulla, malawarebytes che non ha trovato nulla... ora sto per lanciare A2 free ma vorrei che qualcuno mi desse un'occhiata al log di combo per sapere se va tutto bene
grazie
Daniele

[Luke57]

Ciao, ho trovato un valore da eliminare, Ciao, apri un file di testo, al suo interno copia e incolla il seguente script:


Ciao, apri un file di testo, al suo interno copia e incolla il seguente script:

Codice: Seleziona tutto

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae466b6a-961b-11dc-a986-0010c6f552a1}]
;

salvalo sul desktop, cambiando l'estensione da .txt a .reg (tipo di file=tutti i file) e chiamandolo fix.reg

Poi doppio click su di esso e accetta le modifiche proposte.

[cinamone]

grazie, stasera provo e poi ti dico nel frattempo stanno correndo di nuovo VirIt e A2 free per cui ti aggiornerò su varie ed eventuali
Daniele

[cinamone]

ok, fatto il fix, anche a2 free non ha trovato nulla, per cui non so se procedere con altri scan, ripetere combofix o tranquillizzarmi
che dici?
Ciao e grazie

[Luke57]

Ciao, puoi attendere qualche giorno sicuramente, nel report di combofix non ho visto altro.

[cinamone]

ok, grazie per l'aiuto

[mldctm]

Ciao,

ho effettuato una scansione con combofix, in quanto il mio pc è instabile sul collegamento ad internet e nè a-squared nè malwarebites rilevano problemi. Sapreste dirmi se il log contiene qualcosa di strano? E cos' è quel c:\windows\system32\nkpiqdbr.dll" che mi viene segnalato?
Grazie per l'aiuto,

M.

----------------------------------------------------

ComboFix 09-07-05.04 - Mauro 2009-07-06 19:53.12 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.959.650 [GMT 2:00]
Eseguito da: c:\documents and settings\Mauro\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2009-06-06 al 2009-07-06 )))))))))))))))))))))))))))))))))))
.

2009-06-25 19:59 . 2009-06-25 19:59 -------- d-----w- c:\programmi\MSECache
2009-06-18 08:49 . 2009-06-18 08:49 44248 ----a-w- c:\documents and settings\Mauro\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-06 17:00 . 2009-01-20 20:17 -------- d-----w- c:\programmi\a-squared Free
2009-06-09 00:52 . 2008-07-28 18:50 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-05-28 03:14 . 2009-03-28 02:45 82080 ----a-w- c:\windows\system32\drivers\inspect.sys
2009-05-28 03:14 . 2009-03-28 02:45 168208 ----a-w- c:\windows\system32\guard32.dll
2009-05-28 03:14 . 2009-03-28 02:45 24096 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2009-05-28 03:14 . 2009-03-28 02:45 132640 ----a-w- c:\windows\system32\drivers\cmdguard.sys
2009-05-27 20:53 . 2008-11-23 12:02 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-06-13_01.37.32 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-09-05 13:11 . 2008-09-05 13:11 79872 c:\windows\Installer\57f54.msi
+ 2008-09-05 13:11 . 2008-09-05 13:11 87552 c:\windows\Installer\57f4e.msi
+ 2009-06-25 20:00 . 2009-06-25 20:00 38240 c:\windows\Installer\{90120000-0020-0410-0000-0000000FF1CE}\O12ConvIcon.exe
+ 2008-07-25 15:12 . 2009-06-25 22:54 212880 c:\windows\system32\FNTCACHE.DAT
+ 2008-12-06 16:23 . 2008-12-06 16:23 485376 c:\windows\Installer\e959a.msi
+ 2008-12-06 16:18 . 2008-12-06 16:18 205312 c:\windows\Installer\e9586.msi
+ 2008-12-06 16:16 . 2008-12-06 16:16 213504 c:\windows\Installer\e9580.msi
+ 2008-12-06 16:15 . 2008-12-06 16:15 390656 c:\windows\Installer\e957a.msi
+ 2009-06-25 20:00 . 2009-06-25 20:00 355840 c:\windows\Installer\917d6.msi
+ 2008-09-01 15:35 . 2008-09-01 15:35 337408 c:\windows\Installer\326a9.msi
+ 2008-11-22 10:23 . 2008-11-22 10:23 561664 c:\windows\Installer\2978c9.msi
+ 2008-07-25 14:30 . 2008-07-25 14:30 265216 c:\windows\Installer\19a4c.msi
+ 2001-08-31 10:00 . 2004-07-17 09:35 1354240 c:\windows\system32\webfldrs.msi
+ 2008-07-25 22:35 . 2004-07-17 09:35 1354240 c:\windows\ServicePackFiles\i386\webfldrs.msi
+ 2008-12-06 16:20 . 2008-12-06 16:20 7415296 c:\windows\Installer\e958c.msi
+ 2008-08-21 20:04 . 2008-08-21 20:04 3458048 c:\windows\Installer\acac5.msi
+ 2008-07-28 12:01 . 2008-07-28 12:01 2404352 c:\windows\Installer\3cea2.msi
+ 2008-07-25 22:28 . 2001-08-31 10:00 1337344 c:\windows\$NtServicePackUninstall$\webfldrs.msi
+ 2008-07-29 17:50 . 2006-07-29 18:39 15660032 c:\windows\Installer\MSN Messenger 8.0.0812\MsnMsgs.Msi
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"OM2_Monitor"="c:\programmi\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-05-28 95800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-10-10 86016]
"avgnt"="c:\programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-10-10 7286784]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2006-09-01 282624]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2005-09-22 90112]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-10-10 1519616]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Documents and Settings\\Mauro\\Documenti\\andrea\\Setup\\eMule0.49c\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"64059:TCP"= 64059:TCP:GamesInstaller DownloadedJava
"11930:TCP"= 11930:TCP:GamesInstaller MSDownloaded
"48481:UDP"= 48481:UDP:GamesInstaller PagesPages
"33076:UDP"= 33076:UDP:GamesInstaller MailDownloaded

R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [2009-03-28 132640]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2009-03-28 24096]
R2 Network WanMiniport First Position;Network WanMiniport First Position;c:\programmi\Telecom Italia\WanMiniport1st\srvany.exe [2008-12-03 8192]
S2 IasService;Browser Notify;c:\windows\system32\svchost.exe -k netsvcs [2001-08-31 14336]
S3 Bcfilter;Jetico Personal Firewall Network Monitor;c:\windows\system32\DRIVERS\bcfilter.sys --> c:\windows\system32\DRIVERS\bcfilter.sys [?]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys --> c:\windows\system32\DRIVERS\VBoxNetFlt.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
IasService
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.libero.it/
uInternet Settings,ProxyOverride = 127.0.0.1
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Mauro\Dati applicazioni\Mozilla\Firefox\Profiles\7uuyohxb.default\
FF - prefs.js: browser.startup.homepage - http://www.google.it
FF - HiddenExtension: Java Console: No Registry Reference - c:\programmi\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-06 19:57
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose, ZwOpenFile

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IasService]
"ServiceDll"="c:\windows\system32\nkpiqdbr.dll"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-436374069-789336058-839522115-1003\RemoteAccess\Profile\x *]
"EnableAutodisconnect"=dword:00000001
"EnableExitDisconnect"=dword:00000001
"DisconnectIdleTime"=dword:00000014

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="6BA72E3972BD31F5ADF7FECCBD8FFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79338EDD5E5BE2F6E6675D575E7D6A3B9808A9C6AECB7A5D14073FD389EBE7C542345FDC9C5DDF86D389BFB4E8C9C5F063FCC8984A5A69367E0999F59EFE561C81142AFB9111685A8594423CB3901D8220593DDF5F65477DF9D09B67F7B60991A9EDEC816AD22483641080688FA48EB882096A57493DE77BCA23D80D04E22E3C9746375DFB414F6FC52326D1559885FCF1753BE1848481B28D49183108DA66D3BEE7CEDF6E0599B28EB895F2B302DC596A47CE43E4663BC7F45055FE99754739A55F2A403FC5A3833CFC652BAC7BE27F7DEFF6A2110AB482C486400AA68EDCEBE5FCF79ABDB107BC5CE25DBE95A45EC0CEA0B98D04237CD0D602BCC7ED882393ADD7186A8FFA4DDB93A0FAD397A0861815D1D2740BE219C31899E08F03C60E783FC61E932ED6768698B1F0F6B114059F9EBEB0AACB01828F0BE9F9214EB2830AF068535DE5FEF40236D1249635ABFC974BE5F4E9BA3AA70D43D3861D8AB9DA59AD9D357156312F3ACC05AE07471601E28F0A774DA3CD673A6BF93A07494AE49CF28B72DCF6AF01BC4E105E7EE2041A8B7334C056A47F97B740C5FC4B6C5BE22D549B70140EBDB9BCC17E3299D4ACC23C13AD11E8309580C81362E8362DE30B8975F9C7EC39289B11449EE258BE4CEBC41E855B4E0F5EE05749C05078966107531498C5A169BADD360580599B1720F81A5910C4315AA7E8F0DB14B3A709D474507B2D69CF62C72CC8457BB1AD276BC3529DE328248045BC46D7D5CCBD374265EA8F2FE7FA3F24250D5D2BBD378D7416AA575C9319C50FF6AB5F418518293161B1C5DD29096AA9DA6A39EA83C9BB07B10206984AEA3F60A39A27D67F77BBB1E05429394BC4A5B756EAD7DF3C5777EEC85E3D7B4354D999C330F85B8B811E5052A957859DDB06AD113C4BED5638598205E4A62D29F5521ECCAB31D5B2BF54A4982D034DA5E174F17AB33D3F7328D09582E27E1758D43C55A7F34113B1A0B545887AF25E1ACB2CEEF5476643E6C59E844F49946965D8FE2B3111AF22F5736D516CD580C7E8F4BF115A91972C3C9459AC71AA4D18964F540FB930945924EE7C6703A29ADF331C13CBF150B2EE307BE8F1E0BD21D866674CF408A11E4E922DB5AC7D6C42BF4BE15F92FBE8B1C535C68EB908619BA682B5C754D3DA8C5F4E2942C902610FC4BB4FAF60ACE01EB0EEA558EFC8935DC14E33FEA84B74B5AB95479C6CAB522B0F414CE7332A6316EEB92BAE0275781BAD5FBB7C718EAB0297DD4B94C30635D405C9293A0C9040CE0A20CE4A6358581D3002901FB232E0704ACBDD4E0596A45ECF7C17B070EC680FC9E56D388B2B9EBE5533D59874BF9911323D0E"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'lsass.exe'(760)
c:\windows\system32\guard32.dll

- - - - - - - > 'explorer.exe'(3604)
c:\windows\system32\guard32.dll
c:\windows\system32\browselc.dll
c:\programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
c:\progra~1\SPYBOT~1\SDHelper.dll
c:\programmi\Microsoft Office\Office10\msohev.dll
c:\programmi\File comuni\Ahead\Lib\NeroDigitalExt.dll
c:\windows\system32\shdoclc.dll
.
Ora fine scansione: 2009-07-06 19:59
ComboFix-quarantined-files.txt 2009-07-06 17:59
ComboFix.txt 2008-08-30 16:33
ComboFix2.txt 2009-07-06 17:35
ComboFix3.txt 2009-06-13 01:39
ComboFix4.txt 2008-12-28 10:55
ComboFix5.txt 2009-07-06 17:53

Pre-Run: 1,912,483,840 byte disponibili
Post-Run: 1,894,240,256 byte disponibili

134

[Luke57]

Ciao, è un servizio nascosto, secondo me va eliminato, cerca il file (visualizzando file e cartelle nascosti )
c:\windows\system32\nkpiqdbr.dll

se presente analizzalo su virustotal
http://www.virustotal.com/it/

[mldctm]

Grazie per la solerte risposta.

Ho visto che l'opzione "visualizza cartelle e file nascosti" su "opzioni cartella", tuttavia dentro la directory indicata non compare nessun file corrispondente a quello indicato. Questo mi fa ipotizzare che sia qualcosa che non deve stare dove si trova. Come posso scovarlo e farlo analizzare? Per il resto il log di combofix ti sembra regolare?

Grazie di nuovo,

M.

[Luke57]

Ciao, non lo trovi perchè è nascosto, penso che sia un rootkit, utilizziamo combofix per elminarlo (fra l'altro ti predispone, prima dello scan, anche un punto di ripristino, per cui nel caso ci fossero problemi di fiunzinamento si può sempre tornare indietro)

Prepara un fle di testo, dal blocco note di windows e al sduo interno copia e incolla il seguente script:

Codice: Seleziona tutto

NetSvcs::
IasService

Driver::
IasService

File::
c:\windows\system32\nkpiqdbr.dll

salvi il file con il nome obbligatorioa di CFScript.txt
lo metti nella stessa cartella di combofix e poi, con il puntatore del mouse, lo trascini sull'icona del programma stesso che farà una nuova scansione con le stesse modalità della precedente. Al termine della scansione (ilprgramma avvertirà) riavvia il computer e posta il nuovo report.

[mldctm]

Ciao,

il problema sembrerebbe risolto. Non so quale effetto potesse avere quel file sul funzionamento del mio pc - voi riuscite ad ipotizzarlo? - ad ogni modo è bene che non ci sia, anche se il mio pc non sembra accorgersi della differenza.

Grazie per l'aiuto,

M.