minaccia rilevata su pennetta usb

[lella.]

ciao a tutti, ringrazio in anticipo per il vostro aiuto

ho una pennetta usb takeMS colorline.

all'inserimento della chiavetta ho un problema.

il mio antivirus (avg) mi dice:

accesso a file: infezione - minaccia rilevata.

nome file: e:\RESTORE\k-1-3542-4232123213-7676767-8888886\RanDll.exe
nome minaccia: virus identificato Win32/Themida Rilevata all'apertura

avg mi da tre possibilità di azione:
sposta in quarantena: mi dice "impossibile correggere alcuni file - oggetti si trovano su un'unità non locale".
vai al file: mi si apre la cartella locale del pc
ignora: non succede nulla..

smanettando cmq riesco ad accedere nei dati della pennetta, solo che se voglio rimuovere file o formattare la chiavetta mi dice disco protetto da scrittura...

c'è un modo di recuperare questa pennetta??

il mio sitema operativo è Win Vista basic. su un portatile...

grazie!!

[Luke57]

Ciao, vai qui:
http://www.bleepingcomputer.com/combofi ... e-combofix

scarica combofix e segui le dettagliate istruzioni per usarlo. Prima di avviare lo scan, inserisci la penna usb.

[lella.]

ok grazie, domani provo e ti faccio sapere...

[lella.]

ecco il log:

ComboFix 10-10-17.04 - Graziella Raffaele 18/10/2010 14.25.45.1.2 - x86
Microsoft® Windows Vista™ Home Basic 6.0.6001.1.1252.39.1040.18.2686.1895 [GMT 2:00]
Eseguito da: c:\users\Graziella Raffaele\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((( Files Creati Da 2010-09-18 al 2010-10-18 )))))))))))))))))))))))))))))))))))
.

2010-10-18 12:39 . 2010-10-18 12:41 -------- d-----w- c:\users\Graziella Raffaele\AppData\Local\temp
2010-10-18 12:39 . 2010-10-18 12:39 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-10-18 12:05 . 2010-10-18 12:05 -------- d-----w- c:\users\Graziella Raffaele\AppData\Roaming\AVG9
2010-10-14 14:30 . 2010-10-14 14:30 -------- d-----w- c:\program files\Ask.com
2010-10-14 14:30 . 2010-10-14 14:30 -------- d-----w- c:\program files\uTorrent
2010-10-14 14:28 . 2010-10-16 20:43 -------- d-----w- c:\users\Graziella Raffaele\AppData\Roaming\uTorrent

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-05-26 1385864]

[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-05-26 13:23 1385864 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-05-26 1385864]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-05-26 1385864]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2008-02-04 1038136]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-01-14 1688872]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-01 857648]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"RtHDVCpl"="RtHDVCpl.exe" [2007-08-17 4702208]
"Skytel"="Skytel.exe" [2007-08-03 1826816]
"PCMAgent"="c:\program files\CyberLink\PowerCinema\PCMAgent.exe" [2008-03-21 143360]
"CLMLServer"="c:\program files\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe" [2008-04-11 196608]
"PlayMovie"="c:\program files\CyberLink\PlayMovie\PMVService.exe" [2008-03-31 172032]
"toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-02-20 28672]
"PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-09-06 136176]
R3 Ltn_stk7070P;PCTV based TV tuner device;c:\windows\system32\DRIVERS\Ltn_stk7070P.sys [2007-06-14 466048]
R3 Ltn_stkrc;PCTV Infrared Receiver;c:\windows\system32\DRIVERS\Ltn_stkrc.sys [2007-06-13 13440]
R3 ONDAusbmdm6k;ONDA Proprietary USB Driver;c:\windows\system32\DRIVERS\ONDAusbmdm6k.sys [x]
R3 ONDAusbnet;ONDA USB-NDIS miniport;c:\windows\system32\DRIVERS\ONDAusbnet.sys [x]
R3 ONDAusbser6k;ONDA Diagnostic Port;c:\windows\system32\DRIVERS\ONDAusbser6k.sys [x]
S2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\program files\CyberLink\PlayMovie\000.fcl [2008-03-31 41456]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
.
Contenuto della cartella 'Scheduled Tasks'

2010-10-18 c:\windows\Tasks\Garanzia estesa-Graziella Raffaele.job
- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2008-09-01 09:13]

2010-10-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-09-06 20:48]

2010-10-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-09-06 20:48]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-PMCLoader - c:\program files\Pinnacle\TVCenter Pro\PMCLoader.exe
HKCU-Run-Corel Photo Downloader - c:\program files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
AddRemove-My Nail Office - c:\program files\MyNailOffice\uninstaller.exe



[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{49DE1C67-83F8-4102-99E0-C16DCC7EEC796}]
"ImagePath"="\??\c:\program files\CyberLink\PlayMovie\000.fcl"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Ora fine scansione: 2010-10-18 14:54:34
ComboFix-quarantined-files.txt 2010-10-18 12:54

Pre-Run: 70.497.214.464 byte disponibili
Post-Run: 70.581.469.184 byte disponibili

- - End Of File - - 0649396972B215A7B656A23E168D2602

c'è pero un problema, nn mi funzionano i collegamenti ai programmi (sopratutto explorer), mi da questo errore:
C:\program Files\Explorer\explorer.exe : è stata tentata un'operazione non consentita su una chiave di registro di sistema segnata per l'eliminazione. - Internet-l'elemento selezionato non è disponibile. potrebbe essere stato spostato, rimosso o rinominato. rimuoverlo dall'elenco? SI NO
stesso problema con winMail.exe e altri ...

ora??

[lella.]

ah, dimenticavo.. non mi è stato possibile disattivare l'antivirus e cosi l'ho dovuto proprio eliminare... boh... ora sono senza protezione.. aiutoooo...

ah, e la pennetta l'ho messa prima dell'avvio di combofix

[FDAC]

Scarica ed installa MalwareBytes:
http://www.aiutamici.com/software?id=80346
Prima di fare la scansione aggiornalo -clicca su Aggiornamento in alto-
Esegui una scansione completa del sistema, di TUTTE le unità Presenti nella lista.
Elimina tutto ciò che trova.
Invia il log.

N.B. Collega tutti gli Hard Disk esterni e Chiavette, le scansioni tutte con Malwarebytes aggiornato.

[lella.]

ho scaricato il programma in zip, quando vado a estrarre e lanciare l'exe mi da un errore:
C:\users\graziella raffaele\desktop\malwarebytes\mbam-setup-1.46.exe
è stata tentata un'operazione non consentita su una chiave di registro di sistema segnata per l'eliminazione.

che faccio??

dimenticavo prima.. dopo il combofix non ho riavviato il pc. devo farlo? ho paura di non accedere più a nulla...

[Luke57]

Ciao, sì, riavvia il computer.

[lella.]

scaricato il malware e fatto funzionare

questo è il log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4871

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18828

18/10/2010 18.35.03
mbam-log-2010-10-18 (18-35-03).txt

Tipo di scansione: Scansione completa (C:\|E:\|)
Elementi esaminati: 248112
Tempo trascorso: 1 ore, 12 minuti, 18 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 2

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker) -> Delete on reboot.
E:\RESTORE\k-1-3542-4232123213-7676767-8888886\RanDll.exe (Backdoor.IRCBot) -> Delete on reboot.

mi dice:
impossibile rimuovere alcuni elementi. è stato salvato un file di log nella cartella dei log. è necessario riavviare il computer per completare il processo di rimozione.

che faccio riavvio?

[lella.]

ok riavviato.. il pc mi risponde

sembra che sulla penna non ci sia più il problema perchè accedo tranquillamente, solo che contiunua a dirmi che è protetta da scrittura e non posso cancellare alcun file...

provo a installare nuovamente l'antivirus avg ...

ma per la chiavetta c'è soluzione?

[lella.]

malware ha trovato ancora i soliti file infetti sulla chiavetta... forse essendo protetto da scrittura non me li fa cancellare?

[lella.]

l'antivirus ha trovato questi:

"";"E:\usbdrv.exe";"Trojan SHeur2.RMX";"Infetto"
"";"E:\RESTORE\k-1-3542-4232123213-7676767-8888886\RanDll.exe";"Virus identificato Win32/Themida";"Infetto"
"";"E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx";"Trojan Agent.ASXA";"Infetto"
"";"E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe";"Trojan Flooder.EZD";"Infetto"
"";"E:\ISTINE\mnekada.exe";"Virus identificato Win32/Cryptor";"Infetto"

[FDAC]

Installa e scansiona con Avira Free.
Scansiona nuovamente il PC con Malwarebytes.
Alla fine posta 3 log:
- Hijackthis
- Malwarebytes
- Avira

[lella.]

Installa e scansiona con Avira Free.
Scansiona nuovamente il PC con Malwarebytes.
Alla fine posta 3 log:
- Hijackthis
- Malwarebytes
- Avira

perdonami l'ignoranza: cos'è hijackthis? dove lo trovo?

[Riverside]

Ciao Lella, per favore, esegui questa procedura:

Scarica ed installa PandaUSBVaccine: clicca qui per il download
● una volta installato, inserisci la Pendrive e vaccinala utilizzando l'opzione Select and USB Drive;
● lascia la Pendrive collegata;


Esegui, con sequenza descritta, questa procedura:


****************

Svuota del suo contenuto la cartella Prefetch:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

****************

Scarica ed installa HitmanPro: clicca qui per il download (scegli la versione adatta al tuo S.O. - 32Bit o 64Bit)
● una volta lanciato, nella finestra principale clicca su Impostazioni
● clicca su Licenza ed attiva la licenza;
● lancia la scansione (lascia le impostazioni di default);
● al termine della scansione ti verrà mostrato un riepilogo: nella finestra di riepilogo, in basso a sinistra, avrai modo di salvare il Report generato che dovrai allegare

****************

Scarica ed installa SuperAntispyware Free Edition: clicca qui per il download
Una volta installato, configuralo in questo modo:
● imposta la lingua ITA
● alla richiesta di aggiornamento delle definizioni consenti l'aggiornamento
● nelle quattro finestre successive clicca su Avanti ed alla quinta su fine
● nella finestra Protezione homepage clicca sul tasto Protezione
● nella maschera principale clicca su Preferenze
● nella sezione Opzioni di Avvio togli la spunta alle prime tre voci e clicca sul tasto Ferma
● nella maschera principale clicca su tasto Scansione del Computer
● nella maschera successiva metti la spunta alle unità disco da sottoporre a scansione e, a destra, spunta la voce Fai una scansione completa
● nel caso in cui tu faccia uso di periferiche esterne (pendrive, hard disk, o altre) inseririscile
● clicca su Avanti per avviare la scansione del disco fisso e delle periferiche esterne
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Per recuperare il log di Superantispyware:
● lancia Superantispyware
● nella maschera princpiale clicca su Preferenze
● apri la scheda Statistiche e Registri
● al suo interno troverai il log della scansione che hai eseguito
● posizionati sul log con il mouse per eselezionarlo e clicca sul tasto Visualizza il registro
si aprirà il log in formato txt, salvalo sul desktop ed allegalo

****************

Poi:
● rilancia Malwarebyes, apri la scheda Aggiornamento e clicca su Ricerca Aggiornamenti
● una volta aggiornato, clicca su tasto scansiona ed esegui una scansione completa
● se vengono rilevate infezioni, eliminale
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

****************

Eseguiti tutti i passaggi precendenti:

Scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta) e nel menu a tendina seleziona la voce DOD 520.22-M (3 passaggi)
poi clicca su:
● Avanzate togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia e clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce Estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

****************

Scarica ed installa la versione più recente di Hijackthis: clicca qui per il download
● lancia Hijackthis e pulisci gli ADS (esclusivamente se la partizione e in NTFS):
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
● rilancia Hijackthis
● clicca su Do a system scan and save a logfile
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

****************

allega, in questa sequenza, i log di:

● HitmanPro
● SuperAntispyware
● MalwareBytes
● Hijackthis

Per allegare i log, utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.

[lella.]

mi sembra la storia infinita

scaricato il vaccino - lanciato - ERRORE: Vaccination was not possible - error reading the volume

la cartella prefetch l'ho trovata - c'è dentro anke la cartella ready boot.. cancello anche quella?

[Riverside]

la cartella prefetch l'ho trovata - c'è dentro anke la cartella ready boot.. cancello anche quella?

Per la miseria .... scusa ho sbagliato io: non cancellare assolutamente la cartella Prefecth.
Prosegui con il resto (per Panda USB Vaccine, clicca sulla icona, e installalo scegliendo, Esegui come Amministratore)

[FDAC]

Ciao River.
Probabilmente la pennetta USB di Lella è NTFS e Panda USB Vaccine, a meno che, in fase di installazione non si metti la spunta su Enable NTFS Protection, o qualcosa di simile, funziona solo con chiavette formattate in FAT32.
Ciao e buona bonifica

[lella.]

riscaricato panda, eseguito come amministratore:
Vaccination was not possible. error backing up the original file autorun.inf

[Riverside]

Lella, disinstalla Panda USB Vaccine, riscaricalo e resinstallalo: in fase di installazione:

metti la spunta su Enable NTFS Protection

Poi prosegui con il resto della procedura che ti ho indicato.