Cartelle modificate in collegamenti

[faker]

Purtroppo, come un novellino, ho beccato un virus su 2 pen drive (importantissime per i dati che ci sono) che ha trasformato tutte le cartelle in collegamenti da 2k. Le pen drive risultano con lo spazio occupato ma è impossibile aprire le cartelle. Ho letto un pò in rete che si tratta di un vecchio virus che è ritornato all'attacco. Ho provato in Ufficio con un pò di consigli trovati in rete (combofix, malware Byts, blocco dell'apertura della pen drive all'avvio con lo shift ed altro) ma non riesco a risolvere il problema. Prima di infettare anche il PC qui a casa, c'è qualche soluzione al problema? Almeno, poter recuperare i dati e poi formattare le pen drive completamente. Grazie.

[faker]

Ho davvero bisogno di aiuto, se qualcuno può essermi utile lo ringrazio infinitamente.

[COCCOBELLO]

ciao
una domanda quando hai fatto la scansione con malwarebytes,le chiavette erano inserite nella porta usb del pc?
in modo da scansionare anche le chiavette?
o fatta scansione solo del pc?

[faker]

Ciao e grazie in anticipo per la risposta.
Una cosa che devo precisare è che, quando ho fatto la scansione con MalwareByts, non ho potuto aggiornarlo perchè ero senza collegamento, lo stesso dicasi per la scansione con ComboFix. Comunque, la pen drive era inserita. Tutte le prove le ho fatte dai PC in ufficio che, secondo me, sono tutti infetti. Ora, vorrei provare da casa ma sono terrorizzato dal pericolo di infettare il PC di casa: sarebbe davvero la fine! Ora, sono completamente bloccato col lavoro: tutte le relazioni sono sulle 2 pen drive che mostrano lo stesso problema.

[COCCOBELLO]

allega il report di combofix
lo trovi in disco locale C
Combofix.txt

[faker]

Grazie per l'aiuto. Ti invio il report di ComboFix relativo alle 2 pen drive infette.

Pen drive 1
ComboFix 12-06-07.03 - sanitario 11/06/2012 11.23.18.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.895.328 [GMT 2:00]
Eseguito da: c:\documents and settings\sanitario\Desktop\ComboFix.exe
AV: Symantec Endpoint Protection *Enabled/Updated* {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *Disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-11 al 2012-06-11 )))))))))))))))))))))))))))))))))))
.
.
2012-06-08 10:40 . 2012-06-08 10:40 -------- d-sh--r- c:\documents and settings\sanitario\M-1-52-5782-8752-5245
2012-06-08 10:20 . 2012-06-08 10:22 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\sanitario\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2012-06-08 10:20 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-06 08:13 . 2012-06-06 08:13 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 18:01 . 2011-04-27 09:39 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LMab1err"="c:\programmi\Lexmark\ErrorApp\LMab1err.exe" [2007-05-11 713648]
"Microsoft® Windows Update"="c:\documents and settings\sanitario\M-1-52-5782-8752-5245\winsvc.exe" [2011-11-28 561152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"RemoteControl"="c:\programmi\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\programmi\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2011-03-25 115560]
"NokiaInternetModem_AppStart.exe"="c:\programmi\Nokia\Nokia Internet Modem\NokiaInternetModem_AppStart.exe" [2011-07-28 138368]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\programmi\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
.
c:\documents and settings\sanitario\Menu Avvio\Programmi\Esecuzione automatica\
Fantacalcio Manager 2006 - Top Edition Quick Loader.lnk - c:\programmi\FCM\FCMLoad.exe [2005-7-5 61503]
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Reader Speed Launch.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\Smc.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE"=
"c:\\Programmi\\File comuni\\Symantec Shared\\ccApp.exe"=
"c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2967:TCP"= 2967:TCP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Comm
"38293:UDP"= 38293:UDP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Discovery
.
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [09/06/2008 9.18.21 36864]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [01/06/2012 11.55.18 106656]
R3 nokia_cs1x_dc_enum;Nokia Internet Stick DC Enumerator;c:\windows\system32\drivers\nokia_cs1x_dc_enum.sys [22/04/2010 16.07.24 81408]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [25/03/2011 11.20.22 23888]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [08/06/2012 12.20.09 40776]
S3 nokia_cs1x_cdc_acm;Nokia Internet Stick CDC-ACM driver;c:\windows\system32\drivers\nokia_cs1x_cdc_acm.sys [22/04/2010 16.07.24 85888]
S3 nokia_cs1x_cpo;Nokia Internet Stick Mass Storage Device;c:\windows\system32\drivers\nokia_cs1x_cpo.sys [22/04/2010 16.07.24 9856]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.poliziadistato.it/pds/index.html
uInternet Connection Wizard,ShellNext = "c:\programmi\Outlook Express\msimn.exe"
uInternet Settings,ProxyServer = proxy.interno.it:8080
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: microsoft.com\update
TCP: Interfaces\{93194793-70AD-4151-9332-FE8F183FDCFD}: NameServer = 10.193.87.81,10.193.86.33,10.193.60.10,10.193.60.19
DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} - hxxp://10.193.84.20/clientavquestna/webinst.cab
FF - ProfilePath - c:\documents and settings\sanitario\Dati applicazioni\Mozilla\Firefox\Profiles\oo7kots0.default\
FF - prefs.js: network.proxy.ftp - proxy.interno.it
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.http - proxy.interno.it
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - proxy.interno.it
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - proxy.interno.it
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-11 11:28
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(1072)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2012-06-11 11:31:08
ComboFix-quarantined-files.txt 2012-06-11 09:31
.
Pre-Run: 38.741.708.800 byte disponibili
Post-Run: 38.722.801.664 byte disponibili
.
- - End Of File - - D01B3AA761D0FDB0588E679FC803EA7F


Pen drive 2

ComboFix 12-06-07.03 - sanitario 11/06/2012 11.56.23.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.895.292 [GMT 2:00]
Eseguito da: c:\documents and settings\sanitario\Desktop\ComboFix.exe
AV: Symantec Endpoint Protection *Enabled/Updated* {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *Enabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\Downloaded Program Files\webinst.dll
c:\windows\EventSystem.log
c:\windows\system32\dllcache\dlimport.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-11 al 2012-06-11 )))))))))))))))))))))))))))))))))))
.
.
2012-06-08 10:40 . 2012-06-08 10:40 -------- d-sh--r- c:\documents and settings\sanitario\M-1-52-5782-8752-5245
2012-06-08 10:20 . 2012-06-08 10:22 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\sanitario\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2012-06-08 10:20 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-06 08:13 . 2012-06-06 08:13 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 18:01 . 2011-04-27 09:39 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LMab1err"="c:\programmi\Lexmark\ErrorApp\LMab1err.exe" [2007-05-11 713648]
"Microsoft® Windows Update"="c:\documents and settings\sanitario\M-1-52-5782-8752-5245\winsvc.exe" [2011-11-28 561152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"RemoteControl"="c:\programmi\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\programmi\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2011-03-25 115560]
"NokiaInternetModem_AppStart.exe"="c:\programmi\Nokia\Nokia Internet Modem\NokiaInternetModem_AppStart.exe" [2011-07-28 138368]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\programmi\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
.
c:\documents and settings\sanitario\Menu Avvio\Programmi\Esecuzione automatica\
Fantacalcio Manager 2006 - Top Edition Quick Loader.lnk - c:\programmi\FCM\FCMLoad.exe [2005-7-5 61503]
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Reader Speed Launch.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\Smc.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE"=
"c:\\Programmi\\File comuni\\Symantec Shared\\ccApp.exe"=
"c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2967:TCP"= 2967:TCP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Comm
"38293:UDP"= 38293:UDP:10.193.84.19/255.255.255.255,10.193.84.20/255.255.255.255:Enabled:SAV10-Discovery
.
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [09/06/2008 9.18.21 36864]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [01/06/2012 11.55.18 106656]
R3 nokia_cs1x_dc_enum;Nokia Internet Stick DC Enumerator;c:\windows\system32\drivers\nokia_cs1x_dc_enum.sys [22/04/2010 16.07.24 81408]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [25/03/2011 11.20.22 23888]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [08/06/2012 12.20.09 40776]
S3 nokia_cs1x_cdc_acm;Nokia Internet Stick CDC-ACM driver;c:\windows\system32\drivers\nokia_cs1x_cdc_acm.sys [22/04/2010 16.07.24 85888]
S3 nokia_cs1x_cpo;Nokia Internet Stick Mass Storage Device;c:\windows\system32\drivers\nokia_cs1x_cpo.sys [22/04/2010 16.07.24 9856]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.poliziadistato.it/pds/index.html
uInternet Connection Wizard,ShellNext = "c:\programmi\Outlook Express\msimn.exe"
uInternet Settings,ProxyServer = proxy.interno.it:8080
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: microsoft.com\update
TCP: Interfaces\{93194793-70AD-4151-9332-FE8F183FDCFD}: NameServer = 10.193.87.81,10.193.86.33,10.193.60.10,10.193.60.19
DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} - hxxp://10.193.84.20/clientavquestna/webinst.cab
FF - ProfilePath - c:\documents and settings\sanitario\Dati applicazioni\Mozilla\Firefox\Profiles\oo7kots0.default\
FF - prefs.js: network.proxy.ftp - proxy.interno.it
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.http - proxy.interno.it
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - proxy.interno.it
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - proxy.interno.it
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-11 12:02
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(1072)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2012-06-11 12:04:18
ComboFix-quarantined-files.txt 2012-06-11 10:04
.
Pre-Run: 38.729.965.568 byte disponibili
Post-Run: 38.710.820.864 byte disponibili
.
- - End Of File - - 158CC803FCC7FF14939FB32CE8C001CA

[faker]

Ho un PC con Ubuntu. Se inserisco la Pen drive forse riesco a risolvere????????

[COCCOBELLO]

ciao potresti provare,ma non credo risolvi
dimmi una cosa usi un server proxy sul pc?

[COCCOBELLO]

crea un nuovo documento di testo sul desktop
ci copi e incolli dentro lo script che vedi sotto
e lo salvi con il nome di CFScript.txt
e trascinalo sull'icona di ComboFix.
partirà la scansione attendi la fine senza toccare niente
se chiede il riavvio del pc riavvia
Posta il log aggiornato di combofix

Codice: Seleziona tutto

KillAll::

File::
c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe

Folder::
c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2967:TCP"=-
"38293:UDP"=-

DDS::
TCP: Interfaces\{93194793-70AD-4151-9332-FE8F183FDCFD}: NameServer = 10.193.87.81,10.193.86.33,10.193.60.10,10.193.60.19
DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} - hxxp://10.193.84.20/clientavquestna/webinst.cab

[faker]

Questo è il risultato di ComboFix:

ComboFix 12-06-07.03 - sanitario 12/06/2012 13.18.09.5.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.895.21 [GMT 2:00]
Eseguito da: c:\documents and settings\sanitario\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\sanitario\Desktop\CFScript.txt.txt
AV: Symantec Endpoint Protection *Enabled/Updated* {FB06448E-52B8-493A-90F3-E43226D3305C}
FW: Symantec Endpoint Protection *Enabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
- MODALITÀ CON FUNZIONALITÀ RIDOTTE -
.
FILE ::
"c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\sanitario\M-1-52-5782-8752-5245
c:\documents and settings\sanitario\M-1-52-5782-8752-5245\winsvc.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2012-05-12 al 2012-06-12 )))))))))))))))))))))))))))))))))))
.
.
2012-06-08 10:20 . 2012-06-11 11:02 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\sanitario\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-06-08 10:20 . 2012-06-08 10:20 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2012-06-08 10:20 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-06 08:13 . 2012-06-06 08:13 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 18:01 . 2011-04-27 09:39 142296 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LMab1err"="c:\programmi\Lexmark\ErrorApp\LMab1err.exe" [2007-05-11 713648]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"RemoteControl"="c:\programmi\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\programmi\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2011-03-25 115560]
"NokiaInternetModem_AppStart.exe"="c:\programmi\Nokia\Nokia Internet Modem\NokiaInternetModem_AppStart.exe" [2011-07-28 138368]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\programmi\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
.
c:\documents and settings\sanitario\Menu Avvio\Programmi\Esecuzione automatica\
Fantacalcio Manager 2006 - Top Edition Quick Loader.lnk - c:\programmi\FCM\FCMLoad.exe [2005-7-5 61503]
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Reader Speed Launch.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\LMabcoms.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\Smc.exe"=
"c:\\Programmi\\Symantec\\Symantec Endpoint Protection\\SNAC.EXE"=
"c:\\Programmi\\File comuni\\Symantec Shared\\ccApp.exe"=
.
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [09/06/2008 9.18.21 36864]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [01/06/2012 11.55.18 106656]
R3 nokia_cs1x_dc_enum;Nokia Internet Stick DC Enumerator;c:\windows\system32\drivers\nokia_cs1x_dc_enum.sys [22/04/2010 16.07.24 81408]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [25/03/2011 11.20.22 23888]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [08/06/2012 12.20.09 40776]
S3 nokia_cs1x_cdc_acm;Nokia Internet Stick CDC-ACM driver;c:\windows\system32\drivers\nokia_cs1x_cdc_acm.sys [22/04/2010 16.07.24 85888]
S3 nokia_cs1x_cpo;Nokia Internet Stick Mass Storage Device;c:\windows\system32\drivers\nokia_cs1x_cpo.sys [22/04/2010 16.07.24 9856]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.poliziadistato.it/pds/index.html
uInternet Connection Wizard,ShellNext = "c:\programmi\Outlook Express\msimn.exe"
uInternet Settings,ProxyServer = proxy.interno.it:8080
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: microsoft.com\update
TCP: Interfaces\{93194793-70AD-4151-9332-FE8F183FDCFD}: NameServer = 10.193.87.81,10.193.86.33,10.193.60.10,10.193.60.19
FF - ProfilePath - c:\documents and settings\sanitario\Dati applicazioni\Mozilla\Firefox\Profiles\oo7kots0.default\
FF - prefs.js: network.proxy.ftp - proxy.interno.it
FF - prefs.js: network.proxy.ftp_port - 8080
FF - prefs.js: network.proxy.http - proxy.interno.it
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.socks - proxy.interno.it
FF - prefs.js: network.proxy.socks_port - 8080
FF - prefs.js: network.proxy.ssl - proxy.interno.it
FF - prefs.js: network.proxy.ssl_port - 8080
FF - prefs.js: network.proxy.type - 1
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
HKCU-Run-Microsoft® Windows Update - c:\documents and settings\sanitario\M-1-52-5782-8752-5245\winsvc.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-12 13:26
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(1076)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programmi\Symantec\Symantec Endpoint Protection\Smc.exe
c:\programmi\File comuni\Symantec Shared\ccSvcHst.exe
c:\programmi\CyberLink\Shared Files\RichVideo.exe
c:\programmi\Symantec\Symantec Endpoint Protection\Rtvscan.exe
c:\windows\RTHDCPL.EXE
c:\programmi\OpenOffice.org 3\program\soffice.exe
c:\programmi\OpenOffice.org 3\program\soffice.bin
c:\windows\system32\LMabcoms.exe
c:\programmi\Symantec\Symantec Endpoint Protection\SmcGui.exe
.
**************************************************************************
.
Ora fine scansione: 2012-06-12 13:31:53 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2012-06-12 11:31
.
Pre-Run: 38.683.103.232 byte disponibili
Post-Run: 38.688.993.280 byte disponibili
.
- - End Of File - - 5640F003B37AF12C5CE569B8C5D481BF


Comunque, si mi connetto con un server proxy (è il PC in Ufficio).

Se può essere una buona notizia, ho fatto una scansione del PC e delle pen drive infette (inserite) prima con ComboFix e poi con MalwareBytes. Poi abbiamo inserito una pen drive pulita nel PC incriminato e le cartelle non sono state modificate in collegamenti. Quindi, il PC dovrebbe essere pulito.
Rimane il problema delle 2 pen drive: ho terrore ad inserirle in un qualsiasi PC per paura di infettarlo. Avrei pensato di installare sul PC uno di quei programmi che bloccano l'autorun delle pen drive e poi scansionare le pen drive con qualche tool dedicato. Puoi consigliarmi qualcosa????????

[COCCOBELLO]

si il pc ora dovrebbe essere pulito
questo era un Trojan
c:\\Documents and Settings\\sanitario\\M-1-52-5782-8752-5245\\winsvc.exe"
http://www.processlibrary.com/it/direct ... svc/22130/

Combofix disattiva l'autoplay,quindi non dovrebbe essere un problema inserendo le chiavette
procedi così in ordine
1 inserisci la chiavetta nel pc

2 Visualizza i file e cartelle nascosti del sistema
Pannello di controllo
“Opzioni cartella”
clicca su “Visualizzazione”
Nella lista metti il segno di spunta su
“Visualizza cartelle e file nascosti”
Nascondi i file protetti di sistema (consigliato)
e fai click su Applica e poi su OK per salvare i cambiamenti.

3 fai una scansione della chiavetta con il tuo Symantec Endpoint Protection
ricordati di selezionare la chiavetta prima di lanciare la scansione

4 fai uno scan con HitmanPro segui qui come usarlo
http://windowsguide.altervista.org/rimu ... hitmanpro/

5 fai uno scan con HouseCall segui qui come usarlo
ricordati di selezionare la chiavetta prima di lanciare la scansione
http://windowsguide.altervista.org/guida-housecall/

[faker]

Ho fatto tutto alla lettera ma, purtroppo, non ho risolto.
Tutte le cartelle sono collegamenti e in proprietà il percorso porta a nome cartella\84612795.exe

[COCCOBELLO]

mmm..bel casino
dimmi una cosa,all'interno della chiavetta riesci a vedere un file col nome di autorun.inf ?
fammi sapere se si
inserisci la chiavetta nel pc,poi Visualizza i file e cartelle nascosti del sistema e dimmi se trovi il file autorun.inf

[faker]

mmm..bel casino
dimmi una cosa,all'interno della chiavetta riesci a vedere un file col nome di autorun.inf ?
fammi sapere se si
inserisci la chiavetta nel pc,poi Visualizza i file e cartelle nascosti del sistema e dimmi se trovi il file autorun.inf

No ho una cartella col nome Autorun.inf che mi ha creato un collega per evitare virus (ho visto il risultato!!!!!!).

[faker]

Comunque, posso confermare che il PC infetto sono riuscito a ripurirlo: oggi abbiamo lavorato con almeno 5 pen drive diverse e non abbiamo avuto nessun problema. Purtroppo, le mie 2 pen drive sono state infettate perchè le ho inserite subito dopo la prima pen drive infetta..........

[COCCOBELLO]

fai clic destro su autorun.inf ,poi proprietà e deseleziona l'opzione di sola lettura

poi vai su start-Esegui
digita msconfig e dai ok vai alla voce Avvio e deseleziona tutte le voci che vedi nell'elenco,tranne l'antivirus o eventuale firewall non di windows,dai Applica e ok
A questo punto Ti sarà richiesto un riavvio di windows XP per rendere effettive le modifiche
NON RIAVVIARE WINDOWS

ora scarica Kaspersky Virus Removal Tool 2011
http://www.kaspersky.com/antivirus-removal-tool?form=1
dopo averlo installato chiudilo,Senza fare nessuna scansione

Riavvia il pc ed entra in modalità provvisoria
Riavviato il pc ti verrà visualizzata una finestra nella quale ti avvisa delle modifiche eseguite.
Per non visualizzare più questa finestra ad ogni riavvio spunta la casella
“Non visualizzare questo messaggio o avvia l’Utilità Configurazione di sistema all’avvio di windows”.

Visualizza i file e cartelle nascosti del sistema
IMPORTANTE disconnettiti da Internet,spegni il router e staccando il cavo dal pc

Inserisci la chiavetta nel pc

Apri kaspersky
vai su Setting


nella finestra che si apre sulla voce Scan Scape mettere il segno di spunta solo su:
System Memory (Memoria di sistema)
Hidden Startup Objects (Oggetti di Avvio nascosti)
Disk boot sector (Settori di avvio del disco)
Disco rimovibile (*) qui sarebbe la tua chiavetta infetta

clicca su Automatic Scan e clicca su
Start scanning
Inizia la scansione del sistema,attendi la fine della scansione
terminata la scansione, nel caso trovi virus, clicca su Neutralizza tutto

[faker]

Quando vado in proprietà di autorun.inf mi si apre alla schermata collegamento con questo percorso:
E:\84612795\Autorun.inf.exe
Non mi fa accedere alla schermata generale dove c'è l'opzione di sola lettura perchè dice che il collegamento non è disponibile..............

Comunque, ora provo il resto della procedura. Però la cartella Autorun.inf già c'era, creata da un collega per prevenire alcuni virus.

[COCCOBELLO]

si continua con il resto della procedura,seguila bene e in ordine

[faker]

si continua con il resto della procedura,seguila bene e in ordine

Grazie mille per l'aiuto. Ho risolto (non io) operando su regedit.
Grazie ancora

[mastone]

io ho risolto con una guida presente in questo sito

[per favore dare la soluzione direttamente, non linkare un altro sito]

spero possa essere d'aiuto anche a voi amici del forum