[Risolto] Pulizia dopo rimozione Bagle

[NetLander]

Ciao a tutti , [spero di postare nel thread giusto, mi serve un'analisi del log ti Hijackthis]. Dopo una lotta di ore sono riuscito a riparre i danni macroscopici di Bagle e affini che si porta dietro, ma rimangono ancora tracce da qualche parte, finalmente riesco ad usare Hijackthis grazie a una combinazione di interventi:


1 Combofix rinominato e lanciato da modalità normale
2 ATF Cleaner
3 Safebootclean repair

riavvio in modalità provvisoria che ora funziona e rilancio Combofix con questo comando : "%userprofile%\desktop\pippo.exe" /killall
e Hijackthis che ora mi da il log.
Da alcuni segni tipo ipossibilità di avviare antispiware e simili in modalità normale mi sembra ci sia ancora traccia di Trojan rootkit.

allego il mio log di Hijackthis,

se serve ho anche quello di combofix, eventualmente potrei passargli i files e le chiavi di registro da eliminare con uno script.

finora ho seguito anche il vostro thread qui:"http://www.tomshw.it/forum/sicurezza/102351-risolto-virus-che-mi-blocca-praticamente-tutto.html"

è stato illuminante.

Grazie per l'attenzione e scusate se mi sono dilungato,
Un saluto NetLander

[JeanGrey]

Ciao NetLander, benvenuto
spero tu non abbia eseguito lo script che ho preparato per whitelocust perchè ogni script è preparato ad hoc!

Questo log di Hijackthis è stato eseguito in modalità provvisoria con supporto di rete, ne dovresti allegare uno eseguito in modalità normale ed anche il rapporto di Combofix, sempre eseguito in modalità normale.

[NetLander]

Grazie, piacere di conoscerti.

Si si ho letto bene il thread precedente, ho capito che gli script CFScript servono a passare a Combofix file, processi e chiavi da rimuovere. Ti invio il log d Hijackthis, mi sembra di capire che si può allegare un solo file per post, quindi metterò quello di Combofix in un altro.
Mi spiace aver postato nel thread sicurezza, nonostante abbia letto le indicazioni non mi sono orientato bene.
Grazie ancora, un saluto
F.

[NetLander]

Come annunciato, ecco il log di Combofix.

Grazie,
F

[JeanGrey]

Riprova ad allegare Combofix, intanto ti faccio una domanda:
Hai installato tu KeyHistory?

[NetLander]

Spero questa volta ci siamo

Cos'è KeyHistory??

[JeanGrey]

Leggi qui per KeyHistory, intanto analizzo il rapporto di Combofix

[NetLander]

Waaaaaaazzzzz!!!! Sto sudando freddo

Io non ce l'ho quell'icona nella task bar.

[JeanGrey]

Non so come ci sia arrivato quel programma sul tuo pc, ma possiamo porre rimendio

Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb1 0.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programmi\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ShowIcon_The Company_USB Product Driver v2.16r002] "C:\Programmi\USB Product Driver v2.16r002\shwicon.exe" -t"The Company\USB Product Driver v2.16r002"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: KeyHistory.LNK = C:\Programmi\KeyHistory\KeyHistory.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

__________________________________

Salva il documento che ti allego CFScript
Con il mouse trascina il file CFScript.txt sull'icona rossa di Combofix

Lascia lavorare il programma
Verra creato un nuovo log combofix.txt
Allega il rapporto per un controllo.

[NetLander]

Ultimo Combofix. Mi sembra che c'è un file che non è stato eliminato.
interessante la maggior parte delle chiavi puntano a programmi che consideravo innoqui, ma evidentemente hanno attività troppo invasiva.

PS come si analizza un log di Hijackthis o Combofix? Esiste un database dei processi fiel ecc??

Sembra vada meglio ora, comunque devo ancora verificare del tutto, ti tengo informato. non so come ringraziarti.
Un saluto, F .

[JeanGrey]

Bene, ora disinstalla Combofix
Start / Esegui, nella casella di dialogo digita (oppure, copia ed incolla) questo comando: combofix /u
Premi "Invio".

Scarica CCleaner ed esegui una pulizia sia dei file inutili, che del registro.

Le chiavi che ti ho fatto fixare appartengono a programmi legittimi, tranne quello indesiderato in grassetto, questa operazione è servita a velocizzare l'avvio del pc.

In rete esiste un analizzatore automatico per i log di Hijackthis, che però non è affidabile al 100%
Per analizzare Combofix invece, ci vuole pazienza e conoscenza.

Finite queste operazioni esegui una scansione online con Kaspersky ed allega il rapporto.

[NetLander]

Ciao, scusa non ti ho risposto subito, non volevo squagliarmela così a problema risolto. Solo ora trovo il tempo per sedermi al pc dopo tanto tempo, Ti ringrazio davvero per l'aiuto e per la disponibilità, farò quella scansione al più presto, cmq sembra si sia risolto tutto alla grande.
Grazie Ancora,
F.

[JeanGrey]

Bene, allora posso chiudere.