infezione ignota: Forse qualcosa come zero access

**Crystal** · 31-01-12, 00: 25

Ciao ragazzi spero stiate tutti bene .Io sto per lanciare dalla finestra il mio pc.
Nel tentativo di salvare un pc altro, ho fottuto anche il mio.

probabilmente via chiavetta.

Sintomi: ho xp e non accedo più , neanche come admin.
Si ferma tutto al click che non funziona , sull'account .

Non accedo alle risorse del sistema neanche in modalità provvisoria.
Non funzionano i disk rescue di avira e bit defender.

Avevo salvato con acronis una immagine del sistema, ma non si attiva.

Da chiavetta , non parte niente.

Come per i tentativi che avevo fatto, su altro pc, anche sul mio la progressione è stata quella di
di un boa constrictor. Ad ogni respiro stringe la morsa.
All'inizio si accede a un file..che non si lancia.
Poi si tenta scaricando combofix..che poi si ferma..
Si riesce in un primo tempo a entrare..poi non più.
Si tenta un ripristino..che non funziona.
Alla fine zero.

Col primo pc abbiamo staccato l'hard disk del portatile e scansionato tramite usb con altro pc.
Abbiamo cancellato dei file infetti presenti nel restore.

ma poi , infilato di nuovo nel pc non si è più avviato. Neanche tentando di reinstallare l'so da disco di xp .
perchè parlo di zero access?

nel primo pc, quando ancora sussultava, Avast aveva segnalato un'infezione di cui avevo cercato in rete, e in alcuni threads
si riconduceva al rootkit zero access.

Vi scrivo come testimonianza. Tutto qui.
Ciao belli.Certo che sono bravi questi inventori di virus. Che bel divertimento.

**Asterix** · 31-01-12, 07: 20

Visto che hai un acronis del tuo disco hai già provato con una live linux se riesci a fare qualche cosa?

Ho visto che hai già provato con av bootabili, se vuoi provare anche con questo http://support.kaspersky.com/viruses/rescuedisk

**Kirk78** · 31-01-12, 13: 54

Se non funziona neanche la live di Avira (basata su linux) la mia idea è che si tratti di un problema hardware... :

1) entri nel BIOS? Se si lascialo per abbastanza tempo e tieni d'occhio la temperatura e posta il risultato
2) fai partire da una qualsiasi liveCD di linux, fai partire il memtest e facci sapere

**Crystal** · 05-02-12, 22: 06

Innanzitutto vi ringrazio per le sempre pronte risposte.

Vi aggiorno: non cavando un ragno dal buco, ero però riuscito ad accedere al disco e salvare i dati.Non chiedetemi come.
Non lo so. provando e riprovando , da modalità provvisoria ero riuscito a entrare e a salvare i dati su chiavetta.
Ma la situazione era tale che ho portato il pc in assistenza professionale.
Il pc è stato disinfettato . Mi hanno detto che avevo 3 troyans.
Ora sembra funzionare tutto bene.

Ho voluto provare a lanciare combofix, e mi aspettavo che filasse tutto liscio.
In realtà si è bloccato.
Come posso avere la certezza che il pc è a posto? Quale scansione e di quali log avreste bisogno per darmi un conforto?
Ora ho un antivirus a pagamento ( seppure la versione di prova) , si tratta di kasper 2012.
Posso stare tranquillo? Il pc non mi serve più per solo diletto, in famiglia viene usato anche per lavoro.
Un grazie sempre e comunque , siete gentilissimi.
Ciao.

**Asterix** · 05-02-12, 22: 18

Io proverei combofix da modalità provvisoria.
Altra prova è quella di eseguire un cd boot fornito da alcuni antivirus e vedere se rileva qualche cosa.
Log che potrebbero tornare utili sono quelli di combofix - HijackThis.
Per stare tranquillo l'unica soluzione ora è linux ma è difficile convertire una famiglia intera.

**Crystal** · 05-02-12, 23: 01

proviamo con hijack

--- Post unito in modo automatico ---

Codice:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22.30.52, on 05/02/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqbam08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqgpc01.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Italia: Hotmail, Messenger, Skype, Windows Live
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Italia: Hotmail, Messenger, Skype, Windows Live
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SMART Notebook Download Plugin - {67BCF957-85FC-4036-8DC4-D4D80E00A77B} - C:\Programmi\SMART Technologies\SMART Notebook\NotebookPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programmi\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programmi\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programmi\File comuni\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-1167567727-2181798356-2888246776-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'papà')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm
O9 - Extra button: &Tastiera Virtuale - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll
O9 - Extra button: C&ontrollo URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll
O9 - Extra button: Visualizza o nasconde HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programmi\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programmi\TOSHIBA\Free Update Service\splash.html
O16 - DPF: Garmin Communicator Plug-In - https://static.garmincdn.com/gcp/ie/...nAxControl.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} (BitDefender QuickScan Control) - http://quickscan.bitdefender.com/qsax/qsax.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - CA Threat Scanner
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource...scbase5059.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1139615127046
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Servizio Kaspersky Anti-Virus (AVP) - Kaspersky Lab ZAO - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe

--
End of file - 7648 bytes

--- Post unito in modo automatico ---

ho lanciato combofix da mod provv ma è tutto fermo

--- Post unito in modo automatico ---

non c'è nenache il cursore che lampeggia

--- Post unito in modo automatico ---

ho disinserito kasper, come richiesto da combofix

**LadyHawke** · 05-02-12, 23: 02

Ciao Crystal,
il log è a posto. A confortarti intanto c'è il fatto che ora (mi pare di aver capito) funziona tutto bene. E anche il fatto che il tecnico ti abbia "ripulito" il Pc è abbastanza segno di persona seria (molti formattano e via).
Il fatto che Combofix non si avvia non è sinonimo di macchina infetta: capita a volte anche a me ma capisco che non sono i malware che lo bloccano, anche se non ho ancora scoperto cosa sia: prova comunque dalla modalità provvisoria come ti ha consigliato Asterix, ma non è un dramma se non funzionerà ugualmente.

Piuttosto avevi provato ad accedere al Bios? E un controllo sull'MBR sai mica se è stato fatto?

[EDIT] Crystal, quando devi aggiungere qualcosa in breve tempo puoi modificare direttamente tu il tuo messaggio precedente, altrimenti poi viene comunque unito automaticamente

**Crystal** · 05-02-12, 23: 10

mi viene da dire una cosa forte:

perdindirindina, cribbio!!!!!!

--- Post unito in modo automatico ---

Sul mbr ho usato tdss kkiller

--- Post unito in modo automatico ---

mi scuso per gli errori di battutura, sto lavorando con 2 pc, uno di supporto

[EDIT] Crystal, quando devi aggiungere qualcosa in breve tempo puoi modificare direttamente tu il tuo messaggio precedente, altrimenti poi viene comunque unito automaticamente

ok,letto.grazie, lady
ciao lady, come stai?

--- Post unito in modo automatico ---

se conosci un tool per l'mbr, provo a usarlo

--- Post unito in modo automatico ---

se conosci un tool per l'mbr, provo a usarlo
per quanto riguarda il bios , dimmi esattamente cosa dovrei fare,non lo frequento spesso

--- Post unito in modo automatico ---

Comunque, Combofix non funziona

**LadyHawke** · 05-02-12, 23: 21

Crystalllll!!!! Non parlavo di errori di battitura: usa il pulsante "Modifica messaggio" in fondo al post quando devi aggiungere qualcosa e nessuno ha postato dopo di te... ti preeeego

Ehmm... stò bene, grazie

Allora, se hai usato TDSSKiller è ok, se c'era qualcosa che minacciava l'MBR lo avrebbe rilevato.
Per il Bios, dovresti semplicemente provare ad entrarci, su PC fisso premendo il tasto DEL o CANC appena acceso il PC, su portatile è generalmente F2: il timore di Kirk78 quanto te l'ha chiesto credo fosse un qualcosa di misterioso che mette le password al Bios.

**Crystal** · 05-02-12, 23: 29

ho capito.

Altra domandina: quale diavolo aggiornamento kb di microsoft fa sì che lo scroll non funzioni in internet?
prima della disinfezione funzionava..

NB se non ci fossi, dovrebbero inventarti..

[edit]sto facendo una scansione con un aggeggio chiamato gmer]vediamo cosa dice.sempre che sia comprensibile

cribbio erano parecchi anni ,anche grazie ai vs consigli in rete,che non beccavo una infezione

NB: quando apro il pc come admin, mi trovo ,oltre all'cona a me conosciuta della ranocchia che apro con password, un'altra icona administrator.
E' normale?