IDE Controller sconosciuto

Reply to IDE Controller sconosciuto on Tue, 24 Mar 2009 10:02:04 GMT

Totocellux — Tue, 24 Mar 2009 10:02:04 GMT

in questo periodo purtroppo non ho molto tempo a disposizione, ed è veramente arduo trovare il punto di innesto di un malware così progredito, non avendo a portata di mano la tastiera del tuo pc.

Spero che la minaccia non stia utilizzando gli ADS, altrimenti diverrebbe ancora più complicato.

Se hai qualche altro indizio o un'intuizione falla sapere .... a volte in questi casi sono proprio le intuizioni a dare una svolta alla dinamica degli eventi

Reply to IDE Controller sconosciuto on Tue, 24 Mar 2009 00:15:48 GMT

oldman50 — Tue, 24 Mar 2009 00:15:48 GMT

Effettuate tutte le scansioni consigliate.

Risultato : sistema pulito !

Ma Gestione periferiche si presenta ancora cosi:

http://www.xtremeshack.com/immagine/i13826_IdeController.JPG

Reply to IDE Controller sconosciuto on Mon, 23 Mar 2009 08:13:11 GMT

megthebest — Mon, 23 Mar 2009 08:13:11 GMT

prova anche sBS Combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

non dimenticare la scansione con i vari: drweb cureit, prevx, spybot search & destroy

ciao

Reply to IDE Controller sconosciuto on Sun, 22 Mar 2009 22:18:59 GMT

oldman50 — Sun, 22 Mar 2009 22:18:59 GMT

Avevi proprio ragione: dopo Backup del registro ho eliminato le chiavi che si riferivano al servizio della periferica, ma al riavvio vengono puntualmente ricreate sotto altra definizione.

Sto anche anallizzando tutte le chiavi trovate con ricerca " Rundll32.exe " nel registro di Windows, ma non è facile capire quale possa essere quella infetta. Oltretutto ce sono tantissime...

Ho provato a fare una scansione con Gmer, ma non ha trovato nulla.

Usare qualche altro scanner ?

Reply to IDE Controller sconosciuto on Sun, 22 Mar 2009 16:39:56 GMT

Totocellux — Sun, 22 Mar 2009 16:39:56 GMT

oldman50 ha scritto:

..........

L' unica che non riesco a decifrare è : O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll.

.............

verosimilmente è il modulo di SuperAntiSpyware che si incarica di intercettare le attività eseguite durante le operazioni di logon, logoff e shutdown di WinXP.

Un innesto software sul WinLogon è molto rischioso: se la dll non funziona perfettamente o il meccanismo ne è compromesso, anche solo a causa di una disinstallazione non portata automaticamente bene a termine, potrebbe provocare una non più fruibile procedura di logon ...... e sarebbero guai seri.

oldman50 ha scritto:

.............

Per quanto riguarda la libreria nwprovau.dll, tra i componenti delle 2 schede di rete installate non c'è nessun Client per Reti Netware, ma oltre a quelli che mi hai elencato c'è in ambedue " AvFw Packet Filter Driver ".

Ora controllo il registro per Rundll32, senza impostare stringa intera, e poi ti riferisco.

.............

AvFw Packet Filter Driver è il miniport driver del pacchetto AVIRA, e più precisamente del Firewall. Non c'entra nulla con nwprovau.dll.

oldman50 ha scritto:

.............

Senti, ma se provassi ad eliminare fisicamente le 5 chiavi che si evidenziano dalla ricerca del servizio " a4huv7tz " che avevo elencato a pagina 2 di questo thread ?

Del resto quel servizio si riferisce proprio alla periferica misteriosa della quale non riesco a liberarmi !

sono pressoché convinto che verrebbero ricreate al successivo riavvio. Se pensi che valga la pena cancellarle, naturalmente fa pure: provare, oculatamente, a proprie spese fa senza dubbio crescere la propria esperienza.

Quelle voci nel registro sono caricate dal modulo della pseudo-minaccia che verosimilmente ti porti dietro, e che viene avviato di volta in volta ad ogni partenza: cancellarle dovrebbe non bastare ad eliminarlo.

Reply to IDE Controller sconosciuto on Sun, 22 Mar 2009 15:22:32 GMT

oldman50 — Sun, 22 Mar 2009 15:22:32 GMT

Le voci di protezione che mi elenchi credo siano tutte giustificate:

di Avira ho installato la Suite completa ( Antivirus + Firewall), mentre il McAfee SiteAdvisor è un componente aggiuntivo di Firefox, che, durante la navigazione in Internet, segnala i siti da evitare.

L' unica che non riesco a decifrare è : O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll.

Per quanto riguarda la libreria nwprovau.dll, tra i componenti delle 2 schede di rete installate non c'è nessun Client per Reti Netware, ma oltre a quelli che mi hai elencato c'è in ambedue " AvFw Packet Filter Driver ".

Ora controllo il registro per Rundll32, senza impostare stringa intera, e poi ti riferisco.

Senti, ma se provassi ad eliminare fisicamente le 5 chiavi che si evidenziano dalla ricerca del servizio " a4huv7tz " che avevo elencato a pagina 2 di questo thread ?

Del resto quel servizio si riferisce proprio alla periferica misteriosa della quale non riesco a liberarmi !

Reply to IDE Controller sconosciuto on Sun, 22 Mar 2009 14:19:26 GMT

Totocellux — Sun, 22 Mar 2009 14:19:26 GMT

oldman50 ha scritto:

......
Ritornando al problema,mi meraviglia che tu abbia trovato in esecuzione molti programmi anti-malaware.

Normalmente faccio da tempo una scansione completa del pc,in media ogni 10 giorni,con SuperAntispyware e Malwarebytes, dopo naturalmente averli aggiornati, ma non mi risulta che questi programmi, essendo free, abbiano attiva la protezione in tempo reale.

Mi farebbe piacere se tu mi indicassi a cosa ti riferisci.

.............

queste sono le voci interessate

C:ProgrammiAviraAvira Premium Security Suitesched.exe

C:ProgrammiAviraAvira Premium Security Suiteavguard.exe

C:ProgrammiAviraAvira Premium Security Suiteavesvc.exe

C:ProgrammiMcAfeeSiteAdvisorMcSACore.exe

C:ProgrammiAviraAvira Premium Security Suiteavmailc.exe

C:ProgrammiAviraAvira Premium Security SuiteAVWEBGRD.EXE

O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:PROGRA~1mcafeesiteadvisormcieplg.dll

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:PROGRA~1mcafeesiteadvisormcieplg.dll

O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll

oldman50 ha scritto:

.............

Passo poi ad elencare quanto mi hai richiesto:

Nelle proprietà del File Rundll32.exe, tutto corrisponde tranne la data di creazione:

Lunedi 14 Aprile 2008 03.14.18 anzichè Venerdì 31 agosto 2001, 13.00.00

.............

dovrebbe essere corretto, quantomeno se hai messo su WinXP direttamente col pacchetto di installazione comprensivo di SP3.

Quel riferimento a Venerdì 31 agosto 2001, 13.00.00, sarebbe stato corretto nel caso fosse stato installato SP3, passando per SP1 e SP2, su Windows XP prima versione, come nel mio caso.

oldman50 ha scritto:

.............

Per quanto riguarda invece la ricerca nel Registro, non ho chiaro se debbo mettere o no il check su " stringa Intera ".

Se non lo metto trova moltissime chiavi ( se lo ritieni necessario posso provare ad elencartele tutte)

.............

infatti impostando come criterio "rundll32" e stringa intera, la maggior dei riferimenti viene saltata, in quanto nel registro di norma è presente invece il riferimento rundll32 (o rundll32.exe) seguito dalle voci di parametro.

Quindi non impostare stringa intera, controllando per quanto possibile che nella parte dx della finestra di regedit, all'interno delle stringhe dei valori, esista un qualche riferimento ad un file o cartella sospetta.

So che è lunga la faccenda, ma si deve per forza di cose fare così, altrimenti può sfuggire un qualche elemento importante.

oldman50 ha scritto:

.............

se invece lo spunto trova le seguenti tre voci:

.............

sono OK

osservando ancore più approfonditamente i precedenti report, esiste la possibilità cha la presenza in memoria di rundll32.exe abbia una spiegazione quantomeno logica, e che possa dipendere da questi riferimento trovati da HijackThis

O10 - Unknown file in Winsock LSP: c:windowssystem32 wprovau.dll

O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)

nwprovau.dll è una libreria di appoggio al client Netware (quello certificato Microsoft).

Quindi, se tra i componenti di una delle schede di rete installate

click dx -> Risorse di Rete -> Proprietà ->Scheda interessata ->Proprietà -> Generale

hai anche il Client per reti Netware oltre ai soliti:

Client per reti Microsoft

Condivisione file e stampanti per reti Microsoft

Utilità di pianificazione pacchetti QOS

Protocollo Internet (TCP/IP)

potrebbe essere; ma rimane del tutto anormala la sua presenza residente in memoria

Reply to IDE Controller sconosciuto on Sun, 22 Mar 2009 10:49:04 GMT

oldman50 — Sun, 22 Mar 2009 10:49:04 GMT

Buongiorno Totocellux.

Grazie innanzitutto per le dettagliate delucidazioni sul file Rundll32.exe.

Ritornando al problema,mi meraviglia che tu abbia trovato in esecuzione molti programmi anti-malaware.

Normalmente faccio da tempo una scansione completa del pc,in media ogni 10 giorni,con SuperAntispyware e Malwarebytes, dopo naturalmente averli aggiornati, ma non mi risulta che questi programmi, essendo free, abbiano attiva la protezione in tempo reale.

Mi farebbe piacere se tu mi indicassi a cosa ti riferisci.

Passo poi ad elencare quanto mi hai richiesto:

Nelle proprietà del File Rundll32.exe, tutto corrisponde tranne la data di creazione:

Lunedi 14 Aprile 2008 03.14.18 anzichè Venerdì 31 agosto 2001, 13.00.00

Per quanto riguarda invece la ricerca nel Registro, non ho chiaro se debbo mettere o no il check su " stringa Intera ".

Se non lo metto trova moltissime chiavi ( se lo ritieni necessario posso provare ad elencartele tutte), se invece lo spunto trova le seguenti tre voci:

1 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftESENTProcess undll32DEBUG

Nome-> Predefinito

Tipo-->REG_SZ

Dati-->(valore non impostato)

Nome->TraceLevel

Tipo-->REG_SZ

Dati-->( nessun valore)

2 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregBluetoothAuthenticationAgent

Nome->Predefinito

Tipo-->REG_SZ

Dati-->(valore non impostato)

Nome->Command

Tipo-->REG_SZ

Dati-->rundll32.exebthprops.cpl,,BluetoothAuthenticationAgent

Nome->hkey

Tipo-->REG_SZ

Dati-->HKLM

Nome->inimapping

Tipo-->REG_SZ

Dati-->0

Nome->item

Tipo-->REG_SZ

Dati-->rundll32

Nome->key

Tipo-->REG_SZ

Dati-->SOFTWAREMicrosoftWindowsCurrentVersionRun

3 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerCompatibilityApplicationsRUNDLL32

Nome->Predefinito

Tipo-->REG_SZ

Dati-->(valore non impostato)

Nome->Flags

Tipo-->REG_DWORD

Dati-->0X00000408 (1032)

Reply to IDE Controller sconosciuto on Sun, 22 Mar 2009 00:07:12 GMT

Totocellux — Sun, 22 Mar 2009 00:07:12 GMT

a parte la gran mole di programmi anti-malware in esecuzione, sembrerebbe tutto perfettamente a posto

l'unico dettaglio che non mi quadra, è la presenza di questo eseguibile residente:

C:WINDOWSsystem32RUNDLL32.EXE

RUNDLL32.EXE (Modulo di esecuzione DLL come applicazioni) è un file di sistema, utilizzato da Windows per far partire delle .dll (estensioni di un'applicazione), alcuni tipi di script e/o altri tipi di file, o per attività particolari di sistema.

Ad esempio, la riproduzione dei suoni di sistema viene avviata col suo tramite, impostando come parametri la .dll interessata e il suono stesso:

rundll32 winmm.dll,sndPlaySoundA "c:file.wav"

per cancellare una coda di stampa locale che collega ad una coda di rete:

rundll32 printui.dll,PrintUIEntry /dn /n "\ /q

per bloccare la sessione corrente:

rundll32 user32.dll, LockWorkStation'

oppure (in Vista) per estendere di ulteriori 30 giorni il periodo di attivazione:

rundll32 slc.dll, SLReArmWindows

Tali file o attività hanno bisogno di essere avviate da RUNDLL32.EXE, quindi, perchè in realtà non hanno la possibilità di essere avviabili direttamente, e vengono rese eseguibili tramite questo file di sistema.

Tale file, in buona sostanza, permette di svolgere dei compiti ben precisi, ma di solito brevi.

Normalmente non rimane in esecuzione che per pochi secondi, o comunque per un periodo abbastanza limitato nel tempo.

Questo meccanismo è tra i più utilizzati dai virus che, eseguendo degli script o porzioni di codice, risultano alla fine praticamente invisibili; il fatto che si trovi residente in memoria, quindi, mi dà molto da pensare.

Stabiliamo, andando alle cose più pratiche, se è l'originale:

click dx -> Proprietà su

C:WINDOWSsystem32RUNDLL32.EXE

e, dato che hai installato il Service Pack 3, dovresti avere questo risultato

tab -> Generale

[table]dimensioni: 32,5 KB (33.280 byte)

dimensioni su disco: 36,0 KB (36.864 byte)

data creazione: venerdì 31 agosto 2001, 13.00.00

modificato: lunedì 14 aprile 2008, 3.14.18[/table]

tab -> Versione

Versione file: 5.1.2600.5512

Quindi controlla all'interno del registro di sistema tutto ciò che viene fatto partire con rundll32

Start -> Esegui -> regedit -> OK -> Modifica -> Trova -> rundll32 -> Trova successivo

se tutto è a posto, dovresti trovare solo 2 riferimenti.

Se vedi anche solo una volta il suo nome seguito da quello di un altro file, all'interno di un valore, annotalo e postalo

Reply to IDE Controller sconosciuto on Sat, 21 Mar 2009 21:52:55 GMT

oldman50 — Sat, 21 Mar 2009 21:52:55 GMT

L'analisi automatica del log di Hijack consiglia di fixare la seguente voce:

R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = %s - Risultati di Yahoo! Italia Search

ed ho eseguito la cancellazione.

Questo poi è il Log di MBAM:

Malwarebytes' Anti-Malware 1.34

Versione del database: 1881

Windows 5.1.2600 Service Pack 3

21/03/2009 22.14.20

mbam-log-2009-03-21 (22-14-20).txt

Tipo di scansione: Scansione completa (C:|)

Elementi scansionati: 212620

Tempo trascorso: 1 hour(s), 47 minute(s), 30 second(s)

Processi delle memoria infetti: 0

Moduli della memoria infetti: 0

Chiavi di registro infette: 2

Valori di registro infetti: 0

Elementi dato del registro infetti: 3

Cartelle infette: 0

File infetti: 0

Processi delle memoria infetti: