PDA

View Full Version : Backdoor Win32.Haxdoor.ed

M74T
11-10-2005, 07:54
Log HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 8.32.09, on 11/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Trend Micro\Tmas\Tmas.exe
F:\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programmi\Trend Micro\Tmas\Tmas.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: www.redfunny.com
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe


Ragazzi mi aiutate a rimuovere questo bastardo, non capisco dove sbaglio, lo rimuovo ma al riavvio è sempre lì, non riesco ad eseguire nessun file exe l'unico è stato HijackThis in modalità provvisoria !!

Il file incriminato penso sia questo:

O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll
Ho trovato anche queste info (http://wirusy.antivirenkit.pl/en/opis/Backdoor.win32.haxdoor.ed.html) ma i file citati non li trovo
andorra24
11-10-2005, 09:28
Fixa:
R3 - Default URLSearchHook is missing
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: www.redfunny.com
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll

Se il fix non ti riesce in modalita' normale allora fallo in safe mode dopo aver disattivato il ripristino di sistema. Ti consiglio anche una scansione con ewido: http://download.ewido.net/ewido-setup.exe
M74T
11-10-2005, 11:49
Fixa:
R3 - Default URLSearchHook is missing
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: www.redfunny.com
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll

Se il fix non ti riesce in modalita' normale allora fallo in safe mode dopo aver disattivato il ripristino di sistema. Ti consiglio anche una scansione con ewido: http://download.ewido.net/ewido-setup.exe

Niente da fare ...

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ avpu32
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ avpu64

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ avpu32.sys
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ avpu64.sys
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ avpu32.sys
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ avpu64.sys

"EnforceWriteProtection" = "0"

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Session Manager\ Memory Management

Quando cerco di rimuovere queste voci non mi dice che non è possibile !

Questa voce:
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll non me la cancella.

Questi file non sono più presenti nel pc:
- avpu32.dll
- avpu64.sys
- qz.sys
- qz.dll
- qy.sys
- klogini.dll
- p3.ini
andorra24
11-10-2005, 12:01
Prova a fare una scansione con bitdefender free in modalita' provvisoria e con il system restore disattivato: http://www.bitdefender.com/site/Download/downloadFile/340/EN/
Aggiornalo e seleziona ''scan all files''.
M74T
11-10-2005, 14:21
Prova a fare una scansione con bitdefender free in modalita' provvisoria e con il system restore disattivato: http://www.bitdefender.com/site/Download/downloadFile/340/EN/
Aggiornalo e seleziona ''scan all files''.

Niente da fare ! Nessun virus rilevato !

Non ho risolto niente !
andorra24
11-10-2005, 14:27
Ma hai disattivato il ripristino di sistema? Quale programma ti dice che sei infetto?
M74T
11-10-2005, 14:47
Ma hai disattivato il ripristino di sistema? Quale programma ti dice che sei infetto?

Il ripristino è disattivato.
Il virus è stato rilevato una sola volta dal kaspersky che lo ha eliminato, il problema è che questo virus è stealth infatti al prossimo riavvio è sempre li ma il kaspersky non lo vede.
Tutti i file .exe o quasi non funzionano e danno sempre
http://img405.imageshack.us/img405/7966/immagine3mv.jpg
anche in modalità provvisoria !!!

Riesco a trovare le voci nel registro relarive al avpu32, sempre in modalità provvisoria, ma non posso cancellarle.

Mi sa che formatto ... mi secca arrendermi ....
andorra24
11-10-2005, 15:16
E' un virus molto subdolo e forse e' attivo in memoria. Ti avra' probabilmente infettato il DOS. Fai un ulteriore tentativo con questo: http://ftp.isu.edu.tw/pub/Windows/Edskes/m/mcafee_20051010.exe
Comunque se pensi che ti abbia compromesso troppo il sistema ti conviene formattare.
wgator
11-10-2005, 15:20
Ciao,

tu che traffichi con linux, non hai un knoppix o un bart-pe, per cancellare quelle voci avviando da cdrom?

Quando trovo qualche schifezza incancellabile e non ho voglia di perdere tempo con move-on-bot o cose simili faccio sempre così :p
M74T
11-10-2005, 15:56
Ciao,

tu che traffichi con linux, non hai un knoppix o un bart-pe, per cancellare quelle voci avviando da cdrom?

Quando trovo qualche schifezza incancellabile e non ho voglia di perdere tempo con move-on-bot o cose simili faccio sempre così :p

Sei un genio ... perchè non ci ho pensato prima :muro:

Stasera riprovo ... grazie a tutti e due :D

EDIT: Risolto in 2 minuti con MiniPE-XT ! Ciao :D