jello biafra
08-11-2008, 21:38
oggi, per puro caso, sono stato infetto da questo brastk.exe. avast era riuscito a beccarlo, ma il pc si č riavviato da solo, facendo comparire la fantomatica scritta "windows has been infected" in basso a destra, con l'invito a scaricare un antispyware aggiornato cliccando sul fumetto.
al che mi sono scaricato la versione di prova di virit, aggiornata e l'ho fatta girare. questo il log:
[C:\WINDOWS\system32]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\WINDOWS\system32\brastk.exe Infetto da Trojan.Win32.Agent.BWI
Il file sarā spostato nella cartella di quarantena.
Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 2880.
Files Totali: 2880.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
riavviato e il menu č scomparso. gli antivirus funzionano (ho fatto girare virit su tutto il sistema e, per dire, mi ha trovato altro malware non trovato da avast) e non noto particolari disguidi, escludendo il fatto che, cliccando f8 per la modalitā provvisoria, mi compare la lista delle unitā dalle quali far partire il boot.
questo č il log di hijackfree:
Process list saved on 21.39.02, on 08/11/2008
Platform: Windows XP Service Pack 2 (Windows NT 5.1.2600)
[pid] [full path to filename] [file version] [company name]
3336 C:\Programmi\a-squared HiJackFree\a2hijackfree.exe 3.1.0.16 Emsi Software GmbH
612 C:\WINDOWS\System32\alg.exe 5.1.2600.2180 Microsoft Corporation
2016 C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 4, 8, 1227, 0 ALWIL Software
2020 C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe 4, 8, 1227, 0 ALWIL Software
1408 C:\Programmi\Alwil Software\Avast4\ashServ.exe 4, 8, 1227, 0 ALWIL Software
184 C:\Programmi\Alwil Software\Avast4\ashWebSv.exe 4, 8, 1229, 0 ALWIL Software
1352 C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe 4, 8, 1227, 0 ALWIL Software
1696 C:\WINDOWS\ATKKBService.exe 1, 0, 1, 0 ASUSTeK COMPUTER INC.
724 C:\WINDOWS\system32\csrss.exe 5.1.2600.2180 Microsoft Corporation
2072 C:\Programmi\dvd43\dvd43_tray.exe 4.3.1.0
620 C:\WINDOWS\Explorer.EXE 6.00.2900.2180 Microsoft Corporation
1508 C:\Programmi\HP\HP Software Update\HPWuSchd2.exe 90.0.43.000 Hewlett-Packard Co.
804 C:\WINDOWS\system32\lsass.exe 5.1.2600.2180 Microsoft Corporation
1708 C:\Programmi\Gizmo5\mDNSResponder.exe 1,0,3,1 Apple Computer, Inc.
2088 C:\VEXPLITE\MONLITE.EXE 6.06 TG Soft S.a.s.
1820 C:\WINDOWS\system32\nvsvc32.exe 6.14.11.6921 NVIDIA Corporation
2888 C:\Programmi\Opera\opera.exe 10063 Opera Software
1860 C:\Programmi\PowerISO\PWRISOVM.EXE 3, 8, 0, 0 PowerISO Computing, Inc.
1728 C:\WINDOWS\RTHDCPL.EXE 2.1.3.0 Realtek Semiconductor Corp.
1012 C:\WINDOWS\system32\RUNDLL32.EXE 5.1.2600.2180 Microsoft Corporation
2080 C:\WINDOWS\system32\rundll32.exe 5.1.2600.2180 Microsoft Corporation
792 C:\WINDOWS\system32\services.exe 5.1.2600.2180 Microsoft Corporation
488 C:\WINDOWS\System32\smss.exe 5.1.2600.2180 Microsoft Corporation
1604 C:\WINDOWS\system32\spoolsv.exe 5.1.2600.2180 Microsoft Corporation
964 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1104 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1144 C:\WINDOWS\System32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1228 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1272 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1788 C:\WINDOWS\System32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1836 C:\WINDOWS\System32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1884 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
4 N/A
0 N/A
2828 C:\Programmi\Mozilla Thunderbird\thunderbird.exe 1.8.1.12: 2008021305 Mozilla Corporation
1920 C:\VEXPLITE\viritsvc.exe 1, 1, 0, 1 TG Soft Sas www.tgsoft.it
748 C:\WINDOWS\system32\winlogon.exe 5.1.2600.2180 Microsoft Corporation
sono ok o l'unica soluzione č quella di formattare il tutto?
al che mi sono scaricato la versione di prova di virit, aggiornata e l'ho fatta girare. questo il log:
[C:\WINDOWS\system32]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\WINDOWS\system32\brastk.exe Infetto da Trojan.Win32.Agent.BWI
Il file sarā spostato nella cartella di quarantena.
Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 2880.
Files Totali: 2880.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
riavviato e il menu č scomparso. gli antivirus funzionano (ho fatto girare virit su tutto il sistema e, per dire, mi ha trovato altro malware non trovato da avast) e non noto particolari disguidi, escludendo il fatto che, cliccando f8 per la modalitā provvisoria, mi compare la lista delle unitā dalle quali far partire il boot.
questo č il log di hijackfree:
Process list saved on 21.39.02, on 08/11/2008
Platform: Windows XP Service Pack 2 (Windows NT 5.1.2600)
[pid] [full path to filename] [file version] [company name]
3336 C:\Programmi\a-squared HiJackFree\a2hijackfree.exe 3.1.0.16 Emsi Software GmbH
612 C:\WINDOWS\System32\alg.exe 5.1.2600.2180 Microsoft Corporation
2016 C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 4, 8, 1227, 0 ALWIL Software
2020 C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe 4, 8, 1227, 0 ALWIL Software
1408 C:\Programmi\Alwil Software\Avast4\ashServ.exe 4, 8, 1227, 0 ALWIL Software
184 C:\Programmi\Alwil Software\Avast4\ashWebSv.exe 4, 8, 1229, 0 ALWIL Software
1352 C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe 4, 8, 1227, 0 ALWIL Software
1696 C:\WINDOWS\ATKKBService.exe 1, 0, 1, 0 ASUSTeK COMPUTER INC.
724 C:\WINDOWS\system32\csrss.exe 5.1.2600.2180 Microsoft Corporation
2072 C:\Programmi\dvd43\dvd43_tray.exe 4.3.1.0
620 C:\WINDOWS\Explorer.EXE 6.00.2900.2180 Microsoft Corporation
1508 C:\Programmi\HP\HP Software Update\HPWuSchd2.exe 90.0.43.000 Hewlett-Packard Co.
804 C:\WINDOWS\system32\lsass.exe 5.1.2600.2180 Microsoft Corporation
1708 C:\Programmi\Gizmo5\mDNSResponder.exe 1,0,3,1 Apple Computer, Inc.
2088 C:\VEXPLITE\MONLITE.EXE 6.06 TG Soft S.a.s.
1820 C:\WINDOWS\system32\nvsvc32.exe 6.14.11.6921 NVIDIA Corporation
2888 C:\Programmi\Opera\opera.exe 10063 Opera Software
1860 C:\Programmi\PowerISO\PWRISOVM.EXE 3, 8, 0, 0 PowerISO Computing, Inc.
1728 C:\WINDOWS\RTHDCPL.EXE 2.1.3.0 Realtek Semiconductor Corp.
1012 C:\WINDOWS\system32\RUNDLL32.EXE 5.1.2600.2180 Microsoft Corporation
2080 C:\WINDOWS\system32\rundll32.exe 5.1.2600.2180 Microsoft Corporation
792 C:\WINDOWS\system32\services.exe 5.1.2600.2180 Microsoft Corporation
488 C:\WINDOWS\System32\smss.exe 5.1.2600.2180 Microsoft Corporation
1604 C:\WINDOWS\system32\spoolsv.exe 5.1.2600.2180 Microsoft Corporation
964 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1104 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1144 C:\WINDOWS\System32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1228 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1272 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1788 C:\WINDOWS\System32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1836 C:\WINDOWS\System32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1884 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
4 N/A
0 N/A
2828 C:\Programmi\Mozilla Thunderbird\thunderbird.exe 1.8.1.12: 2008021305 Mozilla Corporation
1920 C:\VEXPLITE\viritsvc.exe 1, 1, 0, 1 TG Soft Sas www.tgsoft.it
748 C:\WINDOWS\system32\winlogon.exe 5.1.2600.2180 Microsoft Corporation
sono ok o l'unica soluzione č quella di formattare il tutto?