View Full Version : Provabile infezione da trojan
Avendo aperto il solito allegato, mi ritrovo con avira antivir disattivo, diversi processi che mi puzzano e i "soliti" files eseguibili leciti corrotti e quelli illeciti ricreati all'avvio... vorrei ritornarte alla normalità al più presto....
vorrei tentare con scansioni online e vostri suggerimenti.... non avendo al momento hjakthis ho fatto uno screen con tlist.exe dei processi attivi:http://img197.imageshack.us/img197/8021/tlistdotexe.th.jpg (http://img197.imageshack.us/my.php?image=tlistdotexe.jpg)spero possa essere utlile.. non so più dove sbattere la testa... èoltre le mie capacità:muro:
aggiornamento.... ho il log di HijackThis eccolo[spero che non sia troppo lungo ;):
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.55.44, on 07/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\FlyNet\CnxDslTb.exe
C:\Programmi\RocketDock\RocketDock.exe
C:\Programmi\Trust\Trust R-Series Mouse\KMCONFIG.exe
C:\WINDOWS\vsnp2std.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Vista Drive Icon\DrvIcon.exe
C:\Programmi\Trust\Trust R-Series Mouse\KMProcess.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Shock Utility\ShockAero3D\ShockAero3D.exe
C:\Programmi\File comuni\TerraTec\Remote\TTTVRC.exe
C:\Programmi\BlazeVideo\BlazeDTV 3.5\MediaDetector.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Opera\opera.exe
C:\Programmi\aMSN\bin\wish.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\TEMP\VRT9.tmp
C:\Programmi\DTaskManager\DTaskManager.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program Files\MicPhone\antit.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\10.tmp
C:\WINDOWS\system32\tpsaxyd.exe
C:\WINDOWS\dhcp\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sopidkc.exe
C:\WINDOWS\system32\dncyool32.sys
C:\Downloads\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 69.46.228.174 www. investmentbaby.com
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmi\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\FlyNet\CnxDslTb.exe"
O4 - HKLM\..\Run: [RocketDock] C:\Programmi\RocketDock\RocketDock.exe
O4 - HKLM\..\Run: [kmconfig] C:\Programmi\Trust\Trust R-Series Mouse\KMCONFIG.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [start autorun] C:\Programmi\Trust\Trust R-Series Mouse\StartAutorun.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DrvIcon] C:\Programmi\Vista Drive Icon\DrvIcon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programmi\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [Always On Top] C:\Programmi\Always On Top\always-on-top.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ShockAero3D] C:\Programmi\Shock Utility\ShockAero3D\ShockAero3D.exe
O4 - HKCU\..\Run: [Remote Control Editor] "C:\Programmi\File comuni\TerraTec\Remote\TTTVRC.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S8A.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Programmi\BlazeVideo\BlazeDTV 3.5\MediaDetector.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programmi\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7073A5D1-6448-40A0-85A2-4CCAA7807EB3}: NameServer = 213.205.32.70 213.205.36.70
O20 - AppInit_DLLs: c:\progra~1\MicPhone\antit.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Dhcp server (DhcpSrv) - Unknown owner - C:\WINDOWS\dhcp\svchost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: sopidkc Service (sopidkc) - Unknown owner - C:\WINDOWS\system32\sopidkc.exe
--
End of file - 7862 bytes
altro aggiornamento.... mi si è fottuto l'host dns.... non riesco aad accedere ai siti di online scanning avete un idea di come riportare quest'ultimo a default
Chill-Out
07-06-2009, 20:47
Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1878747 per creare e disinfettare il PC col Kaspersky Rescue Disk
E' necessario creare il CD sun PC pulito, chiedi la collaborazione di un amico, conoscente............
rettifico.. credo che si tratti di conficker...
si può chiudere... userò i miei post linkati nel topic apposito
grazie
posto, dopo vari traslochi, la totalità dei logs
trend micro: http://www.hwupgrade.it/forum/showpost.php?p=27757229&postcount=2
tlist.exe:http://img197.imageshack.us/i/tlistdotexe.jpg/
bitdefender tools:http://wikisend.com/download/758954/Win32.Worm.Downladup.Gen.log
combofix non funzia... chiudendo ogni task non basico, avvviando l'exe compare un messaggio di errore generico e scompare l'exe... trovo un log che mi pare di esso in root:<http://wikisend.com/download/523360/Bug.txt
GMER's log:http://wikisend.com/download/523914/gmer.txt
kasp..ecco il log http://wikisend.com/download/797370/kasplog.txt
dopo le scansioni con kasperky non vi sono cambiamenti di sorta..
/*anzi temo che mi sia stata fottuta la passwd di liveID*\
perchè non incolli semplicemente i link?
così non li rendi cliccabili :)
dipendenza da mail.. scusate.. modifico
cmnq il keylogging si è rivelato una bufala da ansia.. avevo sbagliato con un paio di key della tastiera
fai le scansioni con malwarebytes e asquared che trovi nella guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737)
dopodichè riscarica e riprova combofix
disdetta.. sebbene abbia configurato i dns correttamente con opendns mi sono irraggiungibili i link di molte softwarehouse del campo securety.. tra cui quelle dei citati.. se mi hosty gli eseguibili dei programmi e me gli linki da un altro sito mi faresti un grosso favore.. grazie
se fai i test di conficker come risulti?
tipo B... ma secondo Chill-Out è un falso positivo...
intendevo.. falso positivo riferito a conficker.. l'infezione esiste.. bisogna determinare quale
scarica i file d'installazione e gli aggiornamenti manuali da un pc pulito, copiali in una chiavetta, dagli l'attributo di sola lettura, inseriscila nel pc "ormai andato", installa e scansiona, possibilmente in mod provvisoria.
Dopo di ché combofix dovrebbe andare:cool:
intendevo.. falso positivo riferito a conficker.. l'infezione esiste.. bisogna determinare quale...
un po' vecchia come risposta... devo ricorarmi di premere salva postando.... oltre a resume
xcdegasp
11-06-2009, 17:27
intendevo.. falso positivo riferito a conficker.. l'infezione esiste.. bisogna determinare quale...
un po' vecchia come risposta... devo ricorarmi di premere salva postando.... oltre a resume
visti i tuoi problemi di accedere ai vari siti secondo me è un rootkit quindi io direi di fare prima una bella pulizia con Avira Rescue Disk:
http://www.hwupgrade.it/forum/showpost.php?p=22757132&postcount=13
poi proseguamo come da "guida alla disinfezione per infetti" :)
trattasi di questo: http://www.free-av.com/en/products/12/avira_antivir_rescue_system.html
è un miracolo che ci sia riuscito a raggiungerlo...per l'omologo kasperky ho duvuto far penare un casino altra gente
ecco l'aggiornamento quotidiano: le ricerche da google mi riendirizzano di nuovo a google passando per il sito co-mix-site.com
e a questo sito http://www.speed-downloading.com/fp/003/?&nums=FFZPZ_jAAA-FEp_YzbAAA&grpid=1989&tag_id=450 sempre per co-mix-site.com se ricerco in wikipedia
questo in attesa della scansione serale con avira
non triesco ad usare antivir
dopo il boot e il primo caricamento compaiono delle specie di mostriciattoli
scoparsi compare la finestra di scanzione ma con tutti i colori distorti al posto del logo avira vi è uno di sti cosi di prima ed è difficile controllare il tutto
potrei dire di avere fumato se non sapessi di non sopportare il fumo...
sono riuscito a fare la scan con mbam ed ecco il log:http://wikisend.com/download/891286/mbam-log-2009-06-15 (16-27-42).txt
è molto affollato.. spero che possa essere d'aiuto
ecco.. non ho più processi sconosciuti in memoria, fin qui tutto bene
m mi rimane il redirect di google e gli eseguibili sopraccitati corrotti
disdetta.. si è riformato reader_s.exe e 9.tmp in system32 ma non gli trovo fisicamente.. neanche tra i nascosti...solo in taskmanager
non possiamo capire che hai fatto con le infezioni trovate da Malwarebytes' Anti-Malware
se li hai eliminati dopo aver salvato il log fai
Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)
e carica l'ultimo log in ordine di tempo altrimenti riesegui la scansione completa, elimina tutto e carica il nuovo log
riscarica e prova a lanciare combofix
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.