View Full Version : Aiuto: probalile infezione con sdra64.exe
Allora: gentilissimi se qualcuno riesce a darmi una mano per districarmi da questa situazione ne sarei veramente felice.
Inanzitutto il mio sistema internet è compostao da un muletto con tre HD ognuno per un OS differente: WIN XP - VISTA - SEVEN
Il problema si è manifestato sul disco C sotto windows XP mentre ero tutto concentrato a leggere una pgina web e purtroppo non ho datoimportanza lì per lì al messaggio che mi annunciava che
" per ragioni di sicurezza il programma sdra64,exe veniva chiuso "
Mi si presentava inoltre una finestra in cui mi si chiedeva se volevo impedire la chiusura nelle medesime condizioni di explorer e appunto sdr64.exe.
Poichè a suo tempo ( e non mi ricordo come, se qualcuno potesse ricordarmelo..) avevo disabilitato la chiusura automatica di esporare risorse con determinati tipi di file, in quanto non riuscivo ad aprire alcuni archivi -SICURI, NON INFETTI - ho pensato fosse la stessa cosa e non o esitato a spuntare la voce NON permettere la chiusura di sdra64.exe.
Solo in seguito mi sono ricordato del fatto e ricordando il nome ho visto ho avviato una ricerca e visto quanto scritto in un messaggio qui sul forum ho fatto quanto segue:
Ho cancelleto il file sdra64.exe da c:\windows\sistem32
Ho cancellato dal registro tale porzione di comandi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"C:\WINDOWS\system32\sdra64.exe" lasciando solo C:\WINDOWS\system32\userinit.exe,
Dopodi che ho avviato tutta la trafila che avevete suggerito. Purtroppo data la mole dei dati ci ho impiegato un paio di giorni.
Pubbllico qui tutti i link.
Ma ahimè ho trovato di tutto , ma niente di quello che mi aspettavo: Sembrebbe infettoperfino il file iso del service pack3, i file di diagnostici come amora o cbid, ma di sdra64.exe non mi sembra di aver letto qualcosa.
Malwarebite: mbam-log-2009-09-01 (14-13-57).txt (http://wikisend.com/download/655388/mbam-log-2009-09-01 (14-13-57).txt)
Asquared: a2scan_090902-101211.txt (http://wikisend.com/download/616584/a2scan_090902-101211.txt)
Fsecure: report_fsols_4_0.html (http://wikisend.com/download/491648/report_fsols_4_0.html)
DrWeb: DrWeb.csv (http://wikisend.com/download/943520/DrWeb.csv)
SysInsp: SysInspector-ANTONIO-090903-1856.xml (http://wikisend.com/download/913308/SysInspector-ANTONIO-090903-1856.xml)
HiJack: hijackthis.log (http://wikisend.com/download/546204/hijackthis.log)
Gmer: gmer.log (http://wikisend.com/download/570324/gmer.log)
PrevX: prevx.txt (http://wikisend.com/download/558804/prevx.txt)
Questo è tutto, spero. Vorrei poter evitare di riformattare tutto eliminando le eventuali schifezze in circolo.
Grazie a tutti.
Anto
Ciao
Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)
_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Core Temp] "C:\download\CoreTemp32Beta2\Core Temp.exe"
O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Buyertools Reminder] "C:\Programmi\Buyertools Reminder\Reminder.exe" /autorun
O4 - Global Startup: AutoStart IR.lnk = C:\Programmi\WinTV\Ir.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinTV Recording Status..lnk = C:\Programmi\WinTV\WinTV7\WinTVTray.exe
devi aggiornare
Windows al service pack 3
con asquared non hai eliminato tutte le voci segnalate, se ti reinfetti cavoli tuoi :)
x wjmat
Inanzitutto grazie per la celerità della risposta.
Ero particolarmente in apprensione per sdra64,exe avendo letto che cerca di carpire i dati sensibili finanziari ed utilizzando le funzioni di home banking mi ero un po' preoccupato, pur non avendo memorizzato alcuna passwor o pin sul computer.
Sapere che almneno questo è stato debellato è un bel passo avanti.
Ottimi i suggerimneti per hijack terrò il meno possibile dei programmi all'avvio (penso solo il Buyertools reminder per le ste su ebay)
Il service pack 3 non ho alcuna difficoltà ad installarlo, pensavo non servisse se si era constantemente tenuto aggiornato windows con tutte le patch rese dispopnibili. Per lo meno questo era quanto avevo letto u po' ingiro tra riviste e newdgroup.
Tranquillo i file della lista di Asapared sono in quarantena:) :) :)
Ma, a tal proposito, avrei alcune domandine:
Mi stanno particolarmnete acuore i rilevamenti sul disco C:
QUESTO non è il service pack 3 di windows???? oltretutto manualmente non lo vedo proprio
C:\download\downloadapp1151431[ITA]XPHwNL40v3SP3poweredition072008iso.exe rilevati: Win32.SuspectCrc!IK
Questo invece è stato scaricato seguendo il link suggerito dalla rivista CHIP per testare il livello di sicurezza della rete wireless di casa. In effetti riesce a carpire le password di connessione con impressionante semplicità. Mi serviva appunto per cercare qualche soluzione pèiù sicura. (dati e password criptati in modo più complicato od utilizzo di software di terze parti per il medesimo scopo) Sicuro che non è un falso positivo? Cosa rischio se lo ripristino?
C:\download\wirelesskeyview\WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK
C:\download\wirelesskeyview.zip/WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK
QUESTI sono diagnostici per sistemi AMD archiviati in varie locazioni, utilizzati per anni da me con sistemi amd e scaricati, dietro consiglio di utenti del forum corrispettivo di hwupgrade, o direttamnete dal sito del produttore o da hwupgrade stesso!!!!! Possibile che siano infetti???
D:\4GB310509\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK
D:\4GB310509\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\4GB310509\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\vecchiowindows\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK
D:\vecchiowindows\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\vecchiowindows\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
G:\230507\download\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
DA QUI in giù non c'è problema. o è robbaccia inutilizzata da tempo ( sono ormai felice clienti di Slysoft e dei suoi programmini) o sono tentativi andati a male di superare emergenze (tipo la crack non funzionante per spss 15 per l'università di un amico)
Posso cancellare tutto senza problemi
D:\twinmoss\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK
D:\twinmoss\RemoveWGA.exe rilevati: Riskware.Hacktool.RemoveWGA!IK
G:\230507\download\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK
G:\230507\download\cd-digital-33b.zip/hcwSMD05.EXE rilevati: Riskware.AdWare.Win32.VirtualBouncer.r!IK
G:\anydvd\SlySoft.AnyDVD.HD.v6.1.5.5.Multilanguage.WinAll.Cracked-CRD.rar/crude.exe rilevati: Riskware.Hacktool.Blumentals-EBMM!IK
G:\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\Slysoft.Products.Generic.Crack.v1.43.exe rilevati: Riskware.Hacktool.Patch.SlySoft!IK
G:\Collectorz.com.Movie.Collector.Pro.v4.10.5-TE.rar/CollectorzcomMovieCollectorProv4105_Crack.exe rilevati: Win32.SuspectCrc!IK
G:\DownloadsA\DivXPro505GAINBundle.exe rilevati: Riskware.Adware.Gator!IK
G:\spss\Crack SPSS.v15.0-pt (work!)\Patch\patch.exe rilevati: Riskware.Patch.SPSS!IK
G:\spss\Crack SPSS.v15.0-pt (work!).zip/patch.exe rilevati: Riskware.Patch.SPSS!IK
G:\spss\spss 15 crack.rar/patch.exe rilevati: Riskware.Patch.SPSS!IK
Dottor Web riporta quanto sappiamo già:
WirelessKeyView.exe;C:\download\wirelesskeyview;Tool.PassView.31;Incurabile.Spostato.;
RemoveWGA.exe;D:\twinmoss;Probabile BACKDOOR.Trojan;Incurabile.Spostato.;
L'ultima riga di gmer IN ROSSO riporta questa cosa inquietante:
Library C:\Documents (*** hidden *** ) @ C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [2152] 0x052A0000
Me lo segnalava come possibile rotkit!!!!!! Cosa posso fare a tal proposito?
Scusa la mia lungaggine, spero di non aver scritto troppe castronerie.
Anto
Il service pack 3 non ho alcuna difficoltà ad installarlo, pensavo non servisse se si era constantemente tenuto aggiornato windows con tutte le patch rese dispopnibili. Per lo meno questo era quanto avevo letto u po' ingiro tra riviste e newdgroup.
il sp3 è d'obbligo
Tranquillo i file della lista di Asapared sono in quarantena:) :) :)
dal log non sembrerebbe :)
QUESTO non è il service pack 3 di windows???? oltretutto manualmente non lo vedo proprio
C:\download\downloadapp1151431[ITA]XPHwNL40v3SP3poweredition072008iso.exe rilevati: Win32.SuspectCrc!IK
nel trattamento post disinfezione trovi il link ufficiale dove riscaricarlo
Questo invece è stato scaricato seguendo il link suggerito dalla rivista CHIP per testare il livello di sicurezza della rete wireless di casa. In effetti riesce a carpire le password di connessione con impressionante semplicità. Mi serviva appunto per cercare qualche soluzione pèiù sicura. (dati e password criptati in modo più complicato od utilizzo di software di terze parti per il medesimo scopo) Sicuro che non è un falso positivo? Cosa rischio se lo ripristino?
C:\download\wirelesskeyview\WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK
C:\download\wirelesskeyview.zip/WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK
non è che carpisce con facilità, se fai gestire a win il wifi quando digiti la chiave di protezione la prima volta che accedi alla rete, win la salva da qualche parte nel registro e questo programma non fa altro che decifrare quella chiave di registro
quindi non è certo un software per testare il livello di sicurezza :)
QUESTI sono diagnostici per sistemi AMD archiviati in varie locazioni, utilizzati per anni da me con sistemi amd e scaricati, dietro consiglio di utenti del forum corrispettivo di hwupgrade, o direttamnete dal sito del produttore o da hwupgrade stesso!!!!! Possibile che siano infetti???
D:\4GB310509\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK
D:\4GB310509\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\4GB310509\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\vecchiowindows\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK
D:\vecchiowindows\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\vecchiowindows\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
G:\230507\download\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
DA QUI in giù non c'è problema. o è robbaccia inutilizzata da tempo ( sono ormai felice clienti di Slysoft e dei suoi programmini) o sono tentativi andati a male di superare emergenze (tipo la crack non funzionante per spss 15 per l'università di un amico)
Posso cancellare tutto senza problemi
D:\twinmoss\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK
D:\twinmoss\RemoveWGA.exe rilevati: Riskware.Hacktool.RemoveWGA!IK
G:\230507\download\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK
G:\230507\download\cd-digital-33b.zip/hcwSMD05.EXE rilevati: Riskware.AdWare.Win32.VirtualBouncer.r!IK
G:\anydvd\SlySoft.AnyDVD.HD.v6.1.5.5.Multilanguage.WinAll.Cracked-CRD.rar/crude.exe rilevati: Riskware.Hacktool.Blumentals-EBMM!IK
G:\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\Slysoft.Products.Generic.Crack.v1.43.exe rilevati: Riskware.Hacktool.Patch.SlySoft!IK
G:\Collectorz.com.Movie.Collector.Pro.v4.10.5-TE.rar/CollectorzcomMovieCollectorProv4105_Crack.exe rilevati: Win32.SuspectCrc!IK
G:\DownloadsA\DivXPro505GAINBundle.exe rilevati: Riskware.Adware.Gator!IK
G:\spss\Crack SPSS.v15.0-pt (work!)\Patch\patch.exe rilevati: Riskware.Patch.SPSS!IK
G:\spss\Crack SPSS.v15.0-pt (work!).zip/patch.exe rilevati: Riskware.Patch.SPSS!IK
G:\spss\spss 15 crack.rar/patch.exe rilevati: Riskware.Patch.SPSS!IK
Dottor Web riporta quanto sappiamo già:
WirelessKeyView.exe;C:\download\wirelesskeyview;Tool.PassView.31;Incurabile.Spostato.;
RemoveWGA.exe;D:\twinmoss;Probabile BACKDOOR.Trojan;Incurabile.Spostato.;
quelli di cui non sei sicuro puoi farli controllare su www.virustotal.com e su http://virscan.org/
L'ultima riga di gmer IN ROSSO riporta questa cosa inquietante:
Library C:\Documents (*** hidden *** ) @ C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [2152] 0x052A0000
Me lo segnalava come possibile rotkit!!!!!! Cosa posso fare a tal proposito?
questa l'avevo vista ma sinceramente mi è nuova, cercherò info
di kasp hai la licenza vero???
Ok, grazie per i consigli.
Ho già provveduto a ripulire con hijack i programmi caricati all'avvio in automatico, come pure ad eliminare la robbaccia inutile segnalata. I file in quarantena con Asquared ( ho ricontrollato) sono appunto i diagnostici che proverò ad inviare ai siti che mi hai segnalato ( magari proverò anche a scaricarli ex-novo e farli ricontrollare dai vari software della guida)
Il service pack3 stamattina lo installo.
E quanto a kaspersky, sì la licenza è quella originale per 3 utenze rinnovata annualmente ormai da ben tre anni.
Anto
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.