PDA

View Full Version : Aiuto: probalile infezione con sdra64.exe


anto
04-09-2009, 15:57
Allora: gentilissimi se qualcuno riesce a darmi una mano per districarmi da questa situazione ne sarei veramente felice.

Inanzitutto il mio sistema internet è compostao da un muletto con tre HD ognuno per un OS differente: WIN XP - VISTA - SEVEN

Il problema si è manifestato sul disco C sotto windows XP mentre ero tutto concentrato a leggere una pgina web e purtroppo non ho datoimportanza lì per lì al messaggio che mi annunciava che

" per ragioni di sicurezza il programma sdra64,exe veniva chiuso "

Mi si presentava inoltre una finestra in cui mi si chiedeva se volevo impedire la chiusura nelle medesime condizioni di explorer e appunto sdr64.exe.

Poichè a suo tempo ( e non mi ricordo come, se qualcuno potesse ricordarmelo..) avevo disabilitato la chiusura automatica di esporare risorse con determinati tipi di file, in quanto non riuscivo ad aprire alcuni archivi -SICURI, NON INFETTI - ho pensato fosse la stessa cosa e non o esitato a spuntare la voce NON permettere la chiusura di sdra64.exe.


Solo in seguito mi sono ricordato del fatto e ricordando il nome ho visto ho avviato una ricerca e visto quanto scritto in un messaggio qui sul forum ho fatto quanto segue:

Ho cancelleto il file sdra64.exe da c:\windows\sistem32
Ho cancellato dal registro tale porzione di comandi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

"C:\WINDOWS\system32\sdra64.exe" lasciando solo C:\WINDOWS\system32\userinit.exe,


Dopodi che ho avviato tutta la trafila che avevete suggerito. Purtroppo data la mole dei dati ci ho impiegato un paio di giorni.
Pubbllico qui tutti i link.
Ma ahimè ho trovato di tutto , ma niente di quello che mi aspettavo: Sembrebbe infettoperfino il file iso del service pack3, i file di diagnostici come amora o cbid, ma di sdra64.exe non mi sembra di aver letto qualcosa.


Malwarebite: mbam-log-2009-09-01 (14-13-57).txt (http://wikisend.com/download/655388/mbam-log-2009-09-01 (14-13-57).txt)


Asquared: a2scan_090902-101211.txt (http://wikisend.com/download/616584/a2scan_090902-101211.txt)

Fsecure: report_fsols_4_0.html (http://wikisend.com/download/491648/report_fsols_4_0.html)

DrWeb: DrWeb.csv (http://wikisend.com/download/943520/DrWeb.csv)

SysInsp: SysInspector-ANTONIO-090903-1856.xml (http://wikisend.com/download/913308/SysInspector-ANTONIO-090903-1856.xml)

HiJack: hijackthis.log (http://wikisend.com/download/546204/hijackthis.log)

Gmer: gmer.log (http://wikisend.com/download/570324/gmer.log)

PrevX: prevx.txt (http://wikisend.com/download/558804/prevx.txt)



Questo è tutto, spero. Vorrei poter evitare di riformattare tutto eliminando le eventuali schifezze in circolo.

Grazie a tutti.

Anto

wjmat
04-09-2009, 16:46
Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)


O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Core Temp] "C:\download\CoreTemp32Beta2\Core Temp.exe"
O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Buyertools Reminder] "C:\Programmi\Buyertools Reminder\Reminder.exe" /autorun
O4 - Global Startup: AutoStart IR.lnk = C:\Programmi\WinTV\Ir.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinTV Recording Status..lnk = C:\Programmi\WinTV\WinTV7\WinTVTray.exe




devi aggiornare
Windows al service pack 3


con asquared non hai eliminato tutte le voci segnalate, se ti reinfetti cavoli tuoi :)

anto
04-09-2009, 18:21
x wjmat

Inanzitutto grazie per la celerità della risposta.
Ero particolarmente in apprensione per sdra64,exe avendo letto che cerca di carpire i dati sensibili finanziari ed utilizzando le funzioni di home banking mi ero un po' preoccupato, pur non avendo memorizzato alcuna passwor o pin sul computer.
Sapere che almneno questo è stato debellato è un bel passo avanti.

Ottimi i suggerimneti per hijack terrò il meno possibile dei programmi all'avvio (penso solo il Buyertools reminder per le ste su ebay)

Il service pack 3 non ho alcuna difficoltà ad installarlo, pensavo non servisse se si era constantemente tenuto aggiornato windows con tutte le patch rese dispopnibili. Per lo meno questo era quanto avevo letto u po' ingiro tra riviste e newdgroup.

Tranquillo i file della lista di Asapared sono in quarantena:) :) :)

Ma, a tal proposito, avrei alcune domandine:

Mi stanno particolarmnete acuore i rilevamenti sul disco C:

QUESTO non è il service pack 3 di windows???? oltretutto manualmente non lo vedo proprio
C:\download\downloadapp1151431[ITA]XPHwNL40v3SP3poweredition072008iso.exe rilevati: Win32.SuspectCrc!IK


Questo invece è stato scaricato seguendo il link suggerito dalla rivista CHIP per testare il livello di sicurezza della rete wireless di casa. In effetti riesce a carpire le password di connessione con impressionante semplicità. Mi serviva appunto per cercare qualche soluzione pèiù sicura. (dati e password criptati in modo più complicato od utilizzo di software di terze parti per il medesimo scopo) Sicuro che non è un falso positivo? Cosa rischio se lo ripristino?


C:\download\wirelesskeyview\WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK
C:\download\wirelesskeyview.zip/WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK





QUESTI sono diagnostici per sistemi AMD archiviati in varie locazioni, utilizzati per anni da me con sistemi amd e scaricati, dietro consiglio di utenti del forum corrispettivo di hwupgrade, o direttamnete dal sito del produttore o da hwupgrade stesso!!!!! Possibile che siano infetti???

D:\4GB310509\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK
D:\4GB310509\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\4GB310509\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\vecchiowindows\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK
D:\vecchiowindows\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\vecchiowindows\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
G:\230507\download\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK


DA QUI in giù non c'è problema. o è robbaccia inutilizzata da tempo ( sono ormai felice clienti di Slysoft e dei suoi programmini) o sono tentativi andati a male di superare emergenze (tipo la crack non funzionante per spss 15 per l'università di un amico)
Posso cancellare tutto senza problemi

D:\twinmoss\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK
D:\twinmoss\RemoveWGA.exe rilevati: Riskware.Hacktool.RemoveWGA!IK
G:\230507\download\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK
G:\230507\download\cd-digital-33b.zip/hcwSMD05.EXE rilevati: Riskware.AdWare.Win32.VirtualBouncer.r!IK
G:\anydvd\SlySoft.AnyDVD.HD.v6.1.5.5.Multilanguage.WinAll.Cracked-CRD.rar/crude.exe rilevati: Riskware.Hacktool.Blumentals-EBMM!IK
G:\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\Slysoft.Products.Generic.Crack.v1.43.exe rilevati: Riskware.Hacktool.Patch.SlySoft!IK
G:\Collectorz.com.Movie.Collector.Pro.v4.10.5-TE.rar/CollectorzcomMovieCollectorProv4105_Crack.exe rilevati: Win32.SuspectCrc!IK
G:\DownloadsA\DivXPro505GAINBundle.exe rilevati: Riskware.Adware.Gator!IK
G:\spss\Crack SPSS.v15.0-pt (work!)\Patch\patch.exe rilevati: Riskware.Patch.SPSS!IK
G:\spss\Crack SPSS.v15.0-pt (work!).zip/patch.exe rilevati: Riskware.Patch.SPSS!IK
G:\spss\spss 15 crack.rar/patch.exe rilevati: Riskware.Patch.SPSS!IK




Dottor Web riporta quanto sappiamo già:

WirelessKeyView.exe;C:\download\wirelesskeyview;Tool.PassView.31;Incurabile.Spostato.;
RemoveWGA.exe;D:\twinmoss;Probabile BACKDOOR.Trojan;Incurabile.Spostato.;



L'ultima riga di gmer IN ROSSO riporta questa cosa inquietante:

Library C:\Documents (*** hidden *** ) @ C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [2152] 0x052A0000
Me lo segnalava come possibile rotkit!!!!!! Cosa posso fare a tal proposito?


Scusa la mia lungaggine, spero di non aver scritto troppe castronerie.

Anto

wjmat
05-09-2009, 07:51
Il service pack 3 non ho alcuna difficoltà ad installarlo, pensavo non servisse se si era constantemente tenuto aggiornato windows con tutte le patch rese dispopnibili. Per lo meno questo era quanto avevo letto u po' ingiro tra riviste e newdgroup.
il sp3 è d'obbligo

Tranquillo i file della lista di Asapared sono in quarantena:) :) :)
dal log non sembrerebbe :)


QUESTO non è il service pack 3 di windows???? oltretutto manualmente non lo vedo proprio
C:\download\downloadapp1151431[ITA]XPHwNL40v3SP3poweredition072008iso.exe rilevati: Win32.SuspectCrc!IK
nel trattamento post disinfezione trovi il link ufficiale dove riscaricarlo

Questo invece è stato scaricato seguendo il link suggerito dalla rivista CHIP per testare il livello di sicurezza della rete wireless di casa. In effetti riesce a carpire le password di connessione con impressionante semplicità. Mi serviva appunto per cercare qualche soluzione pèiù sicura. (dati e password criptati in modo più complicato od utilizzo di software di terze parti per il medesimo scopo) Sicuro che non è un falso positivo? Cosa rischio se lo ripristino?


C:\download\wirelesskeyview\WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK
C:\download\wirelesskeyview.zip/WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK
non è che carpisce con facilità, se fai gestire a win il wifi quando digiti la chiave di protezione la prima volta che accedi alla rete, win la salva da qualche parte nel registro e questo programma non fa altro che decifrare quella chiave di registro
quindi non è certo un software per testare il livello di sicurezza :)


QUESTI sono diagnostici per sistemi AMD archiviati in varie locazioni, utilizzati per anni da me con sistemi amd e scaricati, dietro consiglio di utenti del forum corrispettivo di hwupgrade, o direttamnete dal sito del produttore o da hwupgrade stesso!!!!! Possibile che siano infetti???

D:\4GB310509\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK
D:\4GB310509\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\4GB310509\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\vecchiowindows\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK
D:\vecchiowindows\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK
D:\vecchiowindows\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK
G:\230507\download\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK


DA QUI in giù non c'è problema. o è robbaccia inutilizzata da tempo ( sono ormai felice clienti di Slysoft e dei suoi programmini) o sono tentativi andati a male di superare emergenze (tipo la crack non funzionante per spss 15 per l'università di un amico)
Posso cancellare tutto senza problemi

D:\twinmoss\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK
D:\twinmoss\RemoveWGA.exe rilevati: Riskware.Hacktool.RemoveWGA!IK
G:\230507\download\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK
G:\230507\download\cd-digital-33b.zip/hcwSMD05.EXE rilevati: Riskware.AdWare.Win32.VirtualBouncer.r!IK
G:\anydvd\SlySoft.AnyDVD.HD.v6.1.5.5.Multilanguage.WinAll.Cracked-CRD.rar/crude.exe rilevati: Riskware.Hacktool.Blumentals-EBMM!IK
G:\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\Slysoft.Products.Generic.Crack.v1.43.exe rilevati: Riskware.Hacktool.Patch.SlySoft!IK
G:\Collectorz.com.Movie.Collector.Pro.v4.10.5-TE.rar/CollectorzcomMovieCollectorProv4105_Crack.exe rilevati: Win32.SuspectCrc!IK
G:\DownloadsA\DivXPro505GAINBundle.exe rilevati: Riskware.Adware.Gator!IK
G:\spss\Crack SPSS.v15.0-pt (work!)\Patch\patch.exe rilevati: Riskware.Patch.SPSS!IK
G:\spss\Crack SPSS.v15.0-pt (work!).zip/patch.exe rilevati: Riskware.Patch.SPSS!IK
G:\spss\spss 15 crack.rar/patch.exe rilevati: Riskware.Patch.SPSS!IK




Dottor Web riporta quanto sappiamo già:

WirelessKeyView.exe;C:\download\wirelesskeyview;Tool.PassView.31;Incurabile.Spostato.;
RemoveWGA.exe;D:\twinmoss;Probabile BACKDOOR.Trojan;Incurabile.Spostato.;

quelli di cui non sei sicuro puoi farli controllare su www.virustotal.com e su http://virscan.org/

L'ultima riga di gmer IN ROSSO riporta questa cosa inquietante:

Library C:\Documents (*** hidden *** ) @ C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [2152] 0x052A0000
Me lo segnalava come possibile rotkit!!!!!! Cosa posso fare a tal proposito?
questa l'avevo vista ma sinceramente mi è nuova, cercherò info
di kasp hai la licenza vero???

anto
05-09-2009, 08:06
Ok, grazie per i consigli.

Ho già provveduto a ripulire con hijack i programmi caricati all'avvio in automatico, come pure ad eliminare la robbaccia inutile segnalata. I file in quarantena con Asquared ( ho ricontrollato) sono appunto i diagnostici che proverò ad inviare ai siti che mi hai segnalato ( magari proverò anche a scaricarli ex-novo e farli ricontrollare dai vari software della guida)


Il service pack3 stamattina lo installo.

E quanto a kaspersky, sì la licenza è quella originale per 3 utenze rinnovata annualmente ormai da ben tre anni.

Anto