Synx
15-08-2005, 09:47
Antefatto:
stavo curiosando per la prima volta da anni in siti warez e, pur senza tentare di scaricare nulla, mi sono imbattuto in una serie di trojan, dialer ecc.
MS Antispyware ha rilevato subito l'attacco, ma, nonostante la guardia alzata, sono stato infettato.
Con lo stesso Antispy, Ad-aware e Hijack This, in modalità provvisoria, ho cancellato tutti i file infetti rilevati.
Ciononostante, sullo sfondo del desktop continua a campeggiare l'immagine con la scritta come da oggetto, e non riesco a fare nulla per eliminarla.
Seguendo i consigli su un altro forum, ho rifatto tutto il processo usando il potente Ewido, che ha rilevato 156(!) trojan e compagni ignorati dai programmi MS e Lavasoft. Ad una seconda scansione ne erano rimasti una ventina
[log:
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009355.exe -> Spyware.Serpo : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009356.exe -> TrojanDownloader.Small.awa : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009357.exe -> Dialer.Generic : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009358.exe -> TrojanDownloader.Small.agq : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009359.exe -> TrojanDownloader.Small.agq : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009360.exe -> TrojanDownloader.Small.bdz : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009361.exe -> TrojanDownloader.Small.bdz : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009362.exe -> Dialer.Generic : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009363.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009364.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009365.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009366.exe -> TrojanDownloader.Agent.ho : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009367.exe -> TrojanDownloader.Agent.ho : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009368.dll -> Backdoor.Agent.iw : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009369.dll -> Backdoor.Agent.iw : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009370.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009371.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009372.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009373.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009374.exe -> Dialer.Generic : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009375.exe -> Dialer.Generic : Pulito con Backup
::Fine Rapporto]
ad una terza ed una quarta più nessuno.
Problema:
sullo sfondo del desktop continua a campeggiare Your System Is Infected, vessillo dell'infame Antispy Sheriff - immediatamente cancellato -.
Non vorrei aver cancellato o danneggiato, magari con hijack this, qualche file che si occupa ddlla gestione degli sfondi (e degli screensaver), oppure che ci sia ancora qualche spyware, malware ecc nascosto nei meandri del mio hard disk....
Vi passo il log attuale di Hijack This:
Logfile of HijackThis v1.99.1
Scan saved at 10.43.45, on 15/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Bluetooth Software\bin\btwdins.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\ewido\security suite\ewidoguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Download\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programmi\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: Servizio iPod (iPodService) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Ah, ho notato che con certi programmi, come Photoshop ed il Blocco Note, che i pulsanti in alto (file, modifica, visuallizza ecc.) rimangono con le scritte in uno strano sfondo bianco che mai ho impostato, e mai avevo vista prima.
stavo curiosando per la prima volta da anni in siti warez e, pur senza tentare di scaricare nulla, mi sono imbattuto in una serie di trojan, dialer ecc.
MS Antispyware ha rilevato subito l'attacco, ma, nonostante la guardia alzata, sono stato infettato.
Con lo stesso Antispy, Ad-aware e Hijack This, in modalità provvisoria, ho cancellato tutti i file infetti rilevati.
Ciononostante, sullo sfondo del desktop continua a campeggiare l'immagine con la scritta come da oggetto, e non riesco a fare nulla per eliminarla.
Seguendo i consigli su un altro forum, ho rifatto tutto il processo usando il potente Ewido, che ha rilevato 156(!) trojan e compagni ignorati dai programmi MS e Lavasoft. Ad una seconda scansione ne erano rimasti una ventina
[log:
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009355.exe -> Spyware.Serpo : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009356.exe -> TrojanDownloader.Small.awa : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009357.exe -> Dialer.Generic : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009358.exe -> TrojanDownloader.Small.agq : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009359.exe -> TrojanDownloader.Small.agq : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009360.exe -> TrojanDownloader.Small.bdz : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009361.exe -> TrojanDownloader.Small.bdz : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009362.exe -> Dialer.Generic : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009363.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009364.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009365.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009366.exe -> TrojanDownloader.Agent.ho : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009367.exe -> TrojanDownloader.Agent.ho : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009368.dll -> Backdoor.Agent.iw : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009369.dll -> Backdoor.Agent.iw : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009370.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009371.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009372.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009373.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009374.exe -> Dialer.Generic : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009375.exe -> Dialer.Generic : Pulito con Backup
::Fine Rapporto]
ad una terza ed una quarta più nessuno.
Problema:
sullo sfondo del desktop continua a campeggiare Your System Is Infected, vessillo dell'infame Antispy Sheriff - immediatamente cancellato -.
Non vorrei aver cancellato o danneggiato, magari con hijack this, qualche file che si occupa ddlla gestione degli sfondi (e degli screensaver), oppure che ci sia ancora qualche spyware, malware ecc nascosto nei meandri del mio hard disk....
Vi passo il log attuale di Hijack This:
Logfile of HijackThis v1.99.1
Scan saved at 10.43.45, on 15/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Bluetooth Software\bin\btwdins.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\ewido\security suite\ewidoguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Download\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programmi\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: Servizio iPod (iPodService) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Ah, ho notato che con certi programmi, come Photoshop ed il Blocco Note, che i pulsanti in alto (file, modifica, visuallizza ecc.) rimangono con le scritte in uno strano sfondo bianco che mai ho impostato, e mai avevo vista prima.