new virus o cosa del genere

[bash86]

ciao a tutti.
allora oggi stavo guardando il log dell'antivirus di rete e ho trovato che sulla parte degli URL bloccati c'è una lista lunghissima e vedo cha tutti gli URL (naturalmente cose del tipo sex......ecc...) bloccati provengono tutti dallo stesso PC. ho guardato il cliente dell'antivirus su quel pc e mi ha trovato un virus che però non è riuscito a pulire e l'ha messo in quarantena; il virus si chiama: BKDR_WEBDOOR.B. Qualcuno sa dirmi qualcosa a riguardo?

grazie

[wearethechampions]

su google nn ho trovato nulla a riguardo, strano...

[bash86]

infatti avevo già guardato e non avevo trovato niente anch'io.
prova anche a inserirvi il log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 15.49.13, on 24/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Documents and Settings\All Users\Dati applicazioni\Windows Media Directory\sys32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Trend Micro\OfficeScan Client\ofcdog.exe
C:\WINDOWS\system32\mobsync.exe
C:\Programmi\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Programmi\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Documents and Settings\davide.s\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.1.200:8081
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [JobHisInit] C:\Programmi\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programmi\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [Windows] C:\Documents and Settings\All Users\Dati applicazioni\Windows Media Directory\sys32.exe /ni /t
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.it
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1141655.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pulsarsrl.locale
O17 - HKLM\Software\..\Telephony: DomainName = pulsarsrl.locale
O17 - HKLM\System\CCS\Services\Tcpip\..\{40D2F39E-52EB-4C0E-97E7-F6FC536C9F54}: NameServer = 10.0.0.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{476E02F9-D469-4B62-887A-9BF74C53AA4A}: NameServer = 10.0.1.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{64ABC75B-3258-4521-8B03-4EFF75E76DD1}: NameServer = 10.0.0.200
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pulsarsrl.locale
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pulsarsrl.locale
O18 - Protocol: stibo - {FFAD3420-6D61-44F6-BA25-293F17152D79} - C:\Programmi\File comuni\Stibo\RS_ProtocolHandler.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe

[c.m.g]

Quote:

Originariamente inviato da bash86

ciao a tutti.
allora oggi stavo guardando il log dell'antivirus di rete e ho trovato che sulla parte degli URL bloccati c'è una lista lunghissima e vedo cha tutti gli URL (naturalmente cose del tipo sex......ecc...) bloccati provengono tutti dallo stesso PC. ho guardato il cliente dell'antivirus su quel pc e mi ha trovato un virus che però non è riuscito a pulire e l'ha messo in quarantena; il virus si chiama: BKDR_WEBDOOR.B. Qualcuno sa dirmi qualcosa a riguardo?

grazie

*

[xcdegasp]

Quote:

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1141655.exe
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan

queste mi sembrano le più sospette inoltre penserei a sostituire officescan con qualcosa di più progredito, adotterei foxreader per leggere i pdf e penserei ad usare firefox/opera per navigare e player multimediali differenti dal "windows media player", esempio VLC o zoomplayer per i video e quintessential per l'audio o addirittura visto che Nero è già installato userei NeroVision per i filmati e musica

[ania]

Quote:

Originariamente inviato da xcdegasp

O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan

queste mi sembrano le più sospette

In effetti, Spyware Vanisher è uno Spyware remover di reputazione "incerta":

http://spywarewarrior.com/rogue_anti-spyware.htm

ciao!!!

[bash86]

ok perfetto, adess oquando ho un attimo faccio un controllo sulle due righe che mi avete segnalato.
intanto grazie.

[bash86]

O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan

il file FreeScanner.exe nel pc non lo trovo..

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1141655.exe

e questo sembra un collegamento ad un dialer ma non so come risolvere il problema.

qualcuno sa dirmi come posso risolvere i due problemi?

[Bugs Bunny]

Quote:

Originariamente inviato da bash86

O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan

il file FreeScanner.exe nel pc non lo trovo..

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1141655.exe

e questo sembra un collegamento ad un dialer ma non so come risolvere il problema.

qualcuno sa dirmi come posso risolvere i due problemi?

Per il file freescanner hai abilitato la visualizzazione di files nascosti?

La seconda voce levala da hijackthis.

[bash86]

si ho abilitato la visualizzazione dei file nascosti però non la trovo lo stesso...cmq provo a riguardare meglio poi ti faccio sapere.

[wizard1993]

ma se fai start/ esegui/ C:\spywarevanisher-free\FreeScanner.exe

ti compare un messaggio di errore o no?

se no

con the avanger http://www.megalab.it/articoli.php?id=946

insersci questo script

Files to delete:
C:\spywarevanisher-free\FreeScanner.exe

[bash86]

ho provato a lanciare il programma da esegui e mi da questo errore

" c:\spywarevanisher-free fa riferimento a una posizione non disponibile. potrebbe essere in un'unità disco rigido di questo computer o in una rete...........ecc.

sul log dell'antivirus mi ha detto che ha spostato il file in quarantena perchè è impossibile disinfettare, forse è per quello che non mi trova il file.

sempre però non facesse riferimento all'altro problema....boh!!

ho provato anche a fare una ricerca sul pc del file però non l'ha trovato, dove sarà finito?

[Bugs Bunny]

allora è nella quarantena dell'antivirus

[black92]

ci sono anche altre cose in quel log:

O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1141655.exe


Posta nella sezione Aiuto sono infetto! e fai una passata con qualche altro antivirus tipo Kaspersky o BitDefender

[Gianky....! :D :)]

Quote:

Originariamente inviato da black92

ci sono anche altre cose in quel log:

O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - hxxp://deposito.hostance.net/dialer/1141655.exe


Posta nella sezione Aiuto sono infetto! e fai una passata con qualche altro antivirus tipo Kaspersky o BitDefender

Edita il link contiene un collegamento ad un dialer
Qualke utonto potrebbe infettarsi!
Cmq posta nella sezione aiuto sono infetto cosa faccio! e li otterrai maggiore aiuto...
Ciao