Infetto svhost.exe con Infostealer

[vampyr8]

Salve
insospettito da blocchi improvvisi del PC, da processi multipli aperti nel task manager
ho seguito alla lettera la guida alla disinfezione.

A Squared mi ha trovato un Email.Worm.Runouce.b con alto rischio in un file .exe che io per certo so di averlo aperto in passato che ora ho messo in quarantena (ma non so se una volta aperto ho già fatto il danno).

Aprendo Prevex CSI mi dice subito "WARNiNG: A malicious entry was found in the HOSTs file which may interrupt the functionality of Prevx CSI. Do you want to remove this entry now?" Faccio "OK", dice che è stato rimosso e che devo riavviare il PC e dopo ritornare su Prevex. Solo che quando rivado su Prevex mi ridice che c'è quel "malicious entry". Comunque stavolta lo rimuovo e non riavvio, perchè è inutile, e faccio la scansione dove non trova nulla, non risulta niente di dannoso.

Poi ho fatto la scansione on-line su Symantec Norton Security Check dove alla fine mi dice che C:\WINDOWS\system32\svhost.exe is infected with Infostealer

Ecco i log di A-Squared e di Symantec

HijackThis

Quote:

Logfile of HijackThis v1.99.1
Scan saved at 23.12.29, on 05/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\D-Link\DSL-200\dslagent.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\PeerGuardian2\pg2.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Mozilla Firefox\firefox.exe
D:\CANTINA\Downloads\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.alice.it/search/home/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it
O15 - Trusted Zone: *.rossoalice.it
O15 - Trusted Zone: *.rossoalice.virgilio.it
O16 - DPF: {0FC6BF2B-E16A-11CF-AB2E-0080AD08A326} (LiveUpdate Crescendo) -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europ...vex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4C459B8-BFF2-4BF5-9003-A7370A1B9C05}: NameServer = 85.37.17.9 85.38.28.75
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

A-Squared

Quote:

a-squared Free - Version 3.0
Last update: 05/12/2007 19.24.59

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\, D:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata: 05/12/2007 19.25.55

c:\programmi\passware rilevati: Trace.Directory.BackupKey
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Local AppWizard-Generated Applications\MSN SPY\msopen --> fp1 rilevati: Trace.Registry.MSN Track Monitor
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Local AppWizard-Generated Applications\MSN SPY\msopen --> fp2 rilevati: Trace.Registry.MSN Track Monitor
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\MSTTK --> MaxLogSize rilevati: Trace.Registry.MSN Track Monitor
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Download Accelerator Plus (DAP) --> Changed rilevati: Trace.Registry.Warez P2P Faster Accelerator
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Download Accelerator Plus (DAP) --> SlowInfoCache rilevati: Trace.Registry.Warez P2P Faster Accelerator
c:\programmi\passware rilevati: Trace.Directory.Messenger Key
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Astro Gemini Software\Screensaver Manager --> IsAskActivate rilevati: Trace.Registry.Screensaver Manager
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Astro Gemini Software\Screensaver Manager --> IsAskWebUpdate rilevati: Trace.Registry.Screensaver Manager
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Astro Gemini Software\Screensaver Manager --> IsLockedPreview rilevati: Trace.Registry.Screensaver Manager
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Astro Gemini Software\Screensaver Manager --> Version rilevati: Trace.Registry.Screensaver Manager
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Astro Gemini Software\Screensaver Manager --> WasFirstConfigure rilevati: Trace.Registry.Screensaver Manager
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Astro Gemini Software\Screensaver Manager --> WasFirstWebUpdate rilevati: Trace.Registry.Screensaver Manager
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Astro Gemini Software\Screensaver Manager --> XP rilevati: Trace.Registry.Screensaver Manager
c:\programmi\free aquarium screensaver rilevati: Trace.Directory.Free Aquarium Screensaver
c:\programmi\free aquarium screensaver\ags.ico rilevati: Trace.File.Free Aquarium Screensaver
c:\programmi\free aquarium screensaver\ags.url rilevati: Trace.File.Free Aquarium Screensaver
c:\programmi\free aquarium screensaver\xp.ico rilevati: Trace.File.Free Aquarium Screensaver
c:\programmi\free aquarium screensaver\xp.url rilevati: Trace.File.Free Aquarium Screensaver
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> AlertStyle(0) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> AppearOfflineHotKey rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> AppearOfflineModifier rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> AwayHotKey rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> AwayModifier rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> BusyHotKey rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> BusyModifier rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> ClipboardHotKey rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> ClipboardModifier rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> CloseAlert(0) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> elO(0) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> GroupChoice rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> OnlineHotKey rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> OnlineModifier rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> OpenSensitivity(0) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Popup0 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Popup1 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Popup10 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Popup2 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Popup3 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Popup4 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Popup5 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Popup6 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Popup7 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Popup8 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Popup9 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> RSOTime rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Setting(13) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Setting(2) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Setting(22) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Setting(37) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Setting(44) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Setting(7) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Slider rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Slider1 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> SpeechSpeed rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> SpeechVolume rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live\Settings --> Time_Format rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live --> GlobalSetting(1) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live --> GlobalSetting(11) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live --> GlobalSetting(16) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live --> GlobalSetting(6) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live --> GlobalSetting(9) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live --> MDLCap rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live --> Menu1 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live --> Menu2 rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live --> MouseGesture(0) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live --> MouseGesture(1) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live --> MouseGesture(2) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live --> MouseGesture(3) rilevati: Trace.Registry.DiscoveryLive
Value: HKEY_USERS\S-1-5-21-117609710-261903793-725345543-1003\Software\Matt Holwood\MessengerDiscovery Live --> WLMCaption rilevati: Trace.Registry.DiscoveryLive
C:\Programmi\mIRC\mirc.exe rilevati: Riskware.Client-IRC.Win32.mIRC.621
D:\CANTINA\Downloads\EvID4226Patch223d-en.zip/EvID4226Patch.exe rilevati: Email-Worm.Win32.Runouce.b
D:\CANTINA\Downloads\setup(2).exe rilevati: Adware.Win32.Dudu.d
D:\CANTINA\Programmi\mIRC\mirc621.exe rilevati: Riskware.Client-IRC.Win32.mIRC.621
D:\System Volume Information\_restore{7BB7D05A-357E-4906-8481-93E3A609F744}\RP30\A0007090.exe rilevati: Riskware.Client-IRC.Win32.mIRC.16
D:\System Volume Information\_restore{7BB7D05A-357E-4906-8481-93E3A609F744}\RP46\A0024958.exe rilevati: Riskware.Client-IRC.Win32.mIRC.16
D:\System Volume Information\_restore{7BB7D05A-357E-4906-8481-93E3A609F744}\RP66\A0048113.exe rilevati: Riskware.Client-IRC.Win32.mIRC.16
D:\System Volume Information\_restore{7BB7D05A-357E-4906-8481-93E3A609F744}\RP66\A0048138.exe rilevati: Riskware.Client-IRC.Win32.mIRC.16
D:\System Volume Information\_restore{7BB7D05A-357E-4906-8481-93E3A609F744}\RP67\A0053682.exe rilevati: Riskware.Client-IRC.Win32.mIRC.16
D:\System Volume Information\_restore{7BB7D05A-357E-4906-8481-93E3A609F744}\RP67\A0053703.exe rilevati: Riskware.Client-IRC.Win32.mIRC.16

Scansionati

Files: 152946
Tracce: 344053
Cookies: 12
Processi: 35

Rilevato

Files: 10
Tracce: 70
Cookies: 0
Processi: 0
Chiavi registro: 0

Fine scansione: 05/12/2007 20.29.52
Tempo scansione: 1.03.57

Mi aiutate?
grazie tante

[Riverside]

Quote:

Originariamente inviato da vampyr8

insospettito da blocchi improvvisi del PC, da processi multipli aperti nel task manager ho seguito alla lettera la guida alla disinfezione.

Ripartiamo dall'inizio:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

Installa questa versione di HIJACKTHIS: clicca qui per il download
● crea una apposta nuova Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona)
● lancialo, clicca su Do a system scan and save a logfile ed una volta che è stata creata la list, clicca su Save Log
llega, nella discussione, un nuovo log di HijackThis

pulisci gli ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

PANDA ANTIROOTKIT: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online
● una volta aperta la pagina, clicca I AGREE: ti farà scaricare un activex, tu segui la procedura guidata.
Al termine allega il Report che verrà rilasciato

SYSCLEAN TRENDMICRO: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● devi creare una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean

● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download

● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean attendi il responso finale
● allega il log che verrà rilasciato

tutti i log o report che ti ho chiesto (e che ti verrano richiesti):
li hosti, singolarmente su Zshare clicca qui per raggiungere ZShare e pubblichi, nella discussione, i link che verranno rilasciato per il download.

[BEY0ND]

Email.Worm.Runouce.b corrisponde alla patch vllord per aumentare le connessioni del p2p...

[Riverside]

Quote:

Originariamente inviato da BEY0ND

Email.Worm.Runouce.b corrisponde alla patch vllord per aumentare le connessioni del p2p...

Trovo sempre interessante leggere di infezioni legate al p2p
Ora, immagino che, trattandosi di una presunta patch che serve per amumentare le connessioni p2p (capire poi a cosa serva per me è e voglio resti un mistero insondabile) quel coso ci si debba limitare a metterlo in quarantena.
In ogni caso, giusto per farsi una idea della criticità del coso in questione dare una occhiata qui

[vampyr8]

Ecco il log di Hijackthis
Ecco il report, zippato sennò non me lo faceva mettere, di BitDefender
Ecco il log di Sysclean, durante la scansione comunque c'erano molti <<Error (-94)>>, non so se è normale o meno.

Altre anomalie che ho notato in questi giorni, oltre a Symantic che mi ha detto che C:\WINDOWS\system32\svhost.exe is infected with Infostealer, sono
- che fin dall'avvio del PC nel task manager nei processi c'è un firefox.exe
anche se non lo ho aperto e se termino il processo magicamente riappare subito dopo pochi istanti di nuovo da solo poi quando apro davvero il browser i processi di firefox.exe diventano due e mi è stato detto sul forum di Mozilla che è sintomo di un Trojan chiamato "Poison Ivy"
- che sempre nel task manager a volte ci stanno anche altri processi doppioni e multipli
- che quando si impalla, si impalla solo il desktop, mentre vedo che la barra delle applicazioni reagisce ancora al puntatore del mouse (che in quegli istanti potrebbe anche sparire) ma mi impedisce di cliccare su START o di aprire il TASK MANAGER (perchè è appunto impallato il desktop)
- che si impalla quando mi compare il POPUP di Zone Alarm quando mi deve chiedere se voglio dare accesso o no a determinati programmi per esempio quando aggiorno AD-AWARE, non per tutti i programmi quindi

Ho fatto una scansione con Nod32 per dimostare in che file da errore

sono errori normali?

[vampyr8]

Poco fa all'accensione AVG mi ha segnalato un trojan.horse.backdoor bifrose.bn indovinate situato dove? in C:\WINDOWS\system32\svhost.exe
...ho fatto Heal... chissà se si è tolto davvero

[murack83pa]

che nod32 ti dia quei errori credo sia normale, in quanto sono file usati dal sistema e quindi bloccati....
x tutto il resto....lascio agli esperti esaminare la tua situazione

[Riverside]

Quote:

Originariamente inviato da vampyr8

Poco fa all'accensione AVG mi ha segnalato un trojan.horse.backdoor bifrose.bn indovinate situato dove? in C:\WINDOWS\system32\svhost.exe ...ho fatto Heal... chissà se si è tolto davvero

Dipende controlla si funziona Power DVD

In ogni caso, Rilancia HThis e fixa questevoci:

O15 - Trusted Zone: *.rossoalice.virgilio.it

O16 - DPF: {0FC6BF2B-E16A-11CF-AB2E-0080AD08A326} (LiveUpdate Crescendo) –

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} –

aggiorna INTERNET EXPLORER:
clicca qui per il download

[vampyr8]

Quote:

Originariamente inviato da Riverside

Dipende controlla si funziona Power DVD

In ogni caso, Rilancia HThis e fixa questevoci:

O15 - Trusted Zone: *.rossoalice.virgilio.it

O16 - DPF: {0FC6BF2B-E16A-11CF-AB2E-0080AD08A326} (LiveUpdate Crescendo) –

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} –

aggiorna INTERNET EXPLORER:
clicca qui per il download

Fatto

Ora non so se è tutto risolto, lo scoprirò prossimamente credo

[murack83pa]

fai una nuova scansione di hijackthis,cosi possiamo darti un primo responso...

[Nuz]

Finchè non hai messo l'immagine di nod32 pensavo ad un'errore di battitura e invece c'è proprio svhost.exe.
Scarica Avenger. Eseguilo e seleziona Input Script Manually, clicca sulla lente e inserisci:

Quote:

Files to delete:
C:\WINDOWS\system32\svhost.exe

Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.txt

Stranamente nel log di HJT non compare nel gruppo O4. Comunque controlla nel registro questa voce:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

e controlla se nel pannello di dx c'è il valore SVHOST = svhost.exe

[murack83pa]

meno male che c sei tu, nuz
io nn l'avevo proprio visto: avevo letto svchost....

[vampyr8]

Ecco il nuoo logo di HThis richiestomi
Per quanto riguarda il svhost.exe, da quando ieri l'ho messo in quarantena con AVG Free non lo vedo più in system32 e non lo trovo nel registro

[Nuz]

Ci sarebbero queste

C:\DOCUME~1\utente\IMPOST~1\Temp\Adobelm_Cleanup.0001

, ma in rete ho trovato alcuni commenti come questi:

http://www.file.net/process/adobelm_cleanup.0001.html

Quindi penso che non vadano toccate.

[vampyr8]

Quote:

Originariamente inviato da Riverside

Dipende controlla si funziona Power DVD

In ogni caso, Rilancia HThis e fixa questevoci:

O15 - Trusted Zone: *.rossoalice.virgilio.it

O16 - DPF: {0FC6BF2B-E16A-11CF-AB2E-0080AD08A326} (LiveUpdate Crescendo) –

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} –

aggiorna INTERNET EXPLORER:
clicca qui per il download

da quando ho messo IE7 mi succede che quando apro outlook o Windows Live Messenger mi si apre il box per connettere anche se sono già connesso, se clicco su Componi va avanti se clicco Annulla invece si sconnette
Prima non mi chiedeva di connettermi se ero già connesso... come risolvo?

[leo200982]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.17.36, on 24/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
- log rimosso -
End of file - 12552 bytes




AIUTATEMI CHE DEVO TOGLIEREEEEEEE??????????????????

[murack83pa]

ciao leo:

1- modifica il post, i log nn vanno postati cosi, leggere le regole di sezione, ovvero giu nel mio post

2-esponi nel dettaglio i problemi

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

[xcdegasp]

@ leo200982:
il log lo ho rimosso visto l'ampio margine temporale a tua disposizione per correggerlo in ottemperanza alle Regole di Sezione