Infezione b.exe all'avvio (rilevato come Trojan Horse) e infected page generation

[Lordkelvin]

Provo a iniziare a postare...nella sezione adibita ai log di HJT mi hanno cosnigliato di fixare delle voci tuttavia il problema del b.exe è rimasto all'avvio...ora ho fatto la disinfezione fino all' 80% di doctorWeb CureIT poi si è bloccato tutto e ho dovuto ricominciare daccapo per ben 2 volte. Siccome il pc mi serve vediamo se con quello fatto fino ad ora si è pulito o devo avere pazienza con queste 6 ore e piu di DoctorWeb... Grazie a tutti

questo era il log HJT iniziale

[Lordkelvin]

Quote:

Originariamente inviato da Lordkelvin

Provo a iniziare a postare...nella sezione adibita ai log di HJT mi hanno cosnigliato di fixare delle voci tuttavia il problema del b.exe è rimasto all'avvio...ora ho fatto la disinfezione fino all' 80% di doctorWeb CureIT poi si è bloccato tutto e ho dovuto ricominciare daccapo per ben 2 volte. Siccome il pc mi serve vediamo se con quello fatto fino ad ora si è pulito o devo avere pazienza con queste 6 ore e piu di DoctorWeb... Grazie a tutti

questo era il log HJT iniziale

primo fix...

[Lordkelvin]

Quote:

Originariamente inviato da Lordkelvin

primo fix...

ATF fatto e poi ecco log di Malwarebytes...

[Lordkelvin]

Quote:

Originariamente inviato da Lordkelvin

ATF fatto e poi ecco log di Malwarebytes...

Non riesco a ridurre i file di Asquared e Fsecure...accidenti...cmq il log di HJThis è questo....se potete controllare per favore

[wjmat]

non possiamo capire che hai fatto con le infezioni trovate da Malwarebytes' Anti-Malware
se li hai eliminati dopo aver salvato il log fai
Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)
e carica l'ultimo log in ordine di tempo altrimenti riesegui la scansione completa, elimina tutto e carica il nuovo log


i log caricali su un server remoto e inserisci in un unico post tutti i link

[Lordkelvin]

Quote:

Originariamente inviato da wjmat

non possiamo capire che hai fatto con le infezioni trovate da Malwarebytes' Anti-Malware
se li hai eliminati dopo aver salvato il log fai
Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)
e carica l'ultimo log in ordine di tempo altrimenti riesegui la scansione completa, elimina tutto e carica il nuovo log


i log caricali su un server remoto e inserisci in un unico post tutti i link

scusami ma non è quello il LOG? l'ho salvato...non ho capito perchè non è buono...

ragazzi il problema è che col pc ci devo lavorare se per favore qualcuno può tranquillizzarmi e vedere se il nuovo HJT va bene lo ringrazio tanto...appena ho delle ore libere faccio tutte le altre scansioni...ma ci mettono ORE!

[wjmat]

-> No action taken. significa che non hai eliminato le infezioni quindi nuova scansione e nuovo log

dov'è scritto che asquared e fsecure vadano ridotti?

fixa

Codice:

O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [PowerBar] "C:\Programmi\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - Startup: Yahoo! Widgets.lnk = C:\Programmi\Yahoo!\Widgets\YahooWidgets.exe

aspettiamo tutti gli altri log

[Lordkelvin]

Quote:

Originariamente inviato da wjmat

-> No action taken. significa che non hai eliminato le infezioni quindi nuova scansione e nuovo log

dov'è scritto che asquared e fsecure vadano ridotti?

fixa

Codice:

O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [PowerBar] "C:\Programmi\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - Startup: Yahoo! Widgets.lnk = C:\Programmi\Yahoo!\Widgets\YahooWidgets.exe

aspettiamo tutti gli altri log

va bene la faccio partire adesso...speriamo nel frattempo mi faccia lavorare e non mi impalli tutto sennò tocca farla di notte o nella pausa pranzo....grazie della pazienza...cmq il b.exe non appare piu...ora riparto una cosa alla volta

[Lordkelvin]

ragazzi scusate ma li aveva già messi in quarantena eh...oltre 2 ore perse

allego il nuovo log con ZERO infezioni, passo al successivo software grazie ancora della pazienza ma non sono molto pratico col pc...perdonatemi...allego schermata della quarantena:

Edit

[wjmat]

anche le immagini caricale sui server remoti, almeno non deformi il layout dello schermo, grazie

aspettiamo i restanti log

[Lordkelvin]

Allego tutti i log fatti fino ad ora con il file HJT Final...mancherebbero GMER e PREVX che per mancanza di tempo ancora non riesco...vediamo se devo usarli o è già pulito cosi ragazzi visto che non ho piu rilevamenti dall'antivirus...

P.S. ora all'avvio in pratica mi parte OnLIne Armor che mi chiede se continuare o meno con qualcosa...a me dissero che se stavo attento mi bastavano AVIRA e il FireWall di WindowS XP PRO, non so conviene che lo installi? Ho anche il router con FireWall in HW..

a2scan_090725-141323.txt

DrWeb.csv

FsecureScan.txt

hijackthis_FIRSTFIX.txt

hijackthisFinal.txt

mbam-log-2009-07-25 (13-26-02).txt

SysInspector-HOME-DN7OGO4HA1-090726-1149.xml


Grazie ancora tanto per l'aiuto che mi date

[Chill-Out]

Con il Browser chiuso esegui HJT, clicca su Do a system scan only e metti il segna di spunta nella casella bianca a sx delle sotto indicate voci e clicca su Fix checked

Quote:

O9 - Extra button: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Programmi\PartyItalia\PartyPokerIt\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Programmi\PartyItalia\PartyPokerIt\RunApp.exe (file missing)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programmi\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing)

per completezza allega i log mancanti, ovvero Gmer e Prevx

[Jack7]

Stesso identico problema!

Il 31/7 ho scaricato un torrent con questo maledetto file!
Norton non l'ha riconosciuto! Subito non gli ho dato peso, oggi peró ad un tratto sono comparsi dei suoni alquanto strani e voci da un film hard!!! Apro il mixer della scheda audio e vedo che il tutto proviene da quel maledetto b.exe!

Grazie a Dio ho risolto tutto con un antispyware! Ora non compare più niente! Ho solo un pensiero... Se ho sentito quei suoni è perché qualcuno si è collegato al mio pc? C'è pericolo di keylogger? Devo cambiare qualche pass?
Grazie ragazzi!

[Jack7]

Quote:

Originariamente inviato da Jack7

Stesso identico problema!

Il 31/7 ho scaricato un torrent con questo maledetto file!
Norton non l'ha riconosciuto! Subito non gli ho dato peso, oggi peró ad un tratto sono comparsi dei suoni alquanto strani e voci da un film hard!!! Apro il mixer della scheda audio e vedo che il tutto proviene da quel maledetto b.exe!

Grazie a Dio ho risolto tutto con un antispyware! Ora non compare più niente! Ho solo un pensiero... Se ho sentito quei suoni è perché qualcuno si è collegato al mio pc? C'è pericolo di keylogger? Devo cambiare qualche pass?
Grazie ragazzi!

Nessuno?

[xcdegasp]

il keylogger spedisce info all'esternoi del pc e precisamente cio che scrivi quindi non era quello di cui hai paura
troja è invece un programma che funge da Cavallo di Troia ossia mascherandosi da certo programma apre silentemente un varco al "suo padrone oscuro".
virus è invece un programma che ha capicità auto replicanti per garantirsi lunga prosperità e per infettare più pc possibili, attualmente i virus non sono più classificabili in maniera univoca perchè sono strumenti per far arricchire il loro creatore pertanto è un mix ben congegnato di più tecnologie tra le quali keylogger avanzato (focalizzato per password di accesso di windows e tutti gli spazi web, codici carte di credito, account email, account messenger,..), funzionalità per rendersi invisibile agli antivirus, funzionalità per compromettere gli antivirus ma senza far apparire errori a video, funzionalità per caricarsi assieme al kernel di windows, funzionalità per rendere il pc parte di una botnet (pc zombie) e comandarlo da remoto, funzionalità per debellare altre infezioni eventualmente in corso, funzionalità per dirottare la navigazione su pagine web della stessa community di ideatori di virus, ecc...

[Jack7]

Quote:

Originariamente inviato da xcdegasp

il keylogger spedisce info all'esternoi del pc e precisamente cio che scrivi quindi non era quello di cui hai paura
troja è invece un programma che funge da Cavallo di Troia ossia mascherandosi da certo programma apre silentemente un varco al "suo padrone oscuro".
virus è invece un programma che ha capicità auto replicanti per garantirsi lunga prosperità e per infettare più pc possibili, attualmente i virus non sono più classificabili in maniera univoca perchè sono strumenti per far arricchire il loro creatore pertanto è un mix ben congegnato di più tecnologie tra le quali keylogger avanzato (focalizzato per password di accesso di windows e tutti gli spazi web, codici carte di credito, account email, account messenger,..), funzionalità per rendersi invisibile agli antivirus, funzionalità per compromettere gli antivirus ma senza far apparire errori a video, funzionalità per caricarsi assieme al kernel di windows, funzionalità per rendere il pc parte di una botnet (pc zombie) e comandarlo da remoto, funzionalità per debellare altre infezioni eventualmente in corso, funzionalità per dirottare la navigazione su pagine web della stessa community di ideatori di virus, ecc...

Ti ringrazio per la risposta molto precisa...

Ti dico solo che anche se ho debellato il problema stavo ugualmente per formattare.

Ti posso chiedere un solo altro aiuto?
Il file l'ho scaricato il 31/7, solo stanotte però l'ho sentito attivato e l'ho quindi scoperto!
Sentivo il pc emettere suoni, sentivo parlare in inglese e addirttura sentivo parti di un film hard...

Questo significa che qualcuno si è connesso alla mia rete o al mio pc in particolare?
O Che quell'essere oscuro ha inviato quei suoni a tutti i pc infettati dal trojan? O cosa?

Ho cambiato cmq tutte le password di forum, siti, etc.
Posso star tranquillo?

Come si fa ad essere certi che non abbia scaricato, trafugato o inviato pass o altri dati personali?

Grazie infinite

[xcdegasp]

Quote:

Originariamente inviato da Jack7

Ti ringrazio per la risposta molto precisa...

Ti dico solo che anche se ho debellato il problema stavo ugualmente per formattare.

Ti posso chiedere un solo altro aiuto?
Il file l'ho scaricato il 31/7, solo stanotte però l'ho sentito attivato e l'ho quindi scoperto!
Sentivo il pc emettere suoni, sentivo parlare in inglese e addirttura sentivo parti di un film hard...

Questo significa che qualcuno si è connesso alla mia rete o al mio pc in particolare?
O Che quell'essere oscuro ha inviato quei suoni a tutti i pc infettati dal trojan? O cosa?

Ho cambiato cmq tutte le password di forum, siti, etc.
Posso star tranquillo?

Come si fa ad essere certi che non abbia scaricato, trafugato o inviato pass o altri dati personali?

Grazie infinite

io purtroppo non ti so' dare una spiegazione certa potrei solo fantasticare tra le possibili cause, ad ogni modo se tu lo possedessi ancora (esempio in uno zip) lo si potrebbe far scansionare su viruscan.org e virustotal.com e www.threatexpert.com per vedere cosa emerge

un firewall software difefrente da quello di windows ti avrebbe avvertito per che attività avrebbe voluto svolgere quel file e verso chi si sarebbe messo in contatto

[Jack7]

Quote:

Originariamente inviato da xcdegasp

io purtroppo non ti so' dare una spiegazione certa potrei solo fantasticare tra le possibili cause, ad ogni modo se tu lo possedessi ancora (esempio in uno zip) lo si potrebbe far scansionare su viruscan.org e virustotal.com e www.threatexpert.com per vedere cosa emerge

un firewall software difefrente da quello di windows ti avrebbe avvertito per che attività avrebbe voluto svolgere quel file e verso chi si sarebbe messo in contatto

Ho Norton Internet Security!

Mi ricordo che una volta aperto il file, l'ha riconosciuto e "apparentemente" eliminato.
Posso risalire all'orgine del trojan grazie a quell'avviso?

[xcdegasp]

il NIS come bontà del firewall è molto mediocre però almeno dovresti poter visualizzare qualche regola creata dal firewall se è riuscito a contattare l'esterno..
ovviamente non avrai traccia di interazioni tra processi perchè appunto è di quelle cose in cui non eccelle ma almeno chi ha contattato forse sì

[Lordkelvin]

Quote:

Originariamente inviato da Jack7

voci da un film hard!!!

che cavolo almeno fosse partito pure a me un bel pornazzo