|
|||||||
|
|
|
 |
|
|
Strumenti |
04-09-2009, 16:57
|
#1 |
|
Senior Member
Iscritto dal: Jul 1999
Città: Busto Arsizio
Messaggi: 3434
|
Aiuto: probalile infezione con sdra64.exe
Allora: gentilissimi se qualcuno riesce a darmi una mano per districarmi da questa situazione ne sarei veramente felice.
Inanzitutto il mio sistema internet è compostao da un muletto con tre HD ognuno per un OS differente: WIN XP - VISTA - SEVEN Il problema si è manifestato sul disco C sotto windows XP mentre ero tutto concentrato a leggere una pgina web e purtroppo non ho datoimportanza lì per lì al messaggio che mi annunciava che " per ragioni di sicurezza il programma sdra64,exe veniva chiuso " Mi si presentava inoltre una finestra in cui mi si chiedeva se volevo impedire la chiusura nelle medesime condizioni di explorer e appunto sdr64.exe. Poichè a suo tempo ( e non mi ricordo come, se qualcuno potesse ricordarmelo..) avevo disabilitato la chiusura automatica di esporare risorse con determinati tipi di file, in quanto non riuscivo ad aprire alcuni archivi -SICURI, NON INFETTI - ho pensato fosse la stessa cosa e non o esitato a spuntare la voce NON permettere la chiusura di sdra64.exe. Solo in seguito mi sono ricordato del fatto e ricordando il nome ho visto ho avviato una ricerca e visto quanto scritto in un messaggio qui sul forum ho fatto quanto segue: Ho cancelleto il file sdra64.exe da c:\windows\sistem32 Ho cancellato dal registro tale porzione di comandi: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "C:\WINDOWS\system32\sdra64.exe" lasciando solo C:\WINDOWS\system32\userinit.exe, Dopodi che ho avviato tutta la trafila che avevete suggerito. Purtroppo data la mole dei dati ci ho impiegato un paio di giorni. Pubbllico qui tutti i link. Ma ahimè ho trovato di tutto , ma niente di quello che mi aspettavo: Sembrebbe infettoperfino il file iso del service pack3, i file di diagnostici come amora o cbid, ma di sdra64.exe non mi sembra di aver letto qualcosa. Malwarebite: mbam-log-2009-09-01 (14-13-57).txt Asquared: a2scan_090902-101211.txt Fsecure: report_fsols_4_0.html DrWeb: DrWeb.csv SysInsp: SysInspector-ANTONIO-090903-1856.xml HiJack: hijackthis.log Gmer: gmer.log PrevX: prevx.txt Questo è tutto, spero. Vorrei poter evitare di riformattare tutto eliminando le eventuali schifezze in circolo. Grazie a tutti. Anto |
|
|
|
04-09-2009, 17:46
|
#2 |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Ciao
Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (  )_______________________________________________________________________________ Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema. Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli. Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico. Le eventuali voci O16 dovranno essere fixate con IE chiuso. Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Logfile of Trend Micro HijackThis v2.0.2 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Codice:
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Core Temp] "C:\download\CoreTemp32Beta2\Core Temp.exe"
O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Buyertools Reminder] "C:\Programmi\Buyertools Reminder\Reminder.exe" /autorun
O4 - Global Startup: AutoStart IR.lnk = C:\Programmi\WinTV\Ir.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinTV Recording Status..lnk = C:\Programmi\WinTV\WinTV7\WinTVTray.exe
Windows al service pack 3 con asquared non hai eliminato tutte le voci segnalate, se ti reinfetti cavoli tuoi 
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 04-09-2009 alle 17:57. |
|
|
|
|
04-09-2009, 19:21
|
#3 |
|
Senior Member
Iscritto dal: Jul 1999
Città: Busto Arsizio
Messaggi: 3434
|
x wjmat
Inanzitutto grazie per la celerità della risposta. Ero particolarmente in apprensione per sdra64,exe avendo letto che cerca di carpire i dati sensibili finanziari ed utilizzando le funzioni di home banking mi ero un po' preoccupato, pur non avendo memorizzato alcuna passwor o pin sul computer. Sapere che almneno questo è stato debellato è un bel passo avanti. Ottimi i suggerimneti per hijack terrò il meno possibile dei programmi all'avvio (penso solo il Buyertools reminder per le ste su ebay) Il service pack 3 non ho alcuna difficoltà ad installarlo, pensavo non servisse se si era constantemente tenuto aggiornato windows con tutte le patch rese dispopnibili. Per lo meno questo era quanto avevo letto u po' ingiro tra riviste e newdgroup. Tranquillo i file della lista di Asapared sono in quarantena Ma, a tal proposito, avrei alcune domandine: Mi stanno particolarmnete acuore i rilevamenti sul disco C: QUESTO non è il service pack 3 di windows???? oltretutto manualmente non lo vedo proprio C:\download\downloadapp1151431[ITA]XPHwNL40v3SP3poweredition072008iso.exe rilevati: Win32.SuspectCrc!IK Questo invece è stato scaricato seguendo il link suggerito dalla rivista CHIP per testare il livello di sicurezza della rete wireless di casa. In effetti riesce a carpire le password di connessione con impressionante semplicità. Mi serviva appunto per cercare qualche soluzione pèiù sicura. (dati e password criptati in modo più complicato od utilizzo di software di terze parti per il medesimo scopo) Sicuro che non è un falso positivo? Cosa rischio se lo ripristino? C:\download\wirelesskeyview\WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK C:\download\wirelesskeyview.zip/WirelessKeyView.exe rilevati: Riskware.PSWTool.Win32.Messen!IK QUESTI sono diagnostici per sistemi AMD archiviati in varie locazioni, utilizzati per anni da me con sistemi amd e scaricati, dietro consiglio di utenti del forum corrispettivo di hwupgrade, o direttamnete dal sito del produttore o da hwupgrade stesso!!!!! Possibile che siano infetti??? D:\4GB310509\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK D:\4GB310509\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK D:\4GB310509\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK D:\vecchiowindows\OVERCLOCK\AMONRA.exe rilevati: Exploit.Win32.DVBBS!IK D:\vecchiowindows\OVERCLOCK\cbid82b\CBId.exe rilevati: Trojan-Dropper.Delf!IK D:\vecchiowindows\OVERCLOCK\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK G:\230507\download\cbid82b.zip/CBId.exe rilevati: Trojan-Dropper.Delf!IK DA QUI in giù non c'è problema. o è robbaccia inutilizzata da tempo ( sono ormai felice clienti di Slysoft e dei suoi programmini) o sono tentativi andati a male di superare emergenze (tipo la crack non funzionante per spss 15 per l'università di un amico) Posso cancellare tutto senza problemi D:\twinmoss\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK D:\twinmoss\RemoveWGA.exe rilevati: Riskware.Hacktool.RemoveWGA!IK G:\230507\download\attenzionevirus\gmer\nej.dll rilevati: Virus.Win32.Trojan!IK G:\230507\download\cd-digital-33b.zip/hcwSMD05.EXE rilevati: Riskware.AdWare.Win32.VirtualBouncer.r!IK G:\anydvd\SlySoft.AnyDVD.HD.v6.1.5.5.Multilanguage.WinAll.Cracked-CRD.rar/crude.exe rilevati: Riskware.Hacktool.Blumentals-EBMM!IK G:\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\AnyDVD HD & AnyDVD 6.1.4.3 Final 100% OK\Slysoft.Products.Generic.Crack.v1.43.exe rilevati: Riskware.Hacktool.Patch.SlySoft!IK G:\Collectorz.com.Movie.Collector.Pro.v4.10.5-TE.rar/CollectorzcomMovieCollectorProv4105_Crack.exe rilevati: Win32.SuspectCrc!IK G:\DownloadsA\DivXPro505GAINBundle.exe rilevati: Riskware.Adware.Gator!IK G:\spss\Crack SPSS.v15.0-pt (work!)\Patch\patch.exe rilevati: Riskware.Patch.SPSS!IK G:\spss\Crack SPSS.v15.0-pt (work!).zip/patch.exe rilevati: Riskware.Patch.SPSS!IK G:\spss\spss 15 crack.rar/patch.exe rilevati: Riskware.Patch.SPSS!IK Dottor Web riporta quanto sappiamo già: WirelessKeyView.exe;C:\download\wirelesskeyview;Tool.PassView.31;Incurabile.Spostato.; RemoveWGA.exe;D:\twinmoss;Probabile BACKDOOR.Trojan;Incurabile.Spostato.; L'ultima riga di gmer IN ROSSO riporta questa cosa inquietante: Library C:\Documents (*** hidden *** ) @ C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe [2152] 0x052A0000 Me lo segnalava come possibile rotkit!!!!!! Cosa posso fare a tal proposito? Scusa la mia lungaggine, spero di non aver scritto troppe castronerie. Anto |
|
|
|
|
05-09-2009, 08:51
|
#4 | ||||||
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Quote:
Quote:
Quote:
Quote:
quindi non è certo un software per testare il livello di sicurezza Quote:
Quote:
di kasp hai la licenza vero???
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 05-09-2009 alle 08:55. |
||||||
|
|
|
|
05-09-2009, 09:06
|
#5 |
|
Senior Member
Iscritto dal: Jul 1999
Città: Busto Arsizio
Messaggi: 3434
|
Ok, grazie per i consigli.
Ho già provveduto a ripulire con hijack i programmi caricati all'avvio in automatico, come pure ad eliminare la robbaccia inutile segnalata. I file in quarantena con Asquared ( ho ricontrollato) sono appunto i diagnostici che proverò ad inviare ai siti che mi hai segnalato ( magari proverò anche a scaricarli ex-novo e farli ricontrollare dai vari software della guida) Il service pack3 stamattina lo installo. E quanto a kaspersky, sì la licenza è quella originale per 3 utenze rinnovata annualmente ormai da ben tre anni. Anto |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 02:09.
