tentativo di debellare virus

[Athrun Zala]

Allora salve dopo innumerevoli tentativi di debellare completamente questa infezione mi rivolgo anche a voi nella speranza di riuscirci finalmente ^^
Avg mi continua a segnalare questo malware: Trojan Horse IRC/BackDoor.SDBot2.LBO (o anche .MXV e .MXJ).
Appena appreso dell'infezione sono corso ai ripari, ho mandato in esecuzione in modalità provvisoria sia AVG antivirus, che AVG anti spyware, spybot S/D, Adaware SE e infine log di hijackthis, rimuovendo un po tutto quello che c'era da togliere; in più da regedit a mano ho tolto tutte le chiavi correlate a un file .exe che era stato rimosso (ZZcatQQ.exe).
Dopo questo bel lavoretto in sostanza il virus non appare piu nei processi, il log di hijackthis è pulito (o almeno così pare ) MA la protezione attiva di AVG continua a trovarmi e cancellarmi file eseguibili da /windows/system32, tutti file ***.exe (dove * sono lettere random minuscole).
In sostanza il virus non dovrebbe essere in esecuzione ma continua a rigenerare se stesso, cosa che quanto meno mi pare sospetta, nonostante le applicazioni di cui sopra dicano che sono "pulito" (a parte avg antivirus).
Avete qualche idea su come possa agire?
Vi ringrazio, a presto.

[bReAkDoWn]

Quote:

Originariamente inviato da Athrun Zala

Allora salve dopo innumerevoli tentativi di debellare completamente questa infezione mi rivolgo anche a voi nella speranza di riuscirci finalmente ^^
Avg mi continua a segnalare questo malware: Trojan Horse IRC/BackDoor.SDBot2.LBO (o anche .MXV e .MXJ).
Appena appreso dell'infezione sono corso ai ripari, ho mandato in esecuzione in modalità provvisoria sia AVG antivirus, che AVG anti spyware, spybot S/D, Adaware SE e infine log di hijackthis, rimuovendo un po tutto quello che c'era da togliere; in più da regedit a mano ho tolto tutte le chiavi correlate a un file .exe che era stato rimosso (ZZcatQQ.exe).
Dopo questo bel lavoretto in sostanza il virus non appare piu nei processi, il log di hijackthis è pulito (o almeno così pare ) MA la protezione attiva di AVG continua a trovarmi e cancellarmi file eseguibili da /windows/system32, tutti file ***.exe (dove * sono lettere random minuscole).
In sostanza il virus non dovrebbe essere in esecuzione ma continua a rigenerare se stesso, cosa che quanto meno mi pare sospetta, nonostante le applicazioni di cui sopra dicano che sono "pulito" (a parte avg antivirus).
Avete qualche idea su come possa agire?
Vi ringrazio, a presto.

In questi casi bisogna individuare dove il malware si è installato per avviarsi ad ogni riavvio di sistema.
Potresti scaricare gmer (http://www.majorgeeks.com/download.php?det=5198) e fare due scansioni: rootkit e autostart, copiare i risultati (gmer ha direttamente il pulsante copy) e incollarli in un messaggio qua sul forum. Assicurati che in entrambe le scansioni NON sia selezionata l'opzione show all e lascia tutte le altre opzioni così come sono. Infine, durante la scansione rootkit non utilizzare il pc e cerca di chiudere tutte le applicazion aperte.

[Athrun Zala]

ti ringrazio per la risposta, ti incollo i log

rootkit

Quote:

GMER 1.0.12.12011 - http://www.gmer.net
Rootkit scan 2007-01-07 16:14:53
Windows 5.1.2600


---- System - GMER 1.0.12 ----

SSDT \??\D:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwOpenProcess
SSDT \??\D:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwTerminateProcess

---- Kernel code sections - GMER 1.0.12 ----

.text ntoskrnl.exe!FsRtlLegalAnsiCharacterArray + 274 804F21DC 4 Bytes [ AC, 98, E8, F7 ]
.text ntoskrnl.exe!FsRtlLegalAnsiCharacterArray + 490 804F23F8 4 Bytes [ 12, 98, E8, F7 ]

---- Devices - GMER 1.0.12 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F7DBD85A] avgtdi.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F7DBD85A] avgtdi.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F7DBD85A] avgtdi.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F7DBD85A] avgtdi.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [F7DBD85A] avgtdi.sys
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CREATE A80F739A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLOSE A80F739A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_READ A80F739A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_INFORMATION A80F739A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SET_INFORMATION A80F739A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_VOLUME_INFORMATION A80F739A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DIRECTORY_CONTROL A80F739A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_FILE_SYSTEM_CONTROL A80F739A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DEVICE_CONTROL A80F739A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SHUTDOWN A8100866
Device \FileSystem\Cdfs \Cdfs IRP_MJ_LOCK_CONTROL A80F739A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLEANUP A80F739A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_PNP A80F739A
Device \FileSystem\Cdfs \Cdfs FastIoCheckIfPossible A81007FC

---- Files - GMER 1.0.12 ----

ADS C:\Documents and Settings\ALESSIO\Documenti\My Music\Anime\Last Exile Ep 21 Rook Dio - By Blackman.ogm:SummaryInformation
ADS C:\Documents and Settings\ALESSIO\Documenti\My Music\Anime\Last Exile Ep 21 Rook Dio - By Blackman.ogm:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Documents and Settings\ALESSIO\Documenti\roba\fumetti\Jude_degli_Angeli.zip:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\Documents and Settings\ALESSIO\Impostazioni locali\Temporary Internet Files\Content.IE5\CSTI8XRA\images[1].:
ADS C:\Documents and Settings\ALESSIO\Impostazioni locali\Temporary Internet Files\Content.IE5\WHG3WP0F\en[1].:

ADS C:\Documents and Settings\ALESSIO\Impostazioni locali\Temporary Internet Files\Content.IE5\WRNJE09L\search[1].:
ADS C:\Documents and Settings\ALESSIO\Impostazioni locali\Temporary Internet Files\Content.IE5\ZIABUVEX\search[1].:
ADS D:\Documents and Settings\Ale\Desktop\[Zeonic-Corps]_Gundam_Seed_Destiny_Special_Edition_I_[DVD]_[41FD53A4].mkv:SummaryInformation
ADS D:\Documents and Settings\Ale\Desktop\[Zeonic-Corps]_Gundam_Seed_Destiny_Special_Edition_I_[DVD]_[41FD53A4].mkv:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

---- EOF - GMER 1.0.12 ----

Autostart

Quote:

GMER 1.0.12.12011 - http://www.gmer.net
Autostart scan 2007-01-07 16:11:40
Windows 5.1.2600


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = D:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent@DLLName = Ati2evxx.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Ati HotKey Poller@ = %SystemRoot%\System32\Ati2evxx.exe
ATI Smart /*ATI Smart*/@ = D:\WINDOWS\system32\ati2sgag.exe
AVG Anti-Spyware Guard /*AVG Anti-Spyware Guard*/@ = D:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
Avg7Alrt /*AVG7 Alert Manager Server*/@ = D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
Avg7UpdSvc /*AVG7 Update Service*/@ = D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
AVGEMS /*AVG E-mail Scanner*/@ = D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
RichVideo /*Cyberlink RichVideo Service(CRVS)*/@ = "D:\Programmi\CyberLink\Shared Files\RichVideo.exe" ??????????????????????????????????????????????????
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@AtiPTAatiptaxx.exe = atiptaxx.exe
@C-Media MixerMixer.exe /startup = Mixer.exe /startup
@AVG7_CCD:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP = D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
@!AVG Anti-Spyware"D:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized = "D:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

HKCU\Software\Microsoft\Windows\CurrentVersion\[email protected] = D:\WINDOWS\System32\ctfmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{57B86673-276A-48B2-BAE7-C6DBB3020EB8} = D:\Programmi\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{5F327514-6C5E-4d60-8F16-D07FA08A78ED} /*Estensione finestra proprietà di aggiornamento automatico*/D:\WINDOWS\System32\wuaueng.dll = D:\WINDOWS\System32\wuaueng.dll
@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} /*AVG7 Shell Extension*/D:\Programmi\Grisoft\AVG Free\avgse.dll = D:\Programmi\Grisoft\AVG Free\avgse.dll
@{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} /*AVG7 Find Extension*/D:\Programmi\Grisoft\AVG Free\avgse.dll = D:\Programmi\Grisoft\AVG Free\avgse.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/D:\Programmi\WinRAR\rarext.dll = D:\Programmi\WinRAR\rarext.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/D:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll = D:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
AVG Anti-Spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = D:\Programmi\Grisoft\AVG Anti-Spyware 7.5\context.dll
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = D:\Programmi\Grisoft\AVG Free\avgse.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
AVG Anti-Spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = D:\Programmi\Grisoft\AVG Anti-Spyware 7.5\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = D:\Programmi\Grisoft\AVG Free\avgse.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
@Local PageD:\WINDOWS\System32\blank.htm = D:\WINDOWS\System32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = D:\WINDOWS\System32\msvidctl.dll
its@CLSID = D:\WINDOWS\System32\itss.dll
lid@CLSID = D:\WINDOWS\System32\msvidctl.dll
livecall@CLSID = D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = D:\WINDOWS\System32\itss.dll
msnim@CLSID = D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
tv@CLSID = D:\WINDOWS\System32\msvidctl.dll
vnd.ms.radio@CLSID = D:\WINDOWS\System32\msdxm.ocx

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = D:\WINDOWS\System32\wiascr.dll

D:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = WarpSpeeder Tray Icon.lnk

---- EOF - GMER 1.0.12 ----

[bReAkDoWn]

Quote:

Originariamente inviato da Athrun Zala

ti ringrazio per la risposta, ti incollo i log

rootkit


Autostart

WarpSpeeder
Se questo è legittimo ed è una utility che ha a che fare con l'hardware del tuo pc, non vedo altro.. questi file si rigenerano di continuo? Ad ogni riavvio? E come vengono rilevati esattamente dall'antivirus? Intendo dire che virus trova in essi..

[Athrun Zala]

warpspeeder è una utlity della scheda madre, presa dal suo cd per monitorare il sitema e overclockare....per cui non è

I file me li trova in system32 ogni tanto (spesso) a coppie di due e si rigenreano di continuo; sono tutti file abc.exe, fjk.exe etc etc etc e li individua come
Trojan Horse IRC/BackDoor.SDBot2.LBO OPPURE
Trojan Horse IRC/BackDoor.SDBot2.MXV OPPURE
Trojan Horse IRC/BackDoor.SDBot2.MXJ

[bReAkDoWn]

Interessante.. ora ti faccio una domanda assurda, non offenderti Hai riavviato dopo le ultime operazioni di pulizia? Nel caso fosse rimasto qualcosa in memoria.. Altrimenti, potremmo fare un'altra scansione, anche se a gmer non è che sfugga molto..
Il tool è questo: http://www.suspectfile.com/upload/fi...systemscan.exe
Seleziona tutte le opzioni tranne alternate data streams, poi metti il rapporto su www.mytempdir.com (è troppo lungo, non entra in un messaggio), ricopiando qua sul forum il link per poterlo scaricare.

[Athrun Zala]

ovviamente tutto riavviato ma nulla
qui i report
http://www.mytempdir.com/1154129

Grazie ancora

[wizard1993]

ti devo segnalare?
il tuo sito scarica Trojan-Downloader.JS.Agent.ch

[bReAkDoWn]

Penso di aver trovato il problema.
Ho visto che utilizzi un WindowsXP non aggiornato, senza alcun firewall. E' possibile quindi che l'infezione entri direttamente da Internet. Dovresti installare un firewall il prima possibile, e poi, come minimo il service pack 2 di Windows. Certo anche tutti gli aggiornamenti successivi non farebbero male, anzi.

[wizard1993]

e non è una cattiva idea nemmeno che faccia una scan on-line con il bitdefender

[Athrun Zala]

lo ho rimesso ora windows causa passaggio a nuovo hardware per cui èancora senza SP, metterò anche il firewall dunque e vediamo

[scipione]

Il virus che hai indiato dovrebbe essere un virus che sfrutta una vecchia vulnerabilità di Windows per intrufolarsi nel tuo PC, fichè non aggiorni Windows sarà dura che risolvi i problema.

CIAo
Beppe