Detected virus in file 'C:\WINDOWS\Temp\startdrv.exe

borexino · 07-12-2007, 17:17

Signori questo è quanto riporta antivir all'avvio!
Ho provato ad eliminare in file all'avvio con HJack ma nulla da fare!
Chi mi aiuta?

Quote:

Virus or unwanted program 'Worm/Ntech.AA [WORM/Ntech.AA]'
detected in file 'C:\WINDOWS\Temp\startdrv.exe.
Action performed: Deny access

Grazie

**Chill-Out** · 07-12-2007, 17:27

Segui questa analisi preliminare http://www.hwupgrade.it/forum/showthread.php?t=1599737 ed allega i log secondo le Regole di Sezione, grazie.

borexino · 07-12-2007, 18:01

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.00.08, on 07/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Sony\VAIO Event Service\VESMgr.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Memturbo 4\MemTurbo.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Pidgin\pidgin.exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\Davide\Desktop\ADSR.exe
C:\Programmi\HJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\RunOnce: [Tucan] "C:\Documents and Settings\Davide\Desktop\PAVARK.exe" \\?\C:\Documents and Settings\Davide\Pavark\RKCL_SEND\20071207-171320-{A7438774-C226-4A24-9283-8F7A11C968D0}_D.xml
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MemTurbo.lnk = C:\Programmi\Memturbo 4\MemTurbo.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{855B9CF4-83CD-406E-BC7A-B9A6A9E89471}: NameServer = 192.168.0.1,208.66.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA40A5B5-65E5-48AA-ABE8-2ECEE1FB0F7C}: NameServer = 192.168.1.1,208.67.222.222
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OKI OPHC DCS Loader - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHCLDCS.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programmi\Sony\VAIO Event Service\VESMgr.exe

--
End of file - 4228 bytes

Questo è quello che HJthis riporta. Ho eseguito le operazioni che sono riportate nel post che mi è stato indicato!

**Chill-Out** · 07-12-2007, 18:07

ti ho chiesto di seguire la guida e alla fine postare un log di HJT

borexino · 07-12-2007, 18:09

Quote:

Guida alla disinfezione per Infetti

Beh leggendola ho scaricato i vari sw eseguiti e se non sbaglio c'è scritto di postare i vari log...

**Chill-Out** · 07-12-2007, 18:23

Quote:

Originariamente inviato da borexino

Beh leggendola ho scaricato i vari sw eseguiti e se non sbaglio c'è scritto di postare i vari log...

infatti dove sono gli altri log? anche perchè Panda dovrebbe aver rilevato questo rootkit ctl_w32.sys

borexino · 08-12-2007, 12:30

Speriamo bene! Ho zippato i log ricavati da HJ, a-squared Free, PAVARK, ADSR. Speriamo che io abbia imparato....

scusate
Di seguito il pacchetto zip con i logs
logs.zip - 0.01MB

Grazie

**Chill-Out** · 08-12-2007, 15:34

Disattiva Ripristino configurazione sistema (dovresti averlo già fatto)
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.
N.b.: durante la procedura di disinfezione non utilizzare software di messaggistica istantanea e file sharing

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/83...b540/download/

Avenger
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.
http://swandog46.geekstogo.com/avenger.zip

Script

Quote:

Files to delete:
C:\WINDOWS\Temp\startdrv.exe
C:\WINDOWS\system32\drivers\ctl_w32.sys

registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|startdrv

Esegui HijackThis clicca su Do a system scan - metti il segna di spunta a sx delle voci sottoindicate - clicca su Fix checked

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU..RunOnce: [Tucan] "C

ocuments and SettingsDavideDesktopPAVARK.exe" \?C

ocuments and SettingsDavidePavarkRKCL_SEND20071207-171320-{A7438774-C226-4A24-9283-8F7A11 C968D0}_D.xml

Scansione con BITDEFENDER ONLINE da qui http://www.bitdefender.com/scan8/ie.html
salva ed allega il log

Prevx CSI Scanner
Scarica Prevx CSI Scanner è un tool che non necessita di installazione, eseguilo, metti il segno di spunta su I accept the terms an conditions clicca su Scan Now ed allega il log utilizzando la funzione Gestisci Allegati o hostali su http://www.zshare.com/ indicato il link nel post
Download: http://info.prevx.com/download.asp?grab=prevxcsi

I riferimenti trovati con la scansione fatta con a-squared possono essere eliminati

Riepilogo dei log da allegare in formato .txt senza bisogno di zipparli tanto li hosti su www.zshare.net
Avenger
BitDefender
Prevx CSI
Nuovo log di HijackThis

borexino · 10-12-2007, 13:42

Innanzitutto ti ringrazio per la disponibilità!

Ho eseguito alla lettera le operazioni che mi hai suggerito ed ho postato i log relativi alle varie scansioni:

Quote:

Avenger Log

BitDefender Log

Prevex Log

New HJThis Log

Ora rimango solo con un dubbio, mentre bit defender scansionava, Antivir mi ha segnalato il seguente virus senza che bitdefender lo individuasse:

Posso risolvere?

**Chill-Out** · 10-12-2007, 15:40

Se Avira non riesce a cancellarlo con il comando Delete - inserisci questo script in Avenger

Script:

Quote:

Files to delete:
C:\MqwgKG.exe

al termine rifai pulizia con Ccleaner - installa un firewall software tipo Comodo Firewall Free e fammi sapere se hai ancora problemi, dopodichè ripristiniamo il system restore.

Riverside · 10-12-2007, 16:17

Quote:

C:\Documents and Settings\Davide\Desktop\ADSR.exe
Loaded from: FILE
PX5: 6528E2C9003728EF18B0099A16B85900B0B1EFD5
MD5: 618def256c64ff0ae6fa5cb7eb36f286
Determination: SUSPICIOUS

Segnalato ad Eraser che, PrevX CSI rileva come sospetto Eset ADS Releaver.

**Chill-Out** · 10-12-2007, 16:53

Quote:

Originariamente inviato da Riverside

Segnalato ad Eraser che, PrevX CSI rileva come sospetto Eset ADS Releaver.

infatti è anche in questo log

Riverside · 10-12-2007, 17:06

Quote:

Originariamente inviato da Chill-Out

infatti è anche in questo log

E' in quel log che lo ho trovato socio

Riverside · 10-12-2007, 20:32

Per la cronaca: Eraser mi ha comunicato che il problema segnalato è stato risolto.

borexino · 11-12-2007, 12:06

Forse tutto ok, di seguito il log di Antivir:

Codice:


AntiVir PersonalEdition Classic
Report file date: martedì 11 dicembre 2007  10:27

Scanning for 965647 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    VAIO

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  10/09/2007 22:43:50
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  10/09/2007 22:43:50
LUKE.DLL     : 7.0.5.3      147496 Bytes  10/09/2007 22:43:52
LUKERES.DLL  : 7.0.6.1       10280 Bytes  10/09/2007 22:43:52
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 23:25:53
ANTIVIR1.VDF : 7.0.0.0     1640448 Bytes  13/09/2007 07:07:31
ANTIVIR2.VDF : 7.0.1.30    1575424 Bytes  30/11/2007 13:31:13
ANTIVIR3.VDF : 7.0.1.67     138752 Bytes  10/12/2007 17:46:39
AVEWIN32.DLL : 7.6.0.40    3064320 Bytes  08/12/2007 20:11:06
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  21/04/2007 19:00:22
AVPREF.DLL   : 7.0.2.2       25640 Bytes  10/09/2007 22:43:50
AVREP.DLL    : 7.0.0.1      155688 Bytes  21/04/2007 19:00:26
AVPACK32.DLL : 7.3.0.15     360488 Bytes  05/08/2007 18:34:18
AVREG.DLL    : 7.0.1.6       30760 Bytes  10/09/2007 22:43:50
AVARKT.DLL   : 1.0.0.20     278568 Bytes  10/09/2007 22:43:47
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  10/09/2007 22:43:50
NETNT.DLL    : 7.0.0.0        7720 Bytes  21/04/2007 19:00:24
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  10/09/2007 22:43:41
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  10/09/2007 22:43:41
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  10/09/2007 22:43:53

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\programmi\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: martedì 11 dicembre 2007  10:27

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'YzToolBar.exe' - '1' Module(s) have been scanned
Scan process 'ObjectDock.exe' - '1' Module(s) have been scanned
Scan process 'MemTurbo.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'igfxsrvc.exe' - '1' Module(s) have been scanned
Scan process 'igfxext.exe' - '1' Module(s) have been scanned
Scan process 'VESMgr.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'RegSrvc.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'a2service.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'S24EvMon.exe' - '1' Module(s) have been scanned
Scan process 'EvtEng.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
32 processes with 32 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!
Boot sector 'D:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '18' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\avenger\backup.zip
  [0] Archive type: ZIP
  --> avenger/MqwgKG.exe
      [DETECTION] Is the Trojan horse TR/Dropper.Gen
      [INFO]      The file was moved to '47c1592b.qua'!
Begin scan in 'D:\' <VAIO>


End of the scan: martedì 11 dicembre 2007  10:57
Used time: 29:49 min

The scan has been done completely.

   6961 Scanning directories
 201943 Files were scanned
      1 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      1 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 201942 Files not concerned
   1143 Archives were scanned
      1 Warnings
      1 Notes

Credo comunque il file sostetto sia il backup di avenger che ho eliminato
Grazie a tutti per la collaborazione!

**Chill-Out** · 11-12-2007, 12:08

a me sembra di no

**Chill-Out** · 11-12-2007, 12:14

ripristina il system restore e crea un punto di ripristino, ciao.

07-12-2007, 17:27	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Segui questa analisi preliminare http://www.hwupgrade.it/forum/showthread.php?t=1599737 ed allega i log secondo le Regole di Sezione, grazie. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

07-12-2007, 18:07	#4
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	ti ho chiesto di seguire la guida e alla fine postare un log di HJT __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

08-12-2007, 12:30	#7
borexino Senior Member Iscritto dal: Feb 2005 Messaggi: 374	Speriamo bene! Ho zippato i log ricavati da HJ, a-squared Free, PAVARK, ADSR. Speriamo che io abbia imparato.... scusate Di seguito il pacchetto zip con i logs logs.zip - 0.01MB Grazie __________________ La ditta PATISCE ma non FALLISCE!!!!

11-12-2007, 12:08	#16
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	a me sembra di no __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

11-12-2007, 12:14	#17
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	ripristina il system restore e crea un punto di ripristino, ciao. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

10-12-2007, 20:32	#14
Riverside Bannato Iscritto dal: Jul 2007 Città: Riverside House Messaggi: 3333	Per la cronaca: Eraser mi ha comunicato che il problema segnalato è stato risolto.

Strumenti
Mostra una versione stampabile Invia questa pagina per email