[WIN XP] riskware Mass-mailer Trojan Backdoor.Win32

[Enfry83]

Come si evince dal titolo, sono stato infettato da un bel Trojan...
Ora seguo la guida e posto tutti i log.

[Enfry83]

Quote:

Originariamente inviato da Enfry83

Come si evince dal titolo, sono stato infettato da un bel Trojan...
Ora seguo la guida e posto tutti i log.

ho seguito la guida e ora procedo a postare i vari Log.
Manca il Log di ADS Releaver perchè lavora su supporti NTFS e io non ne ho nel pc.

Prevxcsi:http://www.fileup.itadib.com/downloa...BbtkzBG1EWxC82
Gmer:http://www.fileup.itadib.com/downloa...UquZg0AnZuEdxg

Per quanto riguarda il Log di Gmer elenco di seguito le voci in rosso evidenziate dal programma:

Module \??\C:\WINDOWS\system32\sysrest.sys(***hidden***)
Process C:\WINDOWS\system32\sysrest32.exe(***hidden***)
Library C:\WONDOWS\system32\sysrest32.exe(***hidden***)@C:\WONDOWS\system32\sysrest32.exe[2332]
Service C:\WINDOWS\system32\drivers\fak32.sys(***hidden***)
Service C:\WINDOWS\system32\drivers\srtwe.sys(***hidden***)
FIle C:\WINDOWS\system32\sysrest.sys
Service C:\WINDOWS\system32\sysrest.sys

[murack83pa]

ciao,
allora, fai girare di nuovo gmer ed elimini le voci in rosso, tutte

nn capisco se asquared ha eliminato i file o meno......

posta quindi un nuovo log di gmer e anche di prevx csi

[Chill-Out]

Devi disabilitare il system restore ovvero ripristino configurazione sistema
Passa in quarantena la traccia rlevata da a-squared:

Quote:

c:\programmi\helper rilevati: Trace.Directory.I-Spy
Key: HKEY_USERS\S-1-5-21-676287219-989679101-3571283046-1004\software\freeware\{ffb51760-344e-4ffb-bfff-4b18c7ac1d63} rilevati: Trace.Registry.Startpage

e come ti è gia stato indicato rilancia Gmer ed elimina le righe rosse

[Enfry83]

Buongiorno,
allora per quando riguarda a-squared, i file non li ho cancellati,ma li ho messi tutti in quarantena compreso quello che mi ha indicato Chill-Out.
Ho fatto partire uno Scan di Gmer, e ho cancellato tutte le righe rosse, tutte tranne quella che inizia con "Module" che non riesco e poi ho fatto un log (Gmer_Log), poi come descritto nella guida ho riavviato, e prima di tutto mi è apparsa una finestra che mi indicava un errore di Sisrest32, Kaspersky non aveva più il solito problema è ha iniziato a rilevare diversi Torjan, dopodichè si è riavviato il pc; al suo riavvio tutto era tornato come in precedenza, ovvero Kaspersky dopo aver eliminato una minaccia si chiude, ho rifatto il log con Gmer, e sono riapparse le righe in rosso che avevo cancellato in precedenza (Gmer_Log_2).
Posto i Link per i due Log di Gmer, e per il Log di PrevxCsi
Gmer_Log:http://www.fileup.itadib.com/downloa...P0mZd989EZW1ay
Gmer_Log_2:http://www.fileup.itadib.com/downloa...y13QYOXDnVnCKm
PrevxCsi : http://www.fileup.itadib.com/downloa...mEEaGcpV8y8CLx

[Chill-Out]

Riesegui Gmer ed elimina tutte le righe rosse dopodichè senza riavviare il PC cancella il contenuto della cartella Prefetch in C:\WINDOWS\Prefetch mi raccomando devi cancellare solo il contenuto non la cartella poi dai in pasto ad Avenger questo Script:

Quote:

Files to delete:
C:\WINDOWS\system32\sysrest.sys
C:\WINDOWS\system32\sysrest32.exe

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\sysrest.sys

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | sysrest32.exe

al temine allega il log di Avenger + nuovo log di Gmer

Dimmi che cos'è questo: C:\d.exe

[Enfry83]

Ciao Chill-Out,
ho seguito le tue istruzioni, al riavvio dopo avenger, il pc era molto molto lento, e dopo poco si è riavviato da solo.
Adesso sembra essere tornata la pace nel pc, Kaspersky non si chiude più, e non mi identifica più la miriade di Trojan che mi trovava prima, e la velocità di esecuzione dei programmi è tornata normale, se non quasi meglio di prima.
Posto il Log di Gmer, e il Log di Avenger.
Per quanto riguarda il file C:\D.exe non so bene cosa sia.
Gmer : http://www.fileup.itadib.com/downloa...yGg0gLnNyFhiix

[Chill-Out]

Quote:

Ciao Chill-Out,
ho seguito le tue istruzioni, al riavvio dopo avenger, il pc era molto molto lento, e dopo poco si è riavviato da solo.

normale dopo lo svuotamente della Prefetch

Quote:

Adesso sembra essere tornata la pace nel pc, Kaspersky non si chiude più, e non mi identifica più la miriade di Trojan che mi trovava prima, e la velocità di esecuzione dei programmi è tornata normale, se non quasi meglio di prima.

ottimo

Per quanto concerne questo riskware Mass-mailer Trojan Backdoor.Win32 dovrebbe essere finalmente OK, adesso cerchiamo di capire cos'è questo C:\D.exe caricalo su www.virustotal.com ed indica il link dove visualizzare i risultati.

Allega anche un nuovo log di HijackThis

Edit: consiglio, aggiorna Kaspersky alla versione 7 questo macello non sarebbe successo

[Enfry83]

Innanzitutto grazie mille... Ne sai veramente un sacco...
Per quanto riguarda il file c:\d.exe di seguito trovi il link dei risultati :
http://www.virustotal.com/it/analisi...693604757ae845
e posto il Log di HijackThis.
Adesso posso riabilitare il Ripristino configurazioni di sistema o aspetto ancora?

[Chill-Out]

In Avenger

Quote:

Files to delete:

C:\d.exe

poi mi dici cos'è questo C:\Programmi\ElabNet\ElabNet.exe si è aggiunto adesso nell'altro log non c'era, se non lo conosci ma spero di sì lo fai analizzare come il precedente su Virustotal.com

Edit: allega log di Avenger, grazie.

[Enfry83]

Per quanto riguarda ElabNet è un programma che ho fatto io per il lavoro,
ti posto il Log di Avanger.
Una domanda tutte le volte che avvio Kaspersky mi trova e mi elimina il Trojan indicato nella foto di cui ti allego il Link
http://www.fileup.itadib.com/downloa...aBV1giQbPpoUjq

[Chill-Out]

C:\Documents and Settings\Alessio\hveoxpry.exe questo l'avevamo eliminato nel thread GUIDA alla rimozione virus da MSN Messenger (Thread semi-ufficiale) da dove è rispuntato tra l'altro successivamente all'eliminazione non l'ho visto più in nessun log, adesso faccio un'uteriore controllo.

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/83...b540/download/


Vediamo subito in Avenger

Quote:

Files to delete:

C:\Documents and Settings\Alessio\hveoxpry.exe

allega log, thx.

[Enfry83]

Buongiorno,
ho lanciato Avenger con lo script che mi hai detto, di cui posto il Log.
Però Avenger non ha trovato il file da cancellare, e al riavvio dopo Avenger Kaspersky ha fatto la stessa operazione che si vede nell'immagine che ti ho mandato ieri.

[Chill-Out]

Il system restore deve rimanere ancora disabilitato, pulizia con Ccleaner l'hai fatta? procedi così bisogna individuare il processo che ne impedisce la cancellazione quindi:

Scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/R...ools/SDFix.exe

ComboFix
Download: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)

NB: entrambi i tool devono essere eseguiti a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Esegui HijackThis clicca su Open the Misc Tool section clicca su Generate Startuplist log mettendo il segno di spunta su entrambi i campi a dx ovvere List also mirror..... e List empty allega il log rilasciato

Riepilogo dei log da allegare:
SDFix
ComboFix
Startuplist
Nuovo log di Gmer
Ciao