worm o trojan??

[ipertotix]

a seguito di una insistente infezione che dura gia da tre giorni, il mio sistema (OS WIN XP SP3) è completamente infestato da quello che avira (antivirus che utilizzo tuttora..) mi segnala come un trojan (TR/downloader.gen) o come un worm (rbot!ic)....non ho capito bene cosa possa essere....fatto sta che dopo innumerevoli scansioni con i piu disparati antivirus e anti-malware, non sono ancora riuscito a debellare questa infezione....riporto qui di seguito i log delle scansioni richieste dalle regole di sezione, eseguite dopo aver disabilitato il ripristino di sistema e aver eseguito ATFCLEANER :

ditemi voi come devo muovermi e se il sistema risulta ancora infetto dopo avere eseguito le suddette scansioni...

byezzz

[wjmat]

ciao

ricarica cortesemente i log su uno dei server indicati nelle regole di sezione, grazie

[ipertotix]

mbam-log-2009-05-12 (18-00-30).txt

a2scan_090512-181358.txt

fsecure12-05-09.txt

CureIt 12-05-09.log

SysInspector-090512.zip

hijackthis 12-05-09.log

gmer_12-05-09.log

prevx_12-05-09.log

[wjmat]

il log di cureit se l'avessi filtrato facevi più in fretta a caricarlo e npoi a scaricarlo comunque è ok


Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

F3 - REG:win.ini: load=C:\DOCUME~1\ToTo\DATIAP~1\MICROS~1\esentutl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RivaTuner] "C:\Programmi\RivaTuner v2.24\RivaTuner.exe" /T
O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Programmi\File comuni\Wise Installation Wizard\WISDD1865F0AD7340FBB23E1822E02396FF_9_09_0203.MSI" TRANSFORMS="C:\Programmi\File comuni\Wise Installation Wizard\WISDD1865F0AD7340FBB23E1822E02396FF_9_09_0203.MST" WISE_SETUP_EXE_PATH="c:\nvidia\winxp\182.50\is\PhysX_9.09.0203_SystemSoftware.ex e"
O4 - HKLM\..\Policies\Explorer\Run: [Cisvc] C:\WINDOWS\System32\drivers\cisvc.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\DOCUME~1\ToTo\DATIAP~1\clipsrv.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\esentutl.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MqtgSVC] C:\WINDOWS\mqtgsvc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MstInit] C:\DOCUME~1\ToTo\DATIAP~1\mstinit.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Logman] C:\DOCUME~1\ToTo\IMPOST~1\Temp\logman.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Mstsc] C:\WINDOWS\System32\drivers\mstsc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\ToTo\DATIAP~1\dllhst3g.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\WINDOWS\System\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ClipSrv] C:\Documents and Settings\ToTo\LOCALS~1\APPLIC~1\clipsrv.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\esentutl.exe /waitservice (User 'Default user')
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_si te.cab?1241665831906
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-j c.cab?e=1242075615631&h=6036e9b6157cc0eb08c97f720b39a6cc/&filename=jinstall-6u13 -windows-i586-jc.cab
O16 - DPF: {C237A80A-4C55-4C68-BAA9-CBE4408D12B2} (F-Secure Online Scanner 4.0 Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab

Scarica Avenger da qui
Estrailo e lancialo -> Clicca Ok -> Copia e Incolla TUTTO il codice segnalato qui sotto, nel riquadro bianco del programma
Togli la spunta a Scan for Rootkits -> Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato il log in c:\avenger.txt. caricalo per verificare che l'operazione abbia funzionato.

Codice:

Files to delete: 
c:\windows\system32\drivers\cisvc.exe
c:\windows\esentutl.exe
c:\documents and settings\toto\dati applicazioni\clipsrv.exe
c:\documents and settings\toto\dati applicazioni\microsoft\esentutl.exe

In caso non funzionasse assicurati di aver copiato tutto il testo del riquadro codice.
In caso avenger non partisse per colpa dell'infezione, rinominalo in un noma casuale prima di lanciarlo.

[ipertotix]

ok....ho eseguito alla lettera tutto quello che mi hai indicato e pare che non c'è piu traccia dell'infezione...allego il log di hijackthis dopo aver fixato tutti i processi..: hijackthis 14-05-09.txt

infine avenger sembra aver cancellato tutti i file incriminati...l'unico che non ha cancellato è cisvc.exe....ma perchè non l'ha trovato...

[wjmat]

fixa + log

Codice:

F3 - REG:win.ini: load=C:\DOCUME~1\ToTo\DATIAP~1\MICROS~1\mstinit.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Policies\Explorer\Run: [Mstsc] C:\DOCUME~1\ToTo\IMPOST~1\Temp\mstsc.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\ToTo\DATIAP~1\dllhst3g.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\System\comrepl.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\System\comrepl.exe /waitservice (User 'Default user')

+ nuovo log prevx

[ipertotix]

eccomi di nuovo....questo il log di hijackthis : hijackthis1.txt

e questo quello di prevx, dopo aver fixato gli ultimi processi...:

prevx 14-05-09.log

quest'ultima scansione con prevx d'altra parte, mi segnala che sono ancora presenti delle infezioni (avira però non me ne rileva nessuna..)

quasi quasi mi sto scoraggiando....non è che mi tocca formattare???? il sistema è nuovo e ho installato win xp e win 7 in dual boot da nemmeno una settimana...

[Chill-Out]

Quote:

Originariamente inviato da ipertotix

eccomi di nuovo....questo il log di hijackthis : hijackthis1.txt

e questo quello di prevx, dopo aver fixato gli ultimi processi...:

prevx 14-05-09.log

quest'ultima scansione con prevx d'altra parte, mi segnala che sono ancora presenti delle infezioni (avira però non me ne rileva nessuna..)

quasi quasi mi sto scoraggiando....non è che mi tocca formattare???? il sistema è nuovo e ho installato win xp e win 7 in dual boot da nemmeno una settimana...

Ciao disinstalla Prevx, riscaricalo - reinstallalo e produci nuovo log

[ipertotix]

nada...nada de nada....mi si sono ripresentate tutte le infezioni all'appello....allego altri log di mbam, hijackthis e prevx :

mbam-log-2009-05-15 (07-11-18).txt

prevx 15-5.log

hijackthis 15-5.txt

ho rifatto un'altra scansione dopo aver fixato un po di processi con hijackthis e cancellato un po di file con avenger e invece di diminuire le infezioni sono aumentate...guardate qui :

prevxx.log

ce n'erano una decina e al riavvio seguente (dopo aver cancellato tutti i files) ce n'erano 28...sto veramente perdendo le speranze...

[ipertotix]

non so perchè nè x come, ma sono riuscito a debellare questa maledetta infezione (che detto x inciso credo sia stato un worm e di quelli maledettamente ostinati..)

per dir la verità però, in effetti ho preso 2 accorgimenti che alla fine mi hanno aiutato nell'intento...ovvero ho sostituito il mio antivirus (peraltro ottimo), l'avira per tornare nuovamente al nod32 (ver. 4.0) e poi durante le innumerevoli scansioni ho disconnesso il pc dalla rete (visto che ho capito che il worm in questione scaricava di tutto e di piu)...risultato???
nod32 mi ha individuato un file (in un archivio compresso) che avira non aveva individuato ed era un elemento malevolo...dopodichè ho fatto una marea di scansioni con malwarebytes ed a-squared, altrettante con hijackthis e con l'aiuto di avenger ho fatto il resto....questo è il risultato, penso buono :

hijackthis final.txt

qualche consiglio sul mantenimento di questo risultato è ben accetto...

[Kenren]

purtroppo mi trovo nella stessa situazione, l'unica differenza è che durante la scansione avira non trova nulla, ha trovato altre infezioni ma non quella, poi invece la difesa attiva trova regolarmente il TR/Downloader.Gen nel file mdm.exe che cerca di accedere all'esterno, fare continue scansioni anche in modalità provvisoria senza rete non è servito,come anche l'uso di malwarebytes, sembra che l'eseguibile in questione sia collegato ad una funzione di debug di explorer, l'ho disattivato ma il problema si rispresenta, farò altre prove,certo è che cosi non me la sento di accedere a servizi online tipo banca....

[ipertotix]

Quote:

Originariamente inviato da Kenren

purtroppo mi trovo nella stessa situazione, l'unica differenza è che durante la scansione avira non trova nulla, ha trovato altre infezioni ma non quella, poi invece la difesa attiva trova regolarmente il TR/Downloader.Gen nel file mdm.exe che cerca di accedere all'esterno, fare continue scansioni anche in modalità provvisoria senza rete non è servito,come anche l'uso di malwarebytes, sembra che l'eseguibile in questione sia collegato ad una funzione di debug di explorer, l'ho disattivato ma il problema si rispresenta, farò altre prove,certo è che cosi non me la sento di accedere a servizi online tipo banca....

ti posso dare un paio di consigli a proposito, visto che con questa infezione c'ho avuto a che fare x piu di una settimana (come puoi vedere tu stesso dai post sopra...)...intanto, stacca il pc dalla rete quando esegui le scansioni e ripari i files (visto che il trojan in questione è un downloader)....poi individua il file infetto che genera l'infezione (di solito è un'archivio contenente una qualche patch, etc....)....a me ha aiutato nod32 ver. 4 in questo, cosa che nn era riuscita a fare l'altrettanto ottimo avira....poi fai tutte le scansioni di routine con malwarebytes, asquared, kaspersky, dr.web, etc....
una volta individuati i processi incriminati li fixi con hijackthis e poi elimini i files riamanenti con avenger....prova cosi (come ho fatto io..) e vedi un po...

[Kenren]

ciumbia,una bella sfilza di programmi da usare, a me il guard di avira dava infetto regolarmente l'mdm.exe pensavo bastasse bloccare il processo,ma tornava regolarmente, ho provato karspersky da live cd e ha trovato anche come infetto dirversi svchost.exe, putroppo arrivato al 40% è mancata la corrente e visto che erano 4 ore che andava avanti mi sono fermato li,ora ho montato il nod32 di prova,ho fatto una scansione ma non ha trovato nulla.

avira sarà anche buono, ma due trojan(e uno che non ricordo cosa) gli erano proprio sfuggiti, se mi puoi fare una scaletta precisa del processo che hai seguito faresti cosa gradita.

piccola considerazione, io apprezzo l'uso di software gratuito,ma più mi avvicino all'ambito professionale, più mi rendo conto che se vuoi certe prestazioni due soldi dalla tasca li devi tirare fuori,con oculatezza perchè pagare non sempre è sinonimo di sicurezza.

[wjmat]

antivir era configurato come da guida?
http://www.hwupgrade.it/forum/showthread.php?t=1514684