Aiuto: Your System is Infected

[Synx]

Antefatto:
stavo curiosando per la prima volta da anni in siti warez e, pur senza tentare di scaricare nulla, mi sono imbattuto in una serie di trojan, dialer ecc.
MS Antispyware ha rilevato subito l'attacco, ma, nonostante la guardia alzata, sono stato infettato.
Con lo stesso Antispy, Ad-aware e Hijack This, in modalità provvisoria, ho cancellato tutti i file infetti rilevati.
Ciononostante, sullo sfondo del desktop continua a campeggiare l'immagine con la scritta come da oggetto, e non riesco a fare nulla per eliminarla.

Seguendo i consigli su un altro forum, ho rifatto tutto il processo usando il potente Ewido, che ha rilevato 156(!) trojan e compagni ignorati dai programmi MS e Lavasoft. Ad una seconda scansione ne erano rimasti una ventina

[log:
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009355.exe -> Spyware.Serpo : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009356.exe -> TrojanDownloader.Small.awa : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009357.exe -> Dialer.Generic : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009358.exe -> TrojanDownloader.Small.agq : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009359.exe -> TrojanDownloader.Small.agq : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009360.exe -> TrojanDownloader.Small.bdz : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009361.exe -> TrojanDownloader.Small.bdz : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009362.exe -> Dialer.Generic : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009363.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009364.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009365.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009366.exe -> TrojanDownloader.Agent.ho : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009367.exe -> TrojanDownloader.Agent.ho : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009368.dll -> Backdoor.Agent.iw : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009369.dll -> Backdoor.Agent.iw : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009370.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009371.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009372.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009373.exe -> Trojan.Crypt.i : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009374.exe -> Dialer.Generic : Pulito con Backup
C:\System Volume Information\_restore{9B314B3F-F49B-4C6E-9AB7-3A757BEE66F4}\RP140\A0009375.exe -> Dialer.Generic : Pulito con Backup
::Fine Rapporto]

ad una terza ed una quarta più nessuno.


Problema:
sullo sfondo del desktop continua a campeggiare Your System Is Infected, vessillo dell'infame Antispy Sheriff - immediatamente cancellato -.

Non vorrei aver cancellato o danneggiato, magari con hijack this, qualche file che si occupa ddlla gestione degli sfondi (e degli screensaver), oppure che ci sia ancora qualche spyware, malware ecc nascosto nei meandri del mio hard disk....


Vi passo il log attuale di Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 10.43.45, on 15/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Bluetooth Software\bin\btwdins.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\ewido\security suite\ewidoguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programmi\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: Servizio iPod (iPodService) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



Ah, ho notato che con certi programmi, come Photoshop ed il Blocco Note, che i pulsanti in alto (file, modifica, visuallizza ecc.) rimangono con le scritte in uno strano sfondo bianco che mai ho impostato, e mai avevo vista prima.

[VelenoX79]

il log di hijackthis sembra essere a posto,hai fatto anche una bella scansione con un ativirus?con quale?

[FOXYLADY]

Il tuo log mi sembra OK, puoi comunque, perchè inutili, fixare questi 2
O23 - Service: Servizio iPod (iPodService) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
controlla anche, in desktop->personalizza desktop->web che non sia stata impostata (dallo spyware) una pagina web come sfondo

[wgator]

Ciao,

se hai ancora quella scritta come sfondo del desktop: vai su desktop->personalizza desktop->web e togli il segno di spunta che trovi. Probabilmente va tutto a posto

EDIT: scusa Foxylady, non avevo fatto il refresh

[FOXYLADY]

Quote:

Originariamente inviato da wgator

Ciao,


EDIT: scusa Foxylady, non avevo fatto il refresh

No problem

x Synx
Devi mettere l'Sp2 ed evitare di entrare in quei siti e, se proprio non puoi farne a meno, almeno non entrarci con internet explorer, ma con un altro browser.

Ciao

[Synx]

Purtroppo la soluzione non pare essere così semplice:

da subito ho controllato se c'era qualche voce spuntata in WEB, ma così non é


In quei siti di solito non ci vado... come già detto, erano anni che non li visitavo.

Mi sono accorto anche io di non aver ancora aggiornato alla sp2 questo pc (mentre l'ho fatto su tutti quelli dell'ufficio...), appena sistemo questo problema rimedio.



Edit: uso Norton 2004 (aggiornato) e Kapersky.
Anche fixando con hijack this ipod e svchost, al successivo controllo mi si ripresentano. Li ho disattivati con esegui-msconfig-servizi, ma li ho riattivati non notando cambiamenti.

[FOXYLADY]

Hai provato a fare una scansione anche con CWS?
http://www.intermute.com/spysubtract..._download.html

[wgator]

Ciao,

mmh... ma quale tema di windows stai usando? Prova ad applicarne uno di default, per es. "Luna Theme" o "Windows Classic theme"

Se nel PC fai una ricerca "*.Theme" cosa viene fuori? Una volta ricercato il tema, se lo apri cosa succede? Si vede lo sfondo con la scritta? Secono me ti hanno semplicemente pasticciato il tema di sfondo. Prova ad applicare questo

[fester40]

Mi permetto di aggiungere che, nel caso dovessi navigare nuovamente su siti un po'........ , è buona norma disattivare Java perché è un tallone d'Achille, spesso sfruttata da schifezze varie per infettarti il PC.

[simonemo78]

Ragazzi come si disattiva il java? Interessa pure a me..ma sti siti warez che roba sono poi?

[akumasama]

Ciao Syn, effettivamente non c'avevo pensato... hai provato a cambiare tema? E vedere se in quel modo riesci a cambiare sfondo? Magari prova a farlo da provvisoria se dalla modalità normale non ti funziona...

[FOXYLADY]

Quote:

Originariamente inviato da simonemo78

Ragazzi come si disattiva il java? Interessa pure a me..ma sti siti warez che roba sono poi?

Non ti conviene disabilitare java e nemmeno javascript (sono 2 cose diverse) perchè ti renderesti incompatibile con una marea di siti nei quali non visualizzeresti più correttamente le pagine.
Tieni il browser costantemente aggiornato,soprattutto se usi IE, e vai tranquillo, al massimo di tanto in tanto svuoti la cache di java ed elimini tutti i file temporanei.

[Synx]

Mi permette di selezionare un nuovo tema, ma dando l'ok su uno differente non ottengo assolutamente nulla: rimane tutto uguale, sfondo "Your System Is Infected" compreso... 8-|

Davvero, le ho tentate tutte per cambiare lo sfondo, ma non ce n'é.

Una novità: aggiornando oggi Norton e facendo lo scan mi ha trovato quattro oggetti da ruovere. Tre li ha rimossi da sé, per il quarto ho dovuto riavviare in provvisoria e cancellare i Temp (era nascosto lì, tra quelli non visualizzati di default). Bello, però anche in questo caso non ho ottenuto NULLA.

Sempre allo stesso punto...


Ripeto la domanda: non sapete qual é il file che si occupa della gestione di sfondi, temi ecc?


Poi, mi sapete spiegare cosa sarebbe e a che serve scvhost,exe?




Ah, Foxlady, avevo già anche provato ad usare CWShredder, senza trovar nulla



Edit: leggo ora sul Corriere.it
Si chiamam ZOTOB ed è comparso dopo che il più grande produttore di programmi ha scoperto tre nuovi difetti "critici" STRUMENTIVERSIONE STAMPABILEI PIU' LETTIINVIA QUESTO ARTICOLO
SINGAPORE -E' stato indivuduato un nuovo virus su Internet che può infettare le piattaforme Windows di Microsoft più velocemente di quelli giù scoperti, ha detto un produttore di software anti-virus.

Il virus ZOTOB è comparso subito dopo che il più grande produttore mondiale di programmi ha avvertito di avere scoperto tre nuovi difetti "critici" nella sicurezza dei suoi software, uno dei quali permette agli aggressori di prendere completamente il controllo di un computer.
«L'ultimo virus sfrutta un buco nella sicurezza di Windows 95, 98, ME, NE, 2000 e XP e può fornire all'aggressore un accesso remoto ai sistemi colpiti», ha detto Trend Micro. «Centinaia di segnalazioni sono giunte da Stati Uniti e Germania», ha detto la Tren Micro con sede a Tokyo in un comunicato della settimana scorsa.


Non è che me lo sono beccato io? :-|

[wgator]

Quote:

Originariamente inviato da Synx

Poi, mi sapete spiegare cosa sarebbe e a che serve scvhost,exe?

Ciao,

attenzione: se è scritto in quel modo è un virus

[wgator]

Ciao

puoi tentare di intervenire sul servizio temi, disattivandolo momentaneamente e puoi verificare la "uxtheme.dll" che sia in versione originale Questa libreria dovrebbe occuparsi dei temi di windows

[Synx]

Gator, scusa l'ignoranza, ma mi spiegheresti come fare?



Guardando nell'utilità di config ho notato che windows è impostato per far partire all'avvio un file SNDMon.exe... sapete fdi che si tratta?

[FOXYLADY]

SNDMon.exe è un processo del norton, il servizio temi lo trovi in panello di controllo>strumenti di amministrazione>servizi, mentre per la uxtheme francamente non so, è meglio che aspetti wgator o qualcun altro.

Ciao

[FOXYLADY]

Potresti anche farti mandare via mail da qualcuno una uxtheme.dll originale di winxp, rinominare la tua per esempio in uxtheme.dk e mettere al suo posto quella nuova.
Il percorso è C:/Windows/Sistem32/uxtheme.dll

[Synx]

uxtheme.dll dovrebbe essere originale: mi dà come data di ultima modifica il Settembre 2002, come tutti gli altri elementi.

Ho provato anche a disattivare il servizio temi ma non succede nulla.



In compenso ora, forse a causa di tutti gli antivirus e spyware che ho installato, quando si accende il pc mi compare il messaggio:

----------------------------------------------
SERVER OCCUPATO
----------------------------------------------
impossibile completare l'operazione perché l'altro
programma é occupato
----------------------------------------------
[Passa a...] [Riprova]
----------------------------------------------



Sto iniziando a perdere la pazienza...

[reymisterio]

Anche a me era successo una volta, e non ero riuscito a risolvere quindi ho formattato tutto