Kernels32.exe VIrus e Task MAnager

[aldogailla]

Credo di essermi preso un virus riconducibile al file kernels32.exe che tenta di collegarmi a dialers. L'ho cancellato, ma sapete dirmi quale altri file vanno cancellati o chiavi di registro?

La cosa bella è che mi ha disattivato il task manager di windows.
PEr riattivarlo devo utilizzare questa chiave di registro?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system


Mi sapete dire il suo nome?

[YMen]

posta il log di hijackthis

[andorra24]

Posta il log di hijackthis per eliminare altri residui eventuali del virus.

[bluepix]

Le istruzioni per la rimozione e riattivare il task manager le trovi qui:
http://www.sophos.com/virusinfo/anal...dloaderfc.html

Per il task manager:
rimuovi : DisableTaskMgr = "1" dalla chiave oppure metti il valore "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

[aldogailla]

Ecco qua il log

Logfile of HijackThis v1.99.1
Scan saved at 21.32.44, on 20/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\stchost.exe
H:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
H:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
H:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
H:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe
H:\Programmi\ATI Technologies\ATI.ACE\cli.exe
H:\Programmi\Trend Micro\Internet Security 2005\pccguide.exe
H:\Programmi\Microsoft AntiSpyware\gcasServ.exe
H:\Programmi\Motherboard Monitor 5\MBM5.EXE
H:\Programmi\RivaTuner v2.0 RC 15.5\RivaTuner.exe
H:\Programmi\Coolspot\Dialer Control\dc.exe
H:\WINDOWS\system32\ctfmon.exe
C:\FRAPS\FRAPS.EXE
H:\Programmi\HDD Health\hddhealth.exe
H:\Programmi\MSN Messenger\MsnMsgr.Exe
H:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
H:\Programmi\Maxthon\Maxthon.exe
H:\Programmi\Outlook Express\msimn.exe
H:\WINDOWS\regedit.exe
C:\hijjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NVMixerTray] "H:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATICCC] "H:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [pccguide.exe] "H:\Programmi\Trend Micro\Internet Security 2005\pccguide.exe"
O4 - HKLM\..\Run: [gcasServ] "H:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MBM 5] "H:\Programmi\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [RivaTuner] "H:\Programmi\RivaTuner v2.0 RC 15.5\RivaTuner.exe" /T
O4 - HKLM\..\Run: [Dialer Control] H:\Programmi\Coolspot\Dialer Control\dc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - HKCU\..\Run: [HDDHealth] H:\Programmi\HDD Health\hddhealth.exe -wl
O4 - HKCU\..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = H:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{64F8F3C1-1F51-4EB1-BB6E-1861D548B437}: NameServer = 62.94.0.1 62.94.0.2
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: stchost.exe (moto) - Unknown owner - H:\WINDOWS\stchost.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - H:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - H:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - H:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - H:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

Ora devo provare a riattivare il task manager

[andorra24]

Io fixerei questi:
H:\Programmi\Coolspot\Dialer Control\dc.exe
O4 - HKLM\..\Run: [Dialer Control] H:\Programmi\Coolspot\Dialer Control\dc.exe
O23 - Service: stchost.exe (moto) - Unknown owner - H:\WINDOWS\stchost.exe

[aldogailla]

Quote:

Originariamente inviato da andorra24

Io fixerei questo:
O4 - HKLM\..\Run: [Dialer Control] H:\Programmi\Coolspot\Dialer Control\dc.exe

Ma non credo proprio si tratta di un programma anti dialers

Piuttosto
H:\WINDOWS\stchost.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{64F8F3C1-1F51-4EB1-BB6E-1861D548B437}: NameServer = 62.94.0.1 62.94.0.2

[YMen]

Quote:

Originariamente inviato da andorra24

Io fixerei questi:
O4 - HKLM\..\Run: [Dialer Control] H:\Programmi\Coolspot\Dialer Control\dc.exe
O23 - Service: stchost.exe (moto) - Unknown owner - H:\WINDOWS\stchost.exe

non mi sembra ci sia nulla di anomalo

[aldogailla]

Ma ne sei sicuro non e svchost?

[aldogailla]

Cmq messo apposto Task manager attendo info da esperti del settore

[andorra24]

Quote:

Originariamente inviato da aldogailla

Ma non credo proprio si tratta di un programma anti dialers

Guarda che dc.exe e' associato ad un worm. Puoi controllare qui:http://www.auditmypc.com/process/dc.asp

[aldogailla]

Quote:

Originariamente inviato da andorra24

Guarda che dc.exe e' associato ad un worm. Puoi controllare qui:http://www.auditmypc.com/process/dc.asp

Ma sei sicuro che sia lo stesso dc?

Bo è un software installato come antidialers mi sembra strano che sia un worm cmq chiedo lumi

[bluepix]

E' l'antidialer.
IMHO il problema è questo servizio:
O23 - Service: stchost.exe (moto) - Unknown owner - H:\WINDOWS\stchost.exe


Stoppa il servizio.

e poi cancella il file stchost.exe disabilitando il rispristino di sistema e in modalità provvisoria.

Hai applicato tutte le patch di sicurezza di Windows?

[aldogailla]

ok di altro non vedi nulla?

[andorra24]

Non c'e' nient'altro.

[bluepix]

Per ora no, ma ti consiglio di scaricare e lanciare mwav.exe che trovi qui
http://channels.lockergnome.com/wind...rus_tool.phtml

Basta clikkare sul file .zip (non installa nulla)

Prendi nota delle segnalazioni che vengono date nella parte inferiore della finestra.

[aldogailla]

Quote:

Originariamente inviato da bluepix

E' l'antidialer.
IMHO il problema è questo servizio:
O23 - Service: stchost.exe (moto) - Unknown owner - H:\WINDOWS\stchost.exe


Stoppa il servizio.

e poi cancella il file stchost.exe disabilitando il rispristino di sistema e in modalità provvisoria.

Hai applicato tutte le patch di sicurezza di Windows?

Cosa si tratta di questo?
O17 - HKLM\System\CCS\Services\Tcpip\..\{64F8F3C1-1F51-4EB1-BB6E-1861D548B437}: NameServer = 62.94.0.1 62.94.0.2

[bluepix]

Quote:

Originariamente inviato da aldogailla

Cosa si tratta di questo?
O17 - HKLM\System\CCS\Services\Tcpip\..\{64F8F3C1-1F51-4EB1-BB6E-1861D548B437}: NameServer = 62.94.0.1 62.94.0.2

Sono gli indirizzo DNS del tuo provider (Eutelia)


Lasciali come sono