Backdoor Win32.Haxdoor.ed

[M74T]

Log HijackThis

Quote:

Logfile of HijackThis v1.99.1
Scan saved at 8.32.09, on 11/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Trend Micro\Tmas\Tmas.exe
F:\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Regrun2] C:\PROGRA~1\Greatis\REGRUN~1\WatchDog.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programmi\Trend Micro\Tmas\Tmas.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: www.redfunny.com
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

Ragazzi mi aiutate a rimuovere questo bastardo, non capisco dove sbaglio, lo rimuovo ma al riavvio è sempre lì, non riesco ad eseguire nessun file exe l'unico è stato HijackThis in modalità provvisoria !!

Il file incriminato penso sia questo:

Quote:

O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll

Ho trovato anche queste info ma i file citati non li trovo

[andorra24]

Fixa:
R3 - Default URLSearchHook is missing
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: www.redfunny.com
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll

Se il fix non ti riesce in modalita' normale allora fallo in safe mode dopo aver disattivato il ripristino di sistema. Ti consiglio anche una scansione con ewido: http://download.ewido.net/ewido-setup.exe

[M74T]

Quote:

Originariamente inviato da andorra24

Fixa:
R3 - Default URLSearchHook is missing
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: www.redfunny.com
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll

Se il fix non ti riesce in modalita' normale allora fallo in safe mode dopo aver disattivato il ripristino di sistema. Ti consiglio anche una scansione con ewido: http://download.ewido.net/ewido-setup.exe

Niente da fare ...

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ avpu32
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ avpu64

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ avpu32.sys
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ avpu64.sys
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ avpu32.sys
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ avpu64.sys

"EnforceWriteProtection" = "0"

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Session Manager\ Memory Management

Quando cerco di rimuovere queste voci non mi dice che non è possibile !

Questa voce:
O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll non me la cancella.

Questi file non sono più presenti nel pc:
- avpu32.dll
- avpu64.sys
- qz.sys
- qz.dll
- qy.sys
- klogini.dll
- p3.ini

[andorra24]

Prova a fare una scansione con bitdefender free in modalita' provvisoria e con il system restore disattivato: http://www.bitdefender.com/site/Down...adFile/340/EN/
Aggiornalo e seleziona ''scan all files''.

[M74T]

Quote:

Originariamente inviato da andorra24

Prova a fare una scansione con bitdefender free in modalita' provvisoria e con il system restore disattivato: http://www.bitdefender.com/site/Down...adFile/340/EN/
Aggiornalo e seleziona ''scan all files''.

Niente da fare ! Nessun virus rilevato !

Non ho risolto niente !

[andorra24]

Ma hai disattivato il ripristino di sistema? Quale programma ti dice che sei infetto?

[M74T]

Quote:

Originariamente inviato da andorra24

Ma hai disattivato il ripristino di sistema? Quale programma ti dice che sei infetto?

Il ripristino è disattivato.
Il virus è stato rilevato una sola volta dal kaspersky che lo ha eliminato, il problema è che questo virus è stealth infatti al prossimo riavvio è sempre li ma il kaspersky non lo vede.
Tutti i file .exe o quasi non funzionano e danno sempre

anche in modalità provvisoria !!!

Riesco a trovare le voci nel registro relarive al avpu32, sempre in modalità provvisoria, ma non posso cancellarle.

Mi sa che formatto ... mi secca arrendermi ....

[andorra24]

E' un virus molto subdolo e forse e' attivo in memoria. Ti avra' probabilmente infettato il DOS. Fai un ulteriore tentativo con questo: http://ftp.isu.edu.tw/pub/Windows/Ed...e_20051010.exe
Comunque se pensi che ti abbia compromesso troppo il sistema ti conviene formattare.

[wgator]

Ciao,

tu che traffichi con linux, non hai un knoppix o un bart-pe, per cancellare quelle voci avviando da cdrom?

Quando trovo qualche schifezza incancellabile e non ho voglia di perdere tempo con move-on-bot o cose simili faccio sempre così

[M74T]

Quote:

Originariamente inviato da wgator

Ciao,

tu che traffichi con linux, non hai un knoppix o un bart-pe, per cancellare quelle voci avviando da cdrom?

Quando trovo qualche schifezza incancellabile e non ho voglia di perdere tempo con move-on-bot o cose simili faccio sempre così

Sei un genio ... perchè non ci ho pensato prima

Stasera riprovo ... grazie a tutti e due

EDIT: Risolto in 2 minuti con MiniPE-XT ! Ciao