mssync20 wtf?

[p:gro]

Salve a tutti

da qualche giorno il mio Avast trovava un file nella cartella system32
mssync20.sys, ad ogni operazione che cercavo di fare mi si riavviava il pc ...

Ieri ho eseguito la scansione all' avvio e non potendo riparare il file ho selezionato l'opzione sposta nel cestino

Questo è un log:
1187947939 p:Gro 1636 Sign of "Win32:Trojan-gen. {Other}" has been found in "C:\WINDOWS\System32\mssync20.sys" file.

Ora però dai log mi son accorto che continua ad apparire questa stringa:

1187983864 p:Gro 1724 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\WINDOWS\System32\mssync20.dll (C:\WINDOWS\System32\mssync20.dll) returning error, 00000005.

Come posso risolvere (evitando il format), non dicendomi il nome del trojan non posso nemmeno cercare un tool apposito ..

[Chill-Out]

Scarica AVG Anti-Rootkit Free da qui: http://free.grisoft.com/filedir/beta...p-1.1.0.42.exe
installalo e lancialo in modalità provvisoria F8.

[lancetta]

Ciao oltre l'ottimo consiglio di Chill-Out ti consiglio la solita procedura poichè il figlio di trojan in questione si scarica prima dai temporanei poi sia aggiunge in sistem32 e nel ripristino conf. del sistema...un'altra cosa,il malware ha funzioni di keylogger,quindi occhio alle password.

disattiva il ripristino config di sistema se non sai come fare vedi QUI link

Pulizia temporanei e index:scarica ATF Cleaner http://www.atribune.org/ccount/click.php?id=1 Avvia ATF Cleaner
(se usi Firefox o Opera, selezionali dal menu in alto)
metti la spunta su "Select All" per ogni browser
e clicca su "Empty Selected"

scarica Superantispyware aggiornalo e fagli fare una "Perform complete scan" da "scan your computer"

scarica a-squared Free 3.0 aggiornalo e fagli fare una scansione completa del sistema,i 2 soft sono free ed ottimi anche per il futuro.

log di hijackthis con più applicazioni possibili chiuse(emule,bit torrent,word,wmplayer ecc..)scaricalo da QUI LINK è stand alone (senza installazione)mettilo in una sua cartella dedicata, lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati, copi ed incolli nel prossimo post....fai anche una scansione degli ads Così:apri hijackthis clicca "open the misc tools section",click su "open ads spy",leva la spunta a "quick scan",click sul tasto "scan" e riporta qui cosa ha rilevato,se c'è qualcosa.

[Chill-Out]

quoto e poi distinstalliamo Avast in favore di Antivir

[p:gro]

vi ringrazio anticipatamente, faccio questa pulizia, perke' Avast no?, ho sempre saputo che e' un ottimo antivirus gratuito e occupa moolte meno risorse di quella porcheria della symantec

vado a purificare il ragazzo, vi do' riscontri appena finisco

[p:gro]

in modalità provvisoria non mi fa andare, mi carica cio' che deve caricarmi ... poi schermata nera con sotto scritto

press ESC to cancel loading vox347.sys .... sia che premo qualche pulsante si che non tocco niente mi si riavvia il pc e torna alla scelta delle modalità, tutte le modalità provvisorie non si avviano ...

ho pulito i temporanei con quel programmino (io usavo ccleaner), ho tolto il ripristino (conoscevo già, all' epoca del blaster mi toccava far cio' per eliminarlo) e ho eseguito una scansione completa dei dischi con SUPERantispyware , ma non ha trovato nulla

ora provo con a squared free

[lancetta]

mi raccomando la scansione con avg antirootkit e ci aggiungerei anche questo

Panda Antirootkit
decomprimi il file Zip, sul desktop
eseguilo(da amministratore del pc) stando connesso, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.

[Chill-Out]

Quote:

Originariamente inviato da p:gro

vi ringrazio anticipatamente, faccio questa pulizia, perke' Avast no?, ho sempre saputo che e' un ottimo antivirus gratuito e occupa moolte meno risorse di quella porcheria della symantec

vado a purificare il ragazzo, vi do' riscontri appena finisco

Antivir non ha nulla a che fare con Symantec, AVG Anti-Rootkit l'hai lanciato? se non funzione da modalità provvisoria, fallo da modalità normale anche se non è la stessa cosa.

[p:gro]

azzae' .. mentre asquared free scansiona avast impazza e mi dice:

Ho trovato un vairus!

nome file: C:\WINDOWS\TEMP\a2archive\keygen.exe <--- mi ricorda a squared

nome malware: win32 trojan-gen {other}

tipo di malware: vairus/worm

indi percui mi ritrovo costretto a rinominare e spostare nel cestino, non appena sposto mi appare un altro file con le stesse caratteristiche del primo e continuo cosi'

nome: C:\WINDOWS\TEMP\a2archive\Psiloc System Tools v1.42.exe
nome: C:\WINDOWS\TEMP\a2archive\Psiloc System Tools v1.51.exe
nome: C:\WINDOWS\TEMP\a2archive\sTools.exe

finkè non mi trova lo stesso keygen.exe con questa descrizione: Win32:Trojan-gen. {UPX!}

[Chill-Out]

Disattiva momentaneamente la protezione di Avast.

[p:gro]

ho finito lo scan di asquared, mi ha trovato:

c:\windows\system32\memman.vxd rilevati: Trace.File.Computer Monitor Keylogger
c:\windows\system32\videocapx.ocx rilevati: Trace.File.EasyFreeWebCam

e dei Trace.TrackingCookie + Riskware.Client-IRC.Win32.mIRC.16
ma quest'ultimo non lho eliminato perkè mi serve

il test di rootkits con avg come al solito non ha trovato nulla (avg inutile)
provo con il panda antirootkit

[p:gro]

nemmeno col panda antirootkit trova qualcosa

eppure ogni mezzora avast mi stampa nei log questo

25/08/2007 17.20.38 1188055238 p:Gro 1488 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\WINDOWS\System32\mssync20.dll (C:\WINDOWS\System32\mssync20.dll) returning error, 00000005.

e proprio alle 14:30 mi si e' riavviato il pc di botto, ho riacceso ho controllato il log e mi son ritrovato la stessa cosa

[lancetta]

posta il log di hijackthis poichè il file in questione dovrebbe essere visibile

[p:gro]

Logfile of HijackThis v1.99.1
Scan saved at 19.58.31, on 25/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Teamspeak2_RC2\TeamSpeak.exe
C:\Programmi\Messenger\msmsgs.exe
C:\DOCUME~1\p:Gro\IMPOST~1\Temp\Rar$EX00.234\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://virgilio.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n1ce.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://virgilio.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n1ce.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {DD2110F0-9EEF-11cf-8D8E-BBAA0070F55F} - C:\WINDOWS\System32\mssync20.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe

[lancetta]

Quote:

Originariamente inviato da p:gro

O2 - BHO: (no name) - {DD2110F0-9EEF-11cf-8D8E-BBAA0070F55F} - C:\WINDOWS\System32\mssync20.dll

eccolo lì fixalo senza pietà
poi scarica Avenger da qua AVENGER
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

Files to delete:
C:\WINDOWS\System32\mssync20.dll

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe
riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui.

Voglio anche dirti che hai il SP1 ti consiglierei dopo che hai ripulito il pc di scaricare il 2 in modo di essere un attimino più protetto...poi fai tu.

[p:gro]

done

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qdcriskp

*******************

Script file located at: \??\C:\wayjhoba.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\System32\mssync20.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

non mi garba l'sp2 .... mette troppa m**da nel pc a cominciare da quella porcheria di firewall

dici che e' finita qui l'agonia del mio pc? ... grazie!!!!!!!!!!!!

[Chill-Out]

Quote:

Originariamente inviato da p:gro

ho finito lo scan di asquared, mi ha trovato:

c:\windows\system32\memman.vxd rilevati: Trace.File.Computer Monitor Keylogger
c:\windows\system32\videocapx.ocx rilevati: Trace.File.EasyFreeWebCam

e dei Trace.TrackingCookie + Riskware.Client-IRC.Win32.mIRC.16
ma quest'ultimo non lho eliminato perkè mi serve

il test di rootkits con avg come al solito non ha trovato nulla (avg inutile)provo con il panda antirootkit

Ne AVG ne Panda anti rootkit hanno trovato nulla forse perchè li hai lanciati dopo aver fatto una deep scan con a-squared, "mssync20.sys" non può essere magicamente sparito.

[lancetta]

il file lo abbiamo sradicato con avenger, la chiave resettata.....Hum come và il pc?Avast trova ancora qualcosa?

[p:gro]

no per il momento si e' fermato il log domani ti faccio sapere

grazie comunque io avrei capito insomma ..
alla fine format c rotfl

[lancetta]

OK

Saluti