WinXP - probabile infezione

[Fabio_B]

Salve gente. La situazione è questa:
Il computer problemi non ne da, ma facendo la scansione online di PandaActive Scan mi rileva un virus TROJAN.AGENT.GEN dicendo di averlo rimosso...ma il virus c'è ancora. Qui cè il suo log:

Codice:

Virus:Trj/Downloader.RKS
C:\WINDOWS\system32\~.exe

Common name: Downloader.RKS 
Technical name: Trj/Downloader.RKS 
Threat level: Medium 
Type: Trojan 
Effects:   It allows to get into the affected computer. It changes system permissions. It does not spread automatically using its own means.  
Affected platforms:  Windows 2003/XP/2000/NT/ME/98/95
 
First detected on: Dec. 1, 2007 
Detection updated on: Dec. 16, 2007 
In circulation? Yes 
Proactive protection: Yes, using TruPrevent Technologies

PrevXCSI mi rileva lo stesso virus nel file UPDATE_0712_KB141654.EXE con le seguenti informazioni:

Codice:

UPDATE_0712_KB141654.EXE

This executable program has a file size of 21,504 bytes, it is most frequently called UPDATE_0712_KB141654.EXE and is most frequently located in the %startmenu%\ folder.
This file is considered unsafe and is part of the malware group, TROJAN.AGENT.GEN. It was first seen on Saturday, Dec 15 2007. It has only been seen by one user in this section of the community. The file was first seen in ITALY but has been seen in other locations, including SPAIN.
UPDATE_0712_KB141654.EXE has been seen to perform the following behaviors:
- The Process is packed and/or encrypted using a software packing process
- This Process Deletes Other Processes From Disk
- Deletes Links in the Start Menu
- Executes a Process
- The process hooks code into all running processes which could allow it to take control of the system or record keyboard input, mouse activity and screen contents
UPDATE_0712_KB141654.EXE has been the subject of the following behaviors:
- Executed as a Process
- Deleted as a Link in the Start Menu

NOD32, SysClean, BitDefender online, A-Squared Free e Ad-Aware 2007 non mi rilevano nulla.
ESET ADS Revealer non vede nulla in c:\windows e trova alcuni file thumbs in C:\documens and settings che non riesce a correggere.
Gmer: diciture in rosso non ce ne sono.

Analizzando il log di HiJack online, risultano queste voci come sconosciute e consiglia di fixarle ma anche facendolo le voci si ripresentano.

O2 - BHO: (no name) - {19E202FA-C2AF-479F-876A-0BD21A9E8771} - c:\windows\system32\clusapie.dll

O2 - BHO: (no name) - {2E9F6A62-8CD1-47C0-B841-DB045D32C0B5} - C:\WINDOWS\system32\atitvo32w.dll (file missing)

O20 - Winlogon Notify: ekbbzkxc - C:\WINDOWS\SYSTEM32\clusapie.dll

Il programma CCleaner non riesce a correggere una chiave di registro chiamata: Problema ActiveX/COM InProcServer32\c:\WINDOWS\system32\atitvo32w.dll

Ripristino configurazione di sistema è disattivato.
Inoltre fino a poco tempo fa mi compariva questo problema, che non so se sia legato al virus o meno: error.bmp - 0.46MB

Cosa dite, cè l'infezione?
Grazie in anticipo!

[Chill-Out]

L'infezione ce' eccome, hosta su www.zshare.net i logs di Prevx CSI e HJT, ciao.

[Fabio_B]

ecco i due log:

hijackthis.log - 0.01MB

prevx csi.log - 0.29MB

[xcdegasp]

si dovrebbe seguire per intero la procedura descritta in Guida alla DISINFEZIONE per Infetti quindi non solo i log di HiJackThis e Prevx CSI ma ben di più che appunto offrono uno screenning completo!

per il momento ringrazio per la collaborazione

[Chill-Out]

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.
N.b.: durante la procedura di disinfezione non utilizzare software di messaggistica istantanea e file sharing

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/83...b540/download/

Avenger
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.
Script

Quote:

Files to delete:
C:\WINDOWS\system32\~.exe
c:\windows\system32\clusapie.dll
C:\WINDOWS\SYSTEM32\clusapie.dll
C:\WINDOWS\system32\atitvo32w.dll

Riavvia il PC in modalità provvisoria F8 e fixa le voci sottoindicate:

O2 - BHO: (no name) - {19E202FA-C2AF-479F-876A-0BD21A9E8771} - c:\windows\system32\clusapie.dll
O2 - BHO: (no name) - {2E9F6A62-8CD1-47C0-B841-DB045D32C0B5} - C:\WINDOWS\system32\atitvo32w.dll (file missing)
O20 - Winlogon Notify: ekbbzkxc - C:\WINDOWS\SYSTEM32\clusapie.dll
Ricorda che Hijackthis deve essere avviato da una cartella a lui dedicata. Solo così Hijackthis creerà copie di backup prima di apportare modifiche!

Riavvia il PC in modalità normale scarica Dr.Web CureIt prelevabile a questo indirizzo: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
N.B: una volta eseguito fà una scansione delle aree sensibili, cioè più a rischio di infezioni, una volta terminata questa prima fase, lancia una scansione di tutto il sistema

Riepilogo dei log da allegare:
Avenger
Nuovo log di HJT
CureIt

Ciao

[Fabio_B]

Scusate ma almeno il primo post lo avete letto?

Quote:

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.
N.b.: durante la procedura di disinfezione non utilizzare software di messaggistica istantanea e file sharing

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/83...b540/download/

Tutto questo l'ho gia fatto e nel primo post cè scritto

Quote:

si dovrebbe seguire per intero la procedura descritta in Guida alla DISINFEZIONE per Infetti quindi non solo i log di HiJackThis e Prevx CSI ma ben di più che appunto offrono uno screenning completo!

L'ho letta la guida ed infatti mi sembra di aver abbastanza rispettato il procedimento...no?
Ora procedo con Avenger e Dr.Web poi vi dico i risultati, intanto grazie per l'aiuto.

[Chill-Out]

Quote:

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.
N.b.: durante la procedura di disinfezione non utilizzare software di messaggistica istantanea e file sharing

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/83...b540/download/

il post l'ho letto e quello che leggo lo comprendo, ho preferito riepilogare i punti indicati per ulteriore scrupolo e per non vanificare l'intera procedura. Comunque la sequenza è la seguente Avenger - HijackThis - CureIt
Ciao attendiamo i log

[Fabio_B]

Ho seguito i vostri consigli ed ecco i log richiesti:

avenger.txt - 0.00MB

cureit.log - 7.54MB

hijackthis.log - 0.01MB

prevxcsi.log - 0.28MB

Da quel che ho capito Avenger non è riuscito ad eliminare quei file e neppure HiJack da modalità provvisoria. Dr.Web non mi pare che trovi nulla, mentre PrevX rileva ancora il solito virus.
Però ho rifatto qualche passata con CCleaner e quella chiave di registro che trovava sempre ora è riuscito a fixarla.

[Chill-Out]

Rilancia lo script di Avenger da modalità provvisoria, allega il log + un log degli Startup in questo modo:
Lancia HJT clicca su Open the Misc Tool section - clicca su Generate Startup List log mettendo il segno di spunta su entrambi i campi a dx

Ciao

[Fabio_B]

Fatto:

avenger.txt - 0.00MB

startuplist.txt - 0.03MB

[Chill-Out]

http://www.hwupgrade.it/forum/showpo...7&postcount=32

[Fabio_B]

Fatto:

combofix.txt - 0.01MB

hijack log.log - 0.01MB

hijack startuplist.txt - 0.03MB

Come procedo?

[Chill-Out]

Scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/R...ools/SDFix.exe

Log completo di Gmer bisogna trovare il componente che impedisce la cancellazione dei files + log di SDFix thx.

[Fabio_B]

Non riesco a reperire SDFix, pare che nel sito non sia piu disponibile...

[Chill-Out]

Quote:

Originariamente inviato da Fabio_B

Non riesco a reperire SDFix, pare che nel sito non sia piu disponibile...

http://downloads.andymanchesta.com/R...ools/SDFix.exe

[Fabio_B]

Ma tu riesci a scaricarlo da quell'indirizzo? hai provato? perche io ci ho provato in tutti i modi, il download parte ma si blocca verso la fine...

Edit: intanto allego due log di scansioni appena effettuate nel caso servissero. Ho notato ke prevx trova un file diverso infetto...

prevx csi.log - 0.29MB

gmer.log - 0.17MB

Intanto ti ringrazio vivamente per l'impegno che stai prestando

[Chill-Out]

te l'ho messo qui:
http://www.zshare.net/download/6027447a134e1b/

Edit: c'è qualcosa che non mi quadra per quanto riguarda i log mi potresti allegare anche questo:
C:\qoobox\ComboFix-quarantined-files.txt

[Fabio_B]

Era il Nod32 che mi bloccava il download del file... e faceva cosi anche con SmitFraudFix, perche li rileva come virus.
Eccoti i log: (ho rifatto anke quello di Gmer dopo aver lanciato SDFix)

report.txt - 0.09MB

gmer.log - 0.17MB

combofix-quarantined-files.txt - 0.00MB

[Chill-Out]

dovremmo essere in dirittura di arrivo, nuovo log di PrevX + HJT

Edit: prima dei log fai questo
Scarica sul Desktop SmitFraudfix e decomprimilo http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Riavvia in modalità provvisoria F8
Apri la cartella che contiene SmitfraudFix e avvia smitfraudfix.cmd
Seleziona opzione 2 - Clean cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio.
Rispondi Sì (Y) ad eventuali altre domande

[Fabio_B]

Il log di PrevX l'ho dovuto fare in modalità provvisoria perche in normale mi si chiudeva improvvisamente durante la scansione... Inoltre rileva ancora quel virus.
Di seguito trovi tutti i log:

hijackthis.log - 0.01MB

startuplist.txt - 0.03MB

prevx.log - 0.24MB

smitfraudfix.txt - 0.00MB