File che si replicano..

[shadowm]

Ragazzi cerco aiuto.. non riesco a staccarmi da un virus che mi sta massacrando! Da premettere che io ho spostato la cartella documenti in un altra partizione creata sullo stesso hard disk principale e qui, nella cartella documenti si vengono a creare dei file dai nomi strani tipo rzsese.exe o gytonr.exe e affianco a questi dei file di sistema da 0kb dal nome khv, kht...

Proliferano in maniera pazzesca e non so come debellarli.. Ho provato con nod32 che non li rileva, Avg li rileva come SPR/Autoit.gen ma alcuni li lascia...

Vi prego aiutatemi xke sto uscendo pazzo..

[xcdegasp]

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

[shadowm]

Ok lo sto facendo.. ma nn hai nemmeno la pallida idea di cosa possa essere?

[xcdegasp]

molti virus creano file dal nome random e altri creano file dal nome simile ad altri virus.. il nome file da solo dice poco

[shadowm]

mah se cmque ti puo' essere utile l'infezione si propaga solo nella cartella Documenti e solo nelle cartelle dove sono dei file.. ed inoltre ci sono sempre dei file di sistema da 0kb dal nome khv, kht...

[shadowm]

Mi è stato segnalato un file sospetto dal nome reboot.exe in system32...

[shadowm]

Incomincio ad inviare il log di Malwarebytes e di Asquared free.. Inoltre ti allego un'immagine dei 2 file che si creano... li avevo cancellati, si sono ricreati con nomi diversi, unica cosa uguale i file di sistema hkv...

Immagine della cartella cn file infetti
17-08-2009 17.42.jpg

Malwarebytes:
mbam-log-2009-08-17 (14-10-00).txt


ASquaredFree
a2scan_090817-142011.txt

FSecure
report_fsols_4_0.html

Dr.Web
cureit filtrato.txt

SysInspector
SysInspector-MULETTOEEEBOX-090817-2113.xml

HJT
hijackthis.log

Gmer
mi crasha...


PrevX
17-08-2009 21.34.jpg

[xcdegasp]

con malwarebytes non hai eseguito nessun'azione sugli oggetti trovati infetti, con a-squared non hai messo in quarantena nulla, f-secure ha trovato vundo, Dr.WEb CureIT ha trovato 18 files ma per un qualche motivo il log filtrato non riporta gli oggetti individuati ma in ogni caso ness'azione presa su tali oggetti..

materiale più che sufficente per dirti di rifare le scansioni oper poi intraprendere l'azione di quarantena/delete

[shadowm]

eppure ho fatto tutto come detto nel post... comunque adesso ricomincio..
Dr. Web nn ha fatto niente xke ha trovato il virus win32.gael.3666 ma x qualke strano motivo quando trovava il file se lo "condividevano" Dr.Web e l'antivirus e non lo cancellavano nessuno dei due!

[xcdegasp]

pubblica allora subito il nuovo log di malwarebytes e vediamo cosa trova... ovviamente aggiornalo prima
poi fai a-squared e fermati con le scansioni

[shadowm]

adesso sto rifacendo tutto.. tra un po i risultati! Cmque grazie di cuore!

Ecco i risultati....

Logs Scansione

[shadowm]

chi è che gentilmente mi controlla i logs? Penso che adesso dovrebbe essere tutto pulito...

[Chill-Out]

Modalità di pubblicazione dei log:


Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[shadowm]

Logs:

Malwarebytes
ASquaredFree
FSecure
DrWeb
SysInspector
HJT
Gmer
PrevX

[xcdegasp]

Quote:

Originariamente inviato da shadowm

Logs:

Malwarebytes
ASquaredFree
FSecure
DrWeb
SysInspector
HJT
Gmer
PrevX

fixa:

Codice:

tutte le O16
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe (file missing)

per prevx devi pubblicare il log così poi ti chiediamo di far analizzare quei due files su virscan.org e virustotal.com

[shadowm]

Quote:

Originariamente inviato da xcdegasp

fixa:

Codice:

tutte le O16
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe (file missing)

per prevx devi pubblicare il log così poi ti chiediamo di far analizzare quei due files su virscan.org e virustotal.com

Ecco:

Prevx

[xcdegasp]

Codice:

[BP] h:\masterizzare\nero.l.926.b2.1\keymaker betamaster v.2\keymaker.exe	[PX5: BE9EC5E200CCE988AAC82EA227877C000BA6FB60]	Malware Group: Medium Risk Malware
[BP] c:\programmi\eset\nodenable.exe	[PX5: 53F03E00A7802078FC0D0421104A1200840AD87F]	Malware Group: High Risk Worm
[BP] c:\programmi\dvdfab 6\dvdfab.exe	[PX5: 211AE4F500C2537CF0375F0AF7C2A400885DE6DD]	Malware Group: Medium Risk Malware

il primo va eliminato senza scuse e senza ripensamenti, le infezioni si diffondono proprio per questo e ci sono validissimi programmi free che non fanno rimpiangere l'abbandono di nero, il thread dedicato qui:
http://www.hwupgrade.it/forum/showthread.php?t=1940232

fai scansionare su virscan.org e virustotal.com i seguenti files:
c:\programmi\eset\nodenable.exe
c:\programmi\dvdfab 6\dvdfab.exe

e pubblica qui i risultati per farlo basterà copiare l'indirizzo mostrato nel browser a fine scansione

[shadowm]

VirSCAN.org Scanned Report :
Scanned time : 2009/08/20 08:49:54 (CEST)
Scanner results: 32% Scanner(12/37) found malware!
File Name : nodenable.exe
File Size : 326823 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 6d7c3926218e6804589b500ab630cc66
SHA1 : d737c7c046f53165b109a601f09e2ea26b3e7d8a
Online report : http://virscan.org/report/2c592d8754...385d5b8a0.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.5.0.8 20090819200242 2009-08-19 1.31 Trojan.Generic!IK
AhnLab V3 2009.08.20.02 2009.08.20 2009-08-20 1.18 -
AntiVir 8.2.1.3 7.1.5.138 2009-08-19 0.32 TR/Spy.326823
Antiy 2.0.18 20090819.2718903 2009-08-19 0.02 -
Arcavir 2009 200908191609 2009-08-19 0.01 -
Authentium 5.1.1 200908191809 2009-08-19 2.63 -
AVAST! 4.7.4 090819-0 2009-08-19 0.02 Win32:Trojan-gen {Other}
AVG 8.5.288 270.13.61/2314 2009-08-20 0.31 Worm/Autoit.JCL
BitDefender 7.81008.3910886 7.27243 2009-08-20 3.52 -
CA (VET) 9.0.0.143 31.6.6687 2009-08-20 11.84 -
ClamAV 0.95.2 9721 2009-08-20 0.23 -
Comodo 3.10 2031 2009-08-20 1.62 UnclassifiedMalware
CP Secure 1.1.0.715 2009.08.19 2009-08-19 12.43 Troj.Spy.W32.Small.bzn
Dr.Web 4.44.0.9170 2009.08.19 2009-08-19 5.91 -
F-Prot 4.4.4.56 20090819 2009-08-19 1.60 -
F-Secure 7.02.73807 2009.08.19.15 2009-08-19 0.46 -
Fortinet 2.81-3.120 10.735 2009-08-19 1.15 -
GData 19.7260/19.445 20090820 2009-08-20 8.45 Win32:Trojan-gen {Other} [Engine:B]
ViRobot 20090819 2009.08.19 2009-08-19 0.64 -
Ikarus T3.1.01.68 2009.08.20.73317 2009-08-20 4.71 Trojan.Generic
JiangMin 11.0.800 2009.08.20 2009-08-20 7.03 -
Kaspersky 5.5.10 2009.08.20 2009-08-20 0.41 -
KingSoft 2009.2.5.15 2009.8.20.14 2009-08-20 1.74 -
McAfee 5.3.00 5714 2009-08-19 3.48 Generic.dx
Microsoft 1.4903 2009.08.19 2009-08-19 8.32 -
Norman 6.01.09 6.01.00 2009-08-17 2.01 AutoRun.OBB
Panda 9.05.01 2009.08.19 2009-08-19 2.89 -
Trend Micro 8.700-1004 6.380.02 2009-08-19 0.08 -
Quick Heal 10.00 2009.08.19 2009-08-19 1.45 -
Rising 20.0 21.43.30.00 2009-08-20 1.59 -
Sophos 2.89.1 4.44 2009-08-20 5.07 Mal/Generic-A
Sunbelt 5345 5345 2009-08-19 2.59 -
Symantec 1.3.0.24 20090818.003 2009-08-18 0.27 -
nProtect 20090818.01 5093763 2009-08-18 12.35 -
The Hacker 6.3.4.3 v00383 2009-08-12 1.34 -
VBA32 3.12.10.9 20090818.1432 2009-08-18 3.83 Trojan-Downloader.Autoit.gen
VirusBuster 4.5.11.10 10.112.10/1800822 2009-08-19 4.12 -


VirSCAN.org Scanned Report :
Scanned time : 2009/08/18 05:06:35 (CEST)
Scanner results: 5% Scanner(2/37) found malware!
File Name : DVDFab.exe
File Size : 6287360 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 433352f66b0617d3a13c6db7c5ae9c93
SHA1 : 5cc7f7d3f528895522dacf914bc2082080e8d566
Online report : http://virscan.org/report/f35d5c1a05...665ed54a9.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.5.0.3 20090816200136 2009-08-16 0.54 -
AhnLab V3 2009.08.18.00 2009.08.18 2009-08-18 0.84 -
AntiVir 8.2.1.1 7.1.5.125 2009-08-17 0.18 -
Antiy 2.0.18 20090817.2716355 2009-08-17 0.13 -
Arcavir 2009 200908171743 2009-08-17 0.14 Heur.W32
Authentium 5.1.1 200908171729 2009-08-17 1.80 -
AVAST! 4.7.4 090817-0 2009-08-17 0.23 -
AVG 8.5.288 270.13.59/2310 2009-08-18 3.89 -
BitDefender 7.81008.3910010 7.27210 2009-08-18 4.47 -
CA (VET) 9.0.0.143 31.6.6681 2009-08-18 4.44 -
ClamAV 0.95.2 9706 2009-08-18 0.98 -
Comodo 3.10 2005 2009-08-17 1.42 -
CP Secure 1.1.0.715 2009.08.17 2009-08-17 12.58 Generic.W32
Dr.Web 4.44.0.9170 2009.08.17 2009-08-17 5.63 -
F-Prot 4.4.4.56 20090817 2009-08-17 1.68 -
F-Secure 7.02.73807 2009.08.17.13 2009-08-17 0.22 -
Fortinet 2.81-3.120 10.729 2009-08-17 0.74 -
GData 19.7205/19.443 20090818 2009-08-18 7.40 -
ViRobot 20090814 2009.08.14 2009-08-14 1.63 -
Ikarus T3.1.01.68 2009.08.18.73274 2009-08-18 3.50 -
JiangMin 11.0.800 2009.08.17 2009-08-17 12.17 -
Kaspersky 5.5.10 2009.08.18 2009-08-18 0.06 -
KingSoft 2009.2.5.15 2009.8.17.18 2009-08-17 0.89 -
McAfee 5.3.00 5712 2009-08-17 4.22 -
Microsoft 1.4903 2009.08.18 2009-08-18 14.71 -
Norman 6.01.09 6.01.00 2009-08-17 4.02 -
Panda 9.05.01 2009.08.17 2009-08-17 1.90 -
Trend Micro 8.700-1004 6.370.03 2009-08-17 0.14 -
Quick Heal 10.00 2009.08.17 2009-08-17 2.43 -
Rising 20.0 21.43.04.00 2009-08-17 2.51 -
Sophos 2.89.1 4.44 2009-08-18 3.19 -
Sunbelt 5337 5337 2009-08-16 1.90 -
Symantec 1.3.0.24 20090817.002 2009-08-17 0.22 -
nProtect 20090817.01 5085429 2009-08-17 6.67 -
The Hacker 6.3.4.3 v00383 2009-08-12 1.06 -
VBA32 3.12.10.9 20090817.1519 2009-08-17 2.97 -
VirusBuster 4.5.11.10 10.112.8/1792993 2009-08-17 4.39 -

[xcdegasp]

disinstalla nod32 e installa un antivirus realmente free come Avira Antivir Personal

poi impostalo come descritto in questa guida: http://www.hwupgrade.it/forum/showthread.php?t=1514684


fatto questo fai scansionare DVDFab.exe su www.virustotal.com , ti chiesi di farlo su entrambi perchè usano prodotti difefrenti tra cui virustotal usa prevx

[shadowm]

Antivirus Versione Ultimo aggiornamento Risultato
a-squared 4.5.0.24 2009.08.20 -
AhnLab-V3 5.0.0.2 2009.08.20 -
AntiVir 7.9.1.3 2009.08.20 -
Antiy-AVL 2.0.3.7 2009.08.20 -
Authentium 5.1.2.4 2009.08.19 -
Avast 4.8.1335.0 2009.08.20 -
AVG 8.5.0.406 2009.08.20 -
BitDefender 7.2 2009.08.20 -
CAT-QuickHeal 10.00 2009.08.20 -
ClamAV 0.94.1 2009.08.20 -
Comodo 2036 2009.08.20 -
DrWeb 5.0.0.12182 2009.08.20 -
eSafe 7.0.17.0 2009.08.20 -
eTrust-Vet 31.6.6691 2009.08.20 -
F-Prot 4.4.4.56 2009.08.19 -
F-Secure 8.0.14470.0 2009.08.20 -
Fortinet 3.120.0.0 2009.08.20 -
GData 19 2009.08.20 -
Ikarus T3.1.1.68.0 2009.08.20 -
Jiangmin 11.0.800 2009.08.20 -
K7AntiVirus 7.10.823 2009.08.20 -
Kaspersky 7.0.0.125 2009.08.20 -
McAfee 5715 2009.08.20 -
McAfee+Artemis 5715 2009.08.20 -
McAfee-GW-Edition 6.8.5 2009.08.20 -
Microsoft 1.4903 2009.08.20 -
NOD32 4353 2009.08.20 -
Norman 6.01.09 2009.08.20 -
nProtect 2009.1.8.0 2009.08.20 -
Panda 10.0.0.14 2009.08.20 -
PCTools 4.4.2.0 2009.08.20 -
Prevx 3.0 2009.08.20 -
Rising 21.43.34.00 2009.08.20 -
Sophos 4.44.0 2009.08.20 -
Sunbelt 3.2.1858.2 2009.08.20 -
Symantec 1.4.4.12 2009.08.20 -
TheHacker 6.3.4.3.384 2009.08.20 -
TrendMicro 8.950.0.1094 2009.08.20 -
VBA32 3.12.10.9 2009.08.20 -
ViRobot 2009.8.20.1893 2009.08.20 -
VirusBuster 4.6.5.0 2009.08.19 -
Informazioni addizionali
File size: 4218408 bytes
MD5...: 1bf6daddf6a5ec3c0acd3f12c810c843
SHA1..: 2a087242846d948abcc60e0da18bf98601ac3295
SHA256: fc252f4db2dfeb184f582a7b261379c5853c4281cff751aaa29212925ed5e52a
ssdeep: 983049aBclzGXPizmJtVsz7K2rC4yZCg3vZgJ9x/w+:+ayl6azEVsz7P6Zxyxw
+
PEiD..: ASProtect 1.33 - 2.1 Registered -> Alexey Solodovnikov
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4a687f07 (Thu Jul 23 15:17:27 2009)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x4b1000 0x1b1c00 8.00 82c4bd790e4c87ff4754b7b85c17f716
0x4b2000 0xff000 0x62800 8.00 ead6e48a45a9a9044e6ac3cbf2bc5d3d
0x5b1000 0x7b1000 0x11a00 8.00 e0c8d9126e8f35b77dd48b6b14567ed8
0xd62000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
0xd63000 0x1000 0x200 7.57 97667bb13febddfcc19bf51609ec8afc
.rsrc 0xd64000 0x910000 0x1a9c00 8.00 71679e9d2462f4f968b48d1fb55f55ee
0x1674000 0x1000 0x400 7.83 16961f037e0bd699e97a39cecfa8f300
.data 0x1675000 0x6c000 0x35000 7.77 602887d62b5bbfdeb920413b03e8810b
.adata 0x16e1000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 26 imports )
> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA
> winmm.dll: timeGetTime
> ole32.dll: CoInitializeEx
> crashrpt.dll: BT_InstallSehFilter
> user32.dll: MapVirtualKeyA
> gdi32.dll: SetStretchBltMode
> msimg32.dll: AlphaBlend
> comdlg32.dll: GetFileTitleA
> winspool.drv: DocumentPropertiesA
> advapi32.dll: CryptReleaseContext
> shell32.dll: DragQueryFileA
> comctl32.dll: -
> shlwapi.dll: PathRemoveFileSpecW
> oledlg.dll: -
> oleaut32.dll: -
> avcodec.dll: -
> avformat.dll: -
> avutil.dll: -
> version.dll: VerQueryValueA
> msvfw32.dll: ICSendMessage
> ws2_32.dll: -
> zlibwapi.dll: -
> ddraw.dll: DirectDrawCreate
> avifil32.dll: AVIFileInit
> oleaut32.dll: VariantChangeTypeEx
> kernel32.dll: RaiseException

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch
packers (F-Prot): Aspack