Virus Help Assistant

Danielix71 · 11-11-2009, 08:35

Ciao a tutti!!
Non so come ho beccato un MBR Rootkit, mi portava alla crezione di cartelle Help Assistant nella cartella document and settings, non mi funzionava più mesn messenger e avevo qualche problemini durante la navigazione.
Ho eseguito quello che consigliate in questo forum per la disinfestazione, utilizzando mbr.exe e poi doctorweb cure it, che ha segnalato la presenza di un Troyan (cancellato) e di virus in Office messi in quarantena e poi rimossi.
Ho cancellato lle cartelle Help Assistant, e tutto funziona bene anche se il log di MBR mi da questo rìsultato:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A380D80
malicious code @ sector 0x03A380D83 !
PE file found in sector at 0x03A380D99 !

la differenza tra quello prima dell'infezione e questo è che non mi da probabile infezione da rootkit mentre prima lo segnalava.

Ho fatto la scansione con GMER che invece me la da ancora probabile:
GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-11-10 21:45:51
Windows 5.1.2600 Service Pack 3

---- Kernel code sections - GMER 1.0.15 ----

? C:\DOCUME~1\Utente\IMPOST~1\Temp\mbr.sys Impossibile trovare il file specificato. !

---- User code sections - GMER 1.0.15 ----

.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 4027F4B1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 403F295F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 403F28E0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 403F2924 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 403F286C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 403F28A6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 403F299A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 402A182A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[1752] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 403F2B5C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 4027F4B1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 403F295F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 403F28E0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 403F2924 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 403F286C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 403F28A6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 403F299A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 402A182A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programmi\Internet Explorer\iexplore.exe[3976] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 403F2B5C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions)
Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Direct Access Component/Sonic Solutions)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] qeikyqm <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@DisplayName lzzuihyy
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@Description Fornisce tre servizi di gestione: il servizio Database catalogo, che serve per confermare le firme dei file di Windows; il servizio Archivio principale protetto, per aggiungere e rimuovere dal computer i certificati dell'autorit? di certificazione delle fonti attendibili; e il servizio Chiave, che aiuta a registrare i certificati nel computer. Se questo servizio ? interrotto, i servizi di gestione non funzioneranno in modo corretto. Se il servizio ? disabilitato, tutti i servizi che dipendono direttamente da questo non potranno essere avviati.
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm\Parameters@ServiceDll C:\WINDOWS\system32\fzzaq.dll
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@DisplayName lzzuihyy
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@Description Fornisce tre servizi di gestione: il servizio Database catalogo, che serve per confermare le firme dei file di Windows; il servizio Archivio principale protetto, per aggiungere e rimuovere dal computer i certificati dell'autorit? di certificazione delle fonti attendibili; e il servizio Chiave, che aiuta a registrare i certificati nel computer. Se questo servizio ? interrotto, i servizi di gestione non funzioneranno in modo corretto. Se il servizio ? disabilitato, tutti i servizi che dipendono direttamente da questo non potranno essere avviati.
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm\Parameters@ServiceDll C:\WINDOWS\system32\fzzaq.dll

---- Files - GMER 1.0.15 ----

File C:\winzip.log 70 bytes

---- EOF - GMER 1.0.15 ----

Che devo fare?????
Grazie anticipate del vostro aiuto.
Daniele

wjmat · 11-11-2009, 08:38

ciao

ricarica i log secondo le regole di sezione nel 3d dedicato che hai già visto

**Chill-Out** · 11-11-2009, 08:44

Utilizzare il 3D dedicato, chiudo.

11-11-2009, 08:35	#1
Danielix71 Junior Member Iscritto dal: Nov 2009 Messaggi: 28	Virus Help Assistant Ciao a tutti!! Non so come ho beccato un MBR Rootkit, mi portava alla crezione di cartelle Help Assistant nella cartella document and settings, non mi funzionava più mesn messenger e avevo qualche problemini durante la navigazione. Ho eseguito quello che consigliate in questo forum per la disinfestazione, utilizzando mbr.exe e poi doctorweb cure it, che ha segnalato la presenza di un Troyan (cancellato) e di virus in Office messi in quarantena e poi rimossi. Ho cancellato lle cartelle Help Assistant, e tutto funziona bene anche se il log di MBR mi da questo rìsultato: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x03A380D80 malicious code @ sector 0x03A380D83 ! PE file found in sector at 0x03A380D99 ! la differenza tra quello prima dell'infezione e questo è che non mi da probabile infezione da rootkit mentre prima lo segnalava. Ho fatto la scansione con GMER che invece me la da ancora probabile: GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net Rootkit scan 2009-11-10 21:45:51 Windows 5.1.2600 Service Pack 3 ---- Kernel code sections - GMER 1.0.15 ---- ? C:\DOCUME~1\Utente\IMPOST~1\Temp\mbr.sys Impossibile trovare il file specificato. ! ---- User code sections - GMER 1.0.15 ---- .text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 4027F4B1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 403F295F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 403F28E0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 403F2924 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 403F286C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 403F28A6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 403F299A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[1752] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 402A182A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[1752] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 403F2B5C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 4027F4B1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 403F295F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 403F28E0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 403F2924 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 403F286C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 403F28A6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 403F299A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[3976] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 402A182A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text C:\Programmi\Internet Explorer\iexplore.exe[3976] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 403F2B5C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions) Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions) Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions) Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions) Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer tfsnifs.sys (Direct Access Component/Sonic Solutions) Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Direct Access Component/Sonic Solutions) ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\svchost.exe (* hidden * ) [AUTO] qeikyqm <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@DisplayName lzzuihyy Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@Type 32 Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@ObjectName LocalSystem Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm@Description Fornisce tre servizi di gestione: il servizio Database catalogo, che serve per confermare le firme dei file di Windows; il servizio Archivio principale protetto, per aggiungere e rimuovere dal computer i certificati dell'autorit? di certificazione delle fonti attendibili; e il servizio Chiave, che aiuta a registrare i certificati nel computer. Se questo servizio ? interrotto, i servizi di gestione non funzioneranno in modo corretto. Se il servizio ? disabilitato, tutti i servizi che dipendono direttamente da questo non potranno essere avviati. Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\qeikyqm\Parameters@ServiceDll C:\WINDOWS\system32\fzzaq.dll Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@DisplayName lzzuihyy Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@Type 32 Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@Start 2 Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm@Description Fornisce tre servizi di gestione: il servizio Database catalogo, che serve per confermare le firme dei file di Windows; il servizio Archivio principale protetto, per aggiungere e rimuovere dal computer i certificati dell'autorit? di certificazione delle fonti attendibili; e il servizio Chiave, che aiuta a registrare i certificati nel computer. Se questo servizio ? interrotto, i servizi di gestione non funzioneranno in modo corretto. Se il servizio ? disabilitato, tutti i servizi che dipendono direttamente da questo non potranno essere avviati. Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\qeikyqm\Parameters@ServiceDll C:\WINDOWS\system32\fzzaq.dll ---- Files - GMER 1.0.15 ---- File C:\winzip.log 70 bytes ---- EOF - GMER 1.0.15 ---- Che devo fare????? Grazie anticipate del vostro aiuto. Daniele

11-11-2009, 08:38	#2
wjmat Senior Member Iscritto dal: Dec 2007 Città: Brianza Messaggi: 14704	ciao ricarica i log secondo le regole di sezione nel 3d dedicato che hai già visto __________________ fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording •

11-11-2009, 08:44	#3
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Utilizzare il 3D dedicato, chiudo. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

Strumenti
Mostra una versione stampabile Invia questa pagina per email