Variante di Win32/Kryptic BCA Trojan Horse

[Am I Evil?]

Allora ho Nod32 che continua a segnalarmi ed eliminarmi più o meno ogni 5 minuti, SOLO QUANDO SONO CONNESSO IN INTERNET ed ANCHE a browsers chiusi, questa cosa:

http://img684.imageshack.us/img684/9397/nod32.jpg

solo che continua a riformarsi.
Dall'immagine non si vede, ma tale intrusione avviene tramite l'applicazione C:\windows\System32\svchost.exe

Ho fatto in principio una scansione con PrevxCSI 3.0, ma non mi ha rilevato nulla, ho notato però che tenendo attivo il controllo di PrevxCSI, mi segnala, contemporaneamente quando Nod32 mi rileva quel bot.exe, ciò:

http://img109.imageshack.us/img109/3931/prevcsi.jpg

Vi lascio i logs in allegato delle varie scansioni.

Con Malwarebytes' Anti-Malware ne ho fatti un po', perché inizialmente non mi ero accorto di aver fatto quella rapida, inoltre avevo trovato della roba sospetta e l'ho eliminata, poi ne avevo fatta un'altra, ma ero indeciso se eliminare o no delle cose, alla fine ho fatto anche la completa.

Ah, purtroppo di a-squared free non ho salvato il log, ma oltre a cookie di basso rischio non mi aveva segnalato nulla di sospetto.
E anche la scansione online, nulla di sospetto, ma lì non ho capito come si salvava il file log.
In più ho fatto una scansione anche con Spybot Search & Destroy, ma zebra.

Con Dr.Web non ho cancellato quello che mi segnala, perché non mi sembrano file da cancellare.
Comunque vedete un po' voi...io non ci capisco più nulla... nel PC mi sembra non esserci nulla, ma Nod32 continua a segnalarmi quel bot.exe.
Ditemi un po' voi cosa può essere e se devo iniziare a preoccuparmi.

EDIT: che bello, gmer ha trovato qualcosa

Log allegati
http://www.mediafire.com/?ryqmzmfzhzm

[xcdegasp]

i logs non devono essere zippati!

gmer deve essere scompattato prima in una directory creata appositam,ente per lui e poi eseguito!

idem per hijackthis!

le scansioni devono essere fatte nell'ordine descritto e devi cancellare o mettere inq uarantena gli oggetti individuati (prevx è l'unico che non esegue un'azione di pulitura)

il file host è da ricreare con solo la riga:
127.0.0.1 localhost
quindi quello attualmente che è in uso devi salvarlo come "hosts-bak"
lo trovi in c:\windows\system32\drivers\etc

immagino che se usi SQL Server tu sappia muoverti all'interno del file system e del sistma operativo, vero?
quindi non sarà nemmeno un problema impostare i dns di www.opendns.com come richiesto.

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

[Am I Evil?]

Ho già eseguito tutta la procedura...ho disattivato la configurazione automatica, ho impostato i DNS ed ho eseguito la pulizia con ATF-Cleaner.

Il file "host" ho appena visto che me l'ha già modificato correttamente Dr.Web con la scorsa scansione, mi ha lasciato già un backup del precedente.

Poi Gmer l'ho messo in una cartella, ma con la versione 1.0.15 mi fa riavviare il pc, mentre con la 1.013 va tutto bene.
Cosa faccio? la eseguo lo stesso con la 1.0.13?

[wjmat]

Quote:

Originariamente inviato da Am I Evil?

Poi Gmer l'ho messo in una cartella, ma con la versione 1.0.15 mi fa riavviare il pc, mentre con la 1.013 va tutto bene.
Cosa faccio? la eseguo lo stesso con la 1.0.13?

vada per la 1.0.13 se l'altra non va

[xcdegasp]

Quote:

Originariamente inviato da Am I Evil?

Ho già eseguito tutta la procedura...ho disattivato la configurazione automatica, ho impostato i DNS ed ho eseguito la pulizia con ATF-Cleaner.

Il file "host" ho appena visto che me l'ha già modificato correttamente Dr.Web con la scorsa scansione, mi ha lasciato già un backup del precedente.

Poi Gmer l'ho messo in una cartella, ma con la versione 1.0.15 mi fa riavviare il pc, mentre con la 1.013 va tutto bene.
Cosa faccio? la eseguo lo stesso con la 1.0.13?

rifai le scansioni con ordine e mancavano delle scansioni.

per disabilitare il riavvio in caso di errore:
start -> pannello di controllo -> sistema -> avanzate -> avvio e ripristino -> impostazioni
qui togliere il segno di attivazione alla cesellina "Riavvia automaticamente"
quindi premesere ok

[Am I Evil?]

Malwarebytes Anti-Malware

http://www.mediafire.com/?3k51jwanmkw


a-squared Free

http://www.mediafire.com/?m3ozj2iwtny


F-Secure OnLine

http://www.mediafire.com/?jdzoycztny1


Dr.Web CureIT

http://www.mediafire.com/?jwmfytgnyln


ESET SysInspector

http://www.mediafire.com/?qjymgtncydn


HiJackThis

http://www.mediafire.com/?elzvklvnyzz


Gmer

http://www.mediafire.com/?tlyzwyfkkul


Prevx 3.0

http://www.mediafire.com/imageview.p...g0iqum&thumb=4

[Am I Evil?]

Se può essere d'aiuto, posto anche i log delle precedenti scansioni con Malwarebytes Anti-Malware che poi è anche l'unico che mi rilevò delle infezioni:

1)
http://www.mediafire.com/?zir4klz524m

2)
http://www.mediafire.com/?eky0mj2thmz

3)
http://www.mediafire.com/?m5ddfr0qgnz

4)
http://www.mediafire.com/?ioyaxnz2kz3

5)
http://www.mediafire.com/?cm3gtlhmzwo

[xcdegasp]

malwarebytes devi aggiornarlo ogni volta prima di scansionare!


hijackthis e gmer sono stati lanciati senza averli prima scompattati.
manca il log di prevx..

[Am I Evil?]

Quote:

Originariamente inviato da xcdegasp

malwarebytes devi aggiornarlo ogni volta prima di scansionare!


hijackthis e gmer sono stati lanciati senza averli prima scompattati.
manca il log di prevx..

Scusa, ma per scompattarli cosa intendi?
Mettere il file in una cartella e lanciare il programma?

Il log di prevx, come si fa a salvare?


EDIT:

Ecco il log della scansione con malwarebytes aggiornato:

http://www.mediafire.com/?342zmjyt3ze

[xcdegasp]

Quote:

Originariamente inviato da Am I Evil?

Scusa, ma per scompattarli cosa intendi?
Mettere il file in una cartella e lanciare il programma?

Il log di prevx, come si fa a salvare?


EDIT:

Ecco il log della scansione con malwarebytes aggiornato:

http://www.mediafire.com/?342zmjyt3ze

salvare il file in una directory creata apositamente per lui e poi lanciato

per salvare il log c'è scritto nella "guida degli infetti" ed è:
"options" -> "save a log file"

[Am I Evil?]

Quote:

Originariamente inviato da xcdegasp

salvare il file in una directory creata apositamente per lui e poi lanciato

Ma così ho fatto.



Ecco il log di PrevX

http://www.mediafire.com/?wxmmzwzjcty

[xcdegasp]

Quote:

Originariamente inviato da Am I Evil?

Ma così ho fatto.



Ecco il log di PrevX

http://www.mediafire.com/?wxmmzwzjcty

ma solo ora lo hai pubblicato
il log è pulito

[Am I Evil?]

Quote:

Originariamente inviato da xcdegasp

ma solo ora lo hai pubblicato
il log è pulito

Non facciamo i furbini, io mi riferivo all'aver messo hijackthis e gmer in cartelle apposite prima di lanciarli.


Tuttavia i log puliti sono un brutto segno, perché significa che il problema non è stato ancora individuato.

[xcdegasp]

Quote:

Originariamente inviato da Am I Evil?

Non facciamo i furbini, io mi riferivo all'aver messo hijackthis e gmer in cartelle apposite prima di lanciarli.


Tuttavia i log puliti sono un brutto segno, perché significa che il problema non è stato ancora individuato.

sembrava... comunque a parte il software da aggiornare IE e acrobat reader, ecc.., vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

non c'è nulla di anomalo..


che sintomi di preciso riscontri?

[Am I Evil?]

Quote:

Originariamente inviato da xcdegasp

sembrava... comunque a parte il software da aggiornare IE e acrobat reader, ecc.., vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

non c'è nulla di anomalo..


che sintomi di preciso riscontri?

IE l'ho aggiornato oggi pomeriggio alla versione otto.
Immaginavo me l'ho aveste "imposto" anche se non lo uso.


I sintomi sono sempre gli stessi del primo post.
C'è Nod32 che mi blocca ogni 5 minuti l'ingresso di questo trojan da questo indirizzo:

http://img684.imageshack.us/img684/9397/nod32.jpg

Cosa lo faccia "scattare" però mi è ignoto perché tutti i log sono puliti.
Il problema si riscontra solo quando sono connesso alla rete.
Se la disattivo non ho più problemi (a parte entrare in internet )... ecco forse mi pare che la ventola di raffreddamento giri un po' di più del solito, ma per il resto è tutto normle.

Posso solo dire che quando il problema è iniziato stavo solo navigando ed avevo msn aperto...per il resto non ho installato nessun nuovo software.

[Am I Evil?]

Con grande slancio di fantasia... ho pensato di prelevare il file da quel link e farlo analizzare da virustotal:
E' già presente un report:

http://www.virustotal.com/it/analisi...acc-1258406410

Cosa ne pensate?

[xcdegasp]

Quote:

Originariamente inviato da Am I Evil?

IE l'ho aggiornato oggi pomeriggio alla versione otto.
Immaginavo me l'ho aveste "imposto" anche se non lo uso.


I sintomi sono sempre gli stessi del primo post.
C'è Nod32 che mi blocca ogni 5 minuti l'ingresso di questo trojan da questo indirizzo:

http://img684.imageshack.us/img684/9397/nod32.jpg

Cosa lo faccia "scattare" però mi è ignoto perché tutti i log sono puliti.
Il problema si riscontra solo quando sono connesso alla rete.
Se la disattivo non ho più problemi (a parte entrare in internet )... ecco forse mi pare che la ventola di raffreddamento giri un po' di più del solito, ma per il resto è tutto normle.

Posso solo dire che quando il problema è iniziato stavo solo navigando ed avevo msn aperto...per il resto non ho installato nessun nuovo software.

te lo avremmo consigliato in modo molto spinto perchè IE condivide componenti di sistema con windows stesso quindi se viene lasciato arrestrato le patch applicate al SO non tapperanno completamente le falle.

quelle segnalazioni di nod32 sono semplicemente l'evidenza dell'assenza di un firewall software che protegga il pc quindi tutta la spazzatura che gira in rete a quanto pare può contattare il pc, in questo caso un pc di una botnet ti sta attaccando e nod32 blocca.

comprati un routeradsl, mantieni in questo la nat attiva, poi installa nel pc un firewall software gratuito come OnlenArmor o Comodo-Firewall


ps: mi zipperesti questo file e me lo uppi su un server gratuito come wikisend.com mandandomi in pvt il link per il download?