Sospetto troyan: TR/Bagle.DW.A.Z

[sabazio]

Da un po' di tempo la guard di Antivir si disattivava da sola ad ogni riavvio. Ho quindi fatto tutte le scansioni del caso, senza però rilevare niente. Ho notato però che nel log di hjiackthis è comparso questo processo che prima non c'era: C:\WINDOWS\system32\wuauclt.exe

Questo è il log completo:

Logfile of HijackThis v1.99.1
Scan saved at 21.35.51, on 22/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [JeticoPFStartup] C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
O4 - HKLM\..\Run: [avgnt] C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddTo List.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Previ ew.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPri nt.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print .html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O15 - Trusted Zone: http://www.scacchisti.it
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... ontrols/en /x86/client/muweb_site.cab?1156060406076
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{40F5BB3A-2DE8-4206-ACB2-F A437BF6375C}: NameServer = 85.37.17.49 151.99.125.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe

Ho fatto quindi una ricerca su Google, ed ho il ragionevole dubbio di essere stato infettato da questo troyan: TR/Bagle.DW.A.Z

La descrizione è contenuta in questo indirizzo: http://original.avira.com/en/threats/pr ... vir/1430/s ec/full/lang/11

Infatti la sintomatologia corrisponde (non riesco a collegarmi ai siti riportati, l'antivirus si disattiva, e poi nel registro, in HKLM/System/HKEY_USERS/S-1-5-21-1993962763-839522115-1957994 488-1003/Software/Microsoft/Search Assistant/ACMru/5603 sono presenti queste sottochiavi:

antiav_dll.dll
m_hook
hidr
wauclt.exe

Qualcuno può dirmi cosa devo fare per liberarmi di questo troyan? Gli sarei davvero grato. Grazie

[andorra24]

Ciao, il tuo log e' pulito e non emerge nessuna infezione visibile. Per quanto riguarda il tuo dubbio su questa voce C:\WINDOWS\system32\wuauclt.exe
ti posso dire che e' del tutto legittima. wuauclt.exe riguarda i Windows Update e la sua collocazione e' proprio in system32.

Se credi di avere il TR/Bagle.DW.A.Z posso linkarti il fix di rimozione della Symantec che sarebbe questo:
http://securityresponse.symantec.com/av ... Lodear.exe

Comunque ti consiglio di effettuare una scansione piu' ampia e generalizzata come quella di bitdefender online:
http://www.bitdefender.com/scan8/ie.html