AIUTO!!!!

[tonmon]

Ciao a sono sicuro di aver preso un virus vi mando il log di hijacthis
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12.21.07, on 30/03/2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I091.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\xqqcgxp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\tony\Desktop\HiJackThis_v2\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus C48 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I091.EXE /P23 "EPSON Stylus C48 Series" /O6 "USB002" /M "Stylus C48"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\xqqcgxp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\winsys.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 1009383940
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5CFD0B8-8763-4FC4-860D-43EDE7F96CF9}: NameServer = 85.37.17.11 151.99.125.1
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Apache Tomcat (Tomcat5) - Apache Software Foundation - C:\Programmi\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe

--
grazie per la disponibilita

[Luke57]

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | Advanced DHTML Enable
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | 1

files to delete:
C:\WINDOWS\winsys.exe
C:\WINDOWS\System32\xqqcgxp.exe


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.

[tonmon]

Innanzitutto grazie per l'interessamento Luke57, ho eseguito le istruzioni che mi hai indicato e ti posto il log file

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jbkjvnyw

*******************

Script file located at: \??\C:\ykbpytnm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\winsys.exe not found!
Deletion of file C:\WINDOWS\winsys.exe failed!

Could not process line:
C:\WINDOWS\winsys.exe
Status: 0xc0000034

File C:\WINDOWS\System32\xqqcgxp.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Advanced DHTML Enable deleted successfully.


Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|1
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|1 failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Ah una cosa per quanto riguarda la linea dello script
File C:\WINDOWS\winsys.exe not found!
Deletion of file C:\WINDOWS\winsys.exe failed!
non trova questo files perche' l'avevo fixato con hijackthis

ciao e grazie ancora

[firewolf]

sono reduce da un'odissea durata 10 giorni con un cavallo di troia davvero pazzesco, premetto che ho usato tutto quello che esiste sul mercato per quanto riguarda la sicurezza in internet, ed anche con l'aiuto di microsoft non riuscivo a capire perchè non riuscivo a navigare, ovvero mi collegavo, il login era OK, ma il browser si bloccava dopo appena 300.000 byte inviati, a quel punto il mio pc iniziava ad inviare byte come un pazzo ma ne riceveva pochissimi.
Dopo questa premessa, ti do alcuni consigli, io ci sono riuscito, poi fai tu!!

Metodo di propagazione:
• Rete locale


Alias:
• Kaspersky: Backdoor.Win32.VanBot.ay
• F-Secure: Backdoor.Win32.VanBot.ay
• Eset: Win32/Poebot


Piattaforme / Sistemi operativi:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003


Effetti secondari:
• Duplica un file
• Registra le battute di tastiera
• Modifica del registro
• Sottrae informazioni
• Accesso e controllo del computer da parte di terzi

File Fa una copia di se stesso utilizzando un nome file dalla lista:
– A: %SYSDIR%\ Utilizzando uno dei seguenti nomi:
• csrs.exe
• logon.exe
• explorer.exe
• supoolsvc.exe
• lsass.exe
• algs.exe
• iexplore.exe
• winamp.exe
• firewall.exe
• lssas.exe
• winIogon.exe
• spooIsv.exe
• spoolsvc.exe




Cancella la copia di se stesso eseguita inizialmente.



Viene creato il seguente file:

– %directory di esecuzione del malware%\%stringa di caratteri casuale%.bat Viene eseguito ulteriormente dopo che è stato completamente creato. Questo file automatico è utilizzato per cancellare un file.
Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Client Server Runtime Process"="%SYSDIR%\csrs.exe"
• "Windows Logon Application"="%SYSDIR%\logon.exe"
• "Windows Explorer"="%SYSDIR%\explorer.exe"
• "Spooler SubSystem App"="%SYSDIR%\supoolsvc.exe"
• "Local Security Authority Service"="%SYSDIR%\lsass.exe"
• "Application Layer Gateway Service"="%SYSDIR%\algs.exe"
• "Microsoft Internet Explorer"="%SYSDIR%\iexplore.exe"
• "Winamp Agent"="%SYSDIR%\winamp.exe"
• "Windows Network Firewall"="%SYSDIR%\firewall.exe
• "Local Security Authority Service"="%SYSDIR%\lssas.exe"
• "Windows Logon Application"="%SYSDIR%\winIogon.exe"
• "Spooler SubSystem App"="%SYSDIR%\spooIsvc.exe"
• "Spooler SubSystem App"="%SYSDIR%\spoolsvc.exe"

“Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
• IPC$
• print$
• C$\Documents and Settings\All Users\Documents\$
• admin$
• Admin$\system32
• c$\windows\system32
• c$\winnt\system32
• c$\windows
• c$\winnt
• e$\shared
• d$\shared
• c$\shared


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Nomi Utente:
• staff; teacher; owner; student; intranet; lan; main; office; control;
siemens; compaq; dell; cisco; ibm; oracle; sql; data; access;
database; domain; god; backup; technical; mary; katie; kate; george;
eric; none; guest; chris; ian; neil; lee; brian; susan; sue; sam;
luke; peter; john; mike; bill; fred; joe; jen; bob; wwwadmin; oemuser;
user; homeuser; home; internet; www; web; root; server; linux; unix;
computer; adm; admin; admins; administrat; administrateur;
administrador; administrator

– La seguente lista di Password:
• winpass; blank; nokia; orainstall; sqlpassoainstall; db1234; db2; db1;
databasepassword; databasepass; dbpassword; dbpass; domainpassword;
domainpass; hello; hell; love; money; slut; bitch; fuck; exchange;
loginpass; login; qwe; zxc; asd; qaz; win2000; winnt; winxp; win2k;
win98; windows; oeminstall; oem; accounting; accounts; letmein; sex;
outlook; mail; qwerty; temp123; temp; null; default; changeme; demo;
test; 2005; 2004; 2001; secret; payday; deadline; work; 1234567890;
123456789; 12345678; 1234567; 123456; 12345; 1234; 123; 007; pwd;
pass; pass1234; dba; passwd; password; password1; abc



Exploit:
Sfrutta le seguenti vulnerabilità:
– MS03-026 (Buffer Overrun in RPC Interface)
– MS03-049 (Buffer Overrun in the Workstation Service)
– MS04-011 (LSASS Vulnerability)
– MS05-039 (Vulnerability in Plug and Play)


Esecuzione remota:
–Tenta di pianificare una esecuzione remota del malware, sulla macchina “infettata” recentemente. Per fare questo utilizza la funzione NetScheduleJobAdd.

IRC Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette ai seguenti server IRC:

Server: l33.ko0ppol.**********
Porta: 4545
Canale: #nerds#
Nickname: %stringa di caratteri casuale%

Server: a11.je34ke5.**********
Porta: 8585
Canale: #nerds#
Nickname: %stringa di caratteri casuale%



– Questo malware ha la capacità di recuperare ed inviare informazioni quali:
• Velocità della CPU
• Utente corrente
• Dettagli sui driver
• Spazio libero su disco
• Memoria libera
• Informazioni sulla rete
• Dimensione della memoria
• Nome Utente
• Informazioni sul sistema operativo Windows


– In più ha la capacità di effettuare azioni quali:
• Lanciare un attacco DdoS SYN
• Download di file
• Effettuare scansione della rete

Sottrazione di informazioni Prova a sottrarre le seguenti informazioni:
– Le password registrate utilizzate dalla funzione di completamento automatico

– Le seguenti chiavi CD:
• World Of Warcraft
• Unreal3
• Steam
• Conquer Online

– Le password dai seguenti programmi:
• FlashFXP
• MSN
• OutlookExpress

– Dopo aver digitato con la tastiera una stringa che corrisponde a una delle seguenti, viene avviata una procedura di “tracciamento”:
• paypal; cd key; cd-key; cdkey; passwort; auth; sxt; login; pw=; pass=;
login=; password=; username=; passwd=; :auth; identify; oper;
MailPass; pass; unknown; user

– Cattura:
• Battute di tastiera

– Dopo aver visitato un sito web, che nel suo URL contiene la seguente sottostringa, viene avviata una procedura di “tracciamento”:
• paypal.com

– Cattura:
• Informazioni di login

Varie Mutex:
Crea il seguente Mutex:
• cd9f82a30d4ee5d683ae1fc7575b139ab344


questo e quello che fa il virus. non riuscivo ad aggiornare il mio antivirus perchè la connessione non andava e di conseguenza ero vulnerabile, e sono riuscito a debellarlo in questo modo:

1° assicurati di non avere nessun firewall attivato, e se c'è disinstallalo.
2° dopo aver disinstallato il firewall, riavvia il pc, al riavvio completato, premi ctrl-alt-canc e vai su processi, guarda attentamente, perchè se ho ragione, dovrebbe esserci un firewall.exe tra la lista, se e così, e probbabile che hai beccato l'ALGS.exe, che e un cavallo di troia molto Troia

3° SOLO SE SI VERIFICA COME DESCRITTO AL PASSO 2 PROSEGUI!
4° non ti rimane che riformattare tutto, e reinstallare windows XP
5° quando avrai installato windows, procedi così.

a) procurati questo programmino Agnitum Outpost firewall
b) la prima cosa che devi fare dopo aver reinstallato windows e l'istallazione di Outpost firewall.
c) disattiva gli Aggiornamenti automatici di windows, (start-pannello di controlo-prestazioni e manutenzione-sistema)
d) rimetti a posto la connessione che avevi prima
e) riavvia il sistema.

Connettiti, e dalle querry che si aprono dal firewall, autorizza solo iexplorer, svchost, qualsiasi altra cosa, prima di negare il permesso, fai una ricerca su internet, e poi decidi di conseguenza.

solo in questo modo potrai aggiornare il tuo antivirus e finalmente cancellarlo dal tuo sistema. spero di essere stato chiaro