Condividi:        

sembra bagle ma non lo e' (forse)

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

sembra bagle ma non lo e' (forse)

Postdi bonelliangelo » 14/01/10 17:22

innanzi tutto vi ringrazio anticipatamente perche ci sono dei santi come voi....
allora il mio problema e' il seguente...
ho beccato questo virus che potrebbe essere una variante del famoso bagla
apparentemente funziona tutto apparte gli antivirus nel senso che la maggior parte non si installa e di altri(vedi mbam non mi fa neacnhe avviare il file per l'installazione)...ah un altra cosa a volte cerco di installare altri antivirus e mi dice che ce un altro programma antivirus installato( mi pare antimalware)ma sembra sia tutto disinstallato e me lo continua a ripetere...
premetto che l'audio funziona,ifile nascosti si vedono,il pc si riavvia e sembra andare veloce come al solito ma il virus rimane e non riesco a trovare niente...vi posso postare solamente i log di hijackthis e di combofix perche non sono riuscito a fare altro...

COMBOFIX

ComboFix 09-06-03.01 - Alessia 08/01/2010 14.36.31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.511.293 [GMT 1:00]
Eseguito da: K:\abc.exe
AV: AntiMalware *On-access scanning enabled* (Outdated) {28e00e3b-806e-4533-925c-f4c3d79514b9}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
- MODALITÀ CON FUNZIONALITÀ RIDOTTE -
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\Autorun.inf

.
((((((((((((((((((((((((( Files Creati Da 2009-12-08 al 2010-01-08 )))))))))))))))))))))))))))))))))))
.

2010-01-08 13:23 . 2009-03-24 15:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-08 13:05 . 2001-08-30 19:41 12160 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2010-01-08 13:05 . 2001-08-30 19:41 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys
2010-01-08 13:05 . 2001-08-17 21:02 9600 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2010-01-08 13:05 . 2001-08-17 21:02 9600 ----a-w- c:\windows\system32\drivers\hidusb.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-25 09:37 . 2004-08-19 12:00 63180 ----a-w- c:\windows\system32\perfc010.dat
2009-10-25 09:37 . 2004-08-19 12:00 425432 ----a-w- c:\windows\system32\perfh010.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"PcSync"="c:\programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 1449984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 36975]
"DSLSTATEXE"="c:\program files\D-Link\DSL-200\dslstat.exe" [2005-12-12 344064]
"DSLAGENTEXE"="c:\program files\D-Link\DSL-200\dslagent.exe" [2005-08-25 65536]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"WorksFUD"="c:\programmi\Microsoft Works\wkfud.exe" [2000-07-12 24576]
"Microsoft Works Portfolio"="c:\programmi\Microsoft Works\WksSb.exe" [2000-07-12 311350]
"Microsoft Works Update Detection"="c:\programmi\Microsoft Works\WkDetect.exe" [2000-08-23 28739]
"TrueImageMonitor.exe"="c:\programmi\Acronis\TrueImageWorkstation\TrueImageMonitor.exe" [2006-03-17 1102170]
"AcronisTimounterMonitor"="c:\programmi\Acronis\TrueImageWorkstation\TimounterMonitor.exe" [2006-03-17 1827640]
"Acronis Scheduler2 Service"="c:\programmi\File comuni\Acronis\Schedule2\schedhlp.exe" [2006-03-17 126976]
"UpdateManager"="c:\programmi\File comuni\Sonic\Update Manager\sgtray.exe" [2003-08-19 110592]
"TomTomHOME.exe"="c:\programmi\TomTom HOME\TomTomHOME.exe" [2008-02-14 3977128]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"AlcxMonitor"="ALCXMNTR.EXE" - c:\windows\ALCXMNTR.EXE [2003-04-04 50176]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio rapido HP Photosmart Premier.lnk - c:\programmi\HP\Digital Imaging\bin\hpqthb08.exe [2006-2-10 73728]
Promemoria del Calendario di Microsoft Works.lnk - c:\programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe [2000-7-12 24633]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Acronis\\TrueImageWorkstation\\TrueImage.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{831785d3-9b98-11de-8a73-00179a300101}]
\Shell\AutoRun\command - K:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{958ad02b-3d76-11de-8a1f-00179a300101}]
\Shell\AutoRun\command - K:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b0a973ba-0689-11de-89e9-00179a300101}]
\Shell\AutoRun\command - K:\InstallTomTomHOME.exe
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-richtx64.exe - c:\docume~1\Alessia\IMPOST~1\Temp\richtx64.exe
SafeBoot-procexp90.Sys


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-08 14:36
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...


c:\windows\system32\drivers\H8SRTyfqxeuwsfv.sys 39936 bytes executable
c:\docume~1\Alessia\IMPOST~1\Temp\H8SRT5dad.tmp 343040 bytes executable
c:\windows\system32\H8SRTboblxbqjkl.dll 40960 bytes executable
c:\windows\system32\H8SRTmlxwncwxhb.dat 194 bytes
c:\windows\system32\H8SRTpfqapuiuru.dll 23040 bytes executable

Scansione completata con successo
Files nascosti: 5

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\H8SRTd.sys]
"imagepath"="\systemroot\system32\drivers\H8SRTyfqxeuwsfv.sys"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\H8SRTd.sys]
@DACL=(02 0000)
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=expand:"\\systemroot\\system32\\drivers\\H8SRTyfqxeuwsfv.sys"
"group"="file system"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(700)
c:\windows\system32\CLBCATQ.DLL

- - - - - - - > 'lsass.exe'(756)
c:\windows\system32\relog_ap.dll
.
Ora fine scansione: 2010-01-08 14.38.25
ComboFix-quarantined-files.txt 2010-01-08 13:38

Pre-Run: 36.696.891.392 byte disponibili
Post-Run: 36.705.144.832 byte disponibili

128 --- E O F --- 2009-11-24 21:07

HIJACKTHIS

Logfile of HijackThis v1.99.1
Scan saved at 17.21.27, on 08/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Program Files\D-Link\DSL-200\dslagent.exe
C:\Programmi\Acronis\TrueImageWorkstation\TrueImageMonitor.exe
C:\Programmi\Acronis\TrueImageWorkstation\TimounterMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\TomTom HOME\TomTomHOME.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
K:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programmi\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageWorkstation\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageWorkstation\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe


vi ringrazio
bonelliangelo
Utente Junior
 
Post: 49
Iscritto il: 22/12/06 14:18

Sponsor
 

Re: sembra bagle ma non lo e' (forse)

Postdi Luke57 » 14/01/10 17:46

Ciao, Apri un file di testo (dal blocco note), ed inserisci il seguente script:


Codice: Seleziona tutto
Driver::
H8SRTd.sys

File::
c:\windows\system32\drivers\H8SRTyfqxeuwsfv.sys
c:\docume~1\Alessia\IMPOST~1\Temp\H8SRT5dad.tmp
c:\windows\system32\H8SRTboblxbqjkl.dll
c:\windows\system32\H8SRTmlxwncwxhb.dat
c:\windows\system32\H8SRTpfqapuiuru.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\H8SRTd.sys]


salva il file nella stessa directory dove hai salvato combofix chiamandolo obbligatoriamente CFScript.txt
quindi con il puntatore del mouse trascina il file sull'icona di combofix (tutto ciò in modalità normale).

Il programma effettuerà una nuova scansione....attendi la fine senza fare nulla e al termine riavvia il PC (dovrebbe farlo in automatico).
Posta sul forum il nuovo log situato sempre in c:\combofix.txt.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: sembra bagle ma non lo e' (forse)

Postdi bonelliangelo » 15/01/10 14:14

ciao,credo di avere risolto il problema...ho scaricato l'ultima vesione di combofeix.ho eseguito una scansione e mi a trovato diversi virus riconducibili al trojan h8srt....questo virus ho visto che ti infetta tramite un finto programma antivirus chiamato antimalware.....dopo aver aver cancellato questi tre o quattro rootkit ( che senza combofix o gmer non erano visibili) ho riavviato e gli antivirus sono partiti..ho fatto subito una scansione con avira e mi ha trovato un altro virussino non so se centra e hiddenext/crypted a0015342.pif

ora sembra funzionare tutto ma guardero' dopo alcuni riavvi e un po di navigazione su internet...vi ringrazio e vi saluto
bonelliangelo
Utente Junior
 
Post: 49
Iscritto il: 22/12/06 14:18

Re: sembra bagle ma non lo e' (forse)

Postdi variellone » 22/01/10 21:17

ciao a tutti!

iscritto ora!
mi chiamo Marco.

Ho appena combattuto contro il virus H8SRT e sembra che superantispyware (a cui ho dovuto cambiare nome prima di lancirlo per aggirare il "disallow") lo abbia messo in quarantena.....ora IEXPLORE.EXE non c'è più fra i processi....ma ho ancora paura, soprattutto perchè ho letto (se volete vi mando il link) che H8SRT installa sempre almeno un keylogger....

Ora ho due paure:
- come faccio ad essere sicuro che ho bloccato del tutto e rimosso H8SRT ?
- anche se lo ho bloccato, il keylogger potrebbe ancora funzionare?

Scusate, ma sono veramente una nullità in materia e confido nell'aiuto dei più esperti.

Mille grazie per il vostro tempo e buona serata!
Marco
variellone
Newbie
 
Post: 1
Iscritto il: 22/01/10 21:11

Re: sembra bagle ma non lo e' (forse)

Postdi shel » 22/01/10 21:50

ciao

prova con questo ttol apposito

http://support.kaspersky.com/downloads/ ... killer.zip

Apri la cartella TDSSKiller, doppio click sul file TDSSKiller e seguite le istruzioni a video.



Scarica e installa malwarebytes
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto e per ora non rimuovere nulla
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56


Torna a Sicurezza e Privacy


Topic correlati a "sembra bagle ma non lo e' (forse)":

FORSE PC INFETTATO???
Autore: danyela
Forum: Sicurezza e Privacy
Risposte: 19

Chi c’è in linea

Visitano il forum: Nessuno e 41 ospiti