PDA

Visualizza versione completa : Worm autogenerante


GiulioCesare
06-03-2006, 11.33.31
Salve ragazzi, penso di aver preso un virus, o meglio un Worm, infatti quando il pc viene
avviato, il mio antivirus AntiVir, segnala la presenza di un WORM/IRCB.47104.2.A, e nella
cartella documenti c'è un file exe, che si chiama 55exmodulao.exe. Ho provato a cancellare
questo file, ma ogni volta che avvio il pc, tale file si ripresenta, con sempre lo stesso nome,
ma un numero iniziale diverso. Come posso togliere questo Worm, senza formattare la macchina?

crazy.cat
06-03-2006, 12.12.18
Prova a fare una scansione dalla modalità provvisoria, utilizzando sysclean o scangui
http://www.wintricks.it/manuali/tools_rapidi.html

Controlla i programmi che hai in avvio automatico del pc e se hai dei dubbi con qualche nome, postali qui e vediamo di cosa si tratta.

Se ancora non basta, fai una scansione con hijackthis e posta qui il log della scansione.

GiulioCesare
06-03-2006, 17.05.31
Ho fatto la scansione con hijackthis, ma non mi sembra che vengano segnalati informazioni importanti alla rimozione del virus, comunque questo è il file di log:
Logfile of HijackThis v1.99.1
Scan saved at 17.00.20, on 06/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Microsoft Visual Studio 8\Common7\IDE\devenv.exe
C:\j2sdk1.4.2_09\bin\java.exe
C:\Programmi\Notepad++\notepad++.exe
C:\WINDOWS\system32\cmd.exe
C:\Programmi\eMule\emule.exe
C:\j2sdk1.4.2_09\bin\javaw.exe
C:\Programmi\Aqua Data Studio 4.5\jre\bin\javaw.exe
C:\Documents and Settings\Administrator\Desktop\putty.exe
C:\Documents and Settings\Administrator\Desktop\putty.exe
C:\Programmi\WinSCP3\WinSCP3.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 80.17.20.190 test.guidamonaci.it
O1 - Hosts: 80.17.20.190 test.cms.guidamonaci.info
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_09\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_09\bin\npjpi142_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_09\bin\npjpi142_09.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136978439281
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{005D6D48-FCA6-475A-84A0-F660A7290192}: NameServer = 212.131.30.42,212.131.30.43
O17 - HKLM\System\CS1\Services\Tcpip\..\{005D6D48-FCA6-475A-84A0-F660A7290192}: NameServer = 212.131.30.42,212.131.30.43
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

crazy.cat
06-03-2006, 17.57.38
Un paio di ospiti ci sono.
i due file 04 e 023 sono da eliminare.
Hai fatto le scansioni antivirus dalla modalità provvisoria?

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
Data: 22/02/2006
Nome: Backdoor.IRCBot.AT
Tipologia: Backdoor
Stato: X
Nomefile: nvsvcd.exe
Startup: Windows Log - Windows Log
Dimensione: 45056 byte
Descrizione:Viene eseguito come servizio


O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
Note: The smss.exe file is located in the C:\Windows\System32 folder. In other cases, smss.exe is a virus, spyware, trojan or worm! Check this with Security Task Manager.
Virus with same name:
W32.Dalbug.Worm - Symantec Corporation
Adware.DreamAd - Symantec Corporation
W32.Resdoc - Symantec Corporation
Adware.Advision - Symantec Corporation
Backdoor.IRC.Flood.F - Symantec Corporation
Backdoor.IRC.Aladinz.O - Symantec Corporation
and more...

Full
07-03-2006, 10.21.51
se hai win xp o win me, forse è il caso di disattivare il ripristino configurazione del sistema. se attivo alcuni virus lo usano per replicarsi e così una volta eliminato uno se ne ha una "copia"