PDA

Visualizza versione completa : Bagle.IX worm


biliconi
29-07-2007, 23.06.54
Da una scansione con ESET Online Scanner mi veniva evidenziato:
win32/Bagle.IX worm
C:\Document and Settings\Giorgio\Impostazioni locali\Temp\~F.exe
Allego i log :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.08.34, on 29/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Download Manager\IDMan.exe
C:\Programmi\PeerGuardian2\pg2.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\cFosSpeed\spd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Standalone\uTorrent\utorrent.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Standalone\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Programmi\Internet Download Manager\IDMIECC.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Linkman - {5C9DCA26-CEC4-4280-A831-D622D4DBF113} - C:\Standalone\Linkman\LinkmanCom.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietÓ di High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Programmi\ScanSoft\OmniPage15.0\PDFConverter3\\ RegistryController.exe"
O4 - HKLM\..\Run: [cFosSpeed] C:\Programmi\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programmi\ScanSoft\PaperPort\Ereg\ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\ScanSoft\PaperPort\11\Config\Ereg\ere g.ini"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Programmi\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Apri PDF in Word (PDF Converter 3.0) - res://C:\Programmi\ScanSoft\OmniPage15.0\PDFConverter3\I EShellExt.dll /400
O8 - Extra context menu item: Download All Links with IDM - C:\Programmi\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Programmi\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/programs/OnlineScanner.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C20E2753-3C82-4A6F-B377-12F535D62941}: NameServer = 85.37.17.6 85.38.28.89
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programmi\cFosSpeed\spd.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 7204 bytes




Qualche aiuto per ripulire.Grazie

biliconi
30-07-2007, 23.44.01
Grazie,risolto il problema.(Spero)

leofelix
31-07-2007, 01.55.26
ciao,
scusa
non avevo letto il tuo post
avevi provato a inviare il file
C:\Document and Settings\Giorgio\Impostazioni locali\Temp\~F.exe

su www.virustotal.com per vedere se anche altri antivirus erano concordi con la sentenza di ESET?:)

biliconi
31-07-2007, 11.31.04
Ciao,
ho seguito il tuo consiglio e il risultato Ŕ positivo.Credo di aver risolto questo problema.Ora il problema Ŕ che da quando mi sono accorto di avere un intruso nel sistema non mi riesce piu di entrare in siti tipo -Punto Informatico,Poliziadistato,e svariati siti di antivirus.

leofelix
31-07-2007, 15.02.34
Ciao,
ho seguito il tuo consiglio e il risultato Ŕ positivo.Credo di aver risolto questo problema.Ora il problema Ŕ che da quando mi sono accorto di avere un intruso nel sistema non mi riesce piu di entrare in siti tipo -Punto Informatico,Poliziadistato,e svariati siti di antivirus.

ciao biliconi,
allora temo che sia stato in qualche modo modificato il file HOST in modo che tu non possa raggiungere alcuni siti (appunto relativi la sicurezza in tutte le sue forme e manifestazioni)
qui trovi esaurienti spiegazioni in merito

http://forum.wintricks.it/showthread.php?t=77011

Utilizzi per esempio lo Spybot Search & Destroy?

http://www.safer-networking.org/it/download/index.html


prova a vedere se riesci a raggiungere il sito indicato, se giÓ usi lo SpyBot, utilitÓ>file hosts clicca su aggiungi voci di SpyBot, puoi controllare quali voci sono presenti ed eventualmente ripulirle, poi dallo stesso programma puoi bloccare il file hosts.

In ogni caso prima darei un'occhiata al 3d che ti ho indicato sopra
ciao

biliconi
01-08-2007, 12.13.33
ho seguito i tuoi consigli ,ma dei siti non cŔ traccia.

Alexsandra
01-08-2007, 22.21.15
fai una scansione con questo http://info.prevx.com/download.asp?grab=GROMOZONREMTOOL

biliconi
02-08-2007, 15.53.11
Ciao Alexsandra,
avevo giÓ fatto una scansione col programma linkato,e con svariati altri,
sostituito l'host come indicato sopra.
La velocitÓ di navigazione Ŕ molto buona.
Ma dei due siti indicati sopra nemmeno l'ombra.

biliconi
05-08-2007, 19.19.21
Volevo ringraziarvi per l'interessamento,il problema non Ŕ risolto valutero per un'eventuale formattazione.Ciao e grazie

Alexsandra
08-08-2007, 09.30.45
se non hai giÓ formattato controlla il file host, pu˛ darsi che siano finiti lý dentro e bloccati dal sistema

biliconi
08-08-2007, 21.58.35
Il file Host Ŕ a posto.Per il momento non formatto ,il pc Ŕ stato acquistati il 1 giugno.

biliconi
09-08-2007, 21.57.08
Vittoria.
L'ho sconfitto.
Ho risolto il guaio ,era una banalita da non credere,tutto dipendeva da PeerGuardian.Disattivato lui tutto nella norma.Vi ringrazio tantissimo per la costanza con cui mi avete seguito .Grazie,grazie e grazie ancora