PDA

Visualizza versione completa : Troj_startpa.oq (Trend Micro)


elena.gioia
04-02-2008, 17.13.58
Sto impazzendo, su diversi Pc in azienda troviamo il virus in oggetto, ma non riusciamo ad eliminarlo; mi infila un file di nome a.exe in C:\Winnt\System32.
Vi posto uin log di hijackthis, nella speranza che qualcuno mi dia una mano!
Grazie

Logfile of HijackThis v1.99.1
Scan saved at 17.09.34, on 04/02/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\explorer.exe
\sinapsi01\software\Software\Installazione PC Lavorint\Lav HD.exe
C:\DOCUME~1\lmaglio\IMPOST~1\Temp\7zS1.tmp\winvnc. exe
S:\Scambio\Elena\rbotgui.com
C:\Documents and Settings\lmaglio\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {40125DDF-43E6-4F5D-E806-7852AB4B626C} - C:\WINNT\rsalu1.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ssmqg] "C:\DOCUME~1\smerisio\IMPOST~1\Temp\1050593.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programmi\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [ssmqg] "C:\DOCUME~1\smerisio\IMPOST~1\Temp\1050593.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: SecCug - Unknown owner - C:\Programmi\File comuni\Services\bbqUP.exe (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe

crazy.cat
04-02-2008, 19.30.56
Questo file lo conosci?
S:\Scambio\Elena\rbotgui.com
Se non sai cosa sia caricalo sul sito www.virustotal.com e vedi cosa ti dicono.

Rifai la scansione con hijackthis, selezioni le caselle di queste righr e premi fix checked per eliminarle,
O2 - BHO: Class - {40125DDF-43E6-4F5D-E806-7852AB4B626C} - C:\WINNT\rsalu1.dll (file missing)
O4 - HKLM\..\Run: [ssmqg] "C:\DOCUME~1\smerisio\IMPOST~1\Temp\1050593.exe"
O4 - HKCU\..\Run: [ssmqg] "C:\DOCUME~1\smerisio\IMPOST~1\Temp\1050593.exe"
Poi svuota quella cartella temp.

Conoscendo officescan potresti avere di tutto su quel pc.

elena.gioia
05-02-2008, 11.31.15
rbotgui.com Ŕ uno dei tanti, tantissimi tool che ho provato a scaricare ieri nel tentivo di rimuovere il mio amichetto!
I file che mi indichi su hijackthis sembra strano a dirsi, me nella scansione non sono presenti, non so da dove li pigli il LOG!
Sono quansi alla disperazione!

Lionsquid
05-02-2008, 13.11.07
O23 - Service: SecCug - Unknown owner - C:\Programmi\File comuni\Services\bbqUP.exe (file missing)


anche questo sopra Ŕ da rimuovere


posso suggerirti di usare virit lite e a2squared


hijackthis pesca le "linee" dal registro e i file infetti cambiano nome molto spesso


conosco questo virus, opera in mod. provvisoria e vedrai che riuscirai ad impedirne l'avvio, poi, puoi fare la scansione totale con calma

elena.gioia
05-02-2008, 14.52.30
O23 - Service: SecCug - Unknown owner - C:\Programmi\File comuni\Services\bbqUP.exe (file missing)


anche questo sopra Ŕ da rimuovere


posso suggerirti di usare virit lite e a2squared


hijackthis pesca le "linee" dal registro e i file infetti cambiano nome molto spesso


conosco questo virus, opera in mod. provvisoria e vedrai che riuscirai ad impedirne l'avvio, poi, puoi fare la scansione totale con calma

Ho fatto tutte le scansioni possibili immaginabili in modalitÓ provvisoria, ma ad ogni avvia a.exe torna a tormentarmi!

leofelix
05-02-2008, 18.40.25
in merito a quel file "a.exe"
si direbbe una variante del 'Coolwebsearch'.. appunto uno spyware che modifica le impostazioni di Internet Explorer e anche del sistema quindi.
Qui
http://www.auditmypc.com/process/a.asp
ho trovato alcune informazioni interessanti in merito.

Potresti tentare di rimuovere quel malware con questa removal tool gratuita:

http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe

pagina di riferimento

http://us.trendmicro.com/us/products/personal/CWShredder/

scaricala sul desktop, quindi chiudi tutte le finestre aperte, pulisci i files temp con CCleaner, quindi eseguila e fagli fare una scansione.

Non posso garantire che sia risolutiva ovviamente visto che in azienda vi proteggete proprio con sistemi di sicurezza della Trend Micro, ma tentar non nuoce

Lionsquid
05-02-2008, 19.33.38
Ho fatto tutte le scansioni possibili immaginabili in modalitÓ provvisoria, ma ad ogni avvia a.exe torna a tormentarmi!

a.exe torna perchŔ quell'eseguibile viene creato all'avvio da qualche altra cosa, ecco perchŔ non lo trovi

oltre al tentativo suggerito da leofelix, io utilizzerei in aggiunta ai giÓ detti virit e a2squared (che dovrebbe risolvere), runscanner, che fa una approfondita scansione del registro... ma quanto a cosa rimuovere non posso certo indicarti con sicurezza, runscanner traccia un mucchio di roba e molta non Ŕ di vitale importanza, bisogna saper spulciare il lunghissimo elenco che crea (avevo scritto pure una breve guida, ma dopo una settimana che avevo finito si Ŕ passati dalla versione 0.9 alla 1.x :( lavoro inutile :( )

leofelix
07-02-2008, 19.21.38
giusto il collegamento al file A.EXE deve essere anche in qualche chiave RUN del registro di configurazione...

io tenterei anche con questo
http://forum.wintricks.it/showpost.php?p=1441962&postcount=1

(non badare alla scritta shareware, in realtÓ funziona tranquillamente -ma senza modulo di protezione permanente - in versione free.. basta ricordarsi di aggiornarlo)
L'ho provato in diversi sistemi e ha rimosso 'rospi' che altri programmi non si sono nemmeno sognati di vedere

Giorgius
09-02-2008, 14.15.42
http://www.softpedia.com/screenshots/W32-Autorun-Worm-Removal_1.png

Effetti:
CleanAutoRun.exe will detect and remove the W32/Autorun Worm and its variants completely from your system. Download cleanautorun.exe and save it on your desktop...

Download: http://www.protectorplus.com/download/cleanautorun.exe

Sito Web: http://www.protectorplus.com/download/cleanautorun.htm

leofelix
09-02-2008, 18.06.46
Grazie Giorgius,
mio corregionale (mi sono solo ora accorto che vivi nella mia stessa regione.. sebbene io abbia altre origini)..
questo removal tool tornerÓ utilissimo a molti..
qui
http://www.protectorplus.com/download/utility.htm

ce ne sono altri molto interessanti...
Dovr˛ testarli in qualche sistema infetto..
Faccio affidamento per questo su mia sorella, nonostante le mie raccomandazioni e precauzioni riesce a far danni non solo al portatile con XP che le ho regalato ma anche nel suo MacOsX... oltre che far saltare i nervi del sottoscritto, si intende

leofelix
12-02-2008, 03.31.20
http://sophos.com/support/disinfection/startpa.html

qui un ennesimo removal tool

Lionsquid
12-02-2008, 19.05.13
feedbak fresco fresco

CleanBontok.exe non mi ha soddisfatto, provato su 4 pc (2 infetti da brontok, 1 Vundo, 1 Vundo + altre schifezze varie) non ha compiuto il suo dovere lasciando brontok parzialmente installato


ben diversa invece Ŕ andata con il tools brontgui.com, il quale ha rimosso le chiavi di registro, i processi attivi e i relativi file

l'infezione era arrivata al punto che ogni cartella aveva al suo interno un'eseguibile con l'icona tipica delle cartelle e senza estensione, inoltre mi era impedito l'accesso alle opzione delle cartelle e al primo accenno di avvio di tools tipo hijackthis, virit, etc, si riavviava

(Y) brontgui.com

leofelix
12-02-2008, 20.56.07
questo tool intendi
http://www.sophos.com/support/disinfection/brontok.html

immagino, grazie del feedback :act: