PDA

Visualizza versione completa : trojan reboot95.A preso su questo sito


kuki
04-03-2008, 13.00.13
salve a tutti,
ieri sera cazzeggiando un pò mi sono scaricato un file da questo per cambiare le icone su WXP e mi sono ritrovato un bel trojan :wall: Facendo la scansione con bitdefender non riesce ad eliminarlo e sono riuscito solo a metterlo in quaramtena...come devo fare????

crazy.cat
04-03-2008, 13.44.16
Puoi mettere il link da cui hai prelevato il file?

Se è in quarantena è già qualcosa, dove si trova il file infetto nel tuo pc?
Se rifai la scansione lo trova ancora?

kuki
04-03-2008, 14.16.28
scusami ma non riesco più a trovarlo... :x: ricordo che l icona con cui appariva era un floppy disck, mi dispiace non riuscire a dirti di più.
adesso ho appena riavviato una nuova scansione, ho anche scariscato killbox ma non ha avuto effetto..e intanto sto facendo andare kaspersky.

kuki
04-03-2008, 14.22.51
sono riuscito a trovarlo:
http://www.wintricks.it/dloadhtml/icone-windows.html#icons

MAC OS 8.0 Icons Icone tratte dall'ultimo Mac OS (320 Kb)

leofelix
04-03-2008, 14.35.59
ciao
ho scaricato il file che tu dici infetto "os8.exe" l'ho passato sia ad AVG antiSpyware, KAV 7.0 e MalwareBytes' Antimalware 1.0.5 che non hanno rilevato nessuna infezione.
Quindi ho caricato il file su www.virustotal.com

e questi sono i risultati

http://www.virustotal.com/it/analisis/fb812c102ae55248899613b438575df9

come vedi il file non risulta infetto.

Sei proprio sicuro che sia quello l'eseguibile che ti ha causato il problema?

crazy.cat
04-03-2008, 14.43.38
Il file che indichi sembra anche pulito, non ho provato a lanciarlo però sono al lavoro
http://www.virustotal.com/it/analisis/fb812c102ae55248899613b438575df9

dove trovi i file infetti sul tuo pc e che non riesci a cancellare?

(Sono stato più lento a scrivere di leofelix)

Gergio
04-03-2008, 14.45.16
sicuro che il trojan sia in quel file?

Ho appena provato una scansione online (http://www.virustotal.com/it/analisis/fb812c102ae55248899613b438575df9) e non risulta niente

Gergio
04-03-2008, 14.46.42
e io ancora piu' lento di te :p

kuki
04-03-2008, 14.51.08
anchio lo avevo passato prima a bitdefender a ma lo dava pulito
lho lanciato e mentre stavo caricando mi mi esce la schermata che cè un trojan...
se no è in quel molto meglio però!non capisco come mi sia arrivato...
l ultima scansione che ho fatto mi ha dato:
C:\Programmi\Softwin\BitDefender Professional Edition\Infected\A0010565.EXE Infetto Trojan.Reboot95.A
C:\Programmi\Softwin\BitDefender Professional Edition\Infected\A0010565.EXE Impossibile eseguire la pulizia
C:\Programmi\Softwin\BitDefender Professional Edition\Infected\A0010565.EXE Impossibile eseguire lo spostamento
File esaminati

come posso fare per toglierlo??

kuki
04-03-2008, 14.58.34
scusate ancora ma io con i pc non vado molto daccordo..:p
se lo dovessi lasciare in quarantena da dei problemi?

leofelix
04-03-2008, 15.04.00
ciao,
non devi scusarti di nulla:)
tecnicamente se messo in quarantena non dovrebbe nuocere.
Perché non fai una scansione con HiJackThis
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
e ne posti il log qui?

Qualcuno potrà analizzarlo e comprendere dove possono essere eventuali altre voci infette

kuki
04-03-2008, 15.08.51
grazie leofelix
ci provo e mando quello che mi salta fuori :)

kuki
04-03-2008, 15.15.29
ehm.. :x: come ti mando i risultati?
non riesco e copiare il file?

Gergio
04-03-2008, 15.32.04
i risultati dovrebbero essere in un file di testo: lo puoi aprire e fare un copia incolla del contenuto

(se il file dovesse essere troppo grosso, il forum ti avvisa che devi ridurre il messaggio: copiane un pezzo e poi quello che rimane lo metti in un altro post)

kuki
04-03-2008, 15.37.21
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.35.58, on 04/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Spyware Doctor\svcntaux.exe
C:\Programmi\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programmi\Spyware Doctor\SDTrayApp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\BitTorrent_DNA\dna.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\Softwin\BitDefender Professional Edition\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Luca\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

kuki
04-03-2008, 15.37.53
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119 .1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programmi\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programmi\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\BitTorrent_DNA\dna.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{31AD1494-9385-4086-AED7-538FE53758C3}: NameServer = 85.37.17.8 85.38.28.73
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programmi\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 10667 bytes

kuki
04-03-2008, 15.38.36
questo è quel che mi è uscito

crazy.cat
04-03-2008, 16.18.28
Il log è pulito, svuota la cartella quarantena di bitdefender, se non riscontri altri problemi potrebbe essere che Bitdefender abbia preso una cantonata.
Quando arrivo a casa provo ad aprire anche io file di wintricks per vedere cosa c'è dentro.

LoryOne
04-03-2008, 16.33.08
Scansionare un eseguibile potrebbe anche non rilevare alcunchè.
E' quando il file viene eseguito che potrebbe essere confuso con un potenziale malware, dipende da che tipo di protezione viene adottata dall'antivirus in uso. Potrebbe rilevare un tentativo di accesso ad API potenzialmente pericoloso (o creazione/alterazione di chiavi di regitro) che viene effettuato dal processo attivato dall' eseguibile in questione, oppure una compressione con UPX potrebbe aver alterato il contenuto dell' EXE al punto da far rilevare all' AV una qualche attinenza con le signature del suo DB di confronto. Sono tante le possibilità ...

kuki
04-03-2008, 16.38.27
ho provato ad eliminare direttamenti il file infetto ma non me lo permette
scusami loryone ma sono assolutamente un ignorante :p
se lo dovessi lasciare così comè può crearmi problemi?
esistono dei programmi per poter eliminare comunque il file?

LoryOne
04-03-2008, 16.42.15
Non te lo permette perchè sei sotto Windows (non parlare di ingoranza, lo sono anch'io un'ignorante sai ? e patentato pure). Prova ad accedere via DOS e vedrai che lo puoi eliminare.

leofelix
04-03-2008, 16.59.29
Scansionare un eseguibile potrebbe anche non rilevare alcunchè.
E' quando il file viene eseguito che potrebbe essere confuso con un potenziale malware, ...


giusto, potrebbe essere anche un documento formato MS Word con una macro infetta.. sinché non lo apri non accade niente, l'antivirus potrebbe non essere aggiornato o non ancora in grado di rilevare la minaccia e.. sgrat sgrat

-------------
@ kuki

se non sai come entrare in DOS, puoi sempre tentare con FileAssassin

http://www.malwarebytes.org/fileassassin.php

ci trascini dentro i files che vuoi eliminare e clicchi su "Execute"..
ma fa' attenzione: questo programma elimina permanentemente qualsiasi file, quindi cautela a non far fuori per sbaglio un file di sistema

kuki
04-03-2008, 17.01.30
non so come sia stato possibile ma con l ultima scansione il trojan è sparito :act:
grazie a tutti e a presto (spero per motivi meno seri :p)

leofelix
04-03-2008, 17.03.32
prego, ci mancherebbe..

era forse un falso positivo del bitdefender?

ciao:)