Olimpo Informatico

[michy]

Ho un problema con un virus. I sintomi sembrano gli stessi di Bagle: AVG non avviabile, Comodo Firewall disattivato, impossibilità ad utilizzare la rete (sia wireless che lan).

Provando a risolvere il problema come suggerito sui diversi forum, alcune applicazioni non si possono eseguire come ad esempio gmer e avenger.

Sono riuscito però ad ottenere il log di Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19.31.29, on 03/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\drivers\STDSB.exe

C:\WINDOWS\system32\drivers\Icon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programmi\Comodo\Firewall\CPF.exe

C:\Programmi\Synaptics\SynTP\SynTPLpr.exe

C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Programmi\DNA\btdna.exe

C:\Programmi\OpenOffice.org 2.0\program\soffice.exe

C:\Programmi\OpenOffice.org 2.0\program\soffice.BIN

C:\WINDOWS\System32\SupportAppXL\cdrom_mon.exe

C:\WINDOWS\system32\slmdmsr.exe

C:\hij\ss1.exe



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll (file missing)

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll (file missing)

O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\system32\drivers\STDSB.exe

O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Comodo Firewall] "C:\Programmi\Comodo\Firewall\CPF.exe" /background

O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunOnce: [avp6_post_install] msiexec.exe /i"C:\kav\kav7.0\english\kav.en.msi"

O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programmi\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL

O23 - Service: Autorun CDROM Monitor - Unknown owner - C:\WINDOWS\System32\SupportAppXL\cdrom_mon.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slmdmsr.exe



--

End of file - 4397 bytes




ed anche il log di FindAWF:


Find AWF report by noahdfear ©2006

Version 1.40







bak folders found

~~~~~~~~~~~







Duplicate files of bak directory contents

~~~~~~~~~~~~~~~~~~~~~~~







end of report




Grazie in anticipo per l'aiuto.
Michele

[bdoriano]

Ciao michy,

• Disabilita il ripristino di sistema.
  
• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Scarica Norman Malware Cleaner.
  
• Avvia il pc in modalità provvisoria.
  
• Avvia Norman Malware Cleaner e fagli fare la scansione completa.
  Viene generato un log sul desktop chiamandolo NFix_2008-05-gg_hh-mm-ss.log, alla fine della scansione caricalo su FreeFileHosting come indicato qui e posta il link che ti viene assegnato.
  
• Segui queste istruzioni per EliBaglA.
  
• Segui le istruzioni di questo topic per postare il log di combofix.

[michy]

# Disabilita il ripristino di sistema.
Ok

# Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
Ok

# Avvia il pc in modalità provvisoria.
Grosso problema: il pc non si riavvia in modalità provvisoria.

Ora sono fermo. Cosa Faccio?
Ho provato a fare una scansione dalla partizione linux con AVG ma non ha trovato niente.

[bdoriano]

Passa direttamente ai passaggi successivi:

[chemicalbit]

[bdoriano]

[michy]

Quando cerco di avviare in modalità provvisoria il pc semplicemente si riavvia.
Comunque ho provato sia con F8 che con BootSafe con il quale, tra l'altro, per ripristinare il normale boot ho dovuto lavorare da linux.

Cmq da linux sono riuscito a vedere il file hlrr.exe (o qualcosa di simile) in windows/system32/drivers/ il che ci da un certo grado di sicurezza che sia proprio Bagle.

[bdoriano]

Non essendo davanti al pc, devo usare tutti i barbatrucchi che conosco per averne la certezza matematica.

Se puoi usare linux, ancora meglio!

Fai i passaggi con EliBagla e ComboFix, poi vedremo come procedere.

[michy]

[bdoriano]

Ok, qualcosa hanno combinato.
Riavvia il pc e rifai la scansione con EliBaglA.

Crea un file di testo con le seguenti istruzioni:

[michy]

Questi sono i log:
ComboFix58.txt
hijackthis532.log

Ora dovrebbe essere pulito, ho provato ad installare un antivirus e la modalità provvisoria ora è accessibile.
La rete ancora non va (nè wifi che Lan), comodo firewall è ancora disabilitato, ma credo che questi siano gli effetti di questo rootkit che dovrò sistemare manualmente.

Grazie ancora

[bdoriano]

Bagle sembra non ci sia più... stranamente, però, combofix non ha eliminato i files che gli avevo indicato.

• Scarica Norman Malware Cleaner.
  
• Avvia il pc in modalità provvisoria.
  
• Avvia Norman Malware Cleaner e fagli fare la scansione completa.
  Viene generato un log sul desktop chiamandolo NFix_2008-05-gg_hh-mm-ss.log, alla fine della scansione caricalo su FreeFileHosting come indicato qui e posta il link che ti viene assegnato.
  
• Dopo, segui le indicazioni di questo messaggio per usare Kaspersky offline scan.

[michy]

Questi sono i log:
NFix_2008-05-04_15-12-581.log
kaspersky12.txt

Kaspersky ha trovato il virus in 4 file... ...devo stare ancora in pensiero?

[bdoriano]

Il log di Kaspersky evidenzia 4 rimasugli che ha comunque cancellato.

Riscontri altri problemi?

[chemicalbit]

E questi problemi

[bdoriano]

Per tentare di ripristinare la connessione usa XP TCP/IP Repair
(ATTENZIONE! Vengono azzerate le impostazioni delle schede di rete).

Scaricalo e copialo sul pc "incasinato".
Lo installi e lo avvii, clicca poi sui bottoni Reset TCP/IP e Repair WinSock.
Chiudi il programma, ti riavvierà il pc.
Vedi se riesci a collegarti e navigare.

[michy]

[bdoriano]

Prima di usare XP TCP Repair,

• scarica questo programma
  
• Scompattalo
  
• Doppio click sul file scompattato
  
• Conferma la richiesta di aggiungerlo al file di registro
  
• Riavvia il pc e controlla la connessione Wi-Fi

[michy]