Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
* trojan downloader generic 6 hmb.
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
wildchloee
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 22/09/07 11:56
Messaggi: 190
Residenza: Davanti al mio bambino(notebook)

MessaggioInviato: 22 Set 2007 12:48    Oggetto: * trojan downloader generic 6 hmb. Rispondi citando

Ciao a tutti, sono nuova del forum e spero di non aver sbagliato cartella. Vorrei sottoporvi la mia situescion dettagliata e chiedervi consiglio. Farò una cronologia, così posso dettagliare e descrivere tutto per bene.

Ieri mattina: lavoro al pc sul mio sito, scarico da html.it programmi tipo antispyware e così via (ho letto che troppi sono come troppo pochi... avrò esagerato!).

Verso ora di pranzo: il pc si blocca, devo riavviarlo. Al riavvio, non funziona più zero configuration e inoltre la schermata si blocca sul desktop senza icone e senza barra (problema che risolvo disattivando l'esecuzione di acrobat reader 8 all'avvio). Ma il pc continua comunque a bloccarsi, non funziona più nulla e non riesco a far girare 2 applicazioni insieme. Devo sempre riavviarlo tenendo premuto il pulsante di accensione perchè neanche task manager mi aiuta. Avast naturalmente è disattivato.

Primo pomeriggio: dopo attimi di panico, metto i dati importanti su un HD esterno, vado all'altro pc che abbiamo in casa (2 pc connessi a 1 router) e inizio a cercare informazioni. Leggo di virus molto diversi e di situazioni molto diverse. Ecco quello che faccio io:

Scansione con Spybot: trova il TROJAN DOWNLOADER.GENERIC6.DMB e un'altra cosa che si chiama "windows security disabled", sotto il nome "Win32 agent.bgy". Cancello le chiavi di registro.

Dall'altro pc scarico e installo sul mio AVG Antivirus dopo aver tolto Avast che non riusciva più a funzionare, faccio la scansione e trova 2 file infetti, che cancello. Installo anche il firewall PC Tools 2.0, che non si sa mai.

Faccio più scansioni con Hijackthis, controllo il logfile ma non c'è nulla di strano.

Faccio una nuova scansione con AVG antispyware, non trova niente.

Faccio una scansione con Kaspersky, trova 1 virus che infetta 1 file, cancello il file che non mi serviva più (era il file di setup di 1st Page 2007 che avevo scaricato qualche settimana fa).

Faccio un'altra scansione con Spybot, trova ancora Win32 agent.bgy e sto maledetto TROJAN DOWNLOADER.GENERIC6.DMB. Cancello di nuovo le chiavi di registro.

Con Regcleaner mi faccio un giro tra le varie chiavi di registro, cercando in internet informazioni su ognuna per evitare di cancellare cose necessarie, cancello quelle superflue tra cui una infetta di nome "FirstRRRun" che anche Spybot mi aveva segnalato (cone infettata da Win32Agent.bgy).

Faccio DUE scansioni con AVG Antirootkit e in entrambi i casi non trova niente.

Rifaccio la scansione con Kaspersky, tutto pulito.

Provo a seguire tutte le istruzioni Microsoft per ripristinare Zero Configuration, ma non funziona. La connessione funziona solo con la config Utility della mia chiavetta wireless. Vabbè, mi accontenterò.

Arriviamo a stamattina.

Scansione con Spybot. Non trova nulla.

Scansione con Kaspersky, trova di nuovo 1 virus in 2 file infetti:
C:\System Volume Information\_restore{AD4B04F3-BF09-4958-86F9-F884CAF6BF9E}\RP507\A0132970.exe/file1626
e
C:\System Volume Information\_restore{AD4B04F3-BF09-4958-86F9-F884CAF6BF9E}\RP507\A0132970.exe
(nella scansione di ieri sera, identica situazione: infettati un file .exe e un "sottofile" chiamato "file1626").

Un Alert di AVG mi comunica che "DOWNLOADER.GENERIC 6.HMB" infetta un file nella cartella "System Volume Information" di C: (file: c:\system volume information\_restore{un-numero-interminabile-di-cifre}\RP505\A0132895.exe, che naturalmente non ho idea di cosa sia).

Faccio una scansione con Hijackthis, la copio come al solito in una mascherina su Internet che me la interpreta, e non c'è nulla di sospetto.

Che faccio ora? Da quello che ho letto, quello str***o di DOWNLOADER GENERIC 6.HMB non ha removal tools propri ed è piuttosto difficile da eliminare. Io di computer ne so abbastanza, ma finchè funziona... quando c'è da formattare, divento ignorantissima.
Grazie per le vostre risposte!




P.S. posto anche l'ultimo logfile di HIjackthis, non si sa mai.


Logfile of HijackThis v1.99.1
Scan saved at 13.25.44, on 22/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\PC Tools Firewall Plus\FWService.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Sitecom\Sitecom Wireless Network USB Adapter Turbo G WL-172\Installer\WLANUTL.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\EMule\emule.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgvv.exe
C:\Programmi\HijackThis\HijackThis.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://imagine-msn.com/messenger/post/gettingstarted/addcontacts.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [00PCTFW] "C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Collegamento a WLANUTL.lnk = C:\Programmi\Sitecom\Sitecom Wireless Network USB Adapter Turbo G WL-172\Installer\WLANUTL.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.it/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://wildchloee.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130336253890
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://wildchloee.spaces.live.com/PhotoUpload/MsnPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programmi\PC Tools Firewall Plus\FWService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programmi\Windows Live\installer\WLSetupSvc.exe
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14040
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 22 Set 2007 13:28    Oggetto: Rispondi citando

Ciao wildchloee, Ciao

innanzitutto, complimenti! Dimostri di saperti muovere in queste situazioni. Very Happy
I files infetti che ti vengono trovati nelle varie scansioni, sono presenti nella cartella C:\System Volume Information\_restore{AD4B04F3-BF09-4958-86F9-F884CAF6BF9E} (è la cartella del ripristino di sistema).
Il mio consiglio è di disabilitare il ripristino di sistema. In questa maniera vengono eliminati quei files.
Ho letto che hai già usato AVG Rootkit e non ti ha trovato niente.
Giusto per "sfizio" fai le scansioni con GMER e posta i logs su http://www.freefilehosting.net come indicato qui.
Poi fai la scansione con SystemScan e posta i logs su http://www.freefilehosting.net come indicato qui.

PS: se vuoi, puoi presentarti qui
Top
Profilo Invia messaggio privato
wildchloee
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 22/09/07 11:56
Messaggi: 190
Residenza: Davanti al mio bambino(notebook)

MessaggioInviato: 22 Set 2007 13:42    Oggetto: Rispondi citando

ciao, grazie per la risposta!
sto avviando le procedure che dici.

volevo chiedere: dopo che ho disattivato il ripristino di sistema, faccio andare l'antivirus? Perchè il virus ora ce l'ho nel "Virus Vault" di AVG e non so se si riforma subito.

Inoltre ho dimenticato di dire che nella scansione con Kaspersky che stavo facendo mentre AVG mi rilevava il DOWNLOADER GENERIC 6, tale downloader non era stato rilevato, ma era stato rilevato (nella stessa cartella "_restore/..." con lo stesso numero ma in un file diverso) "BADJOKE js". Niente downloader, però.
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14040
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 22 Set 2007 13:57    Oggetto: Rispondi citando

Scusa, mi spiego meglio:
    - disattiva il ripristino di sistema
    - ripulisci i files temporanei:
      Scarica ATF-Cleaner.
      Avvia ATF-Cleaner
      Metti il segno di spunta a Select All
      (se vuoi conservare i files del cestino, togli il segno di spunta a Recycle bin)
      Clicca su Empty selected

    - fai i logs con gmer (come ti ho indicato prima)
    - fai il log con SystemScan (come ti ho indicato prima)
    - se vuoi, intanto che ci leggiamo i tuoi logs, puoi pure lanciare una scansione con il tuo antivirus.

La virus vault è un'area dove vengono depositati e resi innocui i virus scoperti. Da AVG, puoi entrare nella virus vault e svuotarla (Empty).
Top
Profilo Invia messaggio privato
wildchloee
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 22/09/07 11:56
Messaggi: 190
Residenza: Davanti al mio bambino(notebook)

MessaggioInviato: 22 Set 2007 13:59    Oggetto: Rispondi citando

intanto che faccio tutto ciò, così per gradire, non so se possa essere utile, vi posto due screenshot per essere più precisa.

Virus Vault di AVG con descrizione del virus che rileva (che Kaspersky non ha rilevato)
http://www.freefilehosting.net/show/MjM0NzA=

Risultato della scansione di Kaspersky di stamattina: stesso "not-virus" di ieri sera, solo che ieri sera il file infetto era il file di setup di First Page 2006 situato in C:\programmi\evrsfot\etc etc)
http://www.freefilehosting.net/show/MjM0NzU=
(scusate, non si vede benissimo, ma quella dimensione è il meglio che possa fare)
Top
Profilo Invia messaggio privato HomePage
wildchloee
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 22/09/07 11:56
Messaggi: 190
Residenza: Davanti al mio bambino(notebook)

MessaggioInviato: 22 Set 2007 14:14    Oggetto: Rispondi citando

ed ecco la scansione con GMER:

http://www.freefilehosting.net/download/MjM0ODA=
Top
Profilo Invia messaggio privato HomePage
wildchloee
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 22/09/07 11:56
Messaggi: 190
Residenza: Davanti al mio bambino(notebook)

MessaggioInviato: 22 Set 2007 14:43    Oggetto: Rispondi citando

Ho fatto la cosa di disabilitare il ripristino di sistema ed eliminare i file temporanei con ATF-Cleaner. Ho poi riavviato il sistema e una volta dentro windows ho riattivato il ripristino di sistema.

Dopo aver fatto la scansione con GMER sono andata per scaricare SystemScan ma non mi fa scaricare il file dicendo che ho i popup disabilitati. Li ho abilitati ma lo stesso non riesco a scaricarlo.

Nel frattempo...
Navigando un po' nel forum e leggendo qua e là ho deciso di fare un'ulteriore scansione con "Find AWF", il cui report è il seguente (ovvero non dice niente):


Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14040
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 22 Set 2007 15:16    Oggetto: Rispondi citando

wildchloee ha scritto:
Dopo aver fatto la scansione con GMER sono andata per scaricare SystemScan ma non mi fa scaricare il file dicendo che ho i popup disabilitati. Li ho abilitati ma lo stesso non riesco a scaricarlo.

Per scaricare il file tieni premuto il tasto CTRL per tutto il tempo.

Dimenticavo: manca il secondo log di gmer (Autostart).
Top
Profilo Invia messaggio privato
wildchloee
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 22/09/07 11:56
Messaggi: 190
Residenza: Davanti al mio bambino(notebook)

MessaggioInviato: 22 Set 2007 15:39    Oggetto: Rispondi citando

Ecco il secondo log di GMER (Autostart):

gmerlog2.txt
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14040
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 22 Set 2007 16:18    Oggetto: Rispondi

Sei riuscita a scaricare SystemScan?
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2, 3, 4  Successivo
Pagina 1 di 4

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi