Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
forse è vundo ostinato
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
shadow2008
Mortale devoto
Mortale devoto


Registrato: 23/12/07 16:24
Messaggi: 14
MessaggioInviato: 23 Dic 2007 16:29    Oggetto: forse è vundo ostinato Rispondi citando
Ciao
E' da ieri che sto perdendo la testa con questo virus... penso sia trojan.vundo ma non riesco proprio a toglierlo...
Il VundoFix trova questi quattro file... li elimina ma al riavvio si ricreano sempre!!!!

c:\windows\system32\awtqr.exe
c:\windows\system32\awtqr.dll
c:\windows\system32\rqtwa.ini
c:\windows\system32\rqtwa.ini2

il mio dubbio è che qualcosa li ricrei sempre....ma non so cosa o dove sia....
Anche quando il VundoFix parte appena dopo il riavvio del pc non cambia nulla. C'è un momento in cui si rigenerano tutti.
Prevx non riesce ad eliminarli, norton non li vede neanche, provato anche scansione online Bitdefender e TrendMicro.

Qualcuno mi aiuta?
Grazie!
Top
Profilo Invia messaggio privato
shadow2008
Mortale devoto
Mortale devoto


Registrato: 23/12/07 16:24
Messaggi: 14
MessaggioInviato: 23 Dic 2007 16:34    Oggetto: log di HijackThis Rispondi citando
Già che ci sono vi metto il link del log di HijackThis. Non riesce a fixare la voce relativa al file incriminato awtqr, che comunque non credo sia il solo. Inoltre ogni tanto il desktop sparisce e si ricarica.

hijackthis5.log
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 23 Dic 2007 16:50    Oggetto: Rispondi citando
Ciao shadow2008, Ciao

Segui le istruzioni di questo topic per postare il log di combofix.

PS: se vuoi, puoi presentarti qui
Top
Profilo Invia messaggio privato
shadow2008
Mortale devoto
Mortale devoto


Registrato: 23/12/07 16:24
Messaggi: 14
MessaggioInviato: 23 Dic 2007 17:04    Oggetto: log di combofix Rispondi citando
Ecco pronto il log di combofix!

ComboFix.txt

e ho ripassato anche hijack
hijackthis6.log
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 23 Dic 2007 18:17    Oggetto: Rispondi citando
Combofix ha rimosso qualcosina... Wink

Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop

Apri il notepad, e copia/incolla questo codice
Citazione:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"load"=-


poi salva il file col nome di fix.reg in C:\ (IMPORTANTE!)


Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Citazione:
Files to delete:
C:\WINDOWS\system32\awtqr.dll
C:\WINDOWS\system32\awtqr.exe
C:\WINDOWS\system32\drivers\jianramb.sys
C:\WINDOWS\system32\RCX58.tmp

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5B60C336-81EB-4F12-9068-783AD84B9085}

Programs to launch on reboot:
C:\fix.reg

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato e un log aggiornato di hijackthis.
Top
Profilo Invia messaggio privato
shadow2008
Mortale devoto
Mortale devoto


Registrato: 23/12/07 16:24
Messaggi: 14
MessaggioInviato: 23 Dic 2007 18:36    Oggetto: Rispondi citando
Allora ho fatto tutto, al riavvio voleva installare qualcosa Sonic Update Manager ma ho fatto annulla... tanto eventualmente non mi serve.

Comunque il log di hijack nuovo:
hijackthis7.log

ed ecco quello che ha fatto avenger:
avenger.txt

però i file awtqr ci sono ancora per esempio... Sad
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 23 Dic 2007 19:59    Oggetto: Rispondi citando
Strano, perché Avenger ha fatto tutto il suo dovere... Think

Vabbene, fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui. Twisted Evil
Top
Profilo Invia messaggio privato
shadow2008
Mortale devoto
Mortale devoto


Registrato: 23/12/07 16:24
Messaggi: 14
MessaggioInviato: 23 Dic 2007 21:04    Oggetto: Rispondi citando
...sto provando....
systems scan mi da quell'errore sui privilegi e l'exe SeDebug-Restore non funziona... dice:

"\cscript.exe non è riconosciuto come comando interno o esterno, un programma eseguibile o un file batch.

Please reboot your machine.
Press any key to exit.

C'è qualcosa che fa ricreare tutto all'avvio... e poi ogni tanto tutto explorer si ricarica (il desktop). Adesso all'accessione ho dovuto far paritre explorer dal task manager


SCANSIONE PARTITA: ho messo i privilegi manualmente
Top
Profilo Invia messaggio privato
shadow2008
Mortale devoto
Mortale devoto


Registrato: 23/12/07 16:24
Messaggi: 14
MessaggioInviato: 23 Dic 2007 21:58    Oggetto: scansione systemscan Rispondi citando
Fatta la scansione con SystemScan....cavoli è grave vero??

Ecco qua il log... grazie per la pazienza....


23_12_2007_20_25_report.zip
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 24 Dic 2007 09:50    Oggetto: Rispondi citando
Mi sa che è grave, si... Think
Intanto che mi leggo il log di systemscan, fai una passata con il Gromozon Removal Tool. Vediamo se trova qualcosa. Rolling Eyes
Top
Profilo Invia messaggio privato
shadow2008
Mortale devoto
Mortale devoto


Registrato: 23/12/07 16:24
Messaggi: 14
MessaggioInviato: 24 Dic 2007 10:05    Oggetto: Rispondi citando
...non sembra ci siano problemi apparentemente...
il tool dice che il rootkit gromozon non c'è, ma per la scansione niente... praticamente mi fa riavviare, si è bloccato in una schermata blu dove diceva immagine danneggiata sfcfiles.dll. Spegnendo e riaccendendo è ripartito... che paura. Ma lo scan che è partito al riavvio ha detto che ha violato l'accesso leggendo una parte di memoria protetta e lo ha chiuso.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 24 Dic 2007 10:16    Oggetto: Rispondi citando
C'è qualcosa che non mi quadra... vedo parecchi files con uno (o più) spazi al termine del nome. Think

Scarica Norman Malware Cleaner.
Disabilita il ripristino di sistema e avvia il pc in modalità provvisoria.
Avvia Norman Malware Cleaner.
Viene generato un log sul desktop chiamandolo NFix_2007-12-gg_hh-mm-ss.log, alla fine della scansione postalo qui.

Riavvia il pc in modalità normale.
Scarica VirIt, installalo, aggiornalo (importante) e fai lo scan completo.
Al termine, posta qui il log della scansione.
Top
Profilo Invia messaggio privato
shadow2008
Mortale devoto
Mortale devoto


Registrato: 23/12/07 16:24
Messaggi: 14
MessaggioInviato: 24 Dic 2007 11:41    Oggetto: Rispondi citando
ecco fatto:

log di norman: NFix_2007-12-24_09-27-59.log

e log di virit aggiornato (che non ha trovato niente):
VIRITEXP.LOG


Mi sono appena accorto che ci sono degli exe duplicati nelle cartelle di certi programmi... per esempio ci sono due zclient di zone alarm (che non mi mette consenti/nega in italiano ma in inglese da ieri)
ci sono tanti qttask di quicktime....cavoli cosa è???? (non credo sia quello che fa le cartelle bak)

Per esempio in norton c'è advchk buono e uno uguale con data di creazione sabato ore 19.50 che è quando ho beccato il virus credo... ma è un'altro virus oltre a vundo? boh
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 24 Dic 2007 14:44    Oggetto: Rispondi citando
Mi sa di nuova infezione... Think

Giusto per sicurezza, fai questa scansione con FindAWF.

Dopo, collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 24 Dic 2007 15:53    Oggetto: Rispondi citando
Credo di aver capito che si tratta di una variante di Instant Access (o qualcosa di simile). Shocked

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Citazione:
Files to delete:
C:\WINDOWS\system32\RCX30.tmp
C:\WINDOWS\system32\awtqr.exe
C:\WINDOWS\system32\rqtwa.ini2
C:\WINDOWS\temp\ZLT07780.TMP
C:\WINDOWS\temp\ZLT014d4.TMP
C:\WINDOWS\temp\ZLT010d3.TMP
C:\WINDOWS\temp\ZLT02059.TMP
C:\WINDOWS\system32\awtqr.dll
C:\WINDOWS\system32\awtqr.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programmi\Dell\Media Experience\DMXLauncher.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmi\Norton AntiVirus\AdvTools\ADVCHK.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\SymNetDrv\SNDMon.exe
C:\WINDOWS\system32\khfffgg.dll

files to move:
C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Creative\MediaSource\Detector\bak\CTDetect.exe | C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\CyberLink\PowerDVD\bak\DVDLauncher.exe | C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programmi\Dell\Media Experience\bak\DMXLauncher.exe | C:\Programmi\Dell\Media Experience\DMXLauncher.exe
C:\Programmi\File comuni\InstallShield\UpdateService\bak\issch.exe | C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe | C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe
C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe | C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\bak\iaanotif.exe | C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\bak\mm_tray.exe | C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmi\Norton AntiVirus\AdvTools\bak\ADVCHK.EXE | C:\Programmi\Norton AntiVirus\AdvTools\ADVCHK.EXE
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\Programmi\SymNetDrv\bak\SNDMon.exe | C:\Programmi\SymNetDrv\SNDMon.exe
C:\Programmi\File comuni\Symantec Shared\bak\ccRegVfy.exe | C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe

registry keys to delete:
HKLM\system\currentcontrolset\services\GDYr
HKLM\system\currentcontrolset\services\WinTjt
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\AutorunsDisabled\{CA4F0D8D-5F2B-4F16-838A-8D52249EAB21}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00AC1B04-727A-4640-974E-4CEE8CED9804}

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato con un log aggiornato di hijackthis.

Per sicurezza, rifai la scansione con SystemScan e postala tramite freefilehosting.
Top
Profilo Invia messaggio privato
shadow2008
Mortale devoto
Mortale devoto


Registrato: 23/12/07 16:24
Messaggi: 14
MessaggioInviato: 24 Dic 2007 16:03    Oggetto: Rispondi citando
Allora il kaspersky trova un casino.... ben due... anche un certo dropper insieme a virtumonde.
Dunque... nel log ci sono anche un sacco di cose nelle varie quarantene e nel restore di sistema che ovviamente ora provvedo ad eliminare. E per fortuna sono quelle che fanno paura come spazio occupato nel log

Il punto è che non so ora come procedere. Devo scaricare la trial? Ma pensi che rimuove tutto? No perchè dovrei togliere tutto norton perchè è incompatibile. Posso fare in altro modo? Poi ovviamente penserò a cambiare antivirus....

Per quanto riguarda findAWF ti posto il log, ma tutte le cartelle bak si riferiscono al vecchio InstantAccess che avevo preso a febbraio e non c'entrano quindi non farci caso...
Il punto serio è Trojan.Dropper che è quello che duplica tutti gli exe!!!!!! Oltre al vundo... (vedi nel log in basso)

log kaspersky: kaspersky new.html

log AWF: awf.txt

LEGGO ORA L'ULTIMO POST... ORA VEDO
cmq ci sono altri file tra cui il client di zone alarm e l'utilità della connessione della adsl che hanno l'exe doppio e infetto.. infatti sparisce anche una lucina dal modem!!! AH!!!

Ecco fatto con avenger... ma per esempio awtqr.exe lo crea all'avvio infatti ora c'è e per avenger non c'era. Mi sembra non cambi niente.
avenger1.txt

Sono tentato di togliere norton e mettere kaspersky sperando che riesca a pulire. Aiutoooo!
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 24 Dic 2007 16:31    Oggetto: Rispondi citando
Per il momento, NON ESEGUIRE LE ISTRUZIONI DI AVENGER. Shocked

Intanto cerco altre info. Rolling Eyes

Niente, ho visto ora che hai già fatto. Razz

Il "ragazzo" si è infilato bene dappertutto.

Norton farai sicuramente meglio a farlo sparire. Evil or Very Mad

Mi leggo gli ultimi logs e vediamo cosa fare.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 24 Dic 2007 16:51    Oggetto: Rispondi citando
ti ho mandato un MP
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 26 Dic 2007 12:12    Oggetto: Rispondi citando
Ciao Shadow2008,
spero tu abbia risolto il problema con il tuo ospite indesiderato.

Il virus che hai preso è abbastanza recente da non essere riconosciuto da tutti gli antivirus, ancora.
Ma, piano piano, vari ricercatori antivirus lo stanno aggiungendo ai loro database. Fino a un paio di giorni fa, sembra che gli unici antivirus a riconoscerlo fossero Kaspersky e GData.
Dalle notizie che ho pescato in giro per internet, la rimozione manuale è molto complicata ed è consigliabile farla fare automaticamente al proprio antivirus dopo averne effettuato l'aggiornamento.
Infatti, il virus, si occupa di rinominare i files originali e di creare nuovi files con il proprio codice virale.

Aggiorna VirIt e ritenta la scansione.
Puoi anche scaricare drWeb CureIt (viene aggiornato frequentemente), avviare il pc in modalità provvisoria e usare CureIt per la pulizia del pc.

Puoi anche usare: che dovrebbero tentarne anche la rimozione.
Top
Profilo Invia messaggio privato
shadow2008
Mortale devoto
Mortale devoto


Registrato: 23/12/07 16:24
Messaggi: 14
MessaggioInviato: 26 Dic 2007 15:08    Oggetto: Rispondi
Ciao bdoriano!

Si dai spero di aver risolto....
Ho trovato il sito www.virustotal.com che permette di inviare un singolo file e poi restituisce il risultato della scansione effettuata con molteplici antivirus. In questo modo, mandando uno degli exe modificati e il famigerato file awtqr, ho potuto vedere quali antivirus riconscevano il virus che per alcuni è lo stesso e per altri erano due diversi virus.
Facendo la scansione online con F-secure trovava il virus ma non riusciva a rimuoverlo.
Alla fine l'aiuto decisivo è venuto da eTrust-vet (ca.com) che identifica il virus come Win32/Vundo.IY.
La scansione online non riusciva a rimuovere tutto dato che i programmi erano attivi. Allora ho scaricato la versione di prova e riavviato in modalità provvisoria rimuovendo subito dopo l'antivirus perchè non facesse conflitto con norton.
Per sicurezza, anche se aveva pulito gli exe, quelli segnalati gli ho poi cancellati a mano (i programmi di avivo automatico) e rinominato quelli originali e puliti che aveva un carattere di spazio alla fine del nome.
Ora gli exe non sono più duplicati e awtqr exe e dll non ci sono più!!!

Grazie ancora...che fortuna... un bel virus nuovo di zecca... non si sa mai che antivirus installare!!! Cavoli
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi