PDA

Visualizza versione completa : strano worm...


Ceppe
03-10-2006, 03.20.45
ciao a tutti,
allora non so come (dato ke sono protettissimo) credo di avere preso questo worm W32.Bugbear@mm!
il quale credo abbia creato una serie di file .exe nella cartella \file comuni
i quali partono all'avvio e rompono le p***e e rallentano il sistema (e nn ho capito che altro fanno)! ora credo che sto worm abbia tolto i permessi amministratore al mio utente dato che spesso (per es:quando voglio terminare dei processi dal task mi dice ke serve l ammin x farlo) mi dice che serve l amministratore x fare alcune cose!
voi che sapete dirmi? che devo fa'? :timid:

Tecno214
03-10-2006, 10.17.34
Primo consiglio...
Attenzione a lanciare sul pc programmi eseguibili di dubbia natura..
Se è il worm che penso io e che ho più volte riscontrato sulle macchine dei miei clienti prova come ti scrivo di seguit
Verifica che il worm ti abbia disabilitato sia la chiamata al regitro "regedit" che la chiamata del task manager (Ctrl+Alt+Canc) nonchè ha riempito il tuo file host di una serie di indirizzi che di fatto impediscono il corretto aggiornamento del tuo antivirus..
Se è questo worm procedi così......
1) Lancia hyjackthis e fixa una voce, che avrai sicuramente, che fa riferimento a "disable taskmgr=1" o qualcosa di simile.....
2) Procurati il programma RegSeeker....Lancialo e, con la voce "find in registry" cerca la voce "disabletaskmgr" che avra una chiave impostata a "1"..
Entra e cambia il valore a "0".
3) A questo punto dovresti aver ripreso il controllo del task manager e del registro...
4) Cerca il file "host", ( aprilo con notepad ) e cancella tutte le voci che ci sono tranne la voce 127.0.0.0 localhost).
5) Lancia una scansione con spyboot o con adaware e togli i residui del worm..
Così dovresti risolvere!

Ceppe
03-10-2006, 12.55.12
la voce del registro che dici tu non l ho trovata! cmq il taskmanager me lo fa aprire...solo che non riesco a chiudere alcuni processi ke vorrei!
un altra cosa... i file che vengono creati in
C:\Programmi\File comuni sono tanti tutti .exe con nomi strani
e il nome del file (Hsu.exe per esempio) è scritto in verde!
ecco qui il log di hijack

Logfile of HijackThis v1.99.1
Scan saved at 11.46.25, on 03/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Ceppino\Desktop\Download\binary-matador\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Piledriver
03-10-2006, 13.32.24
sembra andare tutto bene :)

Ceppe
03-10-2006, 14.12.48
ma forse non lo è... :mm:

gsmet
03-10-2006, 15.55.48
Ci sono troppi credo nel primo post.

Se hai preso VERAMENTE quel worm puoi seguire le istruzioni di rimozione di qualsiasi sito di protezione... altrimenti... puoi usare qualche programma come spybot search and destroy o windows defender o così via.

In qualsiasi altro caso, anche una scansione completa dell'AV su TUTTI i file sarebbe consigliata...

Infine... uhm... boh dovrei vedere che succede.

Il tuo log di HijackThis è perfetto per quanto vedo io.

Ceppe
03-10-2006, 22.07.01
le varie scansioni le ho fatte e qualcosa l ha trovata ed eliminata l' adware!
ma gli esecutivi nella cartella File Comuni ci stanno ancora...e nn riesco ad eliminarli...

gsmet
03-10-2006, 22.24.10
uhm... quindi ti da errore quando provi a cancellarli o gli elimini e riappaiono?

Se ti da errore usa unlocker e digli di eliminarli all'avvio!

Ceppe
04-10-2006, 01.59.27
uhm... quindi ti da errore quando provi a cancellarli o gli elimini e riappaiono?
Se ti da errore usa unlocker e digli di eliminarli all'avvio!
alcuni riesco ad eliminarli altri no...!cmq temo che riappaiano anche con nomi diversi dopo un po...
cmq con unlocker mi da errore dicendo ke nn possiedo i privilegi di debug... :mm:

gsmet
04-10-2006, 02.08.34
allora non hai rimosso il trojan e sta ancora la a fare il bello e il cattivo tempo... per rimuoverlo del tutto dovresti agire da fuori con una distribuzione di Windows live come bart pe o qualche BootCD come ultimate bootcd

Ceppe
04-10-2006, 02.15.08
allora non hai rimosso il trojan e sta ancora la a fare il bello e il cattivo tempo... per rimuoverlo del tutto dovresti agire da fuori con una distribuzione di Windows live come bart pe o qualche BootCD come ultimate bootcd
oddio e ke vuol dire???
cmq con unlocker mi dice ke nn posseggo i privilegi di debug
sto worm del c**** m ha tolto i permessi di admin penso

gsmet
04-10-2006, 02.18.30
Sul sito di unlocker c'è la faq... cmq basta che ti aggiungi al gruppo dei debug users

Tecno214
04-10-2006, 09.50.24
Intanto proverei a vedere se magari fosse il nostro simpatico Link Optimozer che, come hai detto, genera anche lui dei file criptati proprio nella posizione che hai detto..

Controlla sia nei servizi (start/esegui/services.msc) che nel pannello utenti (Pannello di controllo/Account Utenti) se magari ci fossero servizi e/o account utenti strani!

Ceppe
05-10-2006, 20.01.28
account strani nn ce ne sono...nei servizi ce ne è uno che si chiama
IKS il cui file di riferimento è uno di quelli nella cartella file comuni...
e praticamente la sua connessione ha un account strano e nn mi permette l accesso...
mi sa che è quello,che devo fare?? :wall:

Sbavi
05-10-2006, 20.15.28
Vabbè che la sezione è sbagliata, cmq..

Se ne è parlato qui
http://www.wintricks.it/forum/showthread.php?t=108493
e qui
http://www.wintricks.it/forum/showthread.php?t=109432
e sicuramente in altre discussioni.

Ti anticipo che sono riuscito a debellarlo, tuttavia la macchina rimane ugualmente piantata, in quanto vengono incasinati i file di sistema spoolsv.exe svchost.exe e services.exe, che di fatto sono quelli che mandano in palla il pc.
Ho risolto formattando, ma tutt'ora ho altri 2 pc ancora infetti.
Non se ne viene a capo, secondo me, perchè vengono creati in maniera assolutamente random questi file dannosi, cosicchè quando cerchi su Google (o altro) il file xyz.exe non trovi nulla. E' questa mancanza di "identificazione" che secondo mette i bastoni tra le ruote allo sviluppo di una soluzione.

IMHO :)

Ceppe
05-10-2006, 22.08.58
Vabbè che la sezione è sbagliata, cmq..
Se ne è parlato qui
http://www.wintricks.it/forum/showthread.php?t=108493
e qui
http://www.wintricks.it/forum/showthread.php?t=109432
e sicuramente in altre discussioni.
Ti anticipo che sono riuscito a debellarlo, tuttavia la macchina rimane ugualmente piantata, in quanto vengono incasinati i file di sistema spoolsv.exe svchost.exe e services.exe, che di fatto sono quelli che mandano in palla il pc.
Ho risolto formattando, ma tutt'ora ho altri 2 pc ancora infetti.
Non se ne viene a capo, secondo me, perchè vengono creati in maniera assolutamente random questi file dannosi, cosicchè quando cerchi su Google (o altro) il file xyz.exe non trovi nulla. E' questa mancanza di "identificazione" che secondo mette i bastoni tra le ruote allo sviluppo di una soluzione.
IMHO :)


tu come hai risolto?
io ho provato a segui' la procedura...ma niente... :mm: