PDA

Visualizza versione completa : Backdoor trovata dall'antivirus... ma come faccio a toglierla definitivamente???


torakiki78
14-11-2007, 02.03.31
Non ci posso credere ... il portatile ha sempre funzionato in tranquillità... ma facendo una scansione trovo più di 100 files infettati dalla backdoor

TROJAN HORSE IRC/BACKDOOR.SDBOT3.URX

l'antivirus AVG dice di averlo tolto, ma poi, quando mi connetto ad internet... ricompare... come faccio a toglierlo definitivamente? C'è qualcosa di più specifico?

Grazie

leofelix
14-11-2007, 08.38.28
ciao,
al momento ti suggerirei di scaricare il Trend Micro HiJackThis sul desktop, da questo link:

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

una volta salvato, chiudi le finestre, eseguilo, si aprirà una finestra in inglese, quindi clicca su "do a system scan and save a logfile", quindi ricopia i risultati e postali qui, cortesemente.
------------------
Ecco, nel caso non lo conoscessi, HiJackThis non è uno strumento di rimozione malware specifico, ma serve a capire cosa è successo al tuo sistema.
Attraverso quello strumento cercheremo di aiutarti, visto che conoscere solo il nome del Trojan che hai contratto non sempre è sufficiente.
--------------

In ogni caso io fossi in te scaricherei anche il DrWeb CureIt (uno strumento gratuito di rimozione malware molto completo, efficiente veloce e in italiano) da questo link in basso

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

e gli farei fare una scansione del sistema col PC disconnesso da internet naturalmente.

Attendiamo il log di HijackThis e tue notizie, buona giornata:)

torakiki78
14-11-2007, 09.16.55
Grazie 1000! Dopo provo e vi faccio sapere!
Nicola :)

Su questo PC che a mio parere è molto lento ed è appena stato ripulito di alcuni spy... c'è qualcosa che non va??? Eccovi il log


Logfile of HijackThis v1.99.1
Scan saved at 8.16.17, on 14/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA BE.EXE
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\Programmi\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\ATnotes\ATnotes.exe
C:\WINDOWS\SecCopy\SecCopy.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programmi\Nero Burning\Nero BackItUp\NBJ.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Webshots\WebshotsTray.exe
C:\Programmi\CountDown\CountDown.exe
C:\Programmi\Magic mail Monitor\Magic.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
H:\___Protezione VIRUS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA BE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe" /source=HKLM
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programmi\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [Second Copy 2000] "C:\WINDOWS\SecCopy\SecCopy.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Nero Burning\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\WebshotsTray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194627491250
O17 - HKLM\System\CCS\Services\Tcpip\..\{D89C0512-6442-408B-BD90-89BFA93D4BA2}: NameServer = 62.94.0.42 62.94.0.41
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programmi\RealVNC\VNC4\WinVNC4.exe" -service (file missing)









ciao,
al momento ti suggerirei di scaricare il Trend Micro HiJackThis sul desktop, da questo link:

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

una volta salvato, chiudi le finestre, eseguilo, si aprirà una finestra in inglese, quindi clicca su "do a system scan and save a logfile", quindi ricopia i risultati e postali qui, cortesemente.
------------------
Ecco, nel caso non lo conoscessi, HiJackThis non è uno strumento di rimozione malware specifico, ma serve a capire cosa è successo al tuo sistema.
Attraverso quello strumento cercheremo di aiutarti, visto che conoscere solo il nome del Trojan che hai contratto non sempre è sufficiente.
--------------

In ogni caso io fossi in te scaricherei anche il DrWeb CureIt (uno strumento gratuito di rimozione malware molto completo, efficiente veloce e in italiano) da questo link in basso

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

e gli farei fare una scansione del sistema col PC disconnesso da internet naturalmente.

Attendiamo il log di HijackThis e tue notizie, buona giornata:)

RNicoletto
14-11-2007, 16.42.39
Il log di HijackThis sembrerebbe essere OK! :)

leofelix
14-11-2007, 17.28.42
infatti sembra anche a me pulito,

avevo capito che utilizzavi l'AVG antivirus, non che avevi installato l'AVG antispyware 7.5.1 come si evince dal log.
Noto anche che utilizzi come antivirus l'ESET NOD32 antivirus.. che invece a quanto pare non ha rilevato quel Trojan da quanto ho capito, è così?
----
Noto anche che hai un bel po' di programmi in esecuzione automatica (msn messenger, il servizio di aggiornamento della SUN Java -che però non è aggiornata alla versione più recente- "ATnotes" - che non so cosa sia - etc etc etc).. non sarà il caso di alleggerire il sistema togliendo qualche voce superflua dall'autorun?;)
Magari con un tool specifico come ad esempio lo StartUpLite da
http://malwarebytes.org/StartUpLite.exe

---

Ho un sospetto: usi il "RealVNC" che è identificato da alcuni sistemi di sicurezza come malware (ma non lo è, visto che si tratta di un legittimo software di connessione remota, potrebbe essere quello il "Trojan" che "AVG antispyware" identifica)

Prova a inviare l'eseguibile del RealVNC su www.virustotal.com se è come penso io è quel software ad essere identificato come TROJAN/BACKDOOR dall'AVG Antispyware. (ma ripeto è un software legittimo)

Attendo notizie, sempre che la Telecom me lo consenta visto che oggi mi ha lasciato a terra qualche decina di volte :inkaz:

ciao:)

torakiki78
14-11-2007, 18.35.35
infatti sembra anche a me pulito,

avevo capito che utilizzavi l'AVG antivirus, non che avevi installato l'AVG antispyware 7.5.1 come si evince dal log.
Noto anche che utilizzi come antivirus l'ESET NOD32 antivirus.. che invece a quanto pare non ha rilevato quel Trojan da quanto ho capito, è così?
----
Noto anche che hai un bel po' di programmi in esecuzione automatica (msn messenger, il servizio di aggiornamento della SUN Java -che però non è aggiornata alla versione più recente- "ATnotes" - che non so cosa sia - etc etc etc).. non sarà il caso di alleggerire il sistema togliendo qualche voce superflua dall'autorun?;)
Magari con un tool specifico come ad esempio lo StartUpLite da
http://malwarebytes.org/StartUpLite.exe

---

Ho un sospetto: usi il "RealVNC" che è identificato da alcuni sistemi di sicurezza come malware (ma non lo è, visto che si tratta di un legittimo software di connessione remota, potrebbe essere quello il "Trojan" che "AVG antispyware" identifica)

Prova a inviare l'eseguibile del RealVNC su www.virustotal.com se è come penso io è quel software ad essere identificato come TROJAN/BACKDOOR dall'AVG Antispyware. (ma ripeto è un software legittimo)

Attendo notizie, sempre che la Telecom me lo consenta visto che oggi mi ha lasciato a terra qualche decina di volte :inkaz:

ciao:)


Grazie 1000. Effettivamente ho fatto un po' di confusione in quanto ho postato il LOG del PC di lavoro che monta il NOD32 e ho parlato del portatile che invece ha AVG antivirus. Solamente che tutti e 2 non erano ben messi a livello di protezione. :(

torakiki78
15-11-2007, 01.23.13
ciao,

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

e gli farei fare una scansione del sistema col PC disconnesso da internet naturalmente.

Attendiamo il log di HijackThis e tue notizie, buona giornata:)


Purtroppo non riesco a scaricare il software... :(

leofelix
15-11-2007, 06.38.56
Purtroppo non riesco a scaricare il software... :(

prova con questo allora

http://forum.wintricks.it/showpost.php?p=1415356&postcount=1

;)

leofelix
16-11-2007, 07.13.21
io utilizzerei anche questo strumento stand alone gratuito e velocissimo

http://info.prevx.com/download.asp?grab=prevxcsi

fammi sapere se riesci a scaricarlo, immagino che tu non sia riuscito a scaricare il DrWeb CureIT sia solo per delle impostazioni di default di IE 7.0 che tuttavia non rappresentano un vero problema, è sufficiente infatti indicare a IE 7.0 -quando si apre una sorta di avviso di colore giallo (cliccandoci col mouse) in alto - che si ritene affidabile effettuare il download dell'eseguibile in questione;)

in merito alla protezione del computer con NOD32, ebbene è considerato - non a torto - tra i migliori antivirus in commercio, il punto è altro: ovvero molti utenti lasciano le impostazioni base dell'ESET NOD32 invece che passare alla configurazione "esperta" a tale proposito ti rimando a questo articolo di crazy.cat pubblicato su megalab.it

http://www.megalab.it/articoli.php?id=1103

ciau