trojan

[caioz]

Ciao a tutti del forum,
vi spiego esattamente il mio problema....spero tanto che qualcuno sappia aiutarmi...



allora,
nell'altra stanza ho un computer portatile,
un giorno, non ricordo come, inizio a mandamri dei messaggi strani, sotto mi appariva la proposta dell'antivirus di windows, mio padre l'aveva installato ma l'ho disintstallato, (ho già avast, spybot, spyware terminator, ad aware) e in pratica ha iniziato ogni tanto il pc a mandarmi dei messaggi di errore, ai quali conseguiva il riavvio del pc.
Ora il mio pc è inutilizzabile, lo accendo, non si riesce mai a fare nulla che non reagisce, le poche volte che reagisce poi appare una schermata blu con una scritta bianca e il pc dopo mezzo secondo si riavvia...

sono riuscito a far partire avast, mi diceva che c'era un trojan, ho impostato la scansione all'avvio e quando sono tornato da pranzo era già sulla schermata degli utenti...

grazie in anticipo




(ah, spesso spybot mi chiedeva se volevo consentire o no la modifica al registro da parte di file chiamati tipo svchost o autocheck/autocheck bla bla...

probabilmente non vi avrò dato le informazioni che volevate...se devo cercare di controllare anche qualcos'altro ditemelo...grazie

[Deifobe]

ciao,
scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[caioz]

Il problema è che ora non riesco a far nulla che dopo pochissimo appare sta cavolo di schermata blu e si riavvia il pc, con messaggi di errore continui....ero riuscito a fare una scansione veloce con spyware terminator che mi ha rilevatoun TROJAN.DOWNLOADER.AGENT.MKB.2 E UN TROJAN.DOWNLOADER.MUTANT.AOG...

provo a passare systemscan con la chiavetta da questo pc....spero di farcela prima che si ravvi...ma dubito...

altrimenti che faccio?

(comunque grazie )

[Deifobe]

se sei riuscito a fare una scansione veloce, puoi anche cercare di eseguere qualcosa di systemscan.

al più, clicca su unselect all e spunta solo le scansioni

- Recent files
- Registry Run Keys
- Master Boot Record


in una seconda scansione, esegui anche

- Services and Drivers
- Hidden objects


..carica i rapporti su savefile come richiesto (ricordati di postare il link ricevuto..)

[caioz]

riesco con la pennina a portare il programmino sull'altro pc....quando faccio partire la scansione si riavvia con la schermata malefica...
lo fa tutte le volte che provo a far partire un programma....
non riesco proprio...

[Deifobe]

in un file di testo copia/incolla

@echo off
regedit.exe /e C:\file1.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run"
regedit.exe /e C:\file2.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Run"
regedit.exe /e C:\file3.txt "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run"
regedit.exe /e C:\file4.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
regedit.exe /e C:\file5.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\ShellServiceObjectDelayLoad"
regedit.exe /e C:\file6.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
regedit.exe /e C:\file7.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"
regedit.exe /e C:\file8.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Explorer\Browser Helper Objects"

salvalo sul desktop come:
nome: 1.bat
tipo di file: tutti i file

esegui il file -> vai in C:\ e zippa insieme gli 8 file di testo (da file1.txt a file8.txt) -> carica l'archivio su Freefilehosting e posta il link

[caioz]

come sempre....faccio doppio clic...e puff....ora se riesco tento di fare una foto alla schermata

SONO RIUSCITO....è UN PO' DIFFICILE CAPIRE PERCHè DURA UN ATTIMO.

http://img254.imageshack.us/img254/5956/dscf2926gd6.jpg

eccone una migliore

http://img72.imageshack.us/img72/4310/dscf2931yk1.jpg

[Deifobe]

Apri il registro (start => esegui => digita regedit e dai l'ok).
Seleziona su "Hkey_local_machine", poi clicca su "file" => esporta => salva la copia in c:\ e inviami il link con un messaggio privato (non mettere questo link sul forum, mi raccomando!)

[caioz]

Cliccando su avast sono riuscito a far partire il test della memoria e mi ha trovato prima un rootkit e poi mi ha deto che c'era un virus nella memoria operativa, ho programmato la scansione all'avvio della cartella windows e mi ha trovato un virus (di nome brastk, non so se possa interessare) e ho fatto "cancella" ora è acceso e funziona ma dubito che continui così...intanto sono riuscito a fare la scansione con system scan

http://www.fileden.com/files/2007/10..._42_report.zip

[Deifobe]

si, ci sono un paio di cosette..

....e non so nemmeno se i file sono tutti li' perchè si arrivava fino a 59 gg... ossia il pc è infetto da almeno due mesi...

1) il primo intervento è molto delicato e devi farlo con molta attenzione . Se stampi questa pagina è meglio.

Apri il registro -> Start / Esegui ,digita regedit e dai l'ok
Portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Clicca su winlogon e, nella finestra a destra, trova "Userinit"

Nella colonna "dati" vedrai scritto:

c:\windows\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,

Tutto quello scritto in rosso è la parte che dovrai eliminare, guardala bene

Per eliminarla fai doppio clic su "userinit" e, nella finestra che si apre, elimina solo

C:\WINDOWS\system32\twext.exe,

(ricorda: devi togliere anche la virgola finale)


Al termine della modifica, nella finestra deve esserci scritto esattamente:

c:\windows\system32\userinit.exe,

(virgola compresa, mi raccomando!)

ATTENZIONE a non eliminare altro, altrimenti il computer non sarà più in grado di riavviarsi!!!


Chiudi il registro e riavvia il sistema


se qualcosa non ti è chiaro non toccare nulla e chiedi.


2) apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"brastk"=-
"rs32net"=-

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"rs32net"=-

[HKey_Local_Machine\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile]
"EnableFirewall"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file

chiudi ed eseguilo. accetta le modifiche


3) Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

folders to delete:
C:\FOUND.075
C:\FOUND.074
C:\FOUND.073
C:\FOUND.072
C:\FOUND.071
C:\FOUND.070
C:\FOUND.069
C:\FOUND.068
C:\FOUND.067
C:\FOUND.066
C:\FOUND.065
C:\FOUND.064
C:\FOUND.063
C:\FOUND.062
C:\FOUND.061
C:\FOUND.060
C:\FOUND.059
C:\FOUND.058
C:\FOUND.057
C:\FOUND.056
C:\FOUND.055
C:\FOUND.054
C:\FOUND.053
C:\FOUND.009
C:\FOUND.008
C:\FOUND.007
C:\FOUND.006
C:\FOUND.005
C:\FOUND.004
C:\FOUND.003
C:\FOUND.002
C:\WINDOWS\system32\twain_32

files to delete:
C:\sqmnoopt16.sqm
C:\sqmdata16.sqm
C:\sqmdata15.sqm
C:\sqmnoopt15.sqm
C:\sqmnoopt14.sqm
C:\sqmdata14.sqm
C:\sqmdata13.sqm
C:\sqmnoopt13.sqm
C:\sqmnoopt12.sqm
C:\sqmdata12.sqm
C:\sqmdata11.sqm
C:\sqmnoopt11.sqm
C:\sqmdata10.sqm
C:\sqmnoopt10.sqm
C:\sqmdata09.sqm
C:\sqmnoopt09.sqm
C:\sqmdata08.sqm
C:\sqmnoopt08.sqm
C:\sqmnoopt07.sqm
C:\sqmdata07.sqm
C:\sqmnoopt06.sqm
C:\sqmdata06.sqm
C:\sqmnoopt05.sqm
C:\sqmdata05.sqm
C:\sqmdata04.sqm
C:\sqmnoopt04.sqm
C:\sqmnoopt03.sqm
C:\sqmdata03.sqm
C:\sqmnoopt02.sqm
C:\sqmdata02.sqm
C:\sqmdata01.sqm
C:\sqmnoopt01.sqm
C:\sqmnoopt19.sqm
C:\sqmdata19.sqm
C:\sqmnoopt18.sqm
C:\sqmdata18.sqm
C:\sqmdata17.sqm
C:\sqmnoopt17.sqm
C:\WINDOWS\karna.dat
C:\WINDOWS\namew.vbs
C:\WINDOWS\ovasur.db
C:\WINDOWS\ypofyzydi.inf
C:\WINDOWS\imakaduver.ban
C:\WINDOWS\jyjuka.dl
C:\WINDOWS\system32\winctrl32.dll
C:\WINDOWS\system32\WinCtrl32.dll.ren
C:\WINDOWS\system32\wini10497.exe
C:\WINDOWS\system32\delself.bat
C:\WINDOWS\system32\wini10491.exe
C:\WINDOWS\system32\wini10495.exe
C:\WINDOWS\system32\p.ico
C:\WINDOWS\system32\s.ico
C:\WINDOWS\system32\c.ico
C:\WINDOWS\system32\m.ico
C:\WINDOWS\system32\wini1049357.exe
C:\WINDOWS\system32\rotojoqozo.reg
C:\WINDOWS\system32\nutybe.db
C:\WINDOWS\system32\uwuqabu.inf
C:\WINDOWS\system32\_scui.cpl.ren
C:\Programmi\File comuni\gigoqyw.exe
C:\Programmi\File comuni\zowere.ban
C:\WINDOWS\temp\BN27.tmp
C:\WINDOWS\temp\BN26.tmp
C:\WINDOWS\temp\BN25.tmp
C:\WINDOWS\temp\BN24.tmp
C:\WINDOWS\temp\BN23.tmp
C:\WINDOWS\temp\BN22.tmp
C:\WINDOWS\temp\BN21.tmp
C:\WINDOWS\temp\BN20.tmp
C:\WINDOWS\temp\BN7.tmp
C:\WINDOWS\temp\BN4.tmp
C:\WINDOWS\temp\BN3.tmp
C:\WINDOWS\temp\BN1F.tmp
C:\WINDOWS\temp\BN1E.tmp
C:\WINDOWS\temp\BN1D.tmp
C:\WINDOWS\temp\BN1C.tmp
C:\WINDOWS\temp\BN1B.tmp
C:\WINDOWS\temp\BN1A.tmp
C:\WINDOWS\temp\BN19.tmp
C:\WINDOWS\temp\BN18.tmp
C:\WINDOWS\temp\BN17.tmp
C:\WINDOWS\temp\BN16.tmp
C:\WINDOWS\temp\BN15.tmp
C:\WINDOWS\temp\BN14.tmp
C:\WINDOWS\temp\BN13.tmp
C:\WINDOWS\temp\BN12.tmp
C:\WINDOWS\temp\BN11.tmp
C:\WINDOWS\temp\BN10.tmp
C:\WINDOWS\temp\BNF.tmp
C:\WINDOWS\temp\BNE.tmp
C:\WINDOWS\temp\BND.tmp
C:\WINDOWS\temp\BNC.tmp
C:\WINDOWS\temp\BNB.tmp
C:\WINDOWS\temp\BNA.tmp
C:\WINDOWS\temp\BN8.tmp
C:\WINDOWS\temp\BN9.tmp
C:\WINDOWS\temp\BN6.tmp
C:\WINDOWS\temp\BN5.tmp
C:\WINDOWS\temp\BN2.tmp
C:\WINDOWS\temp\BN1.tmp
C:\WINDOWS\system32\drivers\Winnr72.sys
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twain_32\user.ds
C:\WINDOWS\system32\twain_32\local.ds

registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset001\services\W innr72
HKEY_LOCAL_MACHINE\system\controlset002\services\W innr72
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\Winnr72
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_Winnr72
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\ legacy_Winnr72
HKEY_LOCAL_MACHINE\system\controlset002\enum\root\ legacy_Winnr72

Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc si riavvierà.

Probabilmente le chiavi in verde non andranno via... in quel caso useremo combofix..


4) analizza su Virustotal il file C:\WINDOWS\system32\drivers\beep.sys e posta il link dell'analisi.


5) (questo non sei obbligato a farlo ma mi faresti una cortesia..)
zippa la cartella c:\Avenger e caricala su Freefilehosting e inviami il link con un messaggio privato (questo link non postarlo sul forum, mi raccomando )

6) posta un nuovo systemscan

buon lavoro
...e mi raccomando il link di avenger... non postarlo sul forum

dei