virus sconosciuto (almeno a me)

[pinkfloyd]

Salve, ho un problema apparentemente di difficile soluzione (per me).
Dopo una megainfezione da virus win32/sality_NAE, rilevata con nod32.exe, che mi ha costretto a una megapulizia di file eseguibili dal pc (ne ho cancellati mezzi), pare che tuttavia sia rimasto un worm che nod32 non riesce a rilevare.
Ogni volta che riavvio, infatti, un qualche processo automatico (e ne ho ben pochi) crea un file eseguibile di 64 kb in una qualsiasi sottocartella della cartella programmi, con un nome che ricalca quello di uno dei file già presenti nella sottocartella; il file eseguibile, credo, si appoggia al svchost e apre una porta ogni qualvolta mi connetto ad internet (ho alice adsl), collegandosi rapidamente a una lunga e continua serie di indirizzi IP probabilemte casuali; ho installato il firewall outpost che funziona egregiamente (anche se ho trovato solo una versione in inglese) e blocca tutti questi accessi non consentiti; avendo poi trovato un file sospetto nella cartella windows\system32, svchost32.exe, l'ho cancellato e sembra che le connessioni "illecite" si siano bloccate, anche se ho continuamente il pc sotto attacco.
Supponendo si trattasse di una variante del w32/sasser ho fatto una scansione con il tool della symantec, ma non ha trovato niente.
Resta il fastidioso problema del file eseguibile creato a ogni avvio del pc, che sono costretto a interrompere e cancellare manualmente ogni volta.
Se qualcuno sa di cosa si tratta...attendo impazientemente gentile risposta...

Grazie.

[andorra24]

Ciao, prova a fare qualche scansione:
http://www.bitdefender.com/scan8/ie.html
http://download.ewido.net/ewido-setup.exe

Fatte le scansioni posta un log di hijackthis.

[pinkfloyd]

Ho provato a fare la scansione con bitdefender , ma mi si pianta a un certo punto.
Ho invece scaricato ewido e provveduto a fare una scansione, anche in mod. provvisoria; mi ha trovato alcuni cookie da eliminare (roba vecchia, comunque) ma niente altro; messi i cookie in quarantena, il problema rimane.
Il log di hijackthis (premetto che ho anche reinstallato windows - le ho provate proprio tutte ):
Logfile of HijackThis v1.99.1
Scan saved at 21.11.51, on 10/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Eset\nod32krn.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S 2.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Documents and Settings\tiziano\Desktop\Documenti\hijackthis\Hija ckThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S 2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: NOD32 Control Center.lnk = C:\Programmi\Eset\nod32kui.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1149819389937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1149888564984
O17 - HKLM\System\CCS\Services\Tcpip\..\{5009D20A-3623-4873-A012-2BD5B2E2B37C}: NameServer = 85.37.17.55 85.38.28.93
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe


L'unica voce che mi viene segnalata come sospetta é la 017, che ho provato + volte inutilmente a fixare ma viene puntualmente riscritta ogni volta che mi connetto a internet; visto che ne il nod32 ne ewido hanno trovato virus, suppongo sia una voce lecita (anche se le perplessità rimangono).

Per quel che riguarda il problema in oggetto riepilogo un attimo:

a ogni riavvio del pc mi viene creato in una qualsiasi sottocartella di c:\programmi un file eseguibile di 64 kb (un settore del disco direi), con nome ripreso da uno qualsiasi dei file già presente nella cartella, data di creazione SEMPRE 27/04/2006 ore 21 e rotti.

Me ne accorgo usando procexp, che mi segnala il file in questione caricato in memoria; osservando le proprietà del programma da procexp, pare ci sia una connessione con un programma presente nella cartella ..\temp\autoit, autoit.exe, che ho inutilmente tentato di cancellare (a ogni riavvio anche quello ricompare).

Il file creato e caricato in memoria , appena mi connetto a internet, apre una serie di porte dirette a indirizzi IP forse casuali, bloccate solo dal firewall. Sono pertanto costretto ogni volta a cancellarlo dalla memoria con procexp e a cancellare il file dal disco.

Ho fatto una ricerca di tutti i file con data e ora di creazione uguali (27/04/2006 ore 21..); ho trovato una lunga serie di file A0001104.exe in cartelle "system volume information", tutti di 64 kb. (penso siano relativi al ripristino conf. sistema, che ho disattivato subito dopo), + un file DC24.exe ; ho cancellato tutto, ma il problema ancora rimane!!!
Un ultima cosa: nella cartella programmi ho 2 file nascosti, com4.exe e nul.exe, non cancellabili; non so se hanno una qualche relazione col problema...?

E' quasi una settimana che ci impazzisco!!! AIUTO!!!

[andorra24]

Dal log che hai postato non emerge nulla di grave. Ci sono solo queste 2 voci da fixare:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

La voce 017 non devi toccarla perche' sono i DNS di Alice che presumo sia il tuo provider.

Ti consiglio di fare qualche scansione online, visto che bitdefender ti si pianta prova con panda:
http://www.pandasoftware.com/products/ActiveScan.htm

[pinkfloyd]

Allora, ho fatto una scansione con ad-aware che mi ha trovato alcuni oggetti da cancellare (3/4 chiavi di registro, qualche cookie e gli immancabili troiai di Alexa, che chissà da dove saltano sempre fuori).
Sono poi, dopo lunga attesa, riuscito a fare una scansione online con Bitdefender, e guarda un po', ha trovato quel che nessuno aveva trovato prima:

C:\mc-110-12-0000133.exe=>(NSIS o)
Infected with: Trojan.Downloader.Agent.AOE

C:\mc-110-12-0000133.exe=>(NSIS o)
Disinfection failed

C:\mc-110-12-0000133.exe=>(NSIS o)
Deleted

C:\mc-110-12-0000133.exe
Update failed

C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00003.dll
Infected with: Trojan.PWS.Sinowal.W

C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00003.dll
Deleted

C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00004.dll
Infected with: Trojan.PWS.Sinowal.I

C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00004.dll
Deleted

Siccome pero' bitdefender non é riuscito a cancellare il file mc-110-12-000133.exe, ho provveduto a cancellare manualmente il file, e guarda caso IL PROBLEMA E' SCOMPARSO!!!!
FINALMENTE!!!!!!!

Si trattava dunque del Trojan.Downloader.Agent.AOE contenuto nel file c:\mc-110-12-0000133.exe, anche se non ho capito ancora come facesse a caricarlo in memoria all'avvio (non ho trovato riferimenti sul registro con regedit, ma forse sono stati cancellati da ad-aware o bitdefender).

Quello che mi chiedo a questo punto é: PERCHE' NOD32 (o Ewido) NON HANNO RILEVATO QUESTI VIRUS??? Eppure nod32 l'ho comprato di recente, é aggiornatissimo come definizioni virus e mi é stato segnalato come uno dei migliori antivirus in commercio!!!!
Devo aggiungere che fino a pochi giorni fa avevo il norton internet security, che essendo scaduto ho disinstallato visto che mi dicevano che rallentava enormemente il computer.
Puo' darsi si che, come ho sentito dire, ti "prende la macchina", resta pero' il fatto che fino ad allora non ho MAI avuto problemi di virus, e adesso ce li ho tutti insieme!!!!!!!!

Comunque un doveroso ringraziamento per la tua disponibilità.
ciao.

[andorra24]

Quello che mi chiedo a questo punto é: PERCHE' NOD32 (o Ewido) NON HANNO RILEVATO QUESTI VIRUS??? Eppure nod32 l'ho comprato di recente, é aggiornatissimo come definizioni virus e mi é stato segnalato come uno dei migliori antivirus in commercio!!!!
Devo aggiungere che fino a pochi giorni fa avevo il norton internet security, che essendo scaduto ho disinstallato visto che mi dicevano che rallentava enormemente il computer.
Puo' darsi si che, come ho sentito dire, ti "prende la macchina", resta pero' il fatto che fino ad allora non ho MAI avuto problemi di virus, e adesso ce li ho tutti insieme!!!!!!!!

Comunque un doveroso ringraziamento per la tua disponibilità.
ciao.

L'antivirus infallibile e perfetto non esiste e ogni tanto qualcosa puo' sfuggire anche ai migliori softwares. Il nod32 e' un antivirus molto valido e hai fatto bene a installarlo al posto del pesante norton. L'importante e' che adesso il tuo problema sia risolto.