Infezione Rootkit Win32 e Trojan Downloader Delf

[Demonios@]

con HijackThis fix queste

O4 - HKLM\..\Run: [drvkmsuh] "e:\windows\system32\drvkmsuh.exe

O23 - Service: AMOSK - Unknown owner - E:\DOCUME~1\Arianna\IMPOST~1\Temp\AMOSK.exe (file missing)

O23 - Service: JWPZFFEESTT - Unknown owner - E:\DOCUME~1\Arianna\IMPOST~1\Temp\JWPZFFEESTT.exe (file missing)

O23 - Service: OVVEWOT - Unknown owner - E:\DOCUME~1\Arianna\IMPOST~1\Temp\OVVEWOT.exe (file missing)

elimina se presente:
e:\windows\system32\drvkmsuh.exe

Scarica PSERV.CPL
http://p-nand-q.com/download/pserv_cpl/pserv-2.6.exe

Clic con il tasto dex sul nome del servizio

Service: AMOSK.exe
Service:JWPZFFEESTT
Service:OVVEWOT

seleziona "Delete"

Ciao caro

[Reira]

Tutto fatto! Grazie!

[Deifobe]

Ciao reira, è possibile che ci sia ancora qualcosa da controllare/rimettere a posto

O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmi\QuickTime\bak\qttask.exe" -atboottime (ed eventualmente gli altri files)

questi da controllare:
----a-w 79,224 2007-12-04 13:00:23 E:\Programmi\Alwil Software\Avast4\ashDisp .exe
----a-w 15,360 2004-08-19 13:39:36 E:\WINDOWS\system32\ctfmon .exe
----a-w 14,348 2008-04-01 12:08:11 E:\WINDOWS\system32\NeroCheck .exe
(infatti vedo un altro 2008-04-01 12:08 14,348 ----a-w E:\WINDOWS\system32\NeroCheck .exe)

e
2008-04-15 22:31 . 2008-04-15 22:30 14,348 --a------ E:\WINDOWS\system32\NeroCheck.exe3520721081

e forse altro.. (a parte i residui dei servizi eliminati che probabilmente hai in currentcontrolset001/002)

Scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi suòl desktop su Freefilehosting e posta il link ottenuto.

[Reira]

Ciao, ho provato a fare lo scan con System Scan come mi hai detto, il problema è che mi si blocca allo step 9, "Loaded Modules". Mi va in crash, il pc diventa lenitssimo, impossibile aprire addirittura il task manager e mi tocca riavviare il tutto manualmente.

In aggiunta, stamattina appena acceso il pc, mi è apparso il messaggio che il sistema era stato ripristinato per un "errore grave".

Come posso fare con System Scan?

[Deifobe]

salta la scansione n. 9 togliendo la spunta corrispondente ed esegui le restanti scansioni.

riguardo l'errore, vai nel visualizzatore eventi (start - pannello di controllo - strumenti di amministrazione - visualizzarore eventi) e vedi se trovi qualcosa negli avvisi.

ciao

[Reira]

Ecco il link con il report di systemscan:

http://www.freefilehosting.net/download/3h4e8

Ho guardato come mi hai detto tra gli avvisi, ma ce n'è tantissimi e non so bene cosa cercare...

Grazie anche a te per l'aiuto

[Deifobe]

scarica Avenger e CCleaner

da hijackthis fixa:
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe


esegui avenger e nella finestra copia/incolla:

files to delete:
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~68279a27639b1c7 e285a596ce00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~63225896ecf1c7e 284fb1eab00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~596377eb7b7c1c7 e285c95a1400.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~62d9ec9d6ed1c87 3dd4d2fbd00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~62d9ec9d6ed1c87 3dd4d2fbd00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~596377eb7b7c1c7 e285c95a1400.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~4fe7cb81e2321c7 b7cdd569ae00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~4fe7cb81e2321c7 b7cdd569ae00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~63225896ecf1c7e 284fb1eab00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~80279a3a4e661c7 e285a0d21a00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~7e279a2d5eec1c7 e285bc3d2500.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~80279a3a4e661c7 e285a0d21a00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~147bdf874171c7e 285d1b24f00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~147bdf874171c7e 285d1b24f00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~7e279a2d5eec1c7 e285bc3d2500.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~68279a27639b1c7 e285a596ce00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~88279a2f76731c7 e285e5f64c00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~44279a2d5cf31c7 e285b6474400.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~88279a2f76731c7 e285e5f64c00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~44279a2d5cf31c7 e285b6474400.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~d0854516b72011c 8afa0b57f100.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~84854512baf6e1c 712c28ce32400.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~d0854516b72011c 8afa0b57f100.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~84854512baf6e1c 712c28ce32400.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~c94387578e5b1c8 ab16ddddf400.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~c4854515d3ba81c 712d2b441ed00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~c4854515d3ba81c 712d2b441ed00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~c94387578e5b1c8 ab16ddddf400.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~64854514bcffd1c 712d4fb30e200.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~64854514bcffd1c 712d4fb30e200.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~ac854521c9b5c1c 712d78e6b1700.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~ac854521c9b5c1c 712d78e6b1700.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~32854521c453a1c 712d4fff59600.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~32854521c453a1c 712d4fff59600.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~e0854520c7be41c 712d9988e1500.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~e0854520c7be41c 712d9988e1500.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~90943841a46211c 8ab17fef5600.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~90943841a46211c 8ab17fef5600.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~e49438408ba651c 8ab171382dd00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~e49438408ba651c 8ab171382dd00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~c85453bbc7591c7 12dd4b13a700.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~b294385b9778d1c 8ab1717166400.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~b294385b9778d1c 8ab1717166400.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~c85453bbc7591c7 12dd4b13a700.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~2c85453bc87e31c 712dd71394700.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~2c85453bc87e31c 712dd71394700.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~5a85453ae93f21c 712dde60c8100.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~5a85453ae93f21c 712dde60c8100.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~c485453bc943a1c 712de15bb8900.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~c485453bc943a1c 712de15bb8900.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~6094385a2d3771c 8afa2393e3500.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~6094385a2d3771c 8afa2393e3500.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~6485453ae00cb1c 712de2d930d00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~6485453ae00cb1c 712de2d930d00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~1085453bc909a1c 712de194f1000.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~1085453bc909a1c 712de194f1000.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~32854515d2a361c 712de3257c100.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~32854515d2a361c 712de3257c100.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~d6854515be8541c 712dec164d900.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~d6854515be8541c 712dec164d900.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~7c854514c67751c 712ded80b3000.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~7c854514c67751c 712ded80b3000.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~ac854515ce28d1c 712df13a5fa00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~ac854515ce28d1c 712df13a5fa00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~44854515b9d561c 712df9929aa00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~44854515b9d561c 712df9929aa00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~90854515bcddb1c 712dfa050b800.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~90854515bcddb1c 712dfa050b800.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~e4854514ba1e01c 712dff3c30600.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~e4854514ba1e01c 712dff3c30600.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~f29438a7a04d81c 8ab1752b12e00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~f29438a7a04d81c 8ab1752b12e00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~4c8545c7c416c1c 712e017864c00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~4c8545c7c416c1c 712e017864c00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~6c8545c7ca58c1c 712e01ead5a00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~1a8545c6c20a71c 712e089f72c00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~6c8545c7ca58c1c 712e01ead5a00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~1a8545c6c20a71c 712e089f72c00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~208545c6c0d691c 712e08ebbe000.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~208545c6c0d691c 712e08ebbe000.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~248545c6bb8731c 712e5e872d900.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~849438a75f6fb1c 8ab1765c3fe00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~248545c6bb8731c 712e5e872d900.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~508545c7c03471c 712e5caa57400.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~508545c7c03471c 712e5caa57400.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~849438a75f6fb1c 8ab1765c3fe00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~969438bb78f271c 8ab176f4d6600.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~969438bb78f271c 8ab176f4d6600.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~729438bb6daa01c 8ab176bb9df00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~729438bb6daa01c 8ab176bb9df00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~3c8545dacda781c 7133ba8d6dc00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~3c8545dacda781c 7133ba8d6dc00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~cc8545dbdbf671c 7133bbab87f00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~cc8545dbdbf671c 7133bbab87f00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~ec8545dbe26c81c 7133bc1df8d00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~ec8545dbe26c81c 7133bc1df8d00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~9a8545dad23d11c 7133bc5731400.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~a08545dacf8d21c 71424d6d6600.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~a08545dacf8d21c 71424d6d6600.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~9a8545dad23d11c 7133bc5731400.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~48545dbd3a4b1c7 142412321a00.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~48545dbd3a4b1c7 142412321a00.jpg
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~d08545dbcee281c 7142415c5a100.jpd
E:\DOCUME~1\Arianna\IMPOST~1\Temp\~d08545dbcee281c 7142415c5a100.jpg
E:\WINDOWS\system32\NeroCheck.exe3520721081
E:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager .exe
E:\Programmi\DAEMON Tools\daemon .exe
E:\Programmi\Java\jre1.6.0_03\bin\jusched .exe
E:\Programmi\QuickTime\qttask .exe
E:\Programmi\Windows Defender\MSASCui .exe
E:\Programmi\Yahoo!\Messenger\YAHOOM~1 .EXE
E:\WINDOWS\system32\ctfmon .exe
E:\WINDOWS\system32\NeroCheck .exe
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\system32\ctfmon .exe

files to move:
E:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | E:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
E:\Programmi\DAEMON Tools\bak\daemon.exe | E:\Programmi\DAEMON Tools\daemon.exe
E:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | E:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
E:\Programmi\QuickTime\bak\bak\qttask.exe | E:\Programmi\QuickTime\qttask.exe
E:\Programmi\Windows Defender\bak\MSASCui.exe | E:\Programmi\Windows Defender\MSASCui.exe
E:\Programmi\Yahoo!\Messenger\bak\YAHOOM~1.EXE | E:\Programmi\Yahoo!\Messenger\YAHOOM~1.EXE
E:\WINDOWS\system32\bak\ctfmon.exe | E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\system32\bak\NeroCheck.exe | E:\WINDOWS\system32\NeroCheck.exe

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Esegui hijackthis, clicca su "Open the Misc Tools section" - "Open ADS Spy" - "Scan". Se rileva ADS spunta voci e clicca su "remove selected".

Riposta systemscan

Ciao

[Reira]

Dunque:
ho usato Avenger, e dal log aveva fatto tutto con successo, ma non aveva eliminato questi file, dicendo "failed, file does not exist":
E:\WINDOWS\system32\NeroCheck.exe3520721081
E:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager .exe
E:\Programmi\DAEMON Tools\daemon .exe
E:\Programmi\Java\jre1.6.0_03\bin\jusched .exe
E:\Programmi\QuickTime\qttask .exe
E:\Programmi\Windows Defender\MSASCui .exe
E:\Programmi\Yahoo!\Messenger\YAHOOM~1 .EXE
E:\WINDOWS\system32\ctfmon .exe
E:\WINDOWS\system32\NeroCheck .exe
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\system32\ctfmon .exe

Allora ho ripetuto l'operazione solo con questi attaccando l'estensione .exe al nome del file, perchè come vedi dal copia-incolla che mi hai postato e da questo sopra, c'era uno spazio in mezzo. Il risultato del secondo tentativo è stato questo log:
http://www.freefilehosting.net/download/3h4km

(scusa se non ho il log del primo tentativo, ma rifacendo lo scan me l'ha sostituito e non ho trovato quello vecchio da nessuna parte, cmq sono sicura di quello che ho letto )

Ho pulito 2 volte con CCleaner come mi hai detto, poi ho cercato le voci ADS ma non ne ha trovate.

Ecco il nuovo report di System scan:
http://www.freefilehosting.net/download/3h4l0

Ennesimo grazie

[Deifobe]

....e chi te lo dice che si sia trattato di uno sbaglio?
non bisogna fare cose di testa propria, non credi?
...modificando lo script hai eliminato i files legittimi, lo spazio prima dell'exe non era un errore...

comunque... a prima vista non mi pare ci sia nulla di grave.

ora sono collegata con il cellulare; più tardi, appena mi connetto con il pc, guardo systemscan.

[Reira]

Ok, ok, scusa.
Prima di farlo ho cercato in tutti i log se ci fossero dei file con lo spazio, e siccome nessuno ce l'aveva, ho pensato erroneamente che fosse solo uno sbaglio. Non tocco più nulla.