Virus e probabile conflitto fra Adware 2007 e NOD32

[pinino3]

Cari amici, sul mio PC che purtroppo era infetto da Virus ho notato che ogni qualvolta lancio come Antispyware l'Adware 2007 della Lavasoft, il NOD32 mi lancia il messaggio di attacco virus su aaware.exe. Secondo voi, è possibile che il programma Adware si sia infettato oppure, spero di no, abbia delle Spyware che NOD32 mi riconosce come virus?
Altro problema. A quanto pare un Trojan ha attaccato purtroppo la cartella System32 ed un file con estensione dll, per quanto ne sappia è un file libreria. Secondo voi conviene cancellarlo sempre tramite NOD32 questo file? Grazie tante, resto in attesa dei vostri suggerimenti.

[Deifobe]

ciao,
scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[pinino3]

Vi allego il link come richiesto e scusate se ho tardato a rispondere.
Ho fatto un tentativo agendo da start, esegui digitando cmd e sul prompt dos CHKDSK. Ho scoperto degli errori che sono stati corretti automaticamente. Resto in attesa di un chiarimento. Cordialità e ringraziamenti

Your link to the file: http://www.savefile.com/files/1825918

[Deifobe]

Scarica Avenger e CCleaner

Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[-HKey_Classes_Root\CLSID\{A8FA25EF-5B09-459D-9B62-C4AF79808457}]

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file


crea una nuova cartella in c:\ e chiamala [red]pippo[/red]


Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\WINDOWS\system32\f3PSSavr.VVVscr
C:\WINDOWS\system32\bootvi.dll
C:\WINDOWS\service32.exe
C:\WINDOWS\lsass32.exe
C:\WINDOWS\system32\winlft32.dll
C:\WINDOWS\new_drv.sys

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run | 6G98D2X74V
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run | Service

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winlft32
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{A8FA25EF-5B09-459D-9B62-C4AF79808457}
HKLM\system\currentcontrolset\services\new_drv
HKLM\system\controlset001\services\new_drv
HKLM\system\controlset002\services\new_drv
HKLM\system\currentcontrolset\services\{FBE1D620-5418-4aae-A0F0-316D590663A1}
HKLM\system\controlset001\services\{FBE1D620-5418-4aae-A0F0-316D590663A1}
HKLM\system\controlset002\services\{FBE1D620-5418-4aae-A0F0-316D590663A1}

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Svuota C:\WINDOWS\Prefetch

Poi dobbiamo sistemare questo:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
malicious code @ sector 0x4a891c1 size 0x1ca !
copy of MBR has been found in sector 62 !

scarica in c:\ mbr.exe e disattiva l'antivirus
clicca su start => esegui => digita: c:\mbr.exe -f
fai attenzione, c'è uno spazio prima di -f


Posta un nuovo systemscan (caricalo su savefile), il rapporto di mbr.exe (lo trovi in c:\) e il rapporto di avenger (c:\avenger.txt) (questi ultimi due puoi anche direttamente postarli sul forum)

[pinino3]

Ok! ho fatto il possibile seguendo le istruzioni tue:

rapporto avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\f3PSSavr.VVVscr" not found!
Deletion of file "C:\WINDOWS\system32\f3PSSavr.VVVscr" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\bootvi.dll" deleted successfully.

Error: file "C:\WINDOWS\service32.exe" not found!
Deletion of file "C:\WINDOWS\service32.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\lsass32.exe" not found!
Deletion of file "C:\WINDOWS\lsass32.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\winlft32.dll" not found!
Deletion of file "C:\WINDOWS\system32\winlft32.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\new_drv.sys" not found!
Deletion of file "C:\WINDOWS\new_drv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\system\currentcontrolset\services\new_dr v" deleted successfully.

Error: registry key "HKLM\system\controlset001\services\new_drv" not found!
Deletion of registry key "HKLM\system\controlset001\services\new_drv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\system\controlset002\services\new_drv" deleted successfully.
Registry key "HKLM\system\currentcontrolset\services\{FBE1D 620-5418-4aae-A0F0-316D590663A1}" deleted successfully.

Error: registry key "HKLM\system\controlset001\services\{FBE1D620-5418-4aae-A0F0-316D590663A1}" not found!
Deletion of registry key "HKLM\system\controlset001\services\{FBE1D620-5418-4aae-A0F0-316D590663A1}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\system\controlset002\services\{FBE1D620-5418-4aae-A0F0-316D590663A1}" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\po licies\Explorer\Run|6G98D2X74V" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\po licies\Explorer\Run|Service" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winlft32" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Browser Helper Objects\{A8FA25EF-5B09-459D-9B62-C4AF79808457}" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Gli altri rapporti:

Your link to the file: http://www.savefile.com/files/1827837

http://www.savefile.com/files/1827838

Attendo notizie.Grazie e ciao!

[Deifobe]

ok, riguardo l'mbr tutto ok:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x4a891c1 size 0x1ca !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

ora controllo systemscan...

[Deifobe]

solo un po' di pulizia..
elimina tutti i file che vanno:
da C:\sqmdata1.sqm a C:\sqmdata19.sqm
da C:\sqmnoopt1.sqm a C:\sqmnoopt19.sqm

hihhi ho sorriso.. elimina anche la cartella [red]pippo[/red] (è stato un errore mio, scusa)
poi elimina il file mbr.exe e il suo rapporto.

Per il resto non trovo nulla.
Facciamo solo 1 scansione per verificare che non ci sia altro lasciato dal rootkit

Scarica Dr.Web CureIt ed avvia la scansione.
Partirà in automatico con "express scan". Quando ha finito, clicca anche su "completa scansione" e posta il rapporto rilasciato. Per ora non eliminare nulla.

Per salvare il rapporto => file => salva rapporto

ciao

[pinino3]

Sembra che fino ad ora proceda tutto bene. Grazie tantissimo sempre e scusa il ritardo nel rispondere, fra impegni e lavoro ....
Comunque: ho eseguito più di una volta la scansione, ho rifatto nuovamente il report di suspectfiles di cui ti chiedo cortesemente di dargli uno sguardo, di più per maggiore sicurezza ...
non si sà mai. Spero non dover cancellare MIRC.
Ho usato Ccleaner per una piccola manutenzione. Sempre a proposito, oltre al Ccleaner e chiaramente all'uso di antivirus ed antispyware, per una "buona manutenzione" software che soft mi consigli di adoperare con frequenza?

Ti allego i files:

Your link to the file: http://www.savefile.com/files/1830327

Your link to the file: http://www.savefile.com/files/1830328

Attendo notizie. Ciao!

[Deifobe]

ciao, scusa il ritardo
controllo il rapporto.. a dopo


edit: sono quasi tutti backups dei file eliminati da AVG...
unico file su cui non trovo molto, è questo: C:\Programmi\MSN\riched20.dll, non so, magari msn ne fa scaricare una copia per sè. Comunque, analizzalo su Virustotal e posta i rusultati fino alla riga MD5 compresa.

[pinino3]

non ci sono problemi, figurati non so' come ringraziarti per la tua disponibilità.

non sò se hai potuto analizzare i files che ti ho inviato in upload, comunque il file l'ho trovato su Messanger di MSN (sicuramente ti alludevi a questo...)
comunque la videata è la seguente:

l file è già stato analizzato:
MD5: e9b3073dbf662cae01d79a4bda061018
First received: 2006.07.11 17:59:17 (CET)
Data 2008.09.25 19:43:21 (CET) [>15D]
Risultati 22/36
Permalink: analisis/014c7d78058dd2f3f520ef4a69c8e070

File A0094889.dll ricevuto il 2008.09.25 19:41:16 (CET)
Stato corrente: finito
Risultato: 22/36 (61.11%)
Formattato Formattato
Stampa risultati Stampa risultati
Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2008.9.25.0 2008.09.25 -
AntiVir 7.8.1.34 2008.09.25 ADSPY/Mywebsearch.A.47
Authentium 5.1.0.4 2008.09.25 W32/Adware.AGJ
Avast 4.8.1195.0 2008.09.25 -
AVG 8.0.0.161 2008.09.25 -
BitDefender 7.2 2008.09.25 -
CAT-QuickHeal 9.50 2008.09.25 AdvWare.ToolBar.MyWebSearch (Not a Virus)
ClamAV 0.93.1 2008.09.25 Adware.Searchbar-19
DrWeb 4.44.0.09170 2008.09.25 Adware.Msearch
eSafe 7.0.17.0 2008.09.25 -
eTrust-Vet 31.6.6106 2008.09.25 -
Ewido 4.0 2008.09.25 -
F-Prot 4.4.4.56 2008.09.25 W32/Adware.AGJ
F-Secure 8.0.14332.0 2008.09.25 AdTool.Win32.MyWebSearch
Fortinet 3.113.0.0 2008.09.25 Adware/MyWebSearch
GData 19 2008.09.25 -
Ikarus T3.1.1.34.0 2008.09.25 not-a-virus:AdTool.Win32.MyWebSearch
K7AntiVirus 7.10.473 2008.09.25 Non-Virus:AdWare.Win32.MyWebSearch
Kaspersky 7.0.0.125 2008.09.25 not-a-virus:AdTool.Win32.MyWebSearch
McAfee 5391 2008.09.24 potentially unwanted program MWS
Microsoft 1.3903 2008.09.25 -
NOD32 3471 2008.09.25 Win32/FunWeb
Norman 5.80.02 2008.09.25 -
Panda 9.0.0.4 2008.09.24 -
PCTools 4.4.2.0 2008.09.25 Adware.Agent.XRS
Prevx1 V2 2008.09.25 Malicious Software
Rising 20.63.32.00 2008.09.25 -
Sophos 4.33.0 2008.09.25 MyWebSearch
Sunbelt 3.1.1668.1 2008.09.24 FunWebProducts
Symantec 10 2008.09.25 -
TheHacker 6.3.0.9.094 2008.09.25 Adware/MyWebSearch
TrendMicro 8.700.0.1004 2008.09.25 -
VBA32 3.12.8.6 2008.09.25 AdWare.ToolBar.MyWebSearch
ViRobot 2008.9.25.1392 2008.09.25 Adware.MyWebSearch
VirusBuster 4.5.11.0 2008.09.25 Adware.Agent.XRS
Webwasher-Gateway 6.6.2 2008.09.25 Ad-Spyware.Mywebsearch.A.47
Informazioni addizionali
Tamano archivo: 24576 bytes
MD5...: e9b3073dbf662cae01d79a4bda061018
SHA1..: 23ae964b34ecd915c4146ee46c0224b1d87c680c
SHA256: a3bbeab90b9e056fce5f35fe8a5aa11ccf564a695b23a3b75f a22d9edf436035
SHA512: eb62ce0fee8a8536ed710850468e1b1bcb4a0fff0595904053 62a366b160d104
09ec8f8be90c0a4207676a1a5e0086636f98e2442a9e2f2224 e375a911286fa4
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001000
timedatestamp.....: 0x4048b461 (Fri Mar 05 17:09:53 2004)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x34e 0x1000 1.77 f46c058a01b13da76bc7375176140b48
.rdata 0x2000 0x30d 0x1000 1.36 fced1d37f19424d11efa345aafd72fcf
.data 0x3000 0xd0 0x1000 0.45 2b8f48c6e35a51f745b702802b799820
.rsrc 0x4000 0x3a0 0x1000 0.96 68347b45be2ab3b6e3295fca2a775594
.reloc 0x5000 0xa4 0x1000 0.19 8a8d18fafec5da888b1fbb007bf4a38a

( 2 imports )
> KERNEL32.dll: GetProcAddress, FreeLibrary, GetSystemDirectoryA, lstrcatA, LoadLibraryExA, GetModuleFileNameA, lstrlenA
> ADVAPI32.dll: RegOpenKeyExA, RegQueryValueExA, RegCloseKey

( 9 exports )
CreateTextServices, IID_IRichEditOle, IID_IRichEditOleCallback, IID_ITextHost, IID_ITextHost2, IID_ITextServices, REExtendedRegisterClass, RichEdit10ANSIWndProc, RichEditANSIWndP
Attendo notizie. Ciao!