McAfee segnala w32/koobface.worm.gen.g

[collins]

Mi segnala continuamente questo worm ma non mi consente di eliminarlo :-(
"elimina" nn va ; "pulisci" nn va ; quindi mi tocca sempre fare "interrompi".

Ho letto le guide in internet per eliminare koobface manualmente ma nelle varie chiavi di registro non trovo i file segnalati da eliminare, forse è una versione differente?
Inoltre anche nei processi sembra non ci sia nessun .exe pertinente con questo worm in funzione.

Ho fatto girare windows defender e poi Ad-aware che ha trovato qualche schifezzina e l'ha eliminata ma erano più che altro cookie.

Ho fatto il tutto anche in modalità provvisoria. Non capisco se sia McAfee impazzito o altro. Non essendo molto esperto preferirei poter installare un programmino che sistema il tutto da solo. Aiutatemi!

[collins]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.54.32, on 24/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programmi\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Network Associates\VirusScan\VsStat.exe
C:\Programmi\Network Associates\VirusScan\Vshwin32.exe
C:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe
C:\Programmi\Network Associates\VirusScan\Avconsol.exe
C:\Programmi\Network Associates\VirusScan\Webscanx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Programmi\Adobe\Adobe Photoshop CS2\Photoshop.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Adobelm_Cleanup .0001
C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Adobelm_Cleanup .0001
C:\Programmi\Microsoft Office\OFFICE11\FRONTPG.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [sysldtray] C:\windows\ld09.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe " -t (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Outlook.lnk = C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...etaStream3.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ravenna.indacoravenna.com
O17 - HKLM\Software\..\Telephony: DomainName = ravenna.indacoravenna.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{20F5DF9A-2B4D-4375-AAD2-56055963EBE0}: NameServer = 4.2.2.2,4.2.2.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D593960-F1B8-4D10-A290-1A7252C23588}: NameServer = 151.99.250.2,151.99.250.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ravenna.indacoravenna.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{20F5DF9A-2B4D-4375-AAD2-56055963EBE0}: NameServer = 4.2.2.2,4.2.2.3
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ravenna.indacoravenna.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{20F5DF9A-2B4D-4375-AAD2-56055963EBE0}: NameServer = 4.2.2.2,4.2.2.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programmi\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: Servizio trasferimento intelligente in background (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service (lavasoft ad-aware service) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: McShield - Unknown owner - C:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe
O23 - Service: Aggiornamenti automatici (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 8435 bytes

[amvinfe]

Ciao,

scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Vai su http://www.savefile.com/ carica il file con estensione .zip e scrivi, nella tua prossima replica l'URL per poterlo scaricare.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.




SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

[Conetti]

Ciao, io ti dico le voci da Fixare con HiJackThis, poi effettua la scansione con SystemScan.
Le voci da Fixare con HiJackThis sono le seguenti:

C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Adobelm_Cleanup .0001
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Adobelm_Cleanup .0001
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [sysldtray] C:\windows\ld09.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ravenna.indacoravenna.com
O17 - HKLM\Software\..\Telephony: DomainName = ravenna.indacoravenna.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{20F5DF9A-2B4D-4375-AAD2-56055963EBE0}: NameServer = 4.2.2.2,4.2.2.3
Sconosciuto
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D593960-F1B8-4D10-A290-1A7252C23588}: NameServer = 151.99.250.2,151.99.250.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ravenna.indacoravenna.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{20F5DF9A-2B4D-4375-AAD2-56055963EBE0}: NameServer = 4.2.2.2,4.2.2.3
Sconosciuto
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ravenna.indacoravenna.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{20F5DF9A-2B4D-4375-AAD2-56055963EBE0}: NameServer = 4.2.2.2,4.2.2.3
O23 - Service: Servizio trasferimento intelligente in background (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Aggiornamenti automatici (wuauserv) - Unknown owner - C:\WINDOWS\

Aggiorna ad Internet Explorer 8 tramite questo link Microsoft (http://www.microsoft.com/downloads/d...displaylang=it), dai una pulita con CCleaner e riavvia il Pc.
Dimmi se compare ancora questo avviso di Worm.
Fammi sapere

[amvinfe]

Conetti,

Adobelm_Cleanup.0001 appartiene ad Adobe Acrobat

L'IP relativo a questa chiave O17 - HKLM\System\CCS\Services\Tcpip\..\{20F5DF9A-2B4D-4375-AAD2-56055963EBE0}: NameServer = 4.2.2.2,4.2.2.3
fà riferimento ad un servizio di Hosting

L'IP relativo a quest'altra chiave O17 - HKLM\System\CCS\Services\Tcpip\..\{6D593960-F1B8-4D10-A290-1A7252C23588}: NameServer = 151.99.250.2,151.99.250.3
fà riferimento alla TELECOM ITALIA INTERBUSINESS

Riguardo questa O4 - HKLM\..\Run: [sysldtray] C:\windows\ld09.exe
fà sì riferimento ad un malware, ma se non fai eliminare anche l'eseguibile o comunque non ti accerti della sua presenza allora serve a ben poco eliminare solo la chiave.
Fra le altre cose questo malware ha il nome del file alfa-numerico che cambia ad ogni tentativo mal riuscito di rimozione ld01 ld02 ld03............

Se ho consigliato una scansione con SystemScan un motivo c'era

ciao

[collins]

Originariamente inviato da amvinfe
Ciao,

scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Vai su http://www.savefile.com/ carica il file con estensione .zip e scrivi, nella tua prossima replica l'URL per poterlo scaricare.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.




SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

Premetto che ho fixato queste due chiavi:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [sysldtray] C:\windows\ld09.exe

come consigliato da HiJackThis e sembra che il problema sia già stato risolto in ogni caso non eviterò di scansionare il sistema con systemscan come mi hai consigliato e poi ti posterò il link... visto che i tempi per questa operazione sono sicuramente più lunghi (non potevo aspettare) farò questa operazione probabilmente nei prossimi giorni.
Grazie ancora!

[Conetti]

Grazie per le informazioni Amvinfe
Collins in pratica adesso McAfee non ti segnala più nessun worm?