Symantec W32.Downadup Removal Tool 1.1.0.7

[ubbicom]

Ciao.

Sono ormai giorni che su un pc con s.o. windows server 2003 mi viene segnalata la presenza di un virus:

Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: W32.Downadup.B
File: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\LNW3A5I8\avetxa[1].gif
Location: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\LNW3A5I8
Computer: myPC
User: SYSTEM
Action taken: Clean failed : Quarantine failed : Access denied
Date found: venerdì 5 febbraio 2010 7.58.39

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\30AAV3SB

Event Type: Error
Event Source: Norton AntiVirus
Event Category: None
Event ID: 5
Date: 05/02/2010
Time: 7.54.45
User: N/A
Computer: myPC
Description:

Virus Found!Virus name: W32.Downadup.B in File: C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\30AAV3SB\dlcp[1].gif by: Realtime Protection scan. Action: Quarantine succeeded : Access denied

L'antivirus lo individua e lo mette in quarantena ma non lo elimina.
Il tool symantec per la rimozione una volta lo trova e lo elimina, altre volte non lo trova proprio:
http://www.symantec.com/security_res...123015-3826-99
http://www.symantec.com/security_res...011316-0247-99

Symantec W32.Downadup Removal Tool 1.1.0.7

W32.Downadup has not been found on your computer, but the scan
was cancelled before it finished. The threat may still be present on the machine.

Questo è il log di HijackThis v2.0.2, cosa posso fare di più?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.49.47, on 05/02/2010
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Program Files\Persits Software\AspEmail\BIN\EmailAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\PROGRA~1\SYSTEM~1\WScheduler.exe
D:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\MySQL\MySQL Tools for 5.0\MySQLSystemTrayMonitor.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
c:\windows\system32\inetsrv\w3wp.exe
C:\WINDOWS\system32\winlogon.exe
F:\avirus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mypageWEB/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 10.42.194.65:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 10.*;*.XXXX;*
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [WScheduler] C:\PROGRA~1\SYSTEM~1\WScheduler.exe /LOGON
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-3871518780-2593125612-4034191383-1246\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'A4')
O4 - HKUS\S-1-5-21-3871518780-2593125612-4034191383-1247\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'A8')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: MySQL System Tray Monitor.lnk = C:\Program Files\MySQL\MySQL Tools for 5.0\MySQLSystemTrayMonitor.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = azienda.XXXX
O17 - HKLM\Software\..\Telephony: DomainName = azienda.XXXX
O17 - HKLM\System\CCS\Services\Tcpip\..\{8330B906-B759-4DF2-A732-041367517F3E}: Domain = azienda.XXXX
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = azienda.XXXX
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = azienda.XXXX
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Persits Software EmailAgent - Persits Software, Inc. - C:\Program Files\Persits Software\AspEmail\BIN\EmailAgent.exe

--
End of file - 5655 bytes

[darksoullight88]

ciao,
sei sicuro che il log sia completo?
se sì allora ti dico che è pulito tranne per una voce residuo di una qualche disistallazione

codice:

O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)

[ubbicom]

Si sono sicuro, grazie.

Tra l'altro ho fixxato la voce che suggerisci, ho riavviato ed il servizio mysql sul server ha smesso di funzionare.

E' bastato ripristinare la voce precedentemente fixxata ed il servizio mysql si è ripristinato, quindi quel file missing è un falso allarme del programma HijackThis ?

[darksoullight88]

a sto punto credo di sì...
comunque scarica ed istalla ccleaner e fai una puliza dei file temporanei,dei cookie e delle vecchie chiavi di registro.

scarica e istalla spybot search & destroy . aggiornalo ed esegui una scansione

scarica e istalla mbam , aggiornalo ed esegui una scansione.

scarica e istallla VirIT ed esegui una scansione.

facci sapere come va.

[alemux]

Ciao!
magari sono in ritardo, magari hai già risolto...ma io faccio che postare lo stesso...
ho avuto, durante il mio lavoro in un Comune in qualità di Amministratore di Sistema, la sfortuna di imbattermi in una bella infezione da sto maledetto Downloadup su WindowsServer2003.

Ho provato tutto, Hijackthis per controllare, CCleaner, A-Squared, AdAware..niente.
Si rigenerava lo stesso, sempre la stessa roba....

Sul server c'era installato, come antivirus, il Symantec Enterprise 9.
Me lo trovava ma diceva che non riusciva a toglierlo. Poi ogni tanto lo toglieva...ma riappariva. Quindi...il problema continuava a presentarsi.
Provato tutti i remover del mondo, di diverse ditte, da AVG a Norton a Kaspersky. Nulla.

Fino a quando non ho fatto rinnovare il tutto alla versione Endpoint 11.

Installato ( tribolando come un pazzo, ma ci sono riuscito.... ), eseguito aggiornamento...scansione completa e .... TAC. Beccato ed eliminato DEFINITIVAMENTE.

Quindi...se avete un server infetto da Downloadup, beh....Endpoint 11 lo becca e lo toglie.
Magari ti puoi mettere la versione di prova...e poi lo togli, che ne so....


Spero di esserti stato utile.