Attacco virus

**luxor1957** · 19-02-2007, 12:27

Ho bisogno di aiuto sono stato infettato dapprima da un virus "siemenschecker.exe", e poi da altri trojan o altri. AVG non è stato in grado di eliminare "siemenschecker.exe". Ho provato con altri software come KilBox senza successo. Inoltre non mi consente di eseguire alcuna operazione con i software specifici: non mi fa aprire "avenger" nè "gmer"
Inoltre tenta di farmi accedere ad internet creando connessioni che a-squared individua negli esecutivi Spools.exe service32.exe, winlogon.exe. Sono riuscito con un software a cembiare il nome di "siemenschecker.exe" in "siemenschecker.ex$" ma sempre incacellabile

ti aggiungo illog di HijackThis
attendo con ansia un'aiuto

ciao Luxor

Logfile of HijackThis v1.99.1
Scan saved at 11.04.03, on 19/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\ibguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Launch Manager\Wbutton.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Launch Manager\PowerKey.exe
C:\Programmi\Launch Manager\OSDCtrl.exe
C:\Programmi\Launch Manager\HotkeyApp.exe
C:\Programmi\Launch Manager\LaunchAp.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Launch Manager\CtrlVol.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Programmi\eMule\emule.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\eMule\Incoming\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windo ws\system32\samsungstorage.exe","c:\windows\system 32\samsungstorage.exe",
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {5B65C881-547E-B28D-43AA-22F7FEEA2A5A} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Wbutton] "C:\Programmi\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PowerKey] "C:\Programmi\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programmi\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programmi\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programmi\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ChkMail] HAŒ
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA0F69E9-B293-4776-B759-F0EE598DB796}: NameServer = 130.244.127.161,130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{B55F23B9-89CA-46F0-8B4B-480A2500BDA1}: NameServer = 130.244.127.161,130.244.127.169
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe

**OYS** · 19-02-2007, 14:52

Fixa questa:

O2 - BHO: Class - {5B65C881-547E-B28D-43AA-22F7FEEA2A5A} - (no file)

Il log è pulito... non c'è traccia di siemenschecker.exe

**luxor1957** · 19-02-2007, 16:38

l'ho fatto. Comunque il siemenschecker c'è. E' nella directory Windows. Il nome è stato cambiato da Trojan remover 6.5.6, ed è diventato siemenschecker.ex$.
Non si cancella.
Non si riesce ad eseguire avenger, me lo chiude immediatamente.
Il secondo problema è probabilmente un dialer che tenta di connettermi di volta in volta creando una connessione di nome "Otylj". L'applicazione che la crea varia: spools.exe, service32.exe, winlogon.exe

Attendo una risposta.
Ciao Luxor

**OYS** · 19-02-2007, 16:50

Originariamente inviato da luxor1957
Comunque il siemenschecker c'è. E' nella directory Windows. Il nome è stato cambiato da Trojan remover 6.5.6, ed è diventato siemenschecker.ex$.
Il secondo problema è probabilmente un dialer che tenta di connettermi di volta in volta creando una connessione di nome "Otylj".

Trojan remover 6.5.6 è un programma buono....

Per il dialer probabilmente centrano questi ip:

O17 - HKLM\System\CCS\Services\Tcpip\..\{B55F23B9-89CA-46F0-8B4B-480A2500BDA1}: NameServer = 130.244.127.161,130.244.127.169

O17 - HKLM\System\CCS\Services\Tcpip\..\{AA0F69E9-B293-4776-B759-F0EE598DB796}: NameServer = 130.244.127.161,130.244.127.169

(gli ip risalgono a Tele2 AB/Swedish IP Network in Svizzera)

In più c'è questa che non mi convince molto:
O4 - HKCU\..\Run: [ChkMail] HAŒ

**luxor1957** · 20-02-2007, 18:35

Ormai non mi consente di fare più alcun comando di antivirus. HijackThis me lo chiude in un attimo e non mi consente di usarlo, così anche altri antivirus. Anche in modalità provvisoria.

Devo solo formattare?

**OYS** · 20-02-2007, 18:44

In questi giorni non sei l'unico che ha questo problema... di solito amvinfe riusciva a risolverlo... Mandagli un messaggio privato dicendogli di partecipare a questa discussione,se vuoi lo faccio anch'io, intanto cerca sul forum discussioni di quelli che hanno avuto il tuo problema...

**amvinfe** · 21-02-2007, 01:02

sei già fortunato che HJT non venga chiuso

scarica
http://www.suspectfile.com/systemscan (lo userai dopo)

apri la task manager (CTRL+ALT+CANC) seleziona e termina i processi samsungstorage.exe e siemenschecker.exe (se presente)

apri HJT ed esegui una scansione

matti la spunta al fianco dei valori riportati più sotto

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windo ws\system32\samsungstorage.exe","c:\windows\system 32\samsungstorage.exe",
O2 - BHO: Class - {5B65C881-547E-B28D-43AA-22F7FEEA2A5A} - (no file)
O4 - HKCU\..\Run: [ChkMail] HAŒ

chiudi il browser e, non connesso, clicca su Fix checked

ora se funziona The avenger segui questi passaggi

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run | 1

Files to delete:
c:\windows\system32\samsungstorage.exe

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

Portati in C:\ postami il contenuto del log generato da Avenger

Sempre non connesso, esegui systemscan.exe assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile il file report.txt.
Vai su www.easy-share.com carica il file e nella tua prossima risposta scrivi l'URL per scaricarlo.

Esegui una nuova scansione con HJT, posta il log

**luxor1957** · 21-02-2007, 16:22

Ho tentato quanto mi hai consigliato. Avengere e HijackThis non si aprivano ancora. Così anche gli altri antivirus.

Poi, ho fatto girare "Virit" che mi sono scaricato con un altro PC.
Finalmente sono stati scovati i seguenti:
Trojan.Win32.Rootkit.G in memoria e rimosso da Virit
BHO.Agent.BA nel registro ... rimosso
Backdoor.subtot.A in c:\Windows\system32\selfupdate.exe e rimosso

Tutto quanto sopra non collegato a intenet

finalmente ho potuto eseguire prima HijackThis e Avenger, facendo quanto mi hai consigliato.

Segue il Log generato da Avenger:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\aunsixro

*******************

Script file located at: \??\C:\vahrwfvo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\windows\system32\samsungstorage.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run|1
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run|1 failed!
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

Segue l'URL di www.easy-share.com

Download link: http://w11.easy-share.com/892215.html

Importante:
vorrei dare a tutti alcune informazioni circa l'infezione:
- si tratta di un portatile che utilizzo in rete quasi esclusivamente per P2P emule
- il computer è protetto da AVG e Spybot
- il computer ha un indirizzo di rete IP assegnato manualmente
- nel router le porte 4662 e 4672 sono state aperte per emule
- nella rete ci sono altri PC e nessuno è stato infettato

Credo di essere stato infettato attraverso emule

Non so se continuare ad usarlo

Se puoi mi puoi consigliare come difendermi?

Ti saluto luxor

Non so

**amvinfe** · 21-02-2007, 18:36

per cortesia carica il file in quest'altro sito
www.mytempdir.com
quello che hai messo in easy-share.com è illeggibile.

Grazie

**luxor1957** · 21-02-2007, 22:23

il link per scaricare report.txt è:

httpwww.mytempdir.com1226218

fammi sapere

ciao..

Discussione: Attacco virus

Strumenti discussione

Ricerca discussione

Visualizza

Attacco virus

Permessi di invio