Virus o rootkit?? [neanche VirIT lo rileva]

[OZZY IS BACK...]

oggi ho scaricato un file da emule di circa 500Kb. Era un eseguibile dentro uno zip.
L'ho eseguito, ho visto che non era il file che cercavo ed ho chiuso la finestra. Subito dopo mi si è chiuso il centro protezione di Windows (quindi firewall disattivato e aggiornamenti automatici sospesi) e si è chiuso l'antivirus (NOD32 2.7 aggiornato).

Ho immediatamente riattivato il firewall e gli aggiornamenti, poi ho provato a reinstallare NOD, ma durante l'estrazione dei file mi dice che non riesce ad estrarre un file (non ricordo bene quale ma non è importante saperlo). Provo a scaricare l'ultima versione dal sito, e fa la stessa cosa.

Mi son detto: a mali estremi, estremi rimedi: scarico VirIT.

faccio partire l'installazione, ma anche qui mi dice che non riesce ad estrarre un file e quindi esce dall'installazione.

riavvio il pc con un cd di XP.live (bart-pe), il sistema si avvia, installo Virit (sul sistema live) faccio partire la scansione di tutto il mio hard disk (non dell'hard disk "virtuale" che creano queste versioni live) e non trova niente.

Provo a riavviare il pc in modalità provvisoria (SENZA supporto di rete), ma dopo la schermata di Win XP con il cosino che gira mi si riavvia e non c'è modo di farlo partire.

Ho provato anche col supporto di rete abilitato, ma non cambia un cavolo.

Ho provato a fare una scansione con hijackthis, ma quando vado sul sito per caricare il log, poi non mi visualizza il risultato, ma mi tronca la pagina a metà.
(il file hosts mi sono dimenticato di guardarlo )

Premetto che ho Win XP Professional SP2, aggiornato, con nod32 aggiornato, firewall di winzoz attivo. Ho il ripristino di sistema disattivato.

Il sistema mi sembra molto rallentato, tenendo conto del fatto che ho tolto *tutto* dall'avvio automatico e tolto tutti i servizi non microsoft.

con il task manager non noto processi strani, ma adesso non sono su quel pc e non riesco a controllare.

Insomma, vorrei capire cosa può essere ma soprattutto come eliminarlo!

[Topdrake]

start / esegui /regedit controlla se in questa chiave c'è la cartella explorer /debugger
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution
apri e posta il contenuto

[OZZY IS BACK...]

ti posto due screenshot:

[OZZY IS BACK...]

posto anche un log di Hijackthis

codice:

 Logfile of HijackThis v1.99.1
Scan saved at 22.40.49, on 30/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\FolderSize\FolderSizeSvc.exe
C:\Programmi\Norton Ghost\Agent\VProSvc.exe
C:\Programmi\RemotelyAnywhere\x86\RaMaint.exe
C:\Programmi\RemotelyAnywhere\x86\RemotelyAnywhere.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\No-IP\DUC20.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\matte\IMPOST~1\Temp\Rar$EX00.053\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: No-IP DUC.lnk = C:\Programmi\No-IP\DUC20.exe
O8 - Extra context menu item: Apri client su monitor &1 - C:\WINDOWS\web\AOpenClient.htm
O8 - Extra context menu item: Apri client su monitor &2 - C:\WINDOWS\web\AOpenClient.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIC273~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://download.sopcast.com/download/SOPCORE.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://localhost:5900/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1952CF6-6457-4A49-8170-7AE06C453E23}: NameServer = 151.99.125.1,208.67.220.220
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: RAinit - C:\WINDOWS\SYSTEM32\RAinit.dll
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programmi\FolderSize\FolderSizeSvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Norton Ghost\Agent\VProSvc.exe
O23 - Service: RemotelyAnywhere Maintenance Service (RAMaint) - LogMeIn, Inc. - C:\Programmi\RemotelyAnywhere\x86\RaMaint.exe
O23 - Service: RemotelyAnywhere - LogMeIn, Inc. - C:\Programmi\RemotelyAnywhere\x86\RemotelyAnywhere.exe

[OZZY IS BACK...]

aggiungo un'altra cosa, se può essere d'aiuto:

quando oggi ho avviato il sistema con il cd di XP-live, ho installato VIR-IT su C: così potevo provare ad avviarlo anche da windows normale.

Ho appena provato ad aprire la cartella VEXPLITE in C: ed ho visto scomparire (giuro, c'erano e poi sono scomparsi) i file vexplite.exe eccetera, insomma, i file di esecuzione di Vir-IT (non tutti però).

qualcuno sa come aiutarmi?

[OZZY IS BACK...]

ho fatto una scansione online con VirusTotal del file che mi ha infettato:
ecco il risultato:

codice:

  Antivirus  	Versione  	Ultimo aggiornamento  	Risultato
AhnLab-V3	    2007.10.31.0	2007.10.30	-
AntiVir	7.6.0.30	      2007.10.30	-
Authentium	  4.93.8	2007.10.30	-
Avast	       4.7.1074.0	2007.10.30	-
AVG	       7.5.0.503	2007.10.30	-
BitDefender	     7.2	2007.10.30	Win32.Bagle.STH@mm
CAT-QuickHeal	    9.00	2007.10.30	-
ClamAV	          0.91.2	2007.10.30	-
DrWeb	     4.44.0.09170	2007.10.30	Win32.HLLM.Beagle
eSafe	          7.0.15.0	2007.10.28	-
eTrust-Vet	    31.2.5253	2007.10.30	-
Ewido	4.0	2007.10.30	-
FileAdvisor	1	2007.10.30	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.3.2.48	2007.10.30	-
F-Secure	6.70.13030.0	2007.10.30	Trojan-Downloader.Win32.Bagle.fg
Ikarus	T3.1.1.12	2007.10.30	Trojan-Downloader.Win32.Bagle.fg
Kaspersky	7.0.0.125	2007.10.30	Trojan-Downloader.Win32.Bagle.fg
McAfee	5152	2007.10.30	-
Microsoft	1.2908	2007.10.30	-
NOD32v2	2627	2007.10.30	-
Norman	5.80.02	2007.10.30	SDBot.gen8
Panda	9.0.0.4	2007.10.30	-
Prevx1	V2	2007.10.30	Heuristic: Suspicious Self Modifying EXE
Rising	19.47.12.00	2007.10.30	-
Sophos	4.23.0	2007.10.30	-
Sunbelt	2.2.907.0	2007.10.29	VIPRE.Suspicious
Symantec	10	2007.10.30	-
TheHacker	6.2.9.110	2007.10.27	W32/Behav-Heuristic-064
VBA32	3.12.2.4	2007.10.28	-
VirusBuster	4.3.26:9	2007.10.30	-
Webwasher-Gateway	6.6.1	2007.10.30	Win32.Malware.gen (suspicious)

qualcuno sa come toglierlo?

[Topdrake]

prova con il tool rimozione Bagle

http://www.sophos.it/support/disinfection/baglea.html

[OZZY IS BACK...]

Originariamente inviato da Topdrake
prova con il tool rimozione Bagle

http://www.sophos.it/support/disinfection/baglea.html

adesso sto facendo una scansione completa con Kaspersky online scanner (ha 35 Gb di dati da scansionare!! VVoVe: ).

Dopo provo e vi so dire!

[OZZY IS BACK...]

Avete una motivazione per cui NOD32 2.7 aggiornato non abbia rilevato un virus scoperto il 21 giugno 2006?
cioè, fosse gratuito!

[bootzenn]

probabilmente è una variante recente che il datbase di nod32 non ha

prova anche una scansione con prevx csi