File exe sospetti nella cartella temp

[Dhevron]

Ciao a tutti.

Dopo una lunga ricerca ho trovato solo questo topic riguardante il mio problema.
In pratica ho lo stesso problema che Toro Scatenato ha evidenziato nel suo primo post, cioè che ogni tanto vengono creati dei file exe con nomi strani, come quelli descritti da Toro Scatenato, nella cartella temp del mio profilo.

Come antivirus ho Antivir e come firewall Comodo (fino a qualche giorno fa ZoneAlarm).

Ho provato a fare una scansione del pc ma Antivir non ha trovato niente, solo che non riusciva ad aprire il file di paging del sistema.
A quel punto ho provato a togliere la memoria virtuale, tanto ho XP e 2 GB di RAM, e devo dire che ieri ha funzionato senza darmi noie.
Oggi però ha ricominciato a creare sti file.

So per certo che non sono così nocivi, perchè il sistema non ne soffre, l'antivirus li rileva appena creati ed io glieli faccio cancellare immediatamente, però resta il fatto che è seccante.

Dopo di che ho provato a cercare in internet ed ho trovato questo topic.
Il mio problema è che non sono così pratico e mi sono un po' perso andando avanti con la lettura.
Ho scaricato Avenger, ma non sono sicuro di come usarlo.

Qualcuno mi può dare una dritta sui passaggi da seguire per risolvere il problema?

Grazie.

Ciao.

[Deifobe]

ciao Dhevron, benvenuto
ho aperto per te una nuova discussione (leggi il Regolamento del forum Sicurezza )

Questo è il topic cui fai riferimento



Ora.. riguardo l'oggetto del topic, scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). Te lo dico perchè, dovesse essere segnalato dall'antivirus (che non hai disattivato, come da indicazione), almeno sai il motivo. La procedura postata è sicura.

[Dhevron]

Grazie mille, Deifobe.

Ho effettuato la scansione come richiesto ed ecco il link dove scaricare il report:
http://www.savefile.com/files/1737368

Grazie!

[Deifobe]

sembrerebbe ci siano solo i tre seguenti file.

cortesemente, analizzane uno dei tre su Virustotal e posta il rapporto.

Scarica Avenger, esegulo e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\DOCUME~1\Dhevron\IMPOST~1\Temp\hmunmlcl69.exe.c onf
C:\DOCUME~1\Dhevron\IMPOST~1\Temp\hmunmlcl70.exe.c onf
C:\DOCUME~1\Dhevron\IMPOST~1\Temp\hmunmlcl71.exe.c onf

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).
Svuota C:\WINDOWS\Prefetch

Scarica Hijackthis e installalo in un cartella dedicata (tipo: c:\programmi\Hijackthis) o in quella predefinita. Eseguilo, clicca su "Open the Misc Tools section" - "Open ADS Spy" - "Scan". Se rileva ADS spunta voci e clicca su "remove selected".



Lascia passare qualche ora e posta un nuovo systemscan, così vediamo se si sono riformati.

[Dhevron]

Ecco il rapporto di Virustotal del primo dei tre file che mi hai elencato. Non ha trovato anomalie.
Ora eseguo The Avenger e Hijackthis poi posto il risultato.

File hmunmlcl69.exe.conf ricevuto il 2008.08.20 20:54:18 (CET)
Stato corrente: Carico ... in coda attesa scansione finito NON TROVATO INTERROTTO
Risultato: 0/36 (0%)
Carico informazioni server...
Il tuo file è in coda in posizione: ___.
Tempo stimato inizio tra ___ e ___ .
Non chiudere la finestra fino al termine della scansione.
Lo scanner che stava processando il tuo file si è fermato in questo momento, stiamo aspettando alcuni secondi per tentare di recuperare i tuoi risultati.
Se stai aspettando da più di cinque minuti devi rimandare il tuo file.
VirusTotal sta controllando il tuo file in questo momento,
i risultati saranno visualizzati mentre vengono generati.
Formattato Formattato
Stampa risultati Stampa risultati
Il tuo file è scaduto o non esiste.
Il servizio è fermo in questo momento, il tuo file sta aspettando di essere controllato (posizione: ) da un tempo indefinito.

Puoi aspettare la risposta sul web (ricarico automatico) o digitare il tuo indirizzo email nel riquadro qui sotto e premere "richiesta" così il sistema ti invierà una notifica al termine della scansione.
Email:

Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2008.8.21.0 2008.08.20 -
AntiVir 7.8.1.23 2008.08.20 -
Authentium 5.1.0.4 2008.08.20 -
Avast 4.8.1195.0 2008.08.20 -
AVG 8.0.0.161 2008.08.20 -
BitDefender 7.2 2008.08.20 -
CAT-QuickHeal 9.50 2008.08.20 -
ClamAV 0.93.1 2008.08.20 -
DrWeb 4.44.0.09170 2008.08.20 -
eSafe 7.0.17.0 2008.08.20 -
eTrust-Vet 31.6.6037 2008.08.20 -
Ewido 4.0 2008.08.20 -
F-Prot 4.4.4.56 2008.08.19 -
F-Secure 7.60.13501.0 2008.08.20 -
Fortinet 3.14.0.0 2008.08.20 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.20 -
K7AntiVirus 7.10.421 2008.08.19 -
Kaspersky 7.0.0.125 2008.08.20 -
McAfee 5365 2008.08.20 -
Microsoft 1.3807 2008.08.20 -
NOD32v2 3371 2008.08.20 -
Norman 5.80.02 2008.08.20 -
Panda 9.0.0.4 2008.08.20 -
PCTools 4.4.2.0 2008.08.20 -
Prevx1 V2 2008.08.20 -
Rising 20.58.22.00 2008.08.20 -
Sophos 4.32.0 2008.08.20 -
Sunbelt 3.1.1564.1 2008.08.20 -
Symantec 10 2008.08.20 -
TheHacker 6.3.0.5.054 2008.08.19 -
TrendMicro 8.700.0.1004 2008.08.20 -
VBA32 3.12.8.3 2008.08.20 -
ViRobot 2008.8.20.1342 2008.08.20 -
VirusBuster 4.5.11.0 2008.08.20 -
Webwasher-Gateway 6.6.2 2008.08.20 -
Informazioni addizionali
File size: 51 bytes
MD5...: 43c0f00cc3b46282073abe63d9d5b238
SHA1..: 7275d514007418fbdfd0d3d2e9cd2686918e19fe
SHA256: 3872cf4c43b92739c153c78a1245cc274c827ffe2cae2509bf 00ea6facfa7902
SHA512: 2474759e483b8d22e8c717ac27f633c475262da9422d1f192f 531f22210ce7c2
4199ad768225308032b9ebaa08b176eb7b6823a1f32ae8148e d5ea3d164a2049
PEiD..: -
PEInfo: -

[Dhevron]

Ho eseguito The Avenger ed ho cancellato i file, poi ho eseguito Hijackthis e non mi ha trovato niente. Ho comunque notato che oltre a quei tre file che mi hai elencato ce ne erano altri due con gli stessi nomi, ma con progressivo 72 e 73 che si sono probabilemente craeti ieri quando Antivir mi ha allertato di due nuovi file eseguibili infetti nella cartella temp.

In più ho trovato il seguente file, sempre nella cartella temp, che è sopravvisuto alla doppia pulizia di CCleaner: mdnk_90.exe.conf
Ed infine quest'ultimo: etilqs_FrAxsZSBwoS939aTGXNU, marcato semplice come 'file'.

Ora provvedo ad eseguire SystemScan e postare un nuovo report.

[Deifobe]

Ok. vediamo cosa dice systemscan, poi facciamo un paio di scansioni.

[Dhevron]

Ecco ciò che ha rilevto SystemScan:
http://www.savefile.com/files/1741449

[Deifobe]

ok, uno dei due è quello che avevi notato.
esegui avenger:

files to delete:
C:\WINDOWS\system\smvss.exe
C:\DOCUME~1\Dhevron\IMPOST~1\Temp\mdnk_90.exe.conf

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | devenv

clicca su execute e posta il rapporto c:\avenger.txt


Scarica, installa e aggiorna malwarebytes, esegui una scansione completa (seleziona l'opzione) e posta il rapporto (lop trovi in "file di log")

[Dhevron]

L'antivirus ha trovato un altro file infetto e nella cartella temp è stato creato un altro file 'hmunmlcl73.exe.conf'.

La scansione con malwarebytes la eseguo domani.
Nel frattempo ecco il rapporto di The Avenger e grazie mille per l'aiuto che mi stai dando:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system\smvss.exe" deleted successfully.
File "C:\DOCUME~1\Dhevron\IMPOST~1\Temp\mdnk_90.exe.con f" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n|devenv" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.