virus/worm malware-gen

[oronze]

Ciao, da ieri improvvisamente il mio pc si è preso un virus. Avast me lo segnala come Win32:Malware-gen. In pratica, anche se elimino il file, dopo un tot di tempo (3-4minuti) si genera in maniera automatica un altro file dello stesso tipo...esempio:
C:/Windows/Temp/uoqp.tmp/svchost.exe
C:/Windows/Temp/fghui.tmp/svchost.exe
C:/Windows/Temp/augvi.tmp/svchost.exe
etc...
Prima di postare sul forum ho fatto eseguire la scansione di avast all'avvio del sistema ma non mi trova nulla...ho eseguito una scansione con spybot S&D e con Malwarebytes' Anti-Malware (come consigliato da topic in rilievo) entrambi mi hanno rilevato due infezioni diverse...le ho rimosse, riavviato, riscansionato e nessun problema rilevato dagli anti malware...avast mi rileva comunque il virus....c'è un sistema per capire che file mi genera sti svchost.exe "fasulli"? Vi allego in ogni caso il log di HijackThis

codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:22:41, on 04/03/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Programmi\Avast4\ashDisp.exe
C:\Windows\System32\Ctxfihlp.exe
C:\Programmi\Creative\Volume Panel\VolPanlu.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuschd2.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Programmi\NetGear\WG111v2.exe
C:\Windows\system32\taskhost.exe
C:\Windows\SYSTEM32\CTXFISPI.EXE
C:\Programmi\Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [avast!] "C:\Programmi\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [VolPanel] "C:\Programmi\Creative\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Visualizza o nasconde HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/soft...5110/CTPID.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Avast4\ashWebSv.exe
O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\AL6Licensing.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SCM_Service - Unknown owner - C:\Windows\System32\WinService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

--
End of file - 5831 bytes

Nel caso vi servano maggiori informazioni basta dirlo...speriamo bene

[Nobody33]

ciao

scaricati combofix , gli fai fare una scansione, disattivando tutto il resto..dopodiché posta qui cosa ha messo in quarantena..la quarantena è la voce "quoobox"

buone cose

[oronze]

descrivo cosa è successo:
1) dopo l'avvio di combofix ha rilevato un rootkit e si è riavviato
2) ha rilevato dei CD-mulation drivers e si è riavviato
3) ha effettuato la scansione con il risultato nel log troppo lungo per essere allegato in un solo post...nel caso servisse lo divido in 2...basta chiedere
in quarantined-files.txt c'è questo

codice:

2010-03-05 10:16:42 . 2010-03-05 10:16:42              550 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-SRService.reg.dat
2010-03-05 10:16:42 . 2010-03-05 10:16:42              546 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-dmserver.reg.dat
2010-03-05 10:16:42 . 2010-03-05 10:16:42              542 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-dmadmin.reg.dat
2010-03-05 10:16:42 . 2010-03-05 10:16:42              550 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-dmload.sys.reg.dat
2010-03-05 10:16:42 . 2010-03-05 10:16:42              542 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-dmio.sys.reg.dat
2010-03-05 10:16:42 . 2010-03-05 10:16:42              550 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-dmboot.sys.reg.dat
2010-03-05 10:06:26 . 2010-03-05 10:06:26            4,931 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-03-04 23:15:02 . 2010-03-05 09:55:54              215 ----a-w-  C:\Qoobox\Quarantine\catchme.log
2009-06-10 21:20:08 . 2009-07-14 01:19:04           40,016 ----a-w-  C:\Qoobox\Quarantine\C\Windows\System32\drivers\sisraid2.sys.vir

nella cartella Qoobox c'è:
- una cartella BackEnv vuota
- la cartella Quarantine con dentro:
- C/Windows/System32/drivers/sisraid2.sys.vir
- Registry_backups/SafeBoot-dmadmin.reg.dat
- Registry_backups/SafeBoot-dmboot.sys.reg.dat
- Registry_backups/SafeBoot-dmio.sys.reg.dat
- Registry_backups/SafeBoot-dmload.sys.reg.dat
- Registry_backups/SafeBoot-dmserver.reg.dat
- Registry_backups/SafeBoot-SRService.reg.dat
- Registry_backups/tcpip.reg
- carchme.log:

codice:

-------- 2010-03-05 - 00:15:03  -------------


-------- 2010-03-05 - 10:47:04  -------------


-------- 2010-03-05 - 10:48:17  -------------


-------- 2010-03-05 - 10:55:08  -------------

error: 31

In ogni caso in 8 minuti di attività avast non segnala nulla
attendo notizie! In ogni caso grazie

[Nobody33]

ciao

scusa, a parte

C/Windows/System32/drivers/sisraid2.sys.vir

non c'è nient'altro nella quarantena di combofix?

per sicurezza, fatti un altra scansione con mbam , cosi vediamo se è ritornato qualcosina...se sia con mbam che con avast risulta pulito, penso che è o.k.

saluti

[oronze]

c'erano anche quei SafeBoot*.reg.dat...in ogni caso ora avast non avvisa + che vengono generati virus casuali...credo si sia risolto...sarà stato un rootkit di quelli scassa casseruola
In ogni caso grazie per avermi indirizzato su ComboFix...non ero riuscito a debellarlo con nessun'altro programma