Variante worm Agobot: [era: [BloodHound.W32.WP] Non riesco a rimuoverlo]

[Corinna]

Ho dato il mio hard disk in pasto ad un tizio che me lo ha restituito formattato, con Windows XP Pro reinstallato e un simpaticissimo nuovo virus, che il NAV che stavo installando (2004 Corporate) mi ha prontamente segnalato, dicendomi di non riuscire a rimuoverlo, come da avviso allegato che compare in loop in eterno (e non so come liberarmene).

Ho letto qui:
http://securityresponse.symantec.com...alinstructions
Dove in pratica dice che ho due possibilità:

[list=a][*]Fare il boot da CD con il CD del NAV, e fargli fare da lì la scansione (e non posso farlo)[*]Procurarmi un altro PC non infetto e installare lì una copia del NAV (non ho un altro PC con su Windows)[/list=a]

Detto questo, come me ne libero?
Aiuto... -.-

[amvinfe]

dal regedit portati in
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run ed in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices

verifica se in Run e RunServices è presente il valore
Video Process="Navapsvcc.exe"

nel caso fai una scansione online con TrendMicro

http://housecall.trendmicro.com/hous...start_corp.asp


P.S.
nel caso vi fossero quei valori, il worm è una variante di Agobot, residente in memoria con capacità di backdoor.
La causa è da imputare ad un sistema non patchato

[Corinna]

La voce di registro è presente in tutti e due i casi.
Ora sto facendo la scansione online.
Ti faccio sapere, al momento grazie. :)

EDIT: Non avevo letto il tuo edit, ora l'ho letto e ho capito poco, me lo rispieghi? :E

[amvinfe]

come prima cosa, la scansione va fatta a sistema fermo, quindi anche la sola apertura di altre pagine web non è cosa consigliabile

Il worm Agobot, sfrutta una serie di bugs Microsoft già corretti con le rispettive patch. Dopo una formattazione e dopo l'installazione del s.o. vanno subito installate tutte le patch, questo sicuramente non è stato fatto, da qui l'infezione. Quindi finita la scansione, serviti del WindowsUpdate ed installa le patch.

Se non ricordo male, prima che parta la scansione c'è una voce da selezionare, si riferisce alla pulizia dei files trovati infetti durante la scansione.

[Corinna]

La prima cosa che è stata messa su windows dopo la patch per msblast è stata la SP2, e poi il windows update di tutto...
Quindi escludo a priori che ci sia un problema di sistema operativo da patchare, quanto meno non è risolvibile con patch attualmente in distribuzione perché le ho tutte.

Per quanto riguarda la scansione, hai ragione, appena posso chiudo firefox e la lascio andare avanti da sola.
Gli avevo già detto di "riparasi automaticamente", comunque dopo più di un'ora (ho 200 gb di dati, credo ci metterà una vita) ancora non ha trovato niente di quello che ha trovato il Norton.

[amvinfe]

nel caso non dovesse trovare nulla, scaricati HijackThis in Rilievo mettilo in una nuova cartella, apri l'eseguibile clicca su Scan e salva il log, posta poi qui il risultato.

[Corinna]

Grazie, ti riaggiorno a fine scansione.
Intanto se noti qualcosa che manca :E

EDIT: Questo --> http://it.trendmicro-europe.com/ente...usecall_it.php non ha trovato nulla.

Quest'altro invece --> http://www.bitdefender.com/scan/Msie/index.php deve ancora finire.

[amvinfe]

Originariamente inviato da Corinna
Grazie, ti riaggiorno a fine scansione.
Intanto se noti qualcosa che manca :E

EDIT: Questo --> http://it.trendmicro-europe.com/ente...usecall_it.php non ha trovato nulla.

Quest'altro invece --> http://www.bitdefender.com/scan/Msie/index.php deve ancora finire.

avendo tu il SP2 dovresti avere tutto...ma sai com'è ; è un worm che sfrutta, fra le altre, la vulnerabilità RPC/DCOM, ha la capacità di connettersi ai canali IRC da dove riceve istruzioni.

Credo che NAV non riesca ad eliminarlo semplicemente perchè non ha le sue impronte nel suo db, lo riconosce quasi certamente grazie all'euristica.

Il file che viene trovato come infetto è collocato in System32, prova a verificarne l'esistenza, se non è presente è probabile che NAV l'abbia messo in quarantena.

Finita la scansione con BitDefender, posta un log di HijackThis.

[Corinna]

Fatta, ecco il log:

codice:

Logfile of HijackThis v1.98.0
Scan saved at 1.06.28, on 13/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\corinna\IMPOST~1\Temp\Rar$EX00.391\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Video Process] Navapsvcc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [Video Process] Navapsvcc.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

[amvinfe]

ci sono quattro valori da rimuovere.
Assicurati d'aver messo HijackThis in una nuova cartella, quindi riavvia in modalità provvisoria, apri HijackThis clicca su Scan, metti la spunta al fianco dei seguenti valori e clicca su Fix checked.

O4 - HKLM\..\Run: [Video Process] Navapsvcc.exe
O4 - HKLM\..\RunServices: [Video Process] Navapsvcc.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)


Sempre dalla provvisoria fai una ricerca anche nelle sottocartelle del file Navapsvcc .exe fai attenzione a non confondere il file legittimo di Norton Navapsvc.exe che ha una sola "c" finale. Nel caso dovesse esserci il file Navapsvcc .exe lo elimini.
Riavvia in modalità normale.

Una cosa assai strana è che dal log non vedo molti valori di Norton che dovrebbero essere presenti, siccome fra le caratteristche di questo worm c'è anche quello di terminare parecchi valori di antivirus e firewall, non vorrei sia successo proprio questo. Per sicurezza reistallerei Norton exnovo.

Finite le procedure posta un nuovo log di HJT