Portatile infetto

[fidello]

Ho tra le mani un portatile di un amico, con evidente presenza di virus o altro, ma sinceramente non ne vengo a capo:
continue richieste di connessione alla rete per andare su
ftpd.lanbawls.info, se connesso a internet si comporta come il bel vecchio blaster, ( rpc.....e riavvio della macchina)
Ho AVG 7 in fase di scansione, AD AWARE aggiornato e non trovato nulla, SpySpeeper tutto ok, tool di rimozione sasser e blaster appena presi dalla symantec che hanno dato esito negativo. Avete idee?

[LUCASS]

Ciao prova a postare il log di hijack di quella macchima,ma prima fai gli aggiornamenti,sono tanti i malware che sfruttano quella vulnerabilità

[fidello]

avg7 non ha rilevato nulla, ora è in atto un controllo su pestpatrol, ecco iol log
Logfile of HijackThis v1.99.1
Scan saved at 17.28.04, on 21/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\csrss.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Vita(Amministratore)\Desktop\FxNetsky.exe
C:\WINDOWS\System32\rasautou.exe
C:\Documents and Settings\Vita(Amministratore)\Desktop\HijackThis.e xe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{84FFEDE4-D1E2-4C31-8D02-C1331F1FCF36}: NameServer = 192.168.0.1,0.0.0.0
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe

[fidello]

Per PestPatrol è inferro da multi bot pro.exe, ho eseguito le indicazioni trovate in rete ma ho potuto togliere solo le 2 chiavi di registro i due file no, ecco le info trovate

Kill the following processes
multi bot pro.exe
Delete these registry entries
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44bba855-cc51-11cf-bafa-00bb00b6017b}
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\windows logon application
Remove the following files
kernel.bat
multi bot pro.exe

[LUCASS]

Mi viene da ridere
Per piacere sposta la cartella di hijack in una locazione tutta sua
C:\HijackThis\HijackThis.exe
O
C:\Programmi\HijackThis\HijackThis.exe
Per piacere scarica process explorer
http://www.sysinternals.com/Files/ProcessExplorerNt.zip
Scompattalo in una cartella

Avvia il pc in modalità provvisoria,apri process explorer
Individua questi processi e terminali
csrss.exe
(C:\WINDOWS attenzione il processo leggitimo gira in C:\Windows\System32)
winIogon.exe
(C:\WINDOWS\System32 attenzione a non confonderlo con Winlogon.exe)
spooIsv.exe
(C:\WINDOWS\System32 attenzione a non confonderlo con spoolsv.exe)
csrs.exe
(C:\WINDOWS\System32 attenzione a non confonderlo con csrss.exe)
rasautou.exe
(C:\WINDOWS\System32)
Allora quando avvi process explorer selezioni il processo,tasto destro del mouse selezioni "Propierts"
Al tag "Image" ti viene visualizzato dove sta il file quindi ti devi regolare con quello che ti ho scritto e non confonderli con i leggittimi che ti ho scritto quali sono!!

fatto questo avvi hijack clicchi su Do a system scan only,metti le spunte corrispondenti alle strighe che ti metto sotto e clicca su "Fix cheked" per eliminarli

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe

O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe

O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe

Visualizza i file e le cartelle nascoste e quelle di sistema ed elimina i file in grasetto
C:\WINDOWS\System32\winIogon.exe
(non confonderlo con Winlogon.exe)

C:\WINDOWS\System32\spooIsv.exe
(non confonderlo con spoolsv.exe)

C:\WINDOWS\System32\csrs.exe
(non confonderlo con csrss.exe)

C:\WINDOWS\csrss.exe
(C:\WINDOWS\System32 è il percorso leggittimo quindi fai attenzione)

C:\WINDOWS\System32\rasautou.exe

Start>pannello di controllo>strumenti di amministrazione>servizi
Individua il servizio Windows Time Sync o wservtime
Selezionalo,tasto destro del mouse seleziona "propietà",clicca su "Arresta" alla voce tipo di avvio seleziona "Disabilitato"

Start>esegui
nella casellina incolla
sc delete wservtime
Ok

Svuota il cestino
Riavvia in modalità normale
Riposta un log aggiornato


PS:I processi sembrano uguali ma non lo sono attenzione che non lo sono,fai un copia e incolla del mio post sul block notes e salvatelo,da li capisci la differenza delle lettere

[fidello]

nel frattempo ho notato nella root di c un filetto che non mi convice, un'exe dal nome ahs, ti dice nulla?

[LUCASS]

Non so cosa sia ma ci pensiamo dopo
Anzi gia che devi fare alcune cose fai anche questa
Scaricati questo programma
http://www.bleepingcomputer.com/file...r/WinPFind.zip
E' importante che scompatti il programma in C:\WinPFind
Quando hai finito tutto e sei ancora in provvisoria,vai in quella cartella e clicca sul file WinPFind.exe
Clicca su Start Scan
Aspetta ci vuole un bel po,se ti dice l'applicazione non risponde non fare niente è normale,una volta che ha finito posta il log generato WinPFind.txt che si trova in quella cartella,grazie

PS:Ho modificato il post sopra al tuo

[fidello]

Scusa, ho visto solo ora l'orologio, mi sa che lo faccio domani, ora devo andare a prendere la prole e poi si cena.
Grazie e ti faccio sapere

Bye Bye
Fidel

[LUCASS]

Vai vai non ti preoccupare ma almeno tienilo spento il pc altrimenti si ingua ancora di + ciao alla prossima

[Cinder]

C:\WINDOWS\System32\rasautou.exe non va cancellato perchè è un file di Windows XP per connessioni automatiche verso determinati siti o IP.


http://www.liutilities.com/products/...rary/rasautou/