PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio RISOLTO!

Topic: [RISOLTO] malware: Win32.TDSS.tdl4 e Bagle

(Topic Chiuso Topic Chiuso)
Altre pagine della discussione:




Stefano
Apprendista Apprendista
Stefano
Apprendista Apprendista
Stefano
Apprendista
Apprendista

Avatar


Iscritto dal : 21/Maggio/2010
Da: Italy
Status: Offline
Posts: 37
bullet Topic: Post n° 96.609 - Postato: 26/Novembre/2010 alle 09:12


Ciao a tt e complimenti x il sito Clap.
Io ho questo pc:
Nome SO Microsoft Windows XP Professional 
Versione 5.1.2600 Service Pack 3 Build 2600 
Produttore SO Microsoft Corporation 
Nome sistema LAB 
Produttore sistema Acer 
Modello sistema Aspire 5732Z 
Tipo sistema PC basato su X86 
Processore x86 Family 6 Model 23 Stepping 10 GenuineIntel ~2094 Mhz 
Versione/data BIOS Acer V2.06, 03/08/2009 
Versione SMBIOS 2.4 
Directory Windows C:\WINDOWS 
Directory System C:\WINDOWS\system32 
Periferica di avvio \Device\HarddiskVolume2 
Locale Italia 
Hardware Abstraction Layer Versione = "5.1.2600.5512 (xpsp.080413-2111)" 
Nome utente SEYCHELLES\wa 
Fuso orario ora solare Europa occidentale 
Memoria fisica totale 3.072,00 MB 
Memoria fisica disponibile 1,98 GB 
Memoria virtuale totale 2,00 GB 
Memoria virtuale disponibile 1,95 GB 
Spazio file di paging 2,78 GB 
 
 
 
Ho avuto problemi al pc con dei trojan che sono stati rimossi da Housecall e altri programmi.
Avevo internet explorer lentissimo e che a volte non si apriva. Ora funziona bene.
Il problema che riscontro è che non si apre windows update, anche se avevo provato a registrare la dll relativa ad esso.
 
Vorrei che deste un'occhiata a questi log quando avete tempo (i programmi hanno girato in modal. provvisoria quando possibile, con un riavvio tra un programma e l'altro e senza che il ripristino configurazione sistema fosse attivo). 
 
 (22-11-2010  15:50:01 (GMT))
EliBagle v14.12  (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Octubre del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):
 (22-11-2010  15:50:54 (GMT))
EliBagle v14.12  (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Octubre del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios:   1396
Nº Total de Ficheros:      5518
Nº de Ficheros Analizados: 483
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.
 (22-11-2010  16:00:44 (GMT))
EliBagle v14.12  (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Octubre del 2010)
----------------------------------------------
Lista de Acciones (por Acción Directa):
 (22-11-2010  16:10:00 (GMT))
EliBagle v14.12  (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 26 de Octubre del 2010)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
DC31.ZIP -> BagleDC33.ZIP -> Bagle
Nº Total de Directorios:   6129
Nº Total de Ficheros:      47299
Nº de Ficheros Analizados: 14315
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  2
 
 
 
questo e' il log di Beagled (lo apro, lui apre una finestra e si chiude subito):
Bagle_Remover.exe
Date: 22/11/2010
Time: 16.36.27,76
 
 
 
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.48.39, on 25/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

*** Log editato, nessun oggetto rilevato ***

O23 - Service: kroover - Unknown owner - C:\WINDOWS\system32\drivers\kroover.exe (file missing)
 
 
P.S.:
Lo strumento di rimozione malware per Windows XP non ha trovato nulla.
Uso spesso una USB key ma dopo le scansioni ho installato ninja pendisk.
 
 
 


Modificato da prgn - 20/Dicembre/2010 alle 13:38


Stefano
Apprendista Apprendista
Stefano
Apprendista Apprendista
Stefano
Apprendista
Apprendista

Avatar


Iscritto dal : 21/Maggio/2010
Da: Italy
Status: Offline
Posts: 37
bullet Topic: Post n° 96.611 - Postato: 26/Novembre/2010 alle 09:29


Dimenticavo di postare il seguente log:
 
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Versione database: 5150
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
19/11/2010 10.46.32
mbam-log-2010-11-19 (10-46-32).txt

*** Log editato, nessun oggetto rilevato ***



Modificato da prgn - 20/Dicembre/2010 alle 13:24


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 96.624 - Postato: 29/Novembre/2010 alle 16:33


Ciao, non ci dici cosa ti è stato rilevato e dove (su che file)
Ad occhio e croce vedo una voce riconducibile ad un rootkit... ma il file non è stato trovato (file missing):

O23 - Service: kroover - Unknown owner - C:\WINDOWS\system32\drivers\kroover.exe (file missing)

utilizza tdsskiller di kasperky:

http://support.kaspersky.com/viruses/solutions?qid=208280684

non si sa mai.. anche se penso che ormai quel rootkit è stato già fatto fuori,
indicaci i malware rilevati ed i relativi file trovati infetti.
Inoltre farei una passata anche con il tool antimalware della stessa kasperky:

http://support.kaspersky.com/viruses/avptool2010?level=2


Bagle penso che ormai non sia più attivo... visto che usi gli antivirus senza
problemi...

comunque, indicaci le cose che ti ho chiesto, passa i software che ti ho consigliato, indaci cosa rilevano, fixa la voce che ti ho indicato (quella di hijackthis) e dopo il riavvio... fai un ulteriore log di hijackthis
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Stefano
Apprendista Apprendista
Stefano
Apprendista Apprendista
Stefano
Apprendista
Apprendista

Avatar


Iscritto dal : 21/Maggio/2010
Da: Italy
Status: Offline
Posts: 37
bullet Topic: Post n° 96.637 - Postato: 30/Novembre/2010 alle 16:30


ok grazie, lo faccio poi ti dico i risultati. Smile


Stefano
Apprendista Apprendista
Stefano
Apprendista Apprendista
Stefano
Apprendista
Apprendista

Avatar


Iscritto dal : 21/Maggio/2010
Da: Italy
Status: Offline
Posts: 37
bullet Topic: Post n° 96.639 - Postato: 01/Dicembre/2010 alle 09:27


Per ora posto il log di TDSSKiller, poi appena ho tempo faccio le altre cose:
 
2010/12/01 09:21:14.0750 TDSS rootkit removing tool 2.4.10.0 Nov 28 2010
...
2010/12/01 09:21:49.0562 Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Cure

*** Log editato, rimane solo l'oggetto rilevato ***
 


Modificato da prgn - 20/Dicembre/2010 alle 13:26


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 96.640 - Postato: 01/Dicembre/2010 alle 11:44


Ciao, sarebbe stato un bene fare il tutto in una volta... comunque, alla fine delle altre procedure rifai la scansione con tdsskiller e vedi se trova ancora Rootkit.Win32.TDSS.tdl4
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Stefano
Apprendista Apprendista
Stefano
Apprendista Apprendista
Stefano
Apprendista
Apprendista

Avatar


Iscritto dal : 21/Maggio/2010
Da: Italy
Status: Offline
Posts: 37
bullet Topic: Post n° 96.642 - Postato: 02/Dicembre/2010 alle 10:33


Ciao. Ti riporto tutto cio' ke ho fatto dopo aver fixato ciò che mi hai chiesto e riavviato:
 
1)
 
2010/12/02 09:17:10.0953 TDSS rootkit removing tool 2.4.10.0 Nov 28 2010 18:35:56

*** Log editato, nessun oggetto rilevato ***
 
2)
 
tool antimalware kaspersky:
Scansione automatica: processo completato 5 minuti fa   (eventi: , oggetti: 337378, ora: 00.23.15) 
02/12/2010 9.52.58 Attività avviata   
02/12/2010 10.16.13 Attività completata 
 
non ha trovato niente da disinfettare
 
 
3)
 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.26.57, on 02/12/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

*** Log editato, rimane solo l'oggetto sospetto ***

O23 - Service: AMService - Unknown owner - C:\WINDOWS\TEMP\roxi\setup.exe


Modificato da prgn - 20/Dicembre/2010 alle 13:32


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
bullet Topic: Post n° 96.647 - Postato: 02/Dicembre/2010 alle 18:16


Ciao, vedo questo AMService che non mi convince

O23 - Service: AMService - Unknown owner - C:\WINDOWS\TEMP\roxi\setup.exe

non so se installavi qualcosa o meno quando hai fatto la scansione.. ma mi pare molto strano e come posizione.. ed anche perchè è un servizio.

PUoi inviarlo a virustotal.com/it
 
Invia il seguente file:

C:\WINDOWS\TEMP\roxi\setup.exe

facci sapere se è infetto e se si fixa la voce... (io la fixerei a prescindere)

Inoltre sarebbe utile sapere  i malware che ti rilevavano gli antivirus prima

Rispetto il tdss rootkit.. non ti viene più rilevato.

Ciao




SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Stefano
Apprendista Apprendista
Stefano
Apprendista Apprendista
Stefano
Apprendista
Apprendista

Avatar


Iscritto dal : 21/Maggio/2010
Da: Italy
Status: Offline
Posts: 37
bullet Topic: Post n° 96.672 - Postato: 06/Dicembre/2010 alle 08:42


virus total ha trovato dei problemi con quel file, quindi fixerò la voce come hai detto tu. i risultati sono:
 
Antivirus Version Last Update Result
AhnLab-V3 2010.12.06.00 2010.12.05 Dropper/Win32.Drooptroop
BitDefender 7.2 2010.12.06 Trojan.Generic.KDV.79859
Comodo 6964 2010.12.06 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.12.06 Trojan.DownLoader1.41805
F-Secure 9.0.16160.0 2010.12.06 Trojan.Generic.KDV.79859
Fortinet 4.2.254.0 2010.12.05 W32/Drooptroop.IZK!tr
GData 21 2010.12.06 Trojan.Generic.KDV.79859
Kaspersky 7.0.0.125 2010.12.06 Trojan-Dropper.Win32.Drooptroop.izk
Microsoft 1.6402 2010.12.06 VirTool:Win32/Obfuscator.KH
NOD32 5676 2010.12.06 a variant of Win32/Kryptik.IOE
nProtect 2010-12-06.01 2010.12.06 Trojan.Generic.KDV.79859
Panda 10.0.2.7 2010.12.05 Trj/CI.A
Prevx 3.0 2010.12.06 Medium Risk Malware Dropper
Sophos 4.60.0 2010.12.06 Mal/FakeAV-CX
TheHacker 6.7.0.1.095 2010.12.05 Trojan/Dropper.Drooptroop.izk
TrendMicro 9.120.0.1004 2010.12.06 PAK_Generic.001
*** log editato, rimangono solo le rilevazioni positive ***



Modificato da prgn - 20/Dicembre/2010 alle 13:34


Stefano
Apprendista Apprendista
Stefano
Apprendista Apprendista
Stefano
Apprendista
Apprendista

Avatar


Iscritto dal : 21/Maggio/2010
Da: Italy
Status: Offline
Posts: 37
bullet Topic: Post n° 96.673 - Postato: 06/Dicembre/2010 alle 08:55


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.48.51, on 06/12/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal


*** Log editato, nessun oggetto rilevato ***




Modificato da prgn - 20/Dicembre/2010 alle 13:35


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,027 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni