Virus che crea file setup.exe e autorun.inf

Ninfea · 04 Aprile 2007, 13:03:53

AVG lo elimina? lo mette in quarantena?

Questo messaggio è stato aggiornato da Ninfea il 04/04/2007 alle ore 13:08:12

sgeos · 04 Aprile 2007, 13:12:50

per quanto riguarda il file nella cartella di restore automaticamente mi esce la finestra che dice "cosa vuoi fare?" e io lo metto nella Virus Vault (he credo sia la quarantena)
per quanto invece riguarda i file setup.exe che si creano nelle cartelle condivise non succede nulla automaticamente...appena apro una cartella condivisa esce la mitica finestra.

Ninfea · 04 Aprile 2007, 13:17:57

Mi devi copiare-incollare un log di hijackthis, scaricalo da qui www.hijackthis.de

sgeos · 04 Aprile 2007, 13:24:09

Logfile of HijackThis v1.99.1
Scan saved at 13.23.19, on 04/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Programmi\WLAN\WLAN\wlanutil.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\CPUCooL\CooLSrv.exe
C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\VoipStunt.com\VoipStunt\VoipStunt.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\NoAdware5.0\NoAdware5.exe
C:\Documents and Settings\Stefano\Desktop\Programmi\HiJackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F3 - REG:win.ini: load=C:\TBridge\Flatbed.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [Uniblue Registry Booster] C:\Programmi\Uniblue\Registry Booster\RegistryBooster.exe /S
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Wireless LAN Utility.lnk = C:\Programmi\WLAN\WLAN\wlanutil.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://c:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programmi\CPUCooL\CooLSrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

Ninfea · 04 Aprile 2007, 17:07:13

Ok, entra in modalità provvisoria senza rete, fixa (elimina) queste:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)

Dopodichè dal menu del browser cancella tutti i files temporanei e i cookies.
Avvia Ccleaner sempre in modalità provvisoria, e vai su trova problemi; cancella tutto ciò che trova, ma tieni fino a quando nn avremo risolto una copia di backup delle chiavi che rimuove. Dopo lancia superantispyware e fagli fare una scansione completa e approfondita; assicurati di aggiornarlo prima di tutto, in quanto la modalità provvisoria senza rete non te lo consentirà.
Dopo aver fatto ciò dovrai riavviare in modalità normale e dirmi se e dove di preciso si ricreano i files che dici.

sgeos · 04 Aprile 2007, 18:10:07

Fatto Ninfea...purtroppo nessun risultato...ho fixato quei thread e anche molti altri, ora ho un log più pulito...pero SuperAntiSpyware non ha trovato nulla.
tra l'altro prima di avviare in modalità provvisoria erano comparsi i file nelle cartelle condivise e non li avevo cancella, ma non sono stati rilevati da nessuno

sgeos · 04 Aprile 2007, 19:47:19

si sono ricreati...anche se senza gli autorun.inf, solo i setup.exe...ma ora avg non li rileva...

Ninfea · 04 Aprile 2007, 19:56:26

Ok, devo sfoderare le mie armi, l'ha voluto lui

Sgeos credo proprio che sia colpa di un worm; purtroppo nessun antivirus lo rileva a parte kaspersky che è in grado di rimueverlo, tuttavia credo di poterti dire come fare per eliminarlo.
Allora...Questo worm crea una copia del processo di sistema di windows che prende il nome di smss.exe, solo che al posto di trovarsi nella cartella system32, si trova nella cartella system. Crea copia di se stesso nelle root di ogni disco rigido condiviso presente nel tuo sistema; ma non ne sei infetto finchè l'eseguibile appunto setup.exe non viene aperto. Il file di corredo autorun.inf contiene le informazioni per eseguirlo.

Procedura di eliminazione:
Apri la cartella C:\windows\system, quando trovi smss.exe lo elimini, così come setup exe e autorun.inf.
Dopo tramite start---->esegui digiti regedit per entrare nel registro di sistema.
Segui questo percorso:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Fai doppio click sul valore DWORD, ed in esadecimale devi impostare il valore 95 (Windows default).
Perchè tutto ciò?
Perchè questo tipo di worm crea dei file che vengono automaticamente letti da windows. Sul sito ufficiale Microsoft, a questo indirizzo: http://support.microsoft.com/kb/136214 ci spiegano come determinare questo valore. Il default ripeto è 95, come spiega sul sito; 91 corrisponde a boot da floppy e così via.

Questo worm, è bruttissimo perchè come dicevo sopra è invisibile, per insidiarsi nel tuo sistema sfrutta soprattutto le falle di sicurezza, quindi è consigliabile assolutamente aggiornare da windows update, ed attivare un firewall oltre alle tradizionali protezioni.
Alternativamente, devi scaricare Kaspersky, a mio avviso il migliore, che può rimuoverlo.
Sgeos se tutto ciò non risolve, tenteremo la strada dei rootkit, perchè io lo definisco worm, ma probabilmente è talmente insidioso che è un rootkit.

sgeos · 04 Aprile 2007, 20:06:00

Ninfea...purtroppo le tue armi le ho già usate... ho già provato le tue istruzioni trovande su qualche sito...ma non fanno al caso mio...nella cartella system non c'è smss.exe...
pero sono riuscito a capire che una 30ina si secondi prima della creazione del file negli eventi c'è questo:
Il sistema ha rilevato che la scheda di rete \DEVICE\TCPIP_{5F2578FE-C1BB-4353-821D-5E77D22A5C83} è connessa alla rete, e ha iniziato le normali operazioni sulla scheda di rete.
non so se sia connesso e non so proprio cosa sia successo.

anche Kaspersky non trova nulla
vogliamo provare con rootkit?

Ninfea · 04 Aprile 2007, 20:11:58

A questo punto credo che questi file vengano creati proprio da un processo invisibile; per tanto dobbiamo provare con un anti-rootkit.
Proviamo questo della stessa AVG: http://www.majorgeeks.com/download.php?det=5249

Questo coso che ti sei beccato è vecchissimo, non pensavo girasse ancora:gray: mi porta alla mente vecchi ricordi con win 98:D

Questo messaggio è stato aggiornato da Ninfea il 04/04/2007 alle ore 20:12:37

In evidenza per te:

Virus che crea file setup.exe e autorun.inf