Condividi:        

Backdoor:Win32/Rbot.gen AIUTO!!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Duke » 23/11/08 11:34

Salve a tutti!!
Mi piacerebbe avere un vostro parere su come poter rimuovere questo malware "Backdoor:Win32/Rbot.gen", naturalmente ho già provato con il norton in modalità provvisoria e con windows-kb890830-v2.4 della microsoft ma... niente da fare :aaah :aaah .
Vi posto anche il log di HijackThis.
Grazie in anticipo


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11.00.34, on 23/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Hamlet\Adsl\dslstat.exe
C:\Program Files\Hamlet\Adsl\dslagent.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\MASTER\Desktop\Cristian\HiJackThis_v2\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Hamlet\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Hamlet\Adsl\dslagent.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FreePOPs.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0EED6D2-BFF2-48FB-998E-318D24880F17}: NameServer = 212.216.112.112,212.216.172.62
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Local Service - Unknown owner - C:\WINDOWS\wuaurpl.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 6644 bytes
Duke
Utente Junior
 
Post: 68
Iscritto il: 24/06/06 16:20

Sponsor
 

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi paolo orlandi » 24/11/08 11:50

prova con Trojan Remover della Simply Super Ciao ed auguri.Paolo
paolo orlandi
Utente Junior
 
Post: 18
Iscritto il: 27/10/08 12:37

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Opensource » 24/11/08 14:02

ciao
scarica cclenaer e installalo;n on installare la toolbar di Yahoo durante la procedura di installazione,finita l'installazione, lascia le impostazioni di default del programma tranne che , cliccando su "Impostazioni">Avanzate" togli la spunta dalla casella "Cancella file in windows temp solo se più vecchi di 48 ore".

Aggiorna il tuo antivirus e disabilita il ripristino automatico di sistema (importante per la rimozione di malware).
Riavvia in modalità provvisoria ed elimina questo con hijackthis:

O23 - Service: Local Service - Unknown owner - C:\WINDOWS\wuaurpl.exe (file missing)

dopodichè, scansiona in modo completo con il tuo antivirus ed elimina quello che ti rileva come infetto; successivamente, effettua una pulizia completa con ccleaner (anche il registro).
Poi riavvia in modalità normale e vedi se è tutto ok. Fammi sapere.

ti consiglio anche di:
togliere AVG Anti-Spyware sostituendolo con (malwarebytes' anti malware o superantispyware).
installare il Sp3 per Xp
e di installare un buon firewall
Avatar utente
Opensource
Utente Senior
 
Post: 684
Iscritto il: 02/11/06 20:45

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi MIKI68 » 24/11/08 17:02

Fixia questa voce :
O23 - Service: Local Service - Unknown owner - C:\WINDOWS\wuaurpl.exe (file missing)
poi fai una scansione con l'antivirus e mettilo in quarantena poi ci dici in che percorso si trova...
Trucchi e impostazioni per un computer sempre efficiente http://miki68news.blogspot.com/
Avatar utente
MIKI68
Utente Senior
 
Post: 1732
Iscritto il: 17/10/08 15:26
Località: Bari

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Duke » 25/11/08 21:44

Buonasera,
ho provato ad eliminare la riga incriminata con hijackthis, adesso non compare più tuttavia il mio antivirus (avviato con il pc in modalità provvisoria) continua a rilevare 2 minacce che non riesce a risolvere, questo è il messaggio:

W32.IRCBOT non può essere rimosso da un file non supportato, rimozione non riuscita
W32.IRCBOT non può essere rimosso da un file non supportato, rimozione non riuscita

Adesso il logfile è questo:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21.34.52, on 25/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Hamlet\Adsl\dslstat.exe
C:\Program Files\Hamlet\Adsl\dslagent.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\MASTER\Desktop\Cristian\HiJackThis_v2\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Hamlet\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Hamlet\Adsl\dslagent.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FreePOPs.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0EED6D2-BFF2-48FB-998E-318D24880F17}: NameServer = 212.216.112.112,212.216.172.62
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9A93DEA-DF6D-4873-8229-6BBD2A28914B}: NameServer = 212.216.172.62 212.216.112.112
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 6761 bytes
Duke
Utente Junior
 
Post: 68
Iscritto il: 24/06/06 16:20

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Luke57 » 25/11/08 22:08

Ciao, scarica stinger da qui:
http://download.nai.com/products/mcafee ... 000457.exe
non ha bisogno di installazione, lo scarichi, lo esegui e fai uno scan completo di tutto il computer. Se rileva una minaccia, la elimina automaticamente.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Duke » 26/11/08 00:08

Stinger mi trova sempre 2 Trojans ma sembra che non riesce ad eliminarli,
questo è il report:

Scan initiated on Wed Nov 26 00:03:44 2008
C:\Documents and Settings\All Users\Dati applicazioni\Symantec\LiveUpdate\Downloads\1190227946jtun_coh32.rar\IOW1X6J.COM

Found the W32/Sdbot.dr trojan !!!

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\LiveUpdate\Downloads\1190227946jtun_coh32.rar could not be repaired.

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\LiveUpdate\Downloads\1190315687jtun_cohdata.rar\YUQRT2S.COM

Found the W32/Sdbot.dr trojan !!!

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\LiveUpdate\Downloads\1190315687jtun_cohdata.rar could not be repaired.

Number of clean files: 2518

Number of Trojans: 2
Duke
Utente Junior
 
Post: 68
Iscritto il: 24/06/06 16:20

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Luke57 » 26/11/08 08:48

Ciao, vai qui:
http://forum.wininizio.it/index.php?showtopic=98296

scarica e installa sdfix, segui le istruzioni d'uso, posta il report dello scan.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Duke » 26/11/08 19:10

ciao,
ho fatto come mi hai detto, questo è il report, purtroppo il mio antivirus continua a segnalarmi 2 file infetti

W32.IRCBOT non può essere rimosso da un file non supportato, rimozione non riuscita
W32.IRCBOT non può essere rimosso da un file non supportato, rimozione non riuscita


SDFix: Version 1.240
Run by Administrator on 26/11/2008 at 18.42

Microsoft Windows XP [Versione 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\MSN.EXE - Deleted
C:\WINDOWS\MSN.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-26 18:47:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\System32\\exrtyzqyx.exe"="C:\\WINDOWS\\System32\\exrtyzqyx.exe:*:Enabled:Microsoft OCX"
"wuaurpl.exe"="wuaurpl.exe:*:Enabled:SYSTEM"
"C:\\Programmi\\File comuni\\System\\MSIWA32.exe"="C:\\Programmi\\File comuni\\System\\MSIWA32.exe:*:Enabled:Integrated Windows Authentication"
"C:\\WINDOWS\\System32\\mafnmbxot.exe"="C:\\WINDOWS\\System32\\mafnmbxot.exe:*:Enabled:Microsoft OCX"
"C:\\WINDOWS\\System32\\jhsakqvvf.exe"="C:\\WINDOWS\\System32\\jhsakqvvf.exe:*:Enabled:Log System"
"C:\\WINDOWS\\System32\\ekbvmagkk.exe"="C:\\WINDOWS\\System32\\ekbvmagkk.exe:*:Enabled:reginit"
"C:\\WINDOWS\\System32\\ovziixymt.exe"="C:\\WINDOWS\\System32\\ovziixymt.exe:*:Enabled:reginit"
"C:\\WINDOWS\\System32\\zpudvesxh.exe"="C:\\WINDOWS\\System32\\zpudvesxh.exe:*:Enabled:reginit"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 20 Oct 2008 543,232 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1003.tmp"
Mon 20 Oct 2008 526,336 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1013.tmp"
Mon 27 Oct 2008 499,200 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1015.tmp"
Mon 27 Oct 2008 470,528 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1017.tmp"
Mon 27 Oct 2008 162 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1018.tmp"
Mon 27 Oct 2008 467,968 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1020.tmp"
Fri 20 Jun 2008 44,032 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1021.tmp"
Mon 27 Oct 2008 471,552 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1022.tmp"
Tue 28 Oct 2008 474,112 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1026.tmp"
Tue 28 Oct 2008 177,664 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1027.tmp"
Mon 27 Oct 2008 92,160 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1046.tmp"
Tue 28 Oct 2008 628,736 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1060.tmp"
Tue 4 Nov 2008 176,128 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1063.tmp"
Fri 7 Nov 2008 628,224 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1064.tmp"
Fri 7 Nov 2008 628,736 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1066.tmp"
Fri 7 Nov 2008 628,224 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1076.tmp"
Tue 11 Nov 2008 986,624 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1079.tmp"
Wed 12 Nov 2008 987,648 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1083.tmp"
Fri 14 Nov 2008 988,160 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1085.tmp"
Wed 12 Nov 2008 987,648 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1089.tmp"
Sun 9 Dec 2007 444,416 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc149.tmp"
Thu 13 Dec 2007 445,440 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc151.tmp"
Fri 14 Dec 2007 526,848 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc166.tmp"
Fri 21 Dec 2007 66,048 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc171.tmp"
Mon 31 Dec 2007 561,152 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc194.tmp"
Thu 24 Jan 2008 0 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc247.tmp"
Mon 5 May 2008 434,688 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc481.tmp"
Mon 16 Jun 2008 0 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc629.tmp"
Sun 4 Nov 2007 607,744 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc7.tmp"
Thu 24 May 2007 294,400 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc92.tmp"
Mon 20 Mar 2006 906,752 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc943.tmp"
Sat 4 Oct 2008 688,128 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc945.tmp"
Sat 4 Oct 2008 687,616 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc947.tmp"
Sat 4 Oct 2008 688,128 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc949.tmp"
Tue 11 Dec 2007 162 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc967.tmp"
Tue 22 Jan 2008 550,912 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc973.tmp"
Tue 22 Jan 2008 550,912 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc976.tmp"
Sun 19 Oct 2008 549,888 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc979.tmp"
Sun 19 Oct 2008 523,776 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc982.tmp"
Sun 19 Oct 2008 506,368 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc984.tmp"
Sun 19 Oct 2008 525,824 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc987.tmp"
Sun 19 Oct 2008 543,744 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc988.tmp"
Sun 19 Oct 2008 544,768 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc991.tmp"
Mon 10 Sep 2007 0 ...H. --- "C:\Documents and Settings\MASTER\Dati applicazioni\Microsoft\Word\~WRL0004.tmp"
Sun 4 May 2003 99,611 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1121\q' 04\Borzano\~WRL0003.tmp"
Fri 2 May 2003 379,487 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1121\q' 04\Roncaglio\~WRL1101.tmp"
Mon 6 Oct 2008 520,704 A..H. --- "C:\RECYCLER\S-1-5-21-839522115-1303643608-725345543-1004\Dc1121\q2008\VIA COLOMBO AP5b q\~WRL1218.tmp"
Sun 4 May 2003 99,611 A..H. --- "C:\Documents and Settings\MASTER\Desktop\a1\q 04\Borzano\~WRL0003.tmp"
Fri 2 May 2003 379,487 A..H. --- "C:\Documents and Settings\MASTER\Desktop\a1\q' 04\Roncaglio\~WRL1101.tmp"
Mon 6 Oct 2008 520,704 A..H. --- "C:\Documents and Settings\MASTER\Desktop\a1q 2008\VIA COLOMBO AP5b Novellara\~WRL1218.tmp"

Finished!
Duke
Utente Junior
 
Post: 68
Iscritto il: 24/06/06 16:20

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Luke57 » 26/11/08 22:15

Ciao,
vai qui e scarica combofix sul desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\combofix.exe" /killall
Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione, se spariscono le icone del desktop è normale)),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , riavvia e posta il contenuto del file.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Opensource » 27/11/08 15:26

ma disattivi il ripristino configurazine di sistema???
segui quello che ti ho indicato!!!
Avatar utente
Opensource
Utente Senior
 
Post: 684
Iscritto il: 02/11/06 20:45

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi q6600 » 28/11/08 15:11

se non avessi disattivato il ripristino andresti avanti all'infinito perche' xp ti ricaricherebbe i virus ad ogni riavvio.
AMD Phenom x4 960 3.3 ghz,2x1gb Corsair DDR3 1333mhz,Nvidia 460 GTX Gigabyte 1024md ddr5 256 bit ,case Cooler Master,Wd Velociraptor 320 gb+ Wd Caviar 1TB, Samsung Syncmaster 2ms hd 19",Corsair HX850 Watt, Seven Ultimate,Ups Atlantis 750w.
Avatar utente
q6600
Utente Senior
 
Post: 213
Iscritto il: 18/11/07 01:08

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Luke57 » 28/11/08 15:39

q6600 ha scritto:se non avessi disattivato il ripristino andresti avanti all'infinito perche' xp ti ricaricherebbe i virus ad ogni riavvio.

Ciao, colgo l'occasione per cercare di fare un pò di chiarezza. Quello che dici non è esattamente vero, i virus si riformano all'avvio se non definitivamente eliminati. Il ripristino non c'entra niente.
Disattivare il ripristino impedisce che, in caso di utilizzo del ripristino per cattivi funzionamenti o altro del computer, il riportare il computer a una data antecedente vengano"riattivati" virus o infezioni,anche attualmente debellate, ma a quell'epoca presenti.
Sarebbe buona norma, anzi, disattivare il ripristino solo quando il computer è stato "ripulito" perchè, ad esempio, in caso di infezione ostinata e irrisolvibile, ripristinare il computer a una data precedente che, si presume, indenne dal virus, potrebbe essere l'ultima spiaggia prima della formattazione.
Se d'acchito, invece, si disattiva il ripristino prima di disinfestare il computer si toglie subito a priori la possibilità di utilizzare questa preziosa funzione (intendo quella del ripristino).
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Opensource » 28/11/08 15:45

Per Duke:
vuoi eliminare il malware???? allora disattiva il ripristino automatico di sistema!!!

;)
Avatar utente
Opensource
Utente Senior
 
Post: 684
Iscritto il: 02/11/06 20:45

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Duke » 28/11/08 16:31

Avevo cmq già seguito il consiglio di opensource datomi all'inizio, tutte le operazioni le ho fatte con il ripristino disattivato.
Adesso provo con combofix...
speriamo bene :undecided: :undecided:
Duke
Utente Junior
 
Post: 68
Iscritto il: 24/06/06 16:20

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Luke57 » 28/11/08 16:56

Opensource ha scritto:Per Duke:
vuoi eliminare il malware???? allora disattiva il ripristino automatico di sistema!!!

;)

Scusami, ma hai letto quello che ho scritto? Se per eliminare i virus bastasse disattivare il ripristino sarebbereo del tutto inutili antruivirus e programmi di sicurezza. Lo riprova il fatto che il nostro utente è sempre nei guai, pur avendo disattivato il ripristino. Evidentemente non mi riesce di spiegarlo bene, guarda qui per capire che cosa è:
http://support.microsoft.com/kb/831829/it
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Duke » 29/11/08 17:09

ciao,
ecco il report di Combofix:

ComboFix 08-11-28.03 - MASTER 2008-11-29 16.39.39.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1040.18.644 [GMT 1:00]
Eseguito da: c:\documents and settings\MASTER\desktop\combofix.exe
Interruttori di comando utilizzati :: /killall

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((( Files Creati Da 2008-10-28 al 2008-11-29 )))))))))))))))))))))))))))))))))))
.

2008-11-26 18:41 . 2008-11-26 18:41 578,048 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-11-25 15:47 . 2008-11-25 21:48 <DIR> d-------- c:\windows\system32\CatRoot_bak
2008-11-25 15:46 . 2008-06-14 18:59 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
2008-11-25 15:46 . 2008-08-14 10:51 138,368 -----c--- c:\windows\system32\dllcache\afd.sys
2008-11-25 15:45 . 2008-09-15 16:38 1,846,016 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-11-25 10:58 . 2008-11-25 10:58 <DIR> d-------- c:\programmi\MSXML 6.0
2008-11-25 08:55 . 2008-08-14 14:42 2,184,064 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-11-25 08:55 . 2008-08-14 14:42 2,139,648 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-11-25 08:55 . 2008-08-14 14:42 2,061,440 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-11-25 08:55 . 2008-08-14 14:42 2,019,328 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-11-25 08:54 . 2008-04-11 19:50 683,520 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2008-11-25 08:54 . 2008-05-01 15:31 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-25 23:21 --------- d-----w c:\programmi\SUPERAntiSpyware
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-14 08:02 --------- d-----w c:\programmi\File comuni\Symantec Shared
2008-10-03 12:14 39,984 ----a-w c:\windows\system32\drivers\symids.sys
2008-10-03 12:14 37,936 ----a-w c:\windows\system32\drivers\symndisv.sys
2008-10-03 12:14 35,120 ----a-w c:\windows\system32\drivers\symndis.sys
2008-10-03 12:14 27,696 ----a-w c:\windows\system32\drivers\symredrv.sys
2008-10-03 12:14 187,952 ----a-w c:\windows\system32\drivers\symtdi.sys
2008-10-03 12:14 146,096 ----a-w c:\windows\system32\drivers\symfw.sys
2008-10-03 12:14 12,848 ----a-w c:\windows\system32\drivers\symdns.sys
2008-10-03 12:14 10,804 ----a-w c:\windows\system32\drivers\SymRedir.cat
2008-10-03 12:14 1,358 ----a-w c:\windows\system32\drivers\SymRedir.inf
2008-10-01 05:42 --------- d-----w c:\programmi\Norton AntiVirus
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2004-08-19 1667584]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-07-14 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"DSLSTATEXE"="c:\program files\Hamlet\Adsl\dslstat.exe" [2005-10-24 344064]
"DSLAGENTEXE"="c:\program files\Hamlet\Adsl\dslagent.exe" [2005-08-25 65536]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2007-01-09 115816]
"osCheck"="c:\programmi\Norton AntiVirus\osCheck.exe" [2007-01-14 771704]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2007-09-19 286720]
"Symantec PIF AlertEng"="c:\programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"C-Media Mixer"="Mixer.exe" [2002-09-17 c:\windows\mixer.exe]
"CARPService"="carpserv.exe" [2001-12-23 c:\windows\system32\carpserv.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\MASTER\Menu Avvio\Programmi\Esecuzione automatica\
FreePOPs.lnk - c:\programmi\FreePOPs\freepopsd.exe [2007-06-22 31232]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2006-10-19 08:12 258048 c:\programmi\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"wuaurpl.exe"= wuaurpl.exe:SYSTEM
"%windir%\\system32\\sessmgr.exe"=

R2 Utilità di pianificazione di LiveUpdate automatico;Utilità di pianificazione di LiveUpdate automatico;"c:\programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2007-08-25 554352]
S4 Local Service;Local Service;"c:\windows\wuaurpl.exe" []
.
Contenuto della cartella 'Scheduled Tasks'

2008-04-28 c:\windows\Tasks\Norton AntiVirus - Scansione completa sistema - MASTER.job
- c:\programmi\Norton AntiVirus\Navw32.exe [2007-01-14 02:09]
.
.
------- Supplementare di scansione -------
.
uStart Page = hxxp://www.google.it/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {F0EED6D2-BFF2-48FB-998E-318D24880F17} = 212.216.112.112,212.216.172.62

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-29 16:42:32
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(460)
c:\programmi\SUPERAntiSpyware\SASWINLO.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\programmi\File comuni\Symantec Shared\ccSvcHst.exe
c:\programmi\File comuni\Symantec Shared\ccSvcHst.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
c:\programmi\HP\Digital Imaging\bin\hpqste08.exe
c:\programmi\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
.
**************************************************************************
.
Ora fine scansione: 2008-11-29 16:44:52 - macchina è stato riavviato
ComboFix-quarantined-files.txt 2008-11-29 15:44:48

Pre-Run: 71.420.149.760 byte disponibili
Post-Run: 71,416,352,768 byte disponibili

130 --- E O F --- 2008-11-27 07:59:14
Duke
Utente Junior
 
Post: 68
Iscritto il: 24/06/06 16:20

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Duke » 29/11/08 17:22

Se ti può essere di aiuto questo è il report del mio antivirus:

- File & directory: 9529
- Voci del registro: 0
- Processi ed elementi di avvio: 0
- Elementi di rete e browser: 0
- Altro: 0

Totale rischi per la sicurezza rilevati: 2
Totale elementi risolti: 0
Totale elementi che richiedono attenzione: 2

Minacce risolte:


Minacce non risolte:
W32.IRCBot
ID virus: 26824
Tipo: Compresso
Rischio: Alto (Alto Stealth, Alto Rimozione, Alto Prestazioni, Alto Privacy)
Categorie: Virus
Stato: Rimozione non riuscita
-----------
1 file
[iow1x6j.com] in [c:\documents and settings\all users\dati applicazioni\symantec\liveupdate\downloads\1190227946jtun_coh32.rar] - Infetto


W32.IRCBot
ID virus: 26824
Tipo: Compresso
Rischio: Alto (Alto Stealth, Alto Rimozione, Alto Prestazioni, Alto Privacy)
Categorie: Virus
Stato: Rimozione non riuscita
-----------
1 file
[yuqrt2s.com] in [c:\documents and settings\all users\dati applicazioni\symantec\liveupdate\downloads\1190315687jtun_cohdata.rar] - Infetto
Duke
Utente Junior
 
Post: 68
Iscritto il: 24/06/06 16:20

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi MIKI68 » 29/11/08 17:37

Opensource ha scritto:Per Duke:
vuoi eliminare il malware???? allora disattiva il ripristino automatico di sistema!!!

;)

-------------------------------------------------------------------------------------------------------------------------------------
Il ripristino di configurazione di sistema va disabilitato solamente quando si fà pulizia di virus,trojan,malware giusto il tempo di ripulire il computer dalle minacce per EVITARE CHE VENGANO FATTE COPIE DI FILE INFETTI poi dopo la pulizia bisogna immediatamente ripristinare questo preziosissimo sistema di configurazione ;)
Trucchi e impostazioni per un computer sempre efficiente http://miki68news.blogspot.com/
Avatar utente
MIKI68
Utente Senior
 
Post: 1732
Iscritto il: 17/10/08 15:26
Località: Bari

Re: Backdoor:Win32/Rbot.gen AIUTO!!

Postdi Luke57 » 29/11/08 17:46

Ciao,il report di combofix sembra a posto, quei due file sono dell'aggiornamento di symantec, boh, vai nella directory indicata ed eliminali manualmente.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "Backdoor:Win32/Rbot.gen AIUTO!!":

aiuto windows 10
Autore: mod360
Forum: Software Windows
Risposte: 1
aiuto installazione
Autore: mod360
Forum: Software Windows
Risposte: 3
aiuto x mobili
Autore: MarioLombardi
Forum: Forum off-topic
Risposte: 8

Chi c’è in linea

Visitano il forum: Nessuno e 48 ospiti