|
|
|
|||||||
| Sicurezza e Privacy Discussioni su tutto quello che riguarda la sicurezza informatica e la protezione della nostra privacy. Informazioni su virus, trojan horses, spyware e malware vanno qui. |
 |
|
|
LinkBack | Strumenti della discussione |
25-12-2007, 22:56
|
#1 (permalink) |
|
Utente
Membro Junior
Data di registrazione: Dec 2007
Messaggi: 3
|
Trojan Backdoor.IRC.Bot non eliminato del tutto
Essendo il mio primo post qui, evito di continuare su altri thread e ne apro uno nuovo anche per presentarmi:
 Sono Marco, ingegnere informatico, ho notato con piacere la competenza di chi segue il forum cercando di eliminare un trojan che da qualche giorno mi assilla. Symantec Antivirus (che non mi piace ma devo usare avendolo in licenza) rileva ed elimina la minaccia Backdoor.IRC.Bot sul file "%system%/drivers/csrss.exe" che nemmeno dovrebbe esistere essendo comunemente in %system%. Il problema è già noto qui: Trojan ctfmon . Il mio dubbio sta nel fatto che Symantec Antivirus lo elimina, ma periodicamente ritorna attivo (con l'antivirus che comunque, almeno apparentemente, lo elimina). Log HJT (post-eliminazione del trojan): Codice:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.01.28, on 25/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\Dell\OpenManage\Client\Iap.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Dell Support Center\bin\sprtsvc.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\stsystra.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Comodo\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programmi\HJT Analyzer\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\cfp.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1193674439673
O16 - DPF: {E856B973-45FD-4559-8F82-EAB539144667} (Dell PC Checkup Installer Control) - http://pccheckup.dellfix.com/it/4/install/gtdownde.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2CAEB5B-FC83-4AC6-A50C-CA786599D585}: NameServer = 212.216.112.112 212.216.172.62
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: Events Log (Event) - Unknown owner - C:\WINDOWS\system32\drivers\csrss.exe (file missing)
O23 - Service: Iap - Dell Inc. - C:\Programmi\Dell\OpenManage\Client\Iap.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programmi\ISO Recorder\ImapiHelper.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Programmi\Dell Support Center\bin\sprtsvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
Per me, i punti critici sono: O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll (non ne conosco la natura) ma soprattutto... O23 - Service: Events Log (Event) - Unknown owner - C:\WINDOWS\system32\drivers\csrss.exe (file missing) che punta al trojan in questione. Forse sbaglio, ma temo che sia stato installato un servizio che all'avvio fa puntualmente lavorare il trojan... altro giro altra corsa. Tra i Services ho infatti questo benedetto "Events Log", unico servizio che ha come connessione non "sevizio di rete" o "sistema locale", bensì l'account con cui sono loggato sul pc. Ora l'ho disabilitato, non so se sarà sufficiente. Mi fate sapere: - se la mia analisi ha un fondo di verità - come eliminare il servizio "Event Log" ammesso sia il colpevole - come evitare in futuro questi problemi visto che non ho mai usato il pc in modo anomalo. - qualsiasi altro consiglio su come risolvere il tutto. Grazie in anticipo!  |
|
|
|
26-12-2007, 10:24
|
#2 (permalink) |
|
Utente
Top Forumer
Data di registrazione: Apr 2007
Ubicazione: Rimini
Messaggi: 504
|
Ciao e benvenuto!
per quanto riguarda il guard32.dll non dovrebbe creare problemi, per sicurezza caricalo su virustotal. Il csrss.exe situato in quella posizione è sicuramente un Trojan e non può essere l'eseguibile di Microsoft Client/Server Runtime Server Subsystem. Fai una scansione con Kaspersky on-line scanner poi salva il risultato come file HTML e caricalo qui infine comunicami il link generato, in questo modo avrò le informazioni necessarie per debellarlo. Ultima modifica di COOLNESS : 26-12-2007 10:38. |
|
|
|
|
26-12-2007, 10:35
|
#3 (permalink) |
|
Moderatore
Top Forumer
Data di registrazione: May 2006
Ubicazione: Perso in sala....
Messaggi: 521
|
Lascio la diagnosi a Coolness (sei in buone mani) e aggiungo solamente un paio di considerazioni sul "come posso evitare che in futuro ...".
Sarebbe utile sapere se il tuo pc e' utilizzato da altri utenti, se ti trovi in una rete (ufficio, casa) se aggiorni costantemente windows e i programmi di protezioni, se periodicamente effettui scansioni antispyware/virus/trojan, quale browser e client di posta utilizzi, se fai login come amministratore.
__________________
Recensioni Film | Persinsala.it Notizie, anteprime, patch sui per PC e console Kiwy Style | Original Site Quellicheisiti | Web Agency |
|
|
|
|
26-12-2007, 17:50
|
#4 (permalink) | |
|
Utente
Membro Junior
Data di registrazione: Dec 2007
Messaggi: 3
|
Quote:
Il mio errore è stato l'ultimo, ossia tenermi loggato come Admin. Mi hai colto in fallo!  Ora vado di Kaspersky on line. Thx |
|
|
|
|
|
26-12-2007, 19:24
|
#5 (permalink) |
|
Utente
Membro Junior
Data di registrazione: Dec 2007
Messaggi: 3
|
ah dimenticavo; se è un'informazione di vostro interesse, uso Firefox e ThunderBird come browser e servizio di posta.
Eccovi il file html dei risultati di kaspersky: kaspersky-results.html Infine, se può servire: - avevo trovato un file %system%/drivers/nwlnkcr.sys di "dubbissima" moralità, contenente account/password di amministrazione del mio pc in chiaro... l'ho backuppato e rimosso da lì. - altri file noto che vengono modificati spesso (es. pure stamane... forse è normale ma meglio chiedere): - %system%/perfh010.dat - %system%/perfh009.dat - %system%/perfc010.dat - %system%/perfc009.dat - %system%/PerfStringBackup.INI [con %system% intendo la %windir%/system32] Grazie dell'assistenza! |
|
|
|
|
27-12-2007, 15:22
|
#6 (permalink) | |
|
Utente
Top Forumer
Data di registrazione: Apr 2007
Ubicazione: Rimini
Messaggi: 504
|
Quote:
Prova così: Disattiva il ripristino configurazione di sistema Apri il registro (start-esegui-regedit) Segui questo percorso: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows poi cerca ed elimina Run = C:\windows\system32\drivers\csrss.exe stessa cosa per queste: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run Chiudi il registro. Eliminare i file dal cestino! Scarica Avenger (dalla mia firma) Estrailo in una cartella a tua scelta Esegui il file avenger.exe Metti il pallino su input script manually Quindi scegli la lente e cliccaci Ora incolla queste righe nella casella bianca che si è aperta: Files to delete: C:\WINDOWS\system32\drivers\csrss.exe Folders to delete: C:\WINDOWS\system32\drivers Riavvia il computer! Scarica (dalla mia firma) Asquared, aggiornalo ed esegui una scansione poi posta il log di Hijackthis e di avenger (lo trovi in c:\avenger) Ultima modifica di COOLNESS : 27-12-2007 15:36. |
|
|
|
|
|
| Strumenti della discussione | |
|
|
