trojan bastardo

[mochette]

anche facendo esegui:taskmgr.exe esce un messaggio che dice:
impossibile trovare il file taskmgr.exe,verificare che il percorso e il nome del file siano corretti eritentare.
per cercare un file fare clic sul pulsante start,quindi scegliere trova.
ma che cazz....

ho fatto una scansione con hijackthis e posto i risultati



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1.00.51, on 03/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programmi\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ASUS\SmartDoctor\SmartDoctor.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Mozilla Firefox2\firefox.exe
C:\Documents and Settings\pierpaolo\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = %s - Crawler.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = Internet Explorer Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = Search Assistant
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Internet Explorer Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = Search Assistant
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programmi\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab3.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...scbase6662.cab
O16 - DPF: {60E33102-59F1-44DA-BA3D-494BB9A80514} (Iphona) - http://www.inps.it/Servizi/ParlaConN...les/IPhona.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1232063656593
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1232070512578
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programmi\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe (file missing)
O23 - Service: PS3 Media Server - Unknown owner - C:\Programmi\PS3 Media Server\win32\service\wrapper.exe (file missing)

--
End of file - 8159 bytes

[Gig]

Allora, questi problemi con Taskmanager ed all'avvio a me non li ha dati, per ora... però ho visto in uno dei tuoi primi post che hai nominato un "trojan donload". Può darsi che sia "downad"? In particolare, "downad.ad"? Se è quello, è un bastardo, e non sono ancora riuscito a debellarlo completamente, ma a "ridimensionarlo" un po' sì:

Ti posso dire che cosa sono riuscito a fare...
- Procurati Sysinternals Process Explorer (Windows Sysinternals: Documentation, downloads and additional resources), una specie di versione avanzata di Task Manager, gratuito (programmetto che consiglio comunque a tutti).
- Procurati un programmetto che se mi ricordo bene si chiama McAfee Rootkit Detective (l'ho trovato in qualche meandro di internet, non sono riuscito a trovare una versione più aggiornata sul sito della McAfee).
- Scarica ed installa la patch suggerita da Microsoft (che trovi linkata sui siti dell'antivirus che parlano di questo downad.ad). Suppongo che dovrebbe poterla tirare giù anche automaticamente da Windows Update.
- Se il tuo antivirus ha identificato il virus, dovrebbe impedirgli di eseguirsi completamente (almeno a me con il TrendMicro fa così), e se vai in Servizi (services.msc), ne dovresti trovare almeno uno in stato "a partire": avrà un nome "sensato" ed una descrizione in italiano. Attenzione però che oltre a quello, esiste la possibilità che anche un servizio "vero" possa risultare in questo stato "da avviare". Allora, quello che è il virus lo riconosci perché se entri nelle proprietà del servizio, ti dice "accesso negato" se provi a cambiare il tipo di avvio da "automatico" a "disabilitato" o "manuale". Una volta identificato il servizio incriminato, devi terminare il processo "svchost" all'interno del quale gira. Per questo utilizza Process Explorer: passando sopra ai vari "svchost" con il mouse, ti compare l'elenco dei servizi presente dentro ognuno di quelli. Trova l'svchost dove gira quel servizio e termina soltanto quello. Aggiornando la pagina della gestione dei Servizi, dovresti non vederlo più in fase di avvio, ma non ti permetterà ancora di disabilitarlo dall'avvio automatico.
- Vai fra gli Accessori -> Utilità di Sistema -> Operazioni pianificate, e controlla che il virus non abbia creato dei suoi propri "Task schedulati" per autolanciarsi: in caso ci fossero, cancellali.
- Fai una scansione con il Rootkit Detective: dovrebbe identificarti le chiavi di registro contaminate dal virus: selezionale (una per una, temo) e poi dai il comando per eliminarle. Poi riavvia il computer
- A questo punto, andando in servizi (services.msc), dovresti finalmente poterlo impostare come "Disabilitato".
- Ripassa l'antivirus che all'inizio ti ha identificato il downad.ad, su tutto il computer, che adesso dovrebbe riuscire a rimuovere i file infetti (in particolare si dovrebbe appoggiare su di una .dll, il cui nome che cambia da computer a computer, come quello del servizio).
- Se vuoi, come ulteriore sicurezza, puoi utilizzare i criteri di gruppo (gpedit.msc) per disattivare l'autorun, visto che il virus sembra che piazzi dei file autorun.inf sulle unità di rete che trova, per autolanciarsi (gpedit.msc -> configurazione computer -> modelli ammnistrativi -> Sistema -> Disattiva riproduzione automatica: impostalo su "Attivata" per "tutte le unità").
A questo punto mi piacerebbe poterti dire che sei in una botte di ferro e che quel bastardo non si presenterà più sul tuo computer... ma invece non posso assicurartelo.

Se qualcuno ha soluzioni certe e definitive, è il benvenuto.

[tHeGoOd]

accidenti, è un trojan coi controca**i!

Ottima guida gig, ad occhio così dovrebbe essere rimosso il virus... poi ovviamente si deve stare attenti a non ribeccarlo!

[mochette]

ho risolto
facendo una ricerca con regseek inserendo la parola taskmgr.exe
ha trovato una cartella annidata nelle chiavi di registro,come l'hò eliminata la task manager è ripartita subito.
comunque seguirò la tua guida per assicurami la massima pulizia,il troyan è proprio downloader ovvero
che scarica altri troyan(figlio di p.......)
saluti

[Gig]

Il worm (tra l'altro è un worm, non un trojan: si propaga da solo, non è di quelli che ti invitano a lanciare un file che ti arriva via email) cui mi riferivo io in particolare si chiama downad.ad (come "download", ma senza il "lo"), conosciuto anche come Conficker.B e Downadup.ad (o .b?)...

Altre info in http://www.trendmicro.com/vinfo/viru...WORM_DOWNAD.AD

[mochette]

="1.0" encoding="utf-8" ?>
- <ESET>
- <LOG>
- <RECORD>
<COLUMN NAME="Log">Scan Log</COLUMN>
</RECORD>
- <RECORD>
<COLUMN NAME="Log">Version of virus signature database: 3911 (20090305)</COLUMN>
</RECORD>
- <RECORD>
<COLUMN NAME="Log">Date: 05/03/2009 Time: 21.19.44</COLUMN>
</RECORD>
- <RECORD>
<COLUMN NAME="Log">Scanned disks, folders and files: C:\Documents and Settings\Desktop\(2009 unreleased ver) keygen security task manager .exe</COLUMN>
</RECORD>
- <RECORD>
<COLUMN NAME="Log">C:\Documents and Settings\Desktop\(2009 unreleased ver) keygen security task manager .exe » CAB » Setup_01.exe » CAB » Setup_00.exe » CAB » WR-1-2~1.EXE - a variant of Win32/TrojanDownloader.Agent.OUB trojan - was a part of the deleted object</COLUMN>
</RECORD>
- <RECORD>
<COLUMN NAME="Log">C:\Documents and Settings\pierpaolo\Desktop\(2009 unreleased ver) keygen security task manager .exe » CAB » Setup_01.exe » CAB » Setup_00.exe » CAB » loader.exe - Win32/TrojanDownloader.FakeAlert.YV trojan - was a part of the deleted object</COLUMN>
</RECORD>
- <RECORD>
<COLUMN NAME="Log">Number of scanned objects: 8</COLUMN>
</RECORD>
- <RECORD>
<COLUMN NAME="Log">Number of threats found: 2</COLUMN>
</RECORD>
- <RECORD>
<COLUMN NAME="Log">Number of cleaned objects: 2</COLUMN>
</RECORD>
- <RECORD>
<COLUMN NAME="Log">Time of completion: 21.19.47 Total scanning time: 3 sec (00:00:03)</COLUMN>
</RECORD>
</LOG>
</ESET>


questo è il log della scansione del file infestato.
si vedono chiaramente i 2 (figli di)trojan incriminati.

[Gig]

Già, allora non hanno niente a che fare con il virus cui mi riferivo io...

Questi sono proprio dei trojan, cioè ti fanno credere di essere dei veri programmi (e magari fanno anche quel che dicono!) per farsi eseguire, e nel momento in cui li lanci, ti fregano...

Infatti quanto si trova un cr*k/k*yg*n, è sempre bene fargli una scansione con un antivirus (o meglio due) prima di aprirlo...

[mochette]

è si l'ho capito a mie spese,da adesso quasiasi tipo di file che scarico prima di aprirlo lo scansiono con
l'antivirus,
questo file keygen l'ho scaricato da emule,ba......rdi
vuol dire che molti sono rimasti preda di questi delinquenti.
non è possibile risalire all'autore??

[Gig]

Giusto un paio di aggiornamenti per quanto riguarda qualcun altro che abbia a che fare con virus simili:
Il "McAfee Rootkit Detective" che avevo nominato prima credo che ora si chiami "Stinger" (ma forse, stranamente, non trovava più questo trojan).
Comunque, forse ho trovato il modo di farne a meno: per quanto riguarda il servizio che non si lascia modificare da services.msc e di cui non è possibile neanche cancellare la relativa chiave di registro da regedit... nel menù "modifica" di regedit è presente un'opzione per variare le autorizzazioni della specifica chiave di registro: dopo aver ridato il controllo a "system" ed agli amministratori, dovrebbe essere possibile cancellare le chiavi di registro relative al virus. Su Windows 2000, mi pare che in regedit l'opzione dei permessi non ci sia, ma lanciando regedt32 si apre un altro editor del registro di Windows, che permette di modificare i permessi sulle chiavi, potendole così poi cancellare.

Lo scrivo in caso possa risultare utile a qualcuno con problemi analoghi....

[parsifal]

Stinger è stinger o meglio...avert stinger da sempre, nella lista dei tools mirati (riconosce solo determinati "virus") della mia guida agli antivirus freeware (anche se non la aggiorno da un pezzo) ci trova posto. Che io sappia non riconosce rootkit.
Cmq in questa pagina ci sono tutti i tools avert compreso stinger e il rootkit detective,