[risolto][WinXP] Infettato da win32 Small-IBP. Aiuto!

[Gle89]

Sono felice che tu sia riuscito a installare il service pack2!

Chi vuol capir, capisca

[kaste]

ho competato tutte le scansioni che mi avete richiesto...
ecco il logfile

Codice:

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.44.13, on 15/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programmi\ASUS\ASUS Live Update\ALU.exe
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
C:\Programmi\Asus\ASUS Hotkey\Hotkey.exe
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Hotkey.lnk = C:\Programmi\Asus\ASUS Hotkey\Hotkey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24642cdfb45eef2aaf16/netzip/RdxIE601_it.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195071091590
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195073076055
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas   www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 8180 bytes

[Gle89]

Ora apri di nuovo HiJackThis con la seconda opzione “do a system scan” e seleziona le voci che ti riporterò qui sotto, mettendo il segno di spunta verde alla sinistra di ogni voce. Alla fine premi “Fix Checked”in fondo e dai la conferma. Chiudi pure HiJackThis.

ecco le voci:

Quote:

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe

per il resto il log è pulito, tu hai ancora problemi? se si quali?

Adesso puoi disinstallare VIRIT se vuoi

Aspetta anche il parere di qualche altro utente

[kaste]

fatto...
io di problemi a dir la verità non ne ho più avuti fin da quando avevo disinstallato avast: nel senso che non mi appariva più niente di "anomalo".
anche perchè da allora non ho fatto altro che installare tutto quello che mi avete detto...non ho più navigato nè utilizzato il pc per altre cose.

ecco ci sono un pò di domande che vorrei farti
tutto quello che ho scaricato ed installato è necessario?
virit ad esempio mi parte ogni volta che accendo il pc ( e se consideri che nelle ultime 24h l'ho riavviato non sò quante volte....)
comodo firewall mi blocca qualsiasi cosa faccio. Visto che con l'update di windows mi ha installato anche il suo firewall è necessario che io lo tenga installato comodo? o comunque c'è un metodo per "limitare" la sua azione di controllo?
oltre all'avir antivir....
a-squad
hjack this
li tengo giusto?

[Gle89]

Quote:

Originariamente inviato da kaste

virit ad esempio mi parte ogni volta che accendo il pc ( e se consideri che nelle ultime 24h l'ho riavviato non sò quante volte....)

come ti ho scritto sopra, puoi disinstallarlo

Quote:

comodo firewall mi blocca qualsiasi cosa faccio. Visto che con l'update di windows mi ha installato anche il suo firewall è necessario che io lo tenga installato comodo? o comunque c'è un metodo per "limitare" la sua azione di controllo?

è sempre meglio tenere un firewall diverso da qll di XP, se tieni comodo puoi disattivare quello di XP, e per le domande sul comodo falle nel thread ufficiale, clicca qui per arrivarci

Quote:

oltre all'avir antivir....

Per Antivir qui trovi la Guida di configurazione per Antivir pubblicata da Juninho, ed altre cose importanti ed interessanti in relazione ad Antivir.

Quote:

a-squad
hjack this
li tengo giusto?

Tieni sia A-sQuared,che CClenaer e almeno una volta a settimana fai le scansioni. HJT ti può servire se vuoi farti controllare il log nel thread ufficiale oppure quando avrai altre infezioni (speriamo di no)

[kaste]

ok
ti ringrazio per il tempo che mi hai dedicato da ieri...non è per niente facile trovare persone cortesi e disponibili ad aiutarti !

[kaste]

un'ultima cosa....avevo disabilitato il ripristino configurazioni di sistema.
posso/devo riattivarlo?
grazie ancora

[Gle89]

Un altra infezione è stata risolta, quindi mod puoi mettere il tag [risolto]

Faccio un riepilogo sull infezione da win32 Small-IBP

Sintomi:

• L'antivirus riconosce l'infezione in C:\WINDOWS\temp\BTS88.tmp che viene eliminata/spostata nel cestino ma poco dopo ricompare con una diversa dicitura ovvero campia il tumero prima di .tmp
  
  
• L'antivirus riconosce l'infezione in c:|windows|system32|sqldwdzm.exeche viene eliminata/spostata nel cestino ma poco dopo ricompare l'avviso.

Procedura di disinfestazione:

• Se lo hai attivo, disabilita il ripristino di configurazione di sistema che dovrà rimanere disabilitato fino alla fine della disinfestazione
  (start – programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).
  
  
• Controllare ed evenutalmente aggiornare il proprio Windows XP al service pack2 oppure il nostro sistema operativo con il servicepack più recente
  
  
• Scaricare e installare CCLEANER: clicca qui per il download
  una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
  ● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
  poi su:
  ● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
  ● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
  ● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per
  eseguire la scansione
  ● sempre nel menu a sinistra, clicca sulla voce Registro, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui
  
  PANDA ANTIROOTKIT: clicca qui per il download
  Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)
  
  ASQUARED FREE: clicca qui per il download
  una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e metti in quarantena tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.
  
  
• alla fine dopo aver riavviato il pc: Scarica HIJACKTHIS: clicca qui per il download.
  Mettilo in una cartella in C: o in C:\Programmi.
  Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note), copialo e incollalo qui tra i tag (code)….(/code) , le parentesi sostituiscile con quelle [] oppure tramite la funzione “gestisci allegati” oppure hostalo tramite www.zshare.net
  

[Nuz]

Ho bisogno che qualcuno mi dia un chiarimento, perchè due cose non mi sono chiare.
1) L'utente Checco900 che ha iniziato la discussione dopo aver individuato il trojan win32 Small-IBP ha detto di aver risolto seguendo questo post.
Mentre l'utente kaste ha seguito un'altra procedura e io sinceramente non sono riuscito a capire perchè e neanche ad individuare quando e con che ha risolto.
2) Poi non capisco perchè si dovrebbe usare panda antirootkit per curare un trojan.
Qualcuno che ha seguito tutta la discussione se mi potesse spiegare gliene sarei grato.

Edit: Per evitare che qualcuno fraintenda quello che ho scritto, preciso ulteriormente che le mie sono richieste a scopo informativo e non polemico, perchè non ho avuto modo di seguire tutta la discussione.

[xcdegasp]

@ Gle89:
io toglierei l'indicazione furviante "con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati" perchè un utente che ci chiede la mano per risolvere un infezione non è un esperto e si domanda giustamente cosa deve allora metetre in quarantena?
che ne sa lui se è una cosa che può o non dovrebbe...

elistarta lo fa senza chiedere e so cavoli dell'utente (almeno in 8 casi su 10), direi pertanto di fargli mettere tutto in quarantena e di mostrarci il log cosicchè si può far rispristinare un oggetto e vedere cosa ha messo in quarantena e per quale motivo