www.MegaLab.it

[zanzibarzaza]

..allora ragazzi forse ci siamo, ho lanciato panda anti rootkit...http://www.MegaLab.it/2714/2 che ha trovato finalmente i file incriminati (allego il report di seguito), infatti gmer nella sezione processes non evidenzia più nessun processo pericoloso evidenziato in rosso.
adesso provo a navigare un po' e poi vi faccio sapere......
grazie ancora per la disponibilità.

------------------------------------------------------------------------------------------

- <REPORT>
- <MALWARE_EVIDENCES>
- <FILE>
<PATH>C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_nav.dat</PATH>
<MD5>4DE3833B7956702B209E5AE9941BD8A7</MD5>
<IS_HIDDEN>1</IS_HIDDEN>
</FILE>
- <FILE>
<PATH>C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_navps.dat</PATH>
<MD5>EAF3EE9379876F34C9AD4914C457EF2A</MD5>
<IS_HIDDEN>1</IS_HIDDEN>
</FILE>
- <FILE>
<PATH>C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.exe</PATH>
<MD5>74668FC94562E8A68221D4FC1DE86FCE</MD5>
<IS_HIDDEN>1</IS_HIDDEN>
- <REGISTRY>
- <REGISTRY_ENTRY>
<KEY>HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEY>
<VALUE>iabwxklgbd</VALUE>
<DATA>c:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.exe iabwxklgbd</DATA>
<IS_HIDDEN>1</IS_HIDDEN>
</REGISTRY_ENTRY>
</REGISTRY>
- <PROCESSES>
- <PROCESS>
<COMMANDLINE>"C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.exe" iabwxklgbd</COMMANDLINE>
<IS_HIDDEN>1</IS_HIDDEN>
</PROCESS>
</PROCESSES>
</FILE>
- <FILE>
<PATH>C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.dat</PATH>
<MD5>3A32B5776196E3574AB467EC3EDC2F47</MD5>
<IS_HIDDEN>1</IS_HIDDEN>
</FILE>
</MALWARE_EVIDENCES>
- <DESINFECTION>
- <REGISTRY>
<ACTION>Delete</ACTION>
<KEY>HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEY>
<VALUE>iabwxklgbd</VALUE>
<DONE>1</DONE>
</REGISTRY>
- <FILE>
<ACTION>Delete</ACTION>
<PATH>C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.dat</PATH>
<DONE>1</DONE>
</FILE>
- <FILE>
<ACTION>Delete</ACTION>
<PATH>C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.exe</PATH>
<DONE>1</DONE>
</FILE>
- <FILE>
<ACTION>Delete</ACTION>
<PATH>C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_navps.dat</PATH>
<DONE>1</DONE>
</FILE>
- <FILE>
<ACTION>Delete</ACTION>
<PATH>C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_nav.dat</PATH>
<DONE>1</DONE>
</FILE>
</DESINFECTION>
</REPORT>

[ste_95]

con avenger immetti questo script:

Files to delete:
C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_nav.dat
C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_navps.dat
C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.dat
C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.exe
C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_navps.dat
C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_nav.dat

Registry values to delete:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | iabwxklgbd
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | iabwxklgbd

postane quindi il log generato al riavvio

[zanzibarzaza]

Ecco il log, ma credo che avenger non trovi più i file xchè già eliminati da panda anti rootkit.
Sembra risolto il caso!!!
grazie ragazzi siete grandi, spero che tutto questo possa servire a chi riscontrera il mio stesso peoblema.

-----------------------------------------------------------------------------------------//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | iabwxklgbd


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | iabwxklgbd


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xpqkmvpr

*******************

Script file located at: \??\C:\emhslbfb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_nav.dat not found!
Deletion of file C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_nav.dat failed!

Could not process line:
C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_nav.dat
Status: 0xc0000034



File C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_navps.dat not found!
Deletion of file C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_navps.dat failed!

Could not process line:
C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_navps.dat
Status: 0xc0000034



File C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.dat not found!
Deletion of file C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.dat failed!

Could not process line:
C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.dat
Status: 0xc0000034



File C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.exe not found!
Deletion of file C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.exe failed!

Could not process line:
C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd.exe
Status: 0xc0000034



File C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_navps.dat not found!
Deletion of file C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_navps.dat failed!

Could not process line:
C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_navps.dat
Status: 0xc0000034



File C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_nav.dat not found!
Deletion of file C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_nav.dat failed!

Could not process line:
C:\documents and settings\davide\impostazioni locali\dati applicazioni\iabwxklgbd_nav.dat
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

[ste_95]

si, i files non ci sono più...tanto per pulizia esegui questo


Registry values to delete:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | iabwxklgbd
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | iabwxklgbd

[zanzibarzaza]

Ancora 2 cosine raga...,se ne avete voglia;

1)- All'inizio di qsta discussione KAP ha scritto:" Dal log di hijackthis si presume che tu sia un devoto alla setta WinMx... a parte qualche file missing che ti inviterei a togliere(non è essenziale, ma è questione di pulizia) il resto del log è pulito.".... come posso fare una bella pulizia? e cosa devo eliminare di preciso?

2)- Sempre all'inizio della discussione IO ho scritto :"Ho provato a fare girare ad-aware e spybot in modalità provvisoria e con ripristino configurazione di sistema disattivato..."
, mi consigliate di riattivare ripristino di sistema o lo lascio disattivato?

come posso in futuro evitare di incappare ancora in questo tipo di problema!!!!! come posso prevenire......

ciao e grazie mille, cosiglio a tutti di farsi un giro in questo forum, per mè eccezionale!!

[ste_95]

probabilmente si riferiva a queste:

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)


Quelle però sono viste missing dal programma,,,è un suo bug...

L'unica che puoi invece togliere è questa:

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

riattiva pure il ripristino, potrebbe sempre tornare utile...

[Andy94]

riattiva pure il ripristino, potrebbe sempre tornare utile...

Talvolta però, alcuni virus si nascondono proprio nelle partizioni del ripristino di sistema....

[ste_95]

si, è che ormai pare essersene andato...