Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

HELP !!! TrojanBackdoor.Win32.Bifrose.la

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

HELP !!! TrojanBackdoor.Win32.Bifrose.la

Messaggioda nerogiallo » dom lug 22, 2007 8:26 pm

TrojanBackdoor.Win32.Bifrose.la


Prove da me eseguite:
disattivazione della funzione di ripristino dei dischi
modalità provvisoria
antivirus avast
Spybot - Search & Destroy **rileva il problema o lo corregge**

AD OGNI RAVVIO DEL PC SI PRESENTA DI NUOVO IL PROBLEMA ANCHE IN MODALITA' PROVVISORIA.

SONO RIUSCITO AD INDIVIDUARE LE DUE CHIAVI DIREGISTRO:

HKEY_USERSS-1-5-21-790525478-179605362-839522115-1003SoftwareBifrost

Bifrose.LA: Impostazioni (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINESOFTWAREBifrost

ELIMINO LE CHIAVI DI REGISTO MANUALMENTE PERCHE' FACCIO PRIMA.

**********************************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.34.26, on 22/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\BitComet\BitComet.exe
C:\Programmi\PeerGuardian2\pg2.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\UTILITa\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programmi\IE7pro\IE7pro.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.7.4.dll
O2 - BHO: classical_music toolbar - {fdae1315-2e4a-40bd-b3fc-1179c8c40fe5} - C:\Programmi\classical_music\tbclas.dll
O3 - Toolbar: classical_music toolbar - {fdae1315-2e4a-40bd-b3fc-1179c8c40fe5} - C:\Programmi\classical_music\tbclas.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IE7pro\IE7pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IE7pro\IE7pro.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2
***********************************************************
Ho provato molti programmi e antivirus diversi ma il risultato non cambia
Ho formattato il pc rinserito i programmi abituali tutto come prima
Leggendo nei vari post stranieri dicono che potrbbe essere Utorrent e programmi simili.
**********************************************************
HELP!!!
QUALCUNO HA NOTIZIE PER RISOLVERE DEFINITIVAMENTE LA SITUAZIONE.
GRAZIE A TUTTI ANTICIPATAMENTE.
Avatar utente
nerogiallo
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: dom lug 22, 2007 8:10 pm

Re: HELP !!! TrojanBackdoor.Win32.Bifrose.la

Messaggioda Amantide » dom lug 22, 2007 10:21 pm

Ciao e benvenuto [:)]
nerogiallo ha scritto:Ho provato molti programmi e antivirus diversi ma il risultato non cambia

Per caso avevi provato anche SuperAntispyware ed A-squared? Sennò, prova a fare la scansione con entrambi dalla modalità provvisoria e facci sapere se ti avranno trovato qualcosa.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda nerogiallo » dom lug 22, 2007 11:15 pm

Ho provato i segunti programmi:
Spyware Terminator
SUPERAntiSpyware Free Edition
Advanced WindowsCare V2 Personal
a-squared Free
stinger
nCleaner
Wise Registry Cleaner
antivirus nod 32
zone allarm
...e altri ancora praticamente tutto quello che c'è di reperibile in rete.

Gli antivirus non rilevano il problema.

Solo programmi del tipo Spybot - Search & Destroy.
Lo eliminano ma come già detto al ravvio riappare.
Avatar utente
nerogiallo
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: dom lug 22, 2007 8:10 pm


Messaggioda Amantide » lun lug 23, 2007 3:07 pm

Scarica ed avvia Systemscan, spunta tutte le voci e clicca su Scan Now. A scansione terminata trova in C:\suspectfile il file report, quello zippato, ed allegalo qui.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda nerogiallo » lun lug 23, 2007 6:09 pm

IE 5.0 was unable to re-install)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Version Vector||IE#4.0$1@1##IE worked unusually. Re-installing IE was rejected, indicating 'The same edition IE was found in system', and could not find IE removal option in 'Add/Remove Program'.Attention: It is suggested to use this function to repair only when your system IE encoutered this problem.


IE 6.0 was unable to re-install)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}||IsInstalled#0$1@0##IE worked unusually. Re-installing IE was rejected, indicating 'The same edition IE was found in system', and could not find IE removal option in 'Add/Remove Program'.Attention: It is suggested to use this function to repair only when your system IE encoutered this problem.


IE window minimization problem)HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Old WorkAreas||OldWorkAreaRects#$2@##Every new opened IE window was in minimization status. Even after clicking ¡®maximize¡¯ button, the IE window size was still minimal when re-opened.


IE window minimization problem)HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main||Window_Placement#$2@##Every new opened IE window was in minimization status. Even after clicking ¡®maximize¡¯ button, the IE window size was still minimal when re-opened.


A message came out after [Windows] start. It is required to click 'OK' to access Windows)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon||LegalNoticeCaption#$2@##A message came out after [Windows] start. It is required to click 'OK' to access Windows


A message came out after [Windows] start. It is required to click 'OK' to access Windows)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon||LegalNoticeText#$2@##A message came out after [Windows] start. It is required to click 'OK' to access Windows


Error 2013 - Disk Is At Or Near Capacity)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters||DiskSpaceThreshold#1024$1@0##By default, Event Viewer may report Event ID 2013 if a partition has 10 percent or less disk space available. Event ID 2013 says the following:The disk is at or near capacity. You may need to delete some files.


STOP 0x0000000A Error Message Caused by Fcascsi.sys Driver)HKEY_LOCAL_MACHINE\SYSTEM\CURRENT_CONTROL_SET\SERVICES\FCA_SCSI\PARAMETERS\DEVICE||MaximumLogicalUnit#8$1@0,NumberOfRequests#64$1@0##STOP 0x0000000A Error Message Caused by Fcascsi.sys Driver


Event 11 caused SNA Server down)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnaServr\Parameters||NOINITCNOS#YES$1@1##When a Local APPC LU / Remote APPC LU partnership is defined in the SNA Server configuration file, SNA Server automatically negotiates the parallel session limit with the remote system when the connection that owns the Remote APPC LU is started. This negotiation occurs over an SNASVCMG mode session between these APPC LUs, using the Change Number of Sessions (CNOS) command as defined by IBM SNA architecture.When a large number of APPC LUs are configured in SNA Server and SNA Server is started, SNA Server builds the SNASVCMG mode BIND messages and CNOS commands for all these LU/LU/mode partnerships and queues them internally until they can be processed. If there are so many partnerships that the internal SNA Server queue becomes exhausted, SNA Server logs the following event in the

Code 19)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}||Upperfilters#$2@Lowerfilters#$2@##The device is not working properly because Windows cannot load the drivers required for this device (Code 19).

Code 37)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}||Upperfilters#$2@Lowerfilters#$2@##The device is not working properly because Windows cannot load the drivers required for this device (Code 37).

Code 31)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}||Upperfilters#$2@Lowerfilters#$2@##The device is not working properly because Windows cannot load the drivers required for this device (Code 31).

Code 39)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}||Upperfilters#$2@Lowerfilters#$2@##The device is not working properly because Windows cannot load the drivers required for this device (Code 39).

SNA Server exception 0xC0000194)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnaBase\Parameters||PoolMutexTimeout#1000$1@0##After ending a user-written SNA Server application that submitted three concurrent TRANSFER_MS_DATA calls to submit an alert to NetView, the SNA Server will fail with Event 624. You will get the following Drwtsn32.log exception error:Application exception occurred:App: snaservr.DBG (pid=223)Exception number: c0000194 (possible deadlock)

Error cmicnfg.cpl)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run||rundll32.exe#$2@,cmicnfg.cpl#$0@##
Error cmicnfg.cpl)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run||rundll32#$2@,cmicnfg.cpl#$0@##
Error cmicnfg.cpl)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run||rundll32.exe#$2@,cmicnfg.cpl#$0@##
Error cmicnfg.cpl)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run||rundll32#$2@,cmicnfg.cpl#$0@##
Avatar utente
nerogiallo
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: dom lug 22, 2007 8:10 pm

Messaggioda nerogiallo » lun lug 23, 2007 6:10 pm

di file zippati non ne ho trovati ma solo il file di testo
Avatar utente
nerogiallo
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: dom lug 22, 2007 8:10 pm

Messaggioda nerogiallo » lun lug 23, 2007 10:01 pm

Chiedo scusa avevo seguito il link senza kliccare dove mi è stato segnalato
pertanto ho scaricato un altro programma ecco il file come da tue istruzioni:
SystemScan - www.suspectfile.com - ver. 3.2.0

by Amantide:
Post ripulito, fare riferimento al file report qui sotto.
Avatar utente
nerogiallo
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: dom lug 22, 2007 8:10 pm

Messaggioda Amantide » mar lug 24, 2007 10:28 pm

nerogiallo ha scritto:di file zippati non ne ho trovati ma solo il file di testo

Scusa, me lo potresti zippare tu ed allegarlo qui come un allegato? perché cos', oltre ad occupare 2 metri di pagina, non viene nemmeno copiato tutto.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

allego file

Messaggioda nerogiallo » mer lug 25, 2007 5:09 pm

allego file come richiesto.
Avatar utente
nerogiallo
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: dom lug 22, 2007 8:10 pm

Messaggioda Amantide » gio lug 26, 2007 1:52 pm

Nel log non si vede nulla di sospetto, direi che si tratta di un falso positivo di Spybot. Mi ricordavo che c'era già un caso simile ma non ne ero sicura se si trattava veramente di Bifrose.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda nerogiallo » gio lug 26, 2007 3:01 pm

Speriamo che sia come dici tu, rimedi al momento non riesco a trovarne. Ringrazio tutti per la collaborazione.

Tratto dal sito Spybot - Search & Destroy


Aggiornamenti 16. maggio 2007
2007-05-16
Keylogger
+ Ardamax ++ KingHomeLogger ++ Keylogger-Pro ++ Realplay.Keylogger ++ SC KeyLog Pro
Malware
++ AntiSpyWare2007 + NetTechnology.Inc + Smitfraud-C.Toolbar888 + Smitfraud-C. + Smitfraud-C.FakeAlert (2) ++ Win32.Small.is ++ Win32.Delf.zw ++ Worldsecurityonline.FakeAlert
PUPS
+ AntiverminsPro
Security
+ Microsoft.WindowsSecurityCenter.FirewallDisabled
Trojan
++ 22ndStreetComputers.PS3_fraud + Banker.PorSMTP ++ Banload.Terra.Scr + Bifrose.LA ++ Bifrost ++ DeepScan.Zet ++ IRC-Bot.troyan + Nurech ++ QQ-Pass ++ WinREG.LowZones + Win32.ConHook.ah ++ Win32.Kardphisher ++ Win32.Small.cyn ++ Win32.Small.ege + Zlob.MovieBox ++ Zlob.VideoAXObject
Total: 388125 fingerprints in 69021 rules for 2929 products.
Avatar utente
nerogiallo
Neo Iscritto
Neo Iscritto
 
Messaggi: 7
Iscritto il: dom lug 22, 2007 8:10 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising