Olimpo Informatico

[Jon Snow]

Son riuscito a far funzionare systemscan ma ora www.freefilehosting.net non mi si apre. Anche un mio amico non riesce a aprirlo quindi è un errore del sito. Aspetto che si rimetta a funzionare e posto qui il tutto.
Ho trovato una discussione di un problema identico al mio qui:

http://www.p2pforum.it/forum/showthread.php?t=55133

L'ho trovata navigando online per vedere se trovavo qualcosa di utile su altri attacchi (short fragments) rilevati dal mio firewall (outpost).
Consigliano di disattivare un'opzione ethernet perchè crea il problema in questione in seguito a un bug.Sul sito di outpost però c'è un consiglio per chi usa emule, infatti ho pensato che il problema di ip spoofing fosse dovuto a quando il mulo si disconnette da un server e tenta di riconnettersi a caso ad altri. In questo modo ho settato il mulo con solo 4 server sicuri che ho reso statici e ho spuntato l'opzione che forza il mulo a connettersi automaticamente solo a server statici.
Questo però non è servito a risolvere il problema. Infatti prima ho avuto il solito irritante problema. Secondo voi se metto un filtro al firewall di outpost per questo tipo di attacchi faccio una cavolata?
In ogni caso appena funziona freefilehosting metto il log per una consultazione.

[Jon Snow]

ecco il file :

report27.txt

[Jon Snow]

Trovato qualcosa di strano nel log? Il problema della caduta di connessione l'ho risolto modificando un'impostazione all'interno del firewall.
Ora non cade piu la connessione quando uso emule.

[Sante62]

Qualcosa ancora c'è...
Utilizza Avenger con questo script:

[bdoriano]

Fai le operazioni indicate da Sante62 e in più:

Clicca Start
Clicca Esegui...
Digita:

[Jon Snow]

Grazie per i preziosi consigli. Mi state insegnando un sacco di cose.
Ho fatto tutto quello che mi avete detto.
Vi posto i log di:

avenger

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 1813


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\uulpuitk

*******************

Script file located at: \??\G:\WINDOWS\System32\dwbmsyff.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at G:\Avenger

*******************

Beginning to process script file:

File G:\DOCUME~1\BARFER~1\IMPOST~1\Temp\355204984.exe deleted successfully.
File G:\DOCUME~1\BARFER~1\IMPOST~1\Temp\1567049772.exe deleted successfully.
File G:\DOCUME~1\BARFER~1\IMPOST~1\Temp\3803434112.exe deleted successfully.
File G:\DOCUME~1\BARFER~1\IMPOST~1\Temp\3142331088.exe deleted successfully.
File G:\DOCUME~1\BARFER~1\IMPOST~1\Temp\3281906244.exe deleted successfully.
File G:\DOCUME~1\BARFER~1\IMPOST~1\Temp\558846612.exe deleted successfully.
File G:\DOCUME~1\BARFER~1\IMPOST~1\Temp\304136884.exe deleted successfully.
File G:\DOCUME~1\BARFER~1\IMPOST~1\Temp\4262288436.exe deleted successfully.
File G:\DOCUME~1\BARFER~1\IMPOST~1\Temp\3655791828.exe deleted successfully.


File G:\WINDOWS\System32\Offlce.exe not found!
Deletion of file G:\WINDOWS\System32\Offlce.exe failed!

Could not process line:
G:\WINDOWS\System32\Offlce.exe
Status: 0xc0000034



File C:\Programmi\File comuni\Services\MRh.exe not found!
Deletion of file C:\Programmi\File comuni\Services\MRh.exe failed!

Could not process line:
C:\Programmi\File comuni\Services\MRh.exe
Status: 0xc0000034

Registry key HKLM\system\currentcontrolset\services\dbustrcm deleted successfully.
Registry key HKLM\system\currentcontrolset\services\SecSjo deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run|OfficeWord Monitors deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Panda Activescan


Incident Status Location

Virus:Trj/Downloader.RSD Disinfected Operating system
Adware:adware/clickalchemy Not disinfected g:\windows\inf\alchem.inf
Adware:adware/twain-tech Not disinfected g:\windows\inf\twaintec.inf
Adware:adware/gator Not disinfected g:\GatorPatch.log
Potentially unwanted tool:application/regclean32 Not disinfected G:\Documents and Settings\Bar Ferraris\Menu Avvio\Programmi\Registry Cleaner
Adware:adware/ncase Not disinfected g:\temp\FLEOK
Adware:adware/downloadware Not disinfected c:\programmi\MediaLoads
Adware:adware/delfinmedia Not disinfected Windows Registry
Spyware:spyware/clipgenie Not disinfected Windows Registry
Adware:adware/powerstrip Not disinfected Windows Registry
Potentially unwanted tool:Application/RegClean32 Not disinfected C:\Programmi\a-squared Free\Quarantine\7d95bc8bce8d1835c3dd5b529ba524c6.a2q[Programmi/registry cleaner trial/regclean.dll]
Potentially unwanted tool:Application/RegClean32 Not disinfected C:\Programmi\a-squared Free\Quarantine\7d95bc8bce8d1835c3dd5b529ba524c6.a2q[Programmi/registry cleaner trial/RegClean.exe]
Virus:Trj/Downloader.RSD Disinfected C:\Programmi\QuickTime\qttask.exe
Adware:Adware/IPInsight Not disinfected C:\WINDOWS\inf\alchem.inf
Adware:Adware/Twain-Tech Not disinfected C:\WINDOWS\inf\twaintec.inf
Virus:Trj/Downloader.RSD Disinfected C:\WINDOWS\Temp\fda.exe
Potentially unwanted tool:Application/NirCmd.A Not disinfected G:\Documents and Settings\Bar Ferraris\Desktop\utility pc\ComboFix.exe[nircmd.exe]
Potentially unwanted tool:Application/NirCmd.A Not disinfected G:\Documents and Settings\Bar Ferraris\Desktop\utility pc\ComboFix.exe[nircmd.cfexe]
Virus:Generic Trojan Disinfected G:\Documents and Settings\Bar Ferraris\Documenti\Davide\cracking\nlrg (crea virus).zip[Nlrg (Crea Virus)/NUKE2.DAT]
Virus:Generic Trojan Disinfected G:\Documents and Settings\Bar Ferraris\Documenti\Davide\cracking\nrlg virusmaker.zip[NUKE2.DAT]
Potentially unwanted tool:Application/NirCmd.A Not disinfected G:\WINDOWS\NirCmd.exe
Virus:Rootkit/Booto.C Disinfected G:\WINDOWS\system32\drivers\hsieegdm.sys
Virus:Rootkit/Booto.C Disinfected G:\WINDOWS\system32\drivers\yitlwvwl.sys


ihbvoxmp.bat

@ECHO OFF
cd %systemdrive%\
type %systemdrive%\avenger\*.reg >> %systemdrive%\backup.reg
del /q %systemdrive%\avenger\*.reg
if exist %systemdrive%\avenger\backup*.zip move /y %systemdrive%\avenger\backup*.zip %systemdrive%\
if exist %systemdrive%\backup.zip move /y %systemdrive%\backup.zip "%systemdrive%\backup-%date:/=.%-%time::=.%.zip"
move /y backup.reg %systemdrive%\avenger\
copy /y avenger.txt %systemdrive%\avenger\
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do if exist %%a:\avenger attrib -r -h -s %%a:\avenger\* /S /D & zip -r -u -m "%systemdrive%\backup.zip" %%a:\avenger\* & rmdir /q /s %%a:\avenger
mkdir %systemdrive%\avenger
move /y backup*.zip %systemdrive%\avenger\
del zip.exe
del avexport.bat
REM del reboot.exe
REM del reboot.bat

echo REGEDIT4 >> rem.reg
echo. >> rem.reg
echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] >> rem.reg


echo "kqajdqmq"=- >> rem.reg
regedit.exe /s rem.reg
del rem.reg
del C:\WINNT\system32\drivers\hsieegdm.sys
start notepad.exe avenger.txt
del "C:\ihbvoxmp.bat"

[Sante62]

OK, utilizza nuovamente avenger con questo script:

[Jon Snow]

Scusate ma son stato lontano da casa per un po' e non ho potuto scrivere. Ho fatto tutto come detto ed ecco i log:

scan con kaspersky:
scanKaspersky1.html

avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mtfrtufy

*******************

Script file located at: \??\G:\WINDOWS\System32\wauctwyf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at G:\Avenger

*******************

Beginning to process script file:

File g:\windows\inf\alchem.inf deleted successfully.
File g:\windows\inf\twaintec.inf deleted successfully.
File g:\GatorPatch.log deleted successfully.


Error: g:\temp\FLEOK is a folder, not a file!
Deletion of file g:\temp\FLEOK failed!

Could not process line:
g:\temp\FLEOK
Status: 0xc00000ba



Error: c:\programmi\MediaLoads is a folder, not a file!
Deletion of file c:\programmi\MediaLoads failed!

Could not process line:
c:\programmi\MediaLoads
Status: 0xc00000ba

File C:\WINDOWS\inf\alchem.inf deleted successfully.
File C:\WINDOWS\inf\twaintec.inf deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[Sante62]

E' rimasto qualche file infetto.
Riutilizza Avenger con questo script:

[Jon Snow]

No non riscontro problemi particolari di sorta. Quindi credo che il peggio sia passato
Grazie ancora. Ho usato avenger come mi hai detto ma non ha cancellato il file zip.
Poi ho usato anche atf cleaner. Quanto spesso mi consigli di usarlo?
Ecco il log di avenger comunque:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\uwcxeilx

*******************

Script file located at: \??\G:\Program Files\upgqmbvf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at G:\Avenger

*******************

Beginning to process script file:

File C:\Documents and Settings\Bar Ferraris\Impostazioni locali\Temporary Internet Files\Content.IE5\O9M7GDEJ\index[1].php deleted successfully.


File G:\RECYCLER\S-1-5-21-2052111302-1085031214-682003330-1003\Dg8.zip not found!
Deletion of file G:\RECYCLER\S-1-5-21-2052111302-1085031214-682003330-1003\Dg8.zip failed!

Could not process line:
G:\RECYCLER\S-1-5-21-2052111302-1085031214-682003330-1003\Dg8.zip
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

[Sante62]

Il file zip si trovava nel cestino e sicuramente è stato eliminato da ATF Cleaner. Per la frequenza d'uso di ATF Cleaner dipende dal tempo trascorso in internet anche ogni settimana.

[Jon Snow]

Ok. Quindi secondo te è tutto risolto??

[Sante62]

Si, se non riscontri altri problemi..

[Jon Snow]

Beh allora grazie.. Spero di non avere più problemi, ma in caso dovesse succedere qualcosa di strano non esiterò a scrivere.. Grazieeeeeeeeee
Ciaoooooooooo