vbrmoj.exe


Rispondi
    Rispondi citando

vbrmoj.exe

Ksomo41 » Dom Mar 22, 2009 6:37 pm

Ciao a tutti! Come mio primo post dopo la presentazione, vi pongo un problema davvero serio! Spero possiate risolverlo senza costringermi a formattare! Premetto: sistema operativo windows xp. So di essere stato davvero poco sveglio, ma ho scaricato un certo file da internet con estensione .exe e l'ho avviato. A detta di avast si trattava di un cavallo di troia, comunque sia appena l'ho avviato mi sono arrivati dei messaggi da avast, com: trovato cavallo di troia, oppure trovato adware. Fortunatamente avast ha bloccato dei processi e quindi questi malware non riescono a comunicare con l'esterno. Il windows firewall mi si e' disattivato e ogni volta che provavo a riattivarlo mi si disattivava di nuovo. Ho fatto una scansione con avast e con spybot che hanno trovato e rimosso dei file dannosi. Pero' il problema del firewall continuava. Cosi' ho guardato i processi in corso e mi sono accorto di due processi che apparivano, poi sparivano e ricomparivano in un'altra posizione. Si chiamano: vbrmoj.exe e lsass.exe. Ho fatto una scansione con Hijackthis e ho scoperto l'ubicazione di questi file (CSmile, c'era anche un altro eseguibile di cui non mi ricordo il nome e un file di configurazione di sistema vuoto. Ho eliminato il file di sistema e l'eseguibile di cui non ricordo il nome. Ho provato a eliminare lsass.exe, ma mi e' comparso questo messaggio:"impossibile eliminare lsass: accesso negato. Controllare che il disco non sia pieno o protetto da scrittura e che il file non sia attualmente in uso.". Sono invece riuscito a eliminare vbrmoj.exe, ma mi e' riapparso dal nulla. Ho provato a fermare i relativi processi dal task manager, ma mi segnala soltanto che si verificano problemi con l'applicazione (vbrmoj) o nel caso di lsass non riesco proprio a terminare il processo. Con hijackthis non ho trovato nessuna chiave di registro relativa a lsass.exe, mentre nonn ho potuto eliminare le chiavi relative a vbrmoj.exe. Ora vi posto il log e vi spiego perché non ho potuto eliminae quelle chiavi.
Qui sotto non ho postato il log completo perché senno' avrei reso questa pagina web lunghissima. Infatti nel vero log ci sono una miriade (saranno piu' di un milione) di chiavi come questa:"O4 - HKLM\..\Run: [21852] C:\vbrmoj.exe", in cui cambia solo il numerino tra le parentesi quadre. Ho rinunciato presto all'idea di cancellare tutte quante le chiavi che hanno vbrmoj.exe in fondo perché in un'ora sono riuscito a cancellarne nemmeno un millesimo di quelle che ci sono. Ora che sto scrivendo avast mi ha segnalato piu' volte di aver bloccato un attacco da un IP, DCOM EXPLOIT, ma l'IP non sono riuscito a vederlo per bene. Spero che possiate aiutarmi. Vi ringrazio in anticipo. ciao!


Logfile of HijackThis v1.99.1
Scan saved at 16.10.40, on 22/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Anti-Dialer\a2service.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Utente\Desktop\COMPUTER\INSTALLATI\SICUREZZA\HijackThis-Sinst\1.99.1\HijackThis.exe
C:\Programmi\CCleaner\CCleaner.exe
C:\WINDOWS\system32\dwwin.exe
c:\lsass.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe" /d=60O4 - HKLM\..\Run: [4927] C:\vbrmoj.exe
O4 - HKLM\..\Run: [21852] C:\vbrmoj.exe
O4 - HKLM\..\Run: [32743] C:\vbrmoj.exe
O4 - HKLM\..\Run: [22241] C:\vbrmoj.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programmi\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: Registration Prince of Persia Spirito Guerriero.LNK = C:\Programmi\Ubisoft\Prince of Persia Spirito Guerriero\Support\Register\RegistrationReminder.exe
O4 - Startup: Registration Prince of Persia T2T.LNK = C:\Programmi\Ubisoft\Prince of Persia T2T\Support\Register\RegistrationReminder.exe
O4 - Startup: Ubisoft register.lnk = C:\Programmi\Ubisoft\Register\schedule.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{94D493B9-C253-4871-A24F-7BC6C18640A3}: NameServer = 213.140.2.12
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Dialer\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe

Ksomo41
User Newbie
User Newbie
 
Messaggi: 26
Registrato: 22/03/09 17:54
    Invia messaggio privato Profilo  

    Rispondi citando

Dylan » Dom Mar 22, 2009 7:02 pm

hai provato a selezionarli tutti e poi fizarli tutti insieme? Think Think Think Think non so cosa sia quella chiave e il toll di hijackthis neanche Think nel frattempo ti consiglio fare una scansione con SUPERAntiSpyware e Virt in modalita provvisoria Think Think e poi lancia pure prevx anche se è pagamento mi ha sempre trovato file infetti che altri antivirus non mi trovano Wink come firewal ti consiglio di passare a zone allarm e al posto di avast di scaricarti avira che versione free è uno dei migliori anche se non puo compere con la la versione premium Laughing

Dylan
Moderatore
Moderatore
 
Messaggi: 661
Registrato: 01/03/08 15:52
    Invia messaggio privato Profilo  

    Rispondi citando

Ksomo41 » Dom Mar 22, 2009 7:12 pm

Purtroppo non si possono selezionare tutte insieme le chiavi di registro! Adesso sono connesso con modem a 56k, per problemi che non riguardano questi virus quindi chiedo se c'e' una soluzione senza dover scaricare altri programmi, se non c'e' faro' come mi hai detto. Comunque grazie mille lo stesso!

Ksomo41
User Newbie
User Newbie
 
Messaggi: 26
Registrato: 22/03/09 17:54
    Invia messaggio privato Profilo  

    Rispondi citando

Dylan » Dom Mar 22, 2009 7:41 pm

allora meglio aspettare a wolf Think Think

Dylan
Moderatore
Moderatore
 
Messaggi: 661
Registrato: 01/03/08 15:52
    Invia messaggio privato Profilo  

    Rispondi citando

Wolf Otakar » Dom Mar 22, 2009 9:55 pm

Ciao Ksomo41,

scansiona con combofix e dai una ripulita con ccleaner.

Allega il log di combofix su http://nopaste.com/ e riporta qui sul forum l'url.

Scarica avenger

Copia/incolla lo script qui sotto, nel riquadro bianco "input script here" di the avenger:

Files to delete:

c:\lsass.exe
C:\vbrmoj.exe


- elimina la spunta su: scan for rootkit "in basso a sinistra"
- premi su execute
- rispondi SI alle richieste
- il pc, dovrebbe riavviarsi
- al riavvio, riporta il log come per quello di combofix


Wink

_________________
Segui WolfOtakar su Twitter Smile

Vacanze in Calabria

Wolf Otakar
Admin
Admin
 
Messaggi: 2842
Registrato: 12/02/07 22:49
Residenza: Regedit
    Invia messaggio privato Profilo  

    Rispondi citando

Ksomo41 » Lun Mar 23, 2009 1:52 pm

Ok, grazie mille! Ci mettero' un po', ma vi faro' sapere!

Ksomo41
User Newbie
User Newbie
 
Messaggi: 26
Registrato: 22/03/09 17:54
    Invia messaggio privato Profilo  

    Rispondi citando

Wolf Otakar » Lun Mar 23, 2009 3:31 pm

Ksomo41 ha scritto:Ok, grazie mille! Ci mettero' un po', ma vi faro' sapere!


Wink

_________________
Segui WolfOtakar su Twitter Smile

Vacanze in Calabria

Wolf Otakar
Admin
Admin
 
Messaggi: 2842
Registrato: 12/02/07 22:49
Residenza: Regedit
    Invia messaggio privato Profilo  

    Rispondi citando

Linkin Mark » Lun Mar 23, 2009 6:22 pm

Ciao Ksomo.
Per navigare più velocemente in internet cambia le impostazioni del tuo browser e fai in modo che le immagini, le applicazioini Java e java-script non vengano visualizzate (tanto non ti servono a niente se hai la connessione 56Kbps).

Dovrebbe essere in Strumenti --> opzioni --> contenuti

Ciao

Linkin Mark
Moderatore
Moderatore
 
Messaggi: 1508
Registrato: 12/06/08 17:47
Residenza: Napoli
    Invia messaggio privato Profilo   MSN

    Rispondi citando

Ksomo41 » Lun Mar 23, 2009 8:52 pm

Innanzitutto grazie a tutti per le risposte! Devo, pero' scusarmi perché ho chiuso combofix senza copiare il log Embarassed, ma ho comunque il log di avenger: http://nopaste.com/p/awCRyz5I3.
Il problema sembra risolto comunque! Adesso in C: ci sono: un documento di testo vuoto chiamato "Bug", uno da 3kb chiamato avenger che e' il log. Poi ci sono due file: uno chiamato "Boot.bak" e "cmldr".
Ho eliminato con ccleaner tutte le chiavi contenenti vbrmoj.exe! Grazie mille ancora!!!!! :p
Ma che tipo di malware era?

Ksomo41
User Newbie
User Newbie
 
Messaggi: 26
Registrato: 22/03/09 17:54
    Invia messaggio privato Profilo  

    Rispondi citando

Wolf Otakar » Lun Mar 23, 2009 9:33 pm

Ciao Ksomo41,

Ksomo41 ha scritto:Innanzitutto grazie a tutti per le risposte! Devo, pero' scusarmi perché ho chiuso combofix senza copiare il log Embarassed


tranquillo...... ne hai una copia in C: "combofix.txt". Wink

_________________
Segui WolfOtakar su Twitter Smile

Vacanze in Calabria

Wolf Otakar
Admin
Admin
 
Messaggi: 2842
Registrato: 12/02/07 22:49
Residenza: Regedit
    Invia messaggio privato Profilo  


Rispondi

HijackThis

Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi