Nuovo Virus:trojan Horse

[$angelique!?]

Disabilita il Ripristino di configurazione su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo questa procedura)

Avvia il sistema in Modalità Provvisoria

CON TUTTE LE APPLICAZIONI CHIUSE....

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\tmp12.tmp.dll

O2 - BHO: (no name) - {f8e9cc21-1ae2-4efc-a0ec-95e8bf682553} - C:\WINDOWS\system32\mdmblr.dll (file missing)

O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://www.mariatv.it/SOPCORE.CAB

O20 - AppInit_DLLs:

O20 - Winlogon Notify: mdmblr - mdmblr.dll (file missing)

torna in modalità normale e posta un nuovo log.

[fragola2]

ecco qua!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 22.53.05, on 06/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programmi\Norton AntiVirus\navapsvc.exe

C:\VEXPLITE\viritsvc.exe

C:\WINDOWS\system32\carpserv.exe

C:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe

C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe

C:\Programmi\File comuni\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe

C:\VEXPLITE\MONLITE.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\File comuni\Nokia\Services\ServiceLayer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Programmi\Messenger\msmsgs.exe

C:\Documents and Settings\Administrator\Documenti\installer\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/oggi/index.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Virgilio Toolbar - {D3403F28-7D39-435F-A8CB-45016C29E48E} - C:\Programmi\Virgilio Toolbar\VirgilioBand.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [DataLayer] C:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe

O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1095687283297

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{300F155B-A0FE-4268-91F0-85B72ABF4FB8}: NameServer = 151.99.0.100

O17 - HKLM\System\CCS\Services\Tcpip\..\{D15C7449-0659-45CE-A239-262A54DF781E}: NameServer = 85.37.17.4 85.38.28.70

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)

O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--

End of file - 6881 bytes

[$angelique!?]

Bene ora il log è pulito.

Rifai una scansione con Virit in modalità provvisoria e poi disinstallalo.

dovresti anche installare un firewall

http://forum.wininizio.it/index.php?s=&amp...st&p=251104

[fragola2]

ci sono tre file infetti!ora devo andare!lo disinstallo virit?

06/05/2007 - 22:50:59

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

06/05/2007 - 23:08:28

[sCANSIONE DEL REGISTRO]

OK

[A:]

BOOT SECTOR: OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

C:\Documents and Settings\Administrator\Impostazioni locali\Temp\backups\backup-20070506-224803-857.dll Infetto da BHO.Agent.EF

C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\TS635KJ3\drf1178439524[1].htm.exe Infetto da Trojan.Win32.Dialer.IT

C:\Programmi\File comuni\Real\Update_OB\realsched.exe Infetto da Trojan.Win32.Agent.AMG

[D:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

[E:]

[F:]

Chiavi Registro infette: 0.

Files Infetti: 3.

Files Sospetti: 0.

Files Analizzati: 27524.

Files Totali: 27524.

[fragola2]

ECCOMI QUA! cosa dice il log?

[$angelique!?]

Buongiorno fragola2,

il log di Hijack era pulito, Virit ha trovato dei virus,

segui questa procedura:

start>esegui>regedit (lo digiti nello spazio)>OK

aperto l'editor del registro, clicchi sul segno + accanto alle seguenti voci espandendole:

HKEY_LOCAL_MACHINE

Software

Microsoft

Windows NT

CurrentVersion

Image file execution options

dopo aver cliccato sul segno + accanto alla suddetta voce, controlla se tra le varie sottovoci è presente

explorer.exe

se presente, clicca su di essa e riporta che cosa trovi scritto sulla parte destra della finestra.

Inoltre controlla anche questa voce:

HKEY_LOCAL_MACHINE

Software

Microsoft

Windows NT

CurrentVersion

winlogon

clicca su du essa e tra le varie voci presenti sulla parte destra, controlla

userinit.exe

indicando quale dicitura è riportata sulla sua destra.

fai anche questo controllo:

* Scarica questo Gromozon Rootkit Removal Tool

- Avvialo con un doppio click

- Clicca su Scan

- Rispondi YES alla richiesta di riavvio

- Dopo il riavvio il tool terminerà la procedura

Posta il log che verrà creato in C:\gromozon_removal.txt

[fragola2]

explorer.exe non c'è...adesso provo l'altro passaggio....

Questo è l'altro!

tipo:REG_SZ

C:\WINDOWS\system32\userinit.exe

gromozon come ieri mi da questo avviso: the trojan.gromozon component was not found on your computer. Do you wish to continue with the removal anyway?

Modificato May 7, 2007 da fragola2

[$angelique!?]

la voce di registro è questa_

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

[fragola2]

si si...l'ho trovata...avevo letto male...però non c'è explorer.exe.

[$angelique!?]

Dunque Instant access non è presente,

Gromozon non è presente,

le chiavi di registro sono a posto.

Abilita l'opzione "Visualizza cartelle e file nascosti" e disattiva nascondi file protetti di sistema. (Pannello di controllo > Opzioni Cartella > Visualizzazione)

dimmi che cosa hai all'interno di questa cartella: c:\windows\tasks\

Fai anche uno scan online Panda e posta il risultato.

(devi usare Internet Explorer)

[fragola2]

ok adesso lo faccio...ma i virus che ha trovato ieri virit?

[fragola2]

All'interno della cartella ho:

AGGIUNGI OPERAZIONE PIANIFICATA

SYMANTEC NETDETECTED

prima di fare la scansione col panda rimetto le cartelle non visibili?

[$angelique!?]

Anche questa cartella ( c:\windows\tasks\) è a posto.

puoi lasciare tutto visibile e fare la scansione...

[fragola2]

ok...allora la faccio e poi posto! :up1:

mi chiede la mail....messa...sta analizzando...mmh la finestra non si vede tutta.....bho...non riesco ad ingrandirla...però sta analizzando...

ho fatto anlalizza:disco fisso...dovevo scegliere tra risorse del computer e altro...

Comunque intanto che ci sono...quando posto i messggi mi si chiude o blocca questo sito.....e ogni tanto esce questa scritta:

IEXPLORE.EXE errore di applicazione.

Listruzione a "0x7c921f52" ha fatto riferimento alla memoria "0x0077002b".

la memoria non poteva essere read.

Modificato May 7, 2007 da fragola2

[fragola2]

aaaaaaaaaaaaaaaaaah!dialer: il pc è infetto!

anche strumenti di hacking e rootkit!

oooooooooooooooh!

raga?

Ho fatto la scansione col panda e mi dice infetto di dialer e strumenti di hacking e rootkit!

Modificato May 7, 2007 da fragola2

[$angelique!?]

Ciao fragola2,

hai salvato il rapporto di Panda???

Ti ha disinfettato qualcosa???

* Scarica ATF Cleaner

- Avvialo con un doppio click

- clicca sul menu main

- seleziona la casella Select All

- clicca sul pulsante Empty selected

- aspetta l'avviso Done Cleaning.

(se non vuoi eliminare le password togli la spunta)

(se usi opera o firefox,spunta anche le loro sezioni)

* Scarica AGVPFix

- Estrai l'archivio

- avvia il file AGVPFix.exe

- clicca su Start

- si aprirà una finestra simile a quella di esplora risorse ,

scorri l'albero fino al file in questione; C:\Programmi\File comuni\Real\Update_OB\realsched.exe

- selezionalo e dai l'ok

elimina questo file

C:\WINDOWS\system32\tmp12.tmp.dll

[fragola2]

ciao Angelique!

allora il primo file l'ho eliminato....il secondo c'è........

per panda la finestra che mi si era aperta non la vedevo intera e non riuscio ad aprirla.....però mi ha dato infetto da dialer e strumenti di hacking il pc.....non l'ho disinfettao perchè costava 12 euro circa.....

cosa dici....faccio una scansione con virit?è quello che mi ha trovato i file infetti.....

Modificato May 8, 2007 da fragola2

[$angelique!?]

Ciao fragola2,

non ho capito se hai eliminato questo:

C:\WINDOWS\system32\tmp12.tmp.dll

dovresti eliminarlo.

poi dopo ATF Cleaner potresti rifare la scansione con Virit.

Per la scansione con Panda non ti è comparsa questa finestra con la dicitura salva rapporto??

[fragola2]

Ciao Angelique.....quel file non riesco a trovarlo, non c'è proprio....e panda mi ha aperto una finestra che non vedevo intera....ne vedevo metà e non potevo ingrandirla. <_< Adesso sto rifacendo la scansione con panda e la finestra sembra ok!

dopo ti posto i risultati. cavolo....5 spyware

Modificato May 8, 2007 da fragola2

[Kuma]

VirIT.

http://www.tgsoft.it/italy/download.htm

Prova a passare anche questo (non richiede installazione)

DrWeb CUREIT

ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

Dopo averlo avviato:

- Controllo dei programmi caricati in memoria (attendere)

- Cliccare su "Options --> File Tipes" ed impostare la scansione per TUTTI i files

- Selezionare il disco (o i dischi) da controllare (verrà apposto un pallino rosso)

- Cliccare sul pulsante START

(durante la scansione si apriranno un paio di finestre pubblicitarie che potete tranquillamente chiudere)

Controlla bene i file che idividua perchè potrebbe andare in contrasto con Virit (cioè segnalarti dei file infetti che invece fanno parte di Virit)

[fragola2]

ah ciao kuma!sto facendo la scansione col panda!ci mette tanto...uffa...comunque ha trovato 5 spyware per ora...........

[Kuma]

ciao ... PANDA gli spyware non li rimuove,,,

prendi nota del percorso e del nome dei file che li eliminiamo manualmente

[fragola2]

ok aspetto che finisce allora......

kuma ecco il rapporto:

Incidente Stato Percorso

Spyware:Cookie/Adtech Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@adtech[2].txt

Spyware:Cookie/Atlas DMT Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@atdmt[1].txt

Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@doubleclick[2].txt

Spyware:Cookie/Statcounter Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@statcounter[1].txt

Spyware:Cookie/Tradedoubler Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@tradedoubler[2].txt

Strumenti indesiderati:Application/Restart Non Disinfettato C:\WINDOWS\system32\Tools\Restart.exe

Poi ho fatto quello cn virit:

VirIT eXplorer Lite Log

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

08/05/2007 - 21:15:25

[sCANSIONE DEL REGISTRO]

OK

[A:]

BOOT SECTOR: OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

[D:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

[E:]

[F:]

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 25537.

Files Totali: 25537.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

come mai i dialer che mi ha segnalato l'altra volta non ci sono più?e perchè non mi segnala gli spyware?

Modificato May 8, 2007 da fragola2

[$angelique!?]

Ciao,

questi sono cookie...nulla di cui preoccuparsi

Spyware:Cookie/Adtech Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@adtech[2].txt

Spyware:Cookie/Atlas DMT Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@atdmt[1].txt

Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@doubleclick[2].txt

Spyware:Cookie/Statcounter Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@statcounter[1].txt

Spyware:Cookie/Tradedoubler Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@tradedoubler[2].txt

per questo file ho una domanda...

C:\WINDOWS\system32\Tools\Restart.exe

avevi installato in precedenza l'antivirus F-secure???

Virit non trova nulla perchè abbiamo eliminato i file infetti.

[fragola2]

Ciao Angelique!cancello i coockie con atf cleaner?

per quanto riguarda C:\WINDOWS\system32\Tools\Restart.exe, non ho installato quell'antivirus...a meno che non me l'avete segnalato voi...non ricordo sai?perchè?

e quel file che non trovo? questo: C:\WINDOWS\system32\tmp12.tmp.dll. cosa devo fare?

comunque dopo le cose che avevamo fatto per togliere i dialer in virit avevo ancora dei residui...adesso non ci sono più..... bè meglio così!

Adesso mi esce anche un mex di windows con scritto "impossibile aprire io sito www.wininizio

ecc...... impossibile aprire la pagina con un pallino rosso con una crocetta bianca!poi faccio ok e dice: impossibile apreire la pagina(però alice è connessa)!aggiorno e va a posto.

aspetto la risposta su cosa fare degli altri!

Modificato May 8, 2007 da fragola2