Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

MALWARE WIN32 DOWNLOADER

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

MALWARE WIN32 DOWNLOADER

Postdi lozissou » 19/09/06 18:04

E' roba di oggi, e non capisco cosa sia e come poter non farlo accadere.

In pratica: AVAST mi riconosce un malware e mi avvisa con la solita cartella sonora in pop-up.

Quello che vien fuori è

Nome file
C:\DOCUME~1\Donati\IMPOST~1\Temp\25267468.exe\[UPX]

Nome malware
Win32:Downloader-AO [Trj]

Tipo malware
Cavallo di troia

versione VPS
0638-0, 19/09/2006


Poi il solito sposta/cancella/rinomina, al che faccio cancella. Opziono cancella definitivamente, e poi mi compare la finestrella di Windows (quella con il cerchio rosso e la x bianca), dicendo "Impossibile eliminare il file C:\DOCUME~1\Donati\IMPOST~1\Temp\25267468.exe\ e bla-bla-bla sul fatto che no riesce a trovare quell'applicazione".

Applicazione che non ho, andando a cercarla. Tutta questa trafila comparirà sistematicamente ogni 5-10 minuti, sia che usi il pc sia che non lo usi, sia che sia connesso o no, e via dicendo.
Che roba è? Come lo elimino? Come risolvo?

Allego, nel caso servisse, responso hijack

Logfile of HijackThis v1.99.1
Scan saved at 19.03.51, on 19/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
c:\windows\dellpack.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Donati\Impostazioni locali\Temp\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\dellpack.exe",
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [AdslTaskBar] "rundll32.exe" stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] "C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Tweak UI] "RUNDLL32.EXE" TWEAKUI.CPL,TweakMeUp
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: updspl.lnk = C:\Programmi\PDF4free\updspl\UpdSpl.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/house ... hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{87340E60-D970-4278-ADDA-327072AE9D3C}: NameServer = 85.37.17.5 85.38.28.77
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
lozissou
Utente Junior
 
Post: 54
Iscritto il: 08/02/06 21:44

Sponsor
 

Postdi andorra24 » 19/09/06 18:23

Ciao, Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua la voce indicata sotto e premi ''kill process'' :

c:\windows\dellpack.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alla voce indicata sotto e dopo aver chiuso il browser e ogni altro programma aperto premi ''fix checked'' :

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\dellpack.exe",

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Scarica killbox da qui: http://www.killbox.net/downloads/KillBox.exe
estrai l'eseguibile sul desktop
apri KillBox
inserisci all'interno della stringa bianca questo percorso
c:\windows\dellpack.exe
metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso.

Scarica ATF Cleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
(per eliminare file temporanei di windows e IE)
Avvia ATF cleaner, clicca sul menu "main" e poi seleziona la casella "Select All". Adesso clicca sul pulsante "Empty selected" e aspetta il messaggio "Done Cleaning!".
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi lozissou » 19/09/06 20:37

Niente da fare. Ho fatto tutto quello che mi hai detto, ma DellPack.exe resta sotto Windows.
Ho provato anche DeleteDoctor ma niente, è ineliminabile.

Come devo fare? Andando forse in modalità provvisoria?
Grazie anche per questa seconda risposta.
lozissou
Utente Junior
 
Post: 54
Iscritto il: 08/02/06 21:44

Postdi andorra24 » 19/09/06 20:50

Prova cosi:

Clicca su start>esegui nella casella digita regedit
Clicca su Ok
Ti si apre il registro di windows,aiutati con i + e portati fino alla chiave segnata in rosso
HKEY_LOCAL_MACHINE <-----Clicca sul + per estendere la chiave
Software <-----Clicca sul + per estendere la chiave
Microsoft <-----Clicca sul + per estendere la chiave
Windows NT <-----Clicca sul + per estendere la chiave
CurrentVersion <-----Clicca sul + per estendere la chiave
Winlogon
Adesso seleziona la cartella in rosso,nel pannello di destra vedrai molti valori.
Seleziona il valore Userinit destro del mouse,seleziona l'opzione "Modifica"
Elimina dalla casella i valori
"c:\windows\dellpack.exe ",
Deve risultarti così:
c:\windows\system32\userinit.exe,
Clicca su Ok
Riavvia il pc e vedi come va.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi lozissou » 19/09/06 21:48

Diobono, sto malware è resistente. Ho fatto come hai detto (stupenda descrizione!), riavvio, e niente DELLPACK.EXE c'è ancora, in attesa (presumo e temo) che ritornino quei pop-up.

Ma lo devo cavare proprio? e come?

Altri problemi:

- ho notato ora nel forum che il LINK OPTIMIZER tra le installazioni/applicazioni è una brutta bestia... bene, io me lo ritrovo puntualmente. Che roba è e come cavarlo anche quello? Seguendo la trafila rimuovi, viene fuori la pagina di internet con, in mezzo, il box UNINSTALL, procedo in quel modo strano?

- che sono i MICROSOFT NET FRAMEWORK. Avevo solo l'1.1, poi mi è stato chiesto il 2.0 (per il programma jfilm) e il 3.0. Possono coesistere tutti e tre o posso disinistallare le vecchie versioni?
lozissou
Utente Junior
 
Post: 54
Iscritto il: 08/02/06 21:44

Postdi andorra24 » 19/09/06 22:09

lozissou ha scritto: - ho notato ora nel forum che il LINK OPTIMIZER tra le installazioni/applicazioni è una brutta bestia... bene, io me lo ritrovo puntualmente. Che roba è e come cavarlo anche quello? Seguendo la trafila rimuovi, viene fuori la pagina di internet con, in mezzo, il box UNINSTALL, procedo in quel modo strano?


Eppure sul tuo log di hijackthis non c'era nessuna traccia del linkoptimizer. Allora stai messo proprio bene!

Scarica il tool:
http://www.prevx.com/gromozon.asp
disattiva momentaneamente l'antivirus, con i programmi e applicazioni chiusi, esegui il tool.
Al riavvio del computer, il programma terminerà la scansione nelle restanti cartelle di windows. Al termine della scansione sarà rilasciato un report in C:\Gromzon_Removal.log.
Posta il report qui sul forum.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi lozissou » 19/09/06 22:19

A dire la verità, ho provato a utilizzare il WIN32-CLEANER di Nod32 e ha eliminaro il DellPack (ma poi, ricontrollando su Userinit, c'era ancora, e ho fatto come prima).

Le due cose (DellPack e Link Optimizer) sono collegate invece? Posso agire cmq con il Gromzon?

Intanto ho disinstallato NET FRAMEWORK 2.0 e 3.0, o è meglio lasciarli tutti e tre o solo alcuni (quali?) ?
lozissou
Utente Junior
 
Post: 54
Iscritto il: 08/02/06 21:44

Postdi andorra24 » 19/09/06 22:27

lozissou ha scritto:A dire la verità, ho provato a utilizzare il WIN32-CLEANER di Nod32 e ha eliminaro il DellPack (ma poi, ricontrollando su Userinit, c'era ancora, e ho fatto come prima).

Le due cose (DellPack e Link Optimizer) sono collegate invece? Posso agire cmq con il Gromzon?

Intanto ho disinstallato NET FRAMEWORK 2.0 e 3.0, o è meglio lasciarli tutti e tre o solo alcuni (quali?) ?

Lancia il tool di rimozione che ti ho linkato per il linkoptimizer. Per il NET framework chiedi in sezione sistemi operativi windows.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi lozissou » 19/09/06 22:34

Questo il solo report che mi ha dato

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS


Trojan.Gromozon does not exist - your system is clean.
lozissou
Utente Junior
 
Post: 54
Iscritto il: 08/02/06 21:44

Postdi andorra24 » 19/09/06 22:46

Mah, dici di avere il linkoptimizer pero' sia il log di hijackthis che il tool di rimozione non ti hanno trovato proprio nulla riguardante il linkoptimizer. Facciamo quest altro controllo:

scarica Gmer :
http://www.suspectfile.com/upload/files/tools/gmer.zip
Dopo averlo scompattato, lo avvii, selezioni "Rootkit"
Clicca su "Scan"
Attendi la fine della scansione e clicca su "Copy"
Apri il block notes di windows, clicca su modifica e seleziona incolla

Poi fai una scansione con GMer dalla posizione ''Autostart'', con le stesse procedure del precedente. Incolla il log generato nel suddetto block notes e poi incolla i due log in un post nel forum.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi lozissou » 19/09/06 23:02

Okay, ho fatto e posto i due log.
Non so perchè, ovviamente, ma ti assicuro che LINK OPTIMIZER tra installaz/applicaz ce l'ho. Speriamo bene ora.


GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-09-19 23:58:30
Windows 5.1.2600 Service Pack 2


---- Files - GMER 1.0.10 ----

File C:\System Volume Information\catalog.wci
File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log

---- EOF - GMER 1.0.10 ----



GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-09-20 00:00:57
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = c:\windows\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon@DLLName = WgaLogon.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
aswUpdSv /*avast! iAVS4 Control Service*/@ = "C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe"
avast! Antivirus /*avast! Antivirus*/@ = "C:\Programmi\Alwil Software\Avast4\ashServ.exe"
CiSvc /*Servizio di indicizzazione*/@ = %SystemRoot%\system32\cisvc.exe
NVSvc /*NVIDIA Driver Helper Service*/@ = %SystemRoot%\system32\nvsvc32.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@ApointC:\Programmi\Apoint2K\Apoint.exe = C:\Programmi\Apoint2K\Apoint.exe
@AGRSMMSGAGRSMMSG.exe = AGRSMMSG.exe
@NvCplDaemon"RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup = "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
@nwiz"nwiz.exe" /install = "nwiz.exe" /install
@CpqsetC:\Programmi\HPQ\Default Settings\cpqset.exe ? ??? ??;????| ???? ??B ? ????B ? ???? = C:\Programmi\HPQ\Default Settings\cpqset.exe ? ??? ??;????| ???? ??B ? ????B ? ????
@AdslTaskBar"rundll32.exe" stmctrl.dll,TaskBar = "rundll32.exe" stmctrl.dll,TaskBar
@HPDJ Taskbar UtilityC:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe = C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
@HP Software Update"C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe" = "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
@DeviceDiscovery"C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" = "C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe"
@avast!C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
@SSC_UserPromptC:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe /*file not found*/ = C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe /*file not found*/
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@NeroCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@eabconfg.cplC:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start /*file not found*/ = C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start /*file not found*/
@QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime
@Tweak UI"RUNDLL32.EXE" TWEAKUI.CPL,TweakMeUp = "RUNDLL32.EXE" TWEAKUI.CPL,TweakMeUp

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@dellpack = "c:\windows\dellpack.exe" /*file not found*/


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{DEE12703-6333-4D4E-8F34-738C4DCC2E04} /*RecordNow! SendToExt*/C:\Programmi\Sonic\RecordNow!\shlext.dll = C:\Programmi\Sonic\RecordNow!\shlext.dll
@{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79307-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\Office10\msohev.dll = C:\Programmi\Microsoft Office\Office10\msohev.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} /*Shell Extensions for RealOne Player*/(null) =
@{DBD8E168-244D-448C-9922-25508950D1DC} /*Ulead UDF Driver*/C:\Programmi\File comuni\Ulead Systems\DVD\USIShex.dll /*file not found*/ = C:\Programmi\File comuni\Ulead Systems\DVD\USIShex.dll /*file not found*/
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/C:\Programmi\Alwil Software\Avast4\ashShell.dll = C:\Programmi\Alwil Software\Avast4\ashShell.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved@{BDEADF00-C265-11d0-BCED-00A0C90AB50F} /*Cartelle Web*/ = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects@{AA58ED58-01DD-4d91-8333-CF10577473F7} = c:\programmi\google\googletoolbar1.dll

HKLM\Software\Microsoft\Internet Explorer\Plugins\Extension\.pdf@Location = C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll /*file not found*/

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://about&#058;blank = http://about&#058;blank
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout:blank = about:blank
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
cdo@CLSID = C:\Programmi\File comuni\Microsoft Shared\Web Folders\PKMCDO.DLL
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = Microsoft Office.lnk

---- EOF - GMER 1.0.10 ----
lozissou
Utente Junior
 
Post: 54
Iscritto il: 08/02/06 21:44

Postdi andorra24 » 19/09/06 23:13

scarica avenger sul desktop
http://www.suspectfile.com/upload/files ... venger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\dellpack

Files to delete:
c:\windows\dellpack.exe


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Una volta riavviato il pc, collegati e posta il contenuto del file C:\Avenger.txt
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi andorra24 » 19/09/06 23:15

andorra24 ha scritto:Fai anche questi importanti controlli:

1) Vai nel Pannello di controllo e vedi se ci sono le voci LinkOptimizer e/o ConnectionServices ma se li vede non toccare nulla.
Nel caso vedessi una di queste voci (oppure entrambe) scarica MyUninstaller da qui:
http://www.nirsoft.net/utils/myuninst.html
con questo programmino potrai disinstallare LinkOptimizer e/o ConnectionServices se sono presenti nel tuo computer.
Apri il programmino (click su myuninst.exe, attendi che vengono elencate le applicazioni presenti, evidenzi Linkoptimizer (e/o ConnectionServices), click con il dx e scegli Delete selected entries.

2) Start>esegui>control userpasswords2 (lo scrivi nello spazio bianco)>OK

Nella finestra Account utente, guarda se hai un'utenza sospetta con nome casuale (oltre le consuete Administrator, Utente, Aspnet), tipo XYZFG. Segnati il nome dell'utenza ed eliminala (click con il destro e scegli elimina);

3) Rendi visibili file e cartelle nascosti:

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema (consigliato)''.

Vai in C:\Documents and Settings, guarda se hai una cartella con lo stesso nome dell'utenza, elimina anch'essa.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi lozissou » 19/09/06 23:22

Sotto in fondo il report di avenger (e, dalla risposta, immagino che ci sia qualcosa che non torno).
Relativamente ai controlli che mi dici di fare, sotto PANNELLO DI CONTROLLO non ci sono nessuna delle due.


Su un altro forum consigliano questa procedura, che mi sai dire?

Il thread in rilievo riporta importanti istruzioni (che tu non hai seguito) per la rimozione di malware. Prima di proseguire (dal momento che mi sono accorto tardi di questo aspetto ed ho già analizzato il tuo log) segui almeno i punti inerenti all'uso di HijackThis ([4]). Assicurati in particolare di posizionare HijackThis in una cartella a lui dedicata in C:\ o C:\Programmi.

Spyware Terminator è un antispyware accusato di rilasciare a sua volta spyware.
Installarlo non è stata dunque una buona idea...

Assicurati di avere Ewido aggiornato.
Scarica SmitFraudfix
Scarica MyUninstaller
Scarica ATFcleaner

Decomprimi SmitFraudfix in una cartella.

Disabilita il ripristino di configurazione:
Risorse del computer => Proprietà => Ripristino configurazione di sistema => Disattiva ripristino configurazione di sistema.

Stampa ciò che segue perché da adesso non potrai usare la connessione:

Entra in modalità provvisoria (tasto F8 subito al riavvio => Modalità provvisoria).

Disinstalla LinkOptimizer (se non riesci da Pannello di controllo/Installazione applicazioni, utilizza MyUnistall).
Disinstalla Spyware Terminator.

Fai una scansione con Ewido.

Avvia HijackThis e fixa queste voci:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {0A65E9CB-CDB5-C15A-DE2C-E33AFF66BA4A} - C:\WINDOWS\jrtii1.dll (file missing)
O2 - BHO: Class - {C852970A-3169-30E7-34CC-F8711A443928} - C:\WINDOWS\jrtii1.dll (file missing)
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"

Abilita la visualizzazione dei file nascosti:
Strumenti => Opzioni cartella => Visualizzazione => Visualizza cartelle e file nascosti.

Cerca ed elimina (se presenti):
- la cartella LinkOptimizer in C:\Programmi\
- la cartella Spyware Terminator in C:\Programmi\
- il file jrtii1.dll in C:\WINDOWS\

Apri la cartella con SmitfraudFix ed avvia Smitfraudfix.cmd.
Premi 2 e dai invio; riceverai questo messaggio: "Registry cleaning - Do you want to clean the registry?".
Conferma ("Y" e invio); conferma eventuali altre domande.

Avvia ATFcleaner e fai pulizia.

Posta il contenuto del file C:\rapport.txt.
Posta un nuovo log di HijackThis.








Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bjntgqvj

*******************

Script file located at: \??\C:\WINDOWS\gallptwm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File c:\windows\dellpack.exe not found!
Deletion of file c:\windows\dellpack.exe failed!

Could not process line:
c:\windows\dellpack.exe
Status: 0xc0000034



Could not get size of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed!
Status: 0xc0000034



Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\dellpack not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\dellpack failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
lozissou
Utente Junior
 
Post: 54
Iscritto il: 08/02/06 21:44

Postdi andorra24 » 19/09/06 23:30

Hai fatto i controlli del punto 2 e 3??
andorra24 ha scritto:
andorra24 ha scritto:Fai anche questi importanti controlli:


2) Start>esegui>control userpasswords2 (lo scrivi nello spazio bianco)>OK

Nella finestra Account utente, guarda se hai un'utenza sospetta con nome casuale (oltre le consuete Administrator, Utente, Aspnet), tipo XYZFG. Segnati il nome dell'utenza ed eliminala (click con il destro e scegli elimina);

3) Rendi visibili file e cartelle nascosti:

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema (consigliato)''.

Vai in C:\Documents and Settings, guarda se hai una cartella con lo stesso nome dell'utenza, elimina anch'essa.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi lozissou » 19/09/06 23:32

1) Vai nel Pannello di controllo e vedi se ci sono le voci LinkOptimizer e/o ConnectionServices ma se li vede non toccare nulla.

Non c'era niente. Ho comunque scaricato ed eseguito Myuninstaller e ho trovato finalmente LinkOptimizer, che ho eliminato.

2) Start>esegui>control userpasswords2 (lo scrivi nello spazio bianco)>OK

Poi ho fatto anche queto ed è venuta fuori un'utenza strana in effetti (BThpaKikN), che ho rimosso ("rimuovi"). In C/Documents and Settings niente con lo stesso nome.

Grazie della premura e pazienza, è tutto finito?
lozissou
Utente Junior
 
Post: 54
Iscritto il: 08/02/06 21:44

Postdi andorra24 » 19/09/06 23:36

OK, direi che abbiamo finito.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi lozissou » 19/09/06 23:40

Uff, che sudata... :-)
In effetti ora tra le installaz/applicaz non c'è più.
Ma che roba era, e come è entrato cacchio?

Grazie ancora. Incredibile però: nessun antivirus o niente lo segnalava?
Anche il DellPack ora non c'è (con quel Nod32), ti reinoltro un log di HiJack o non serve (visto che cmq già non lo indicava prima) ?

Ciao
lozissou
Utente Junior
 
Post: 54
Iscritto il: 08/02/06 21:44

Postdi andorra24 » 19/09/06 23:42

NO, tranquillo, abbiamo concluso, non c'e' altro da fare. Adesso ti consiglio di eliminare la cartella di avenger.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo


Torna a Sicurezza e Privacy


Topic correlati a "MALWARE WIN32 DOWNLOADER":

Aiuto Malware
Autore: Stecco
Forum: Sicurezza e Privacy
Risposte: 24
Aiuto Malware
Autore: Stecco
Forum: Sicurezza e Privacy
Risposte: 0
malware log
Autore: rino86
Forum: Sicurezza e Privacy
Risposte: 7

Chi c’è in linea

Visitano il forum: Nessuno e 10 ospiti