ja.exe; InstantAccess; Service.exe

[paolobari]

Sono infetto del virus ja.exe, che si crea di tanto in tanto su una delle cartelle temp:
C:\Documents and Settings\Administrator\Impostazioni locali\Temp
C:\temp
C:\WINNT\Temp
Quando si crea, e lo fa in tempistiche random, al collegamento via internet con modem, porta dopo qualche minuto alla creazione di file eseguibili sulla cartella:
C:\Documents and Settings\Administrator\Impostazioni locali\Temp
che portano al formarsi di dialer, finora InstantAccess e Service.exe
Impossibile per ora liberarsi di questi, che non sono ancora stati individuati dai vari antivirus:
SUPERAntiSpyware Free Edition
Ad-Aware SE Personal
AVG 7.5
avast! Antivirus
Spybot - Search & Destroy
che ho tutti provato e sono aggiornati.
Ho seguito il consiglio di usare:
HiJackThis_v2.exe
e ho fatto analizzare il contenuto.
I soli valori sospetti:

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\System32\browseui.dll
Neutral

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\System32
\browseui.dll

che però mi sembrano innocui.

Ho anche:

O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
Neutral Da eliminare se non conoscete l'oggetto 'Net2Phone '.
Gli elementi non necessari (disattivati) dovrebbero essere eliminati. Pulsanti sconosciuti o gli elementi nel menù 'Extras' dovrebbero essere eliminati.
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
Neutral Da eliminare se non conoscete l'oggetto 'Net2Phone '.
Gli elementi non necessari (disattivati) dovrebbero essere eliminati. Pulsanti sconosciuti o gli elementi nel menù 'Extras' dovrebbero essere eliminati.
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
Neutral
Gli elementi non necessari (disattivati) dovrebbero essere eliminati. L'elemento è stato identificato come sicuro.

che sembrano sicuri.

Altri consigli?

[Mikele46]

allora se quelle voci non le conosci eliminale...ma perchè non posti l'intero log per instant access e simili cerca in altri topic...se ne parlato molto

[paolobari]

Eccomi di nuovo.
Rettifico alcune inesattezze che ho detto:
- forse il virus ja.exe non ha nulla a che fare con InstantAccess, in quanto poco fa mi si è ricreato, ma a differenza di altre volte non ho trovato il file ja.exe
- vengono creati due file nella cartella C:\Documents and Settings\Administrator\Impostazioni locali\Temp che sono del tipo: 1175938852ejNba.exe e 1175938852.dat
- l'antivirus AVG 7.5 perde tutti gli aggiornamenti, per cui ogni volta devo riscaricare gli aggiornamenti di oltre 5 MB
- le soluzioni ormai mi sembrano 2: o si formatta l'HD, oppure si installa StopDialers, il quale ti avverte se la connessione in corso, nel mio caso Libero, viene chiusa, e in quel caso al volo si stacca il cavo legato alla linea telefonica, per cui InstantAccess tenta invano di collegarsi
P.S. Dal momento che la casistica si è verificata, ho avviato HiJackThis_v2.exe e copio il risultato.
Ringrazio tutti. Paolo.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12.04.40, on 07/04/2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\loadqm.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\System32\internat.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Spybot - Search & Destroy\bak\TeaTimer.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Microsoft Office\Office\1040\msoffice.exe
C:\Documents and Settings\Administrator\Desktop\Paolo\Antivirus\New\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe

--
End of file - 5010 bytes


Ovviamente l'analisi automatica da voi indicata non ha dato esito interessante.

Vi ringrazio di nuovo.

Ho seguito tutti i forum sull'argomento: uso AVG 7.5, Ad-Aware SE Personal, avast! Antivirus, SUPERAntiSpyware Free Edition, CCleaner, Spybot - Search & Destroy, HiJackThis_v2.exe, ATF-Cleaner.exe, FindAWF.exe, jeefogui.com, StopDialer.exe, vedete voi...

[Mikele46]

elimina questi...

O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)

O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)


mentre per instantAccess non ci sono problemi ci sono svariati topic su questo dialer...dai un'occhiata...


inoltre fai bene ad usare Stopdialer...non ti farebbe sicuramente piacere avere una bolletta molto salata...!!!

[paolobari]

Ti ringrazio. Avevo già provveduto ad eliminarli, ma in verità senza che cambiasse nulla. Incredibile come tutti i grandi antivirus non siano ancora in grado di eliminare InstantAccess.
Ora ho provato a seguire le direttive di Symantec ed ho eliminato dal registro di configurazione alcune voci sospette. Sono diversi giorni che non mi ricompare, ma non è detto nulla...
Ti indico le voci segnalate da Symantec:

msclock32.dll.
EGCOMLIB2.DLL
EGDACCESS
EGDHTML_[number].dll
EGDIAL.dll
FunFunFun.lnk

oltre al solito ja.exe

Soprattutto le prime due.

Le ho eliminate da regedit...vediamo se funziona...
Ciao.

[Zen70]

Anche il mio Avira antivirus ha rilevato il ja.exe che ho prontamente provato a spostare in quarantena e l'antivirus mi ha risposto che il file non esisteva....
Comunque era stato rilevato come TR/Dldr.Obfuscatd.BK
Ho verificato in questo momento che Il file è in quarantena.
Forse è stato rimosso ! Forse....