Condividi:        

Problemi con Web browser - Probabile Trojan

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Problemi con Web browser - Probabile Trojan

Postdi Dif » 01/10/08 12:45

Salve a tutti da tre giorni il mio pc ha iniziato a manifestare una serie di problemi.
Ringrazio anticipatamente chiunque mi darà una mano e mi scuso se inavvertitamente ho violato qualche regola.
Di seguito i sintomi manifestati:
1) Entrambi i browser di navigazione ( Explorer e Firefox) manifestano un comportamento anomalo ad ogni attivazione.
La navigazione è lentissima e dopo pochissimo tempo vengono generate delle finestre
che si connettono a siti pubblicitari, generalmente viene effettuata una richiesta di download
di un fantomatico antivirus 2009, a cui seguono aperture di altri siti pubblicitari.
Ho disinstallato Firefox e ho attivato CCLeaner per fare pulizia di cookie e mettere a posto i registri,
ma explorer continua a manifestare i medesimi problemi.
2) XsoftSpy, SuperAntiSpyware e Stinger non mi trovano nulla.
3) Una volta attivato Hijackthis e tentato di effettuare l'operazione fix checked sulle voci di registro
non accade nulla.
4) Nella voce installazione applicazioni c'è un programma che non sono in grado di rimuovere .
Il programma ha l'icona di una applicazione da installare ed è titolato "The best offers".
Una volta che cerco di rimuoverlo apre una finestra del browser predefinito aprendo un docucumento html
"c:\windows\boncpar.htm" all'interno del quale c'è un link per la disinstallazione:
"www.bestooffersnetwork.com/uninstall".
Il link non funziona e la pagina non viene caricata.
5) Fra i programmi installati c'è un certo "exsplorer" con icona analoga a quella di internet explorer.
6) Il sistema operativo non effettua più aggiornamenti e se tento di farli ricevo come messaggio
o "Versione sistema operativo non supportato" o "lingua non compatibile".
7) Il task manager non parte più.
8 ) Fra i processi caricati ci sono istanze differenti di alcuni processi di Windows, ad esempio

services.exe
SERVICES.exe
SERVICES.exe

L'impressione è che almeno un paio siano qualcosa di diverso.
Questo anche per altri processi come è visibile dal log.


Questo è il log di Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 9.04.10, on 30/09/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Programmi\Borland\InterBase\bin\ibguard.exe
C:\windows\wnhelp2.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Trust\Mouse 14914\lsmouse.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\Programmi\Borland\InterBase\bin\ibserver.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\Security\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up -
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File
comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Wind0ws Sharing] ssprotecter.exe
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [c:\windows\wnhelp2.exe] c:\windows\wnhelp2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MEDIAMOUSE] C:\Programmi\Trust\Mouse 14914\lsmouse.exe
O4 - HKLM\..\Run: [BMdffa5655] Rundll32.exe "C:\WINDOWS\System32\fecamiqr.dll",s
O4 - HKLM\..\Run: [dcc965c9] rundll32.exe "C:\WINDOWS\System32\aghjiuem.dll",b
O4 - HKLM\..\RunServices: [Wind0ws Sharing] ssprotecter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RealPlayer] "C:\Programmi\Real\RealPlayer\realplay.exe"
/RunUPGToolCommandReBoot
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org
2.1\program\quickstart.exe
O8 - Extra context menu item: Add to Windows &Live Favorites -
http://favorites.live.com/quickadd.aspx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: sycypa.dll rvrawr.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation
- C:\Programmi\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation -
C:\Programmi\Borland\InterBase\bin\ibserver.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. -
C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner -
C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe
Dif
Utente Junior
 
Post: 10
Iscritto il: 01/10/08 11:13

Sponsor
 

Re: Problemi con Web browser - Probabile Trojan

Postdi SkunkWorks 68 » 01/10/08 13:24

Aspettiamo Luke 57 o qualche altro con la bacchetta magica...
Al giorno d'oggi è IMPOSSIBILE resistere in rete con un XP che non disponga almeno del SP 2-requisito di base assoluto...e saresti già a rischio(siamo ormai al SP 3...).Tu hai un XP liscio.
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Re: Problemi con Web browser - Probabile Trojan

Postdi SkunkWorks 68 » 01/10/08 13:35

Altra curiosità mia...che antivirus utilizzi ?
Non mi sembra di vederne dalla lista dei processi attivi...
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Re: Problemi con Web browser - Probabile Trojan

Postdi Luke57 » 01/10/08 14:05

Ciao, scarica sdfix da qui:
http://downloads.andymanchesta.com/Remo ... /SDFix.exe
Una volta scaricato,doppio click su SDFix.exe per lanciare l'installazione
Cliccate su Install (verrà creata una cartella alla radice dell'HD dal nome SDFix)

scarica combofix da qui:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Chiudi programmi e applicazioni, disconnesso da internet apri hijackthis
premi "do a system scan only", cerca e spunta le voci seguenti:
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [Wind0ws Sharing] ssprotecter.exe
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [c:\windows\wnhelp2.exe] c:\windows\wnhelp2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MEDIAMOUSE] C:\Programmi\Trust\Mouse 14914\lsmouse.exe
O4 - HKLM\..\Run: [BMdffa5655] Rundll32.exe "C:\WINDOWS\System32\fecamiqr.dll",s
O4 - HKLM\..\Run: [dcc965c9] rundll32.exe "C:\WINDOWS\System32\aghjiuem.dll",b
O4 - HKLM\..\RunServices: [Wind0ws Sharing] ssprotecter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RealPlayer] "C:\Programmi\Real\RealPlayer\realplay.exe"
/RunUPGToolCommandReBoot
O20 - AppInit_DLLs: sycypa.dll rvrawr.dll

premi fix checked

Riavvia il sistema in modalità provvisoria (se non sai come fare, vedi sotto)
http://www.upyou.it/smartfaq+faq.faqid+3.htm

# Una volta in modalità provvisoria; apri la cartella Sdfix, fate un doppio click sul file RunThis.bat
# selezionate Y
# premete il tasto ENTER della vostra tastiera per lanciare la pulizia.
Pazientate qualche attimo e il tool vi chiederà di premere un tasto per riavviare.
Al riavvio SDFix porterà a termine la procedura e visualizzerà un messaggio nel quale indica la fine della pulizia e l'opzione per visualizzare il log.

Riavvia in modalità normale:
,doppio click su Combofix.exe
Si aprirà una finestra blu....Attendere....
Dopo qualche attimo apparirà l'avviso che declina l'autore da ogni problema legato ad una errata utilizzazione del tool.
A questo punto selezionate 1 quindi ENTER per lanciare lo scan..
Attendere.....
Un avviso vi segnalerà la fine dell'operazione e dopo qualche attimo apparirà il log con i dettagli dello scan.
IL log verrà memorizzato in C:\Combofix.txt

Posta o allega i due report (sdfix e combofix)
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Problemi con Web browser - Probabile Trojan

Postdi Dif » 01/10/08 19:43

Ciao, intanto grazie mille per le risposte repentine.
Essendo al lavoro oggi pomeriggio non sono riuscita a fare le prove subito.
Come antivirus uso nod32.

Ho provato a seguire i consigli ma si sono verificati i seguenti problemi.

1) Per quante volte io faccia "fix checked" in modalità normale e provvisoria le seguenti chiavi rimangono ad uno
scan successivo.
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [BMdffa5655] Rundll32.exe "C:\WINDOWS\System32\fecamiqr.dll",s
O4 - HKLM\..\Run: [dcc965c9] rundll32.exe "C:\WINDOWS\System32\aghjiuem.dll",b

Il nuovo log di hijackthis è dunque uguale al precedente con 12 delle 17 voci eliminate.

Ho installato SDFix correttamente.
Ma:
2) Non sono in grado di mandare in esecuzione Runthis.bat nè da modalità provvisoria nè da modalità normale.
Il messaggio d'errore che appare è il seguente:
"Impossibile trovare il file c:\SDFIX\RunThis.bat". Verificare che il percorso e il nome del file siano corretti e ritentare.
Per cercare un file fare click sul pulsante Start, quindi scegliere Trova."
Ho provato e il file viene trovato correttamente nella directory SDFix.
La cosa mi ha insospettito e ho scoperto che il prompt di ms-dos non è più attivabile. Nel senso che provando ad attivarlo non succede nulla. Probabilmente il motivo è quello.

Grazie ancora per i suggerimenti, purtroppo per i due motivi di sopra non sono in grado di produrre i log richiesti.
Dif
Utente Junior
 
Post: 10
Iscritto il: 01/10/08 11:13

Re: Problemi con Web browser - Probabile Trojan

Postdi Luke57 » 01/10/08 20:41

Ciao, utilizza combofix allora e posta il suo report (C:\Combofix.txt)
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Problemi con Web browser - Probabile Trojan

Postdi Dif » 01/10/08 21:48

Purtroppo Combofix non sembra andare nè in modalità provvisoria nè normalmente.
Quello che succede quando provo a lanciarlo è che appare un form con una progress bar, terminata la quale non accade assolutamente nulla e non viene generato alcun file Combofix.txt.
Temo che il problema sia analogo a quello di SdFix e che entrambi non vadano perchè c'è qualche problema in MS-DOS. :(
Dif
Utente Junior
 
Post: 10
Iscritto il: 01/10/08 11:13

Re: Problemi con Web browser - Probabile Trojan

Postdi Luke57 » 02/10/08 08:15

Ciao, allora proviamo manualmente:
da start>esegui>regedit (lo digiti nello spazio)>OK
Aperto l'editor del registro, cliccando sul segno + accanto alle singole voci segui questo percorso:
HKEY_ LOCAL_ MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
click su Winlogon, tra le varie voci sulla destra, individui Shell, doppio click su di essa, si apre una finestra "Modifica stringa", nello spazio "Dati valore" cancelli la dicitura
C:\WINDOWS\SERVICES.EXE
lasciando intatta la dicitura
exlorer.exe
premi ok e chiudi la finestra "modifica stringa".
Poi vai alla voce Userinit
doppio click su di essa, si apre una finestra "Modifica stringa", nello spazio "Dati valore" cancelli la dicitura
,C:\WINDOWS\SERVICES.EXE (virgola compresa)
lasciando intatta la dicitura
C:\WINDOWS\SYSTEM32\Userinit.exe,(virgola compresa)
N.B. mi raccomando non cancellare la dicitura userinit.exe altrimenti il computer non sarà in grado di riavviarsi.

premi ok e chiudi la finestra "modifica stringa".

Chiudi il registro

Poi, scarica Avenger
http://swandog46.geekstogo.com/avenger.zip

scompatti il file avenger.exe sul desktop, disconnettiti da internet, chiudi applicazkioni e programmi, avvii avenger.exe
Copi e incolli nella finestra: "Input script here" il testo in neretto così come lo vedi scritto:

files to delete:
C:\WINDOWS\SERVICES.EXE
c:\windows\wnhelp2.exe
C:\WINDOWS\System32\fecamiqr.dll
C:\WINDOWS\System32\aghjiuem.dll

Registry values to delete:
HKEY_ LOCAL_ MACHINE/Software/Microsoft/Windows/CurrentVersion/Run | BMdffa5655
HKEY_ LOCAL_ MACHINE/Software/Microsoft/Windows/CurrentVersion/Run | dcc965c9




Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

posta il log di avenger che trovi in c:\

Inoltre riprova a utilizzare combofix, al limite eliminando la versione scaricata e installandone un'altra.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Problemi con Web browser - Probabile Trojan

Postdi Dif » 02/10/08 13:01

Intanto grazie mille per la pazienza e per l’aiuto.

Ho eliminato manualmente le chiavi da regedit.
Poi ho installato Avenger e ho provato a mandare in esecuzione lo script, ma mi trovo di fronte al seguente comportamento.
Premendo "execute" esce una finestra con la scritta:


Error: Invalid registry syntax in command:
"HKEY_ LOCAL_
MACHINE/Software/Microsoft/Windows/CurrentVersion/Run|BMdffa5655"
Only registry keys under the HKEY_ LOCAL_ MACHINE hive are accessible
to this program.
Skipping line. (Registry value deletion mode)

Cliccando ok esce una nuova finestra con scritto:

Press ok to continue script execution or Cancel to abort.

Cliccando ok esce la finestra:

Error: Invalid registry syntax in command:
"HKEY_ LOCAL_ MACHINE/Software/Microsoft/Windows/CurrentVersion/Run|dcc965c9"
Only registry keys under the HKEY_ LOCAL_ MACHINE hive are accessible
to this program.
Skipping line. (Registry value deletion mode)

Cliccando ok esce la finestra:

First step completed --- The Avanger has been successfully set up to
run on next boot. Reboot now?

Clicchi ok e comincia il reboot, ma poi lo schermo diventa azzurro segnalando un errore riguardo al file "viaagp1.sys".

Vado in modalità provvisoria e compare la seguente finestra:

Impossibile trovare il file "C:\WINDOWS\SERVICES.EXE", controllare che
il nome del file sia corretto...

Poi parte la modalità provvisoria e ho salvato il log file di Hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 12.18.28, on 02/10/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Security\hijackthis\HijackThis.exe

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File
comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [dcc965c9] rundll32.exe "C:\WINDOWS\System32\boslckpy.dll",b
O4 - HKLM\..\RunOnce: [Cleanup] C:\cleanup.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org
2.1\program\quickstart.exe
O8 - Extra context menu item: Add to Windows &Live Favorites -
http://favorites.live.com/quickadd.aspx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. -
C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner -
C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe

Il log di avanger è il seguente:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600)
Fri Oct 02 10:18:40 2009












//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600)
Fri Oct 02 10:19:29 2009















http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Error: Script file not found!

--> the object does not exist

Abort!



//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600)
Fri Oct 02 12:12:11 2009











//////////////////////////////////////////



http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.



*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!





--> the object does not exist





--> the object does not exist





--> the object does not exist





--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



Ora ogni volta che avvio, sia in modalità normale che provvisoria appare un messaggio che segnala il mancato ritrovamento del file SERVICES.EXE (come riportato sopra).
Combofix continua a non andare.
:(
Dif
Utente Junior
 
Post: 10
Iscritto il: 01/10/08 11:13

Re: Problemi con Web browser - Probabile Trojan

Postdi Luke57 » 02/10/08 14:44

Ciao, ma che bestiaccia hai nel computer? :o
Ripeti la procedura manuale sulle voci di registro.
Poi lancia avenger, ma inserisci solamente questo script:

Files to delete:
C:\WINDOWS\SERVICES.EXE
c:\windows\wnhelp2.exe
C:\WINDOWS\System32\fecamiqr.dll
C:\WINDOWS\System32\aghjiuem.dll


Al riavvio, esegui nuovamente hiajckthis e prova a lanciare combofix.

Posta i report che riesci ad ottenere.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Problemi con Web browser - Probabile Trojan

Postdi Dif » 02/10/08 17:59

Ciao, allora:

Ho rieseguito le operazioni sui registri ed effettivamente le due voci sono state cancellate.
Ho mandato in esecuzione Avenger e fino al reboot è andato tutto correttamente, nel senso che ha detto che lo script era stato schedulato correttamente.
Al riavvio, però è apparsa la solita schermata blu che diceva:

“Si è verificato un problema e Windows è stato arrestato per impedire danni al computer.
Il problema sembra essere causato dal seguente file viaagp1.sys.
PAGE_FAULT_IN_NONPAGED_AREA.
[…]
*** stop: 0x00000050 (0xF9CCE404,0x00000000, 0xF9CCE404,0x00000000)
*** viaagp1.sys – ADDRESS F9CCE404 base at F9CCA000, DATESTAMP 00000000)”


Al che era possible avviare solamente in modalità provvisoria.
Ho riavviato in modalità provvisoria e ho salvato il log di avenger, che riporto di seguito:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600)
Fri Oct 02 10:18:40 2009

10:18:30: Error: Invalid registry syntax in command:
"HKEY_ LOCAL_ MACHINE/Software/Microsoft/Windows/CurrentVersion/Run|BMdffa5655"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)
10:18:37: Error: Invalid registry syntax in command:
"HKEY_ LOCAL_ MACHINE/Software/Microsoft/Windows/CurrentVersion/Run|dcc965c9"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)
10:18:40: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600)
Fri Oct 02 10:19:29 2009

10:19:24: Error: Invalid registry syntax in command:
"HKEY_ LOCAL_ MACHINE/Software/Microsoft/Windows/CurrentVersion/Run|BMdffa5655"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)
10:19:28: Error: Invalid registry syntax in command:
"HKEY_ LOCAL_ MACHINE/Software/Microsoft/Windows/CurrentVersion/Run|dcc965c9"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)





Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Error: Script file not found!
Could not open script file! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Abort!



//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600)
Fri Oct 02 12:12:11 2009

12:09:42: Error: Invalid registry syntax in command:
"HKEY_ LOCAL_ MACHINE/Software/Microsoft/Windows/CurrentVersion/Run|BMdffa5655"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)
12:10:59: Error: Invalid registry syntax in command:
"HKEY_ LOCAL_ MACHINE/Software/Microsoft/Windows/CurrentVersion/Run|dcc965c9"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\SERVICES.EXE" not found!
Deletion of file "C:\WINDOWS\SERVICES.EXE" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\wnhelp2.exe" not found!
Deletion of file "c:\windows\wnhelp2.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\fecamiqr.dll" not found!
Deletion of file "C:\WINDOWS\System32\fecamiqr.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\aghjiuem.dll" not found!
Deletion of file "C:\WINDOWS\System32\aghjiuem.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Error: Script file not found!
Could not open script file! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Abort!


Sempre da modalità provvisoria ho mandato in esecuzione hijackthis e questo è il log:

Logfile of HijackThis v1.99.1
Scan saved at 18.56.54, on 02/10/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Security\hijackthis\HijackThis.exe

F2 - REG:system.ini: Shell=explorer.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [BMdffa5655] Rundll32.exe "C:\WINDOWS\System32\aufcdchv.dll",s
O4 - HKLM\..\Run: [dcc965c9] rundll32.exe "C:\WINDOWS\System32\uudonyqf.dll",b
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe


Poi ho riavviato windows normalmente, non ho ricevuto messaggi d’errore (a differenza di quanto successo questa mattina in cui windows diceva di non trovare SERVICES.EXE) e ho effettuato una nuova scansione con hijackthis che ha prodotto il seguente log:

Logfile of HijackThis v1.99.1
Scan saved at 19.03.21, on 02/10/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\WINDOWS\System32\devldr32.exe
C:\Security\hijackthis\HijackThis.exe

F2 - REG:system.ini: Shell=explorer.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [dcc965c9] rundll32.exe "C:\WINDOWS\System32\uudonyqf.dll",b
O4 - HKLM\..\Run: [BMdffa5655] Rundll32.exe "C:\WINDOWS\System32\aufcdchv.dll",s
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe


Ho provato combofix sia in modalità provvisoria che normalmente, ma continua ad avere il solito atteggiamento, ovvero si ferma dopo aver completato la progress bar. Ho controllato su tutto il sistema e non c’è traccia di ComboFix.txt.
Aiutooo!!!!
:cry:
Dif
Utente Junior
 
Post: 10
Iscritto il: 01/10/08 11:13

Re: Problemi con Web browser - Probabile Trojan

Postdi Luke57 » 03/10/08 08:32

Ciao, intanto scarica questa versione più rcente di hiajckthis.
http://www.trendsecure.com/portal/en-US ... ckThis.exe

Poi sarica e installa malarebytes da qui:
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.

clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare per completare il processo di pulizia, acconsenti .
Posta il rapporto della scansione.

Uitlizza il nuovo hijackthis e posta un nuovo log.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Problemi con Web browser - Probabile Trojan

Postdi Dif » 04/10/08 12:44

Allora.
1) Ho scaricato Hijackthis e fatto una scansione.
Il risultato è il seguente.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.27.30, on 04/10/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\rundll32.exe
C:\Security\nuoHijack\HiJackThis.exe

F2 - REG:system.ini: Shell=explorer.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [dcc965c9] rundll32.exe "C:\WINDOWS\System32\ltbqignv.dll",b
O4 - HKLM\..\Run: [BMdffa5655] Rundll32.exe "C:\WINDOWS\System32\dmjhcibs.dll",s
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] doskeys.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe

--
End of file - 3125 bytes

Poi ho scaricato Malwarebytes, ma per qualche motivo non è in grado di effettuare gli aggiornamenti da nessuno dei due collegamenti.(Ho fatto la prova sull’altro PC di casa ed e lì l’aggiornamento è immediato). Probabilmente qualcosa legato ai problemi che crea il Trojan… che ora sembra avere un nome! Ma non voglio anticipare troppo…
Ho comunque effettuato lo scansionamento del pc.
Al termine del quale (un’ora circa) l’applicazione ha identificato 72 problemi da correggere, alcuni dei quali, (6-7, credo quelli legati alle chiavi di registro) non è stato in grado di risolvere, ma ha richiesto un riavvio.
Riavvio che ha prodotto il solito comportamento di qualche post sopra…
Schermo azzurro e problema al file viaagp1.sys.
Ho riavviato in modalità provvisoria e salvato il log dell’applicazione che posto di seguito.


Malwarebytes' Anti-Malware 1.28
Versione del database: 1134
Windows 5.1.2600

04/10/2009 13.15.27
mbam-log-2009-10-04 (13-15-27).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 162072
Tempo trascorso: 1 hour(s), 6 minute(s), 52 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 5
Chiavi di registro infette: 18
Valori di registro infetti: 3
Elementi dato del registro infetti: 2
Cartelle infette: 1
File infetti: 58

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\uqpfxjux.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\jkkHApmn.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\iwnwas.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\efcYPjHW.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\bpiraqml.dll (Trojan.Vundo.H) -> Delete on reboot.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f5079233-08bd-445d-9314-b33911d20b5e} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{eda227bf-f85a-4159-9a35-cd6d3860b17c} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2d425b2-3452-427a-96be-b3cd66620205} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1d6f52ff-12ec-46a8-b57f-a320ce182c69} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0e78a695-0fe3-4a73-bb22-476fd827f899} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01cf14d2-0fe3-4a73-bb22-476fd827f899} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhapmn (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f5079233-08bd-445d-9314-b33911d20b5e} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{eda227bf-f85a-4159-9a35-cd6d3860b17c} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c2d425b2-3452-427a-96be-b3cd66620205} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{1d6f52ff-12ec-46a8-b57f-a320ce182c69} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e78a695-0fe3-4a73-bb22-476fd827f899} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{01cf14d2-0fe3-4a73-bb22-476fd827f899} (Trojan.BHO.H) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dcc965c9 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmdffa5655 (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{c2d425b2-3452-427a-96be-b3cd66620205} (Trojan.Vundo.H) -> Delete on reboot.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\efcypjhw -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\efcypjhw -> Delete on reboot.

Cartelle infette:
C:\Programmi\Antivirus 2009 (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

File infetti:
C:\cleanup.bat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yinobhwb.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xujxfpqu.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wumkekop.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vuiitsva.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vafuarpl.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uqpfxjux.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tsmbswwr.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sycypa.dll (Trojan.BHO.H) -> Delete on reboot.
C:\WINDOWS\system32\ssfbufkn.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\siuxnqtk.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rwwsbmst.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqRKBUlK.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqRIaBTk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\queemqoe.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pratswcc.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pokekmuw.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nrislyms.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\nkfubfss.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ngjmwopm.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mpowmjgn.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lpraufav.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ktqnxuis.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jkkIYrRk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jkkHApmn.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\iwnwas.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\iwblcwmf.dll (Trojan.BHO.H) -> Delete on reboot.
C:\WINDOWS\system32\fcceowmd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eoqmeeuq.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\efcYPjHW.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ccwstarp.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bwhboniy.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bpiraqml.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\avstiiuv.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WHjPYcfe.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WHjPYcfe.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\msnupdater.cmd (Worm.Zhelatin) -> Quarantined and deleted successfully.
C:\WINDOWS\BMdffa5655.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMdffa5655.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP603\A0080945.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP603\A0080931.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP603\A0080916.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP603\A0080915.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP603\A0080914.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP603\A0080913.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP603\A0080912.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP603\A0080911.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP602\A0078787.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP602\A0078769.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP602\A0076704.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP602\A0076703.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP602\A0076702.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP602\A0076701.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3FA38528-8DEA-43CA-B520-FE48BC98EDA8}\RP602\A0075609.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Programmi\Antivirus 2009\av2009.exe (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Documents and Settings\Barbara\Impostazioni locali\Temporary Internet Files\Content.IE5\E8052CCM\upd105320[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Barbara\Impostazioni locali\Temporary Internet Files\Content.IE5\9DW91E07\nd82m0[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.


Ho poi effettuato una nuova scansione di Hijackthis ed ecco il risultato:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.19.56, on 04/10/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Security\nuoHijack\HiJackThis.exe

F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Barbara\1120103928.dll
O2 - BHO: {779c58ae-eca4-e658-7594-2abe74deb823} - {328bed47-eba2-4957-856e-4aceea85c977} - C:\WINDOWS\System32\ujihek.dll
O2 - BHO: (no name) - {C2D425B2-3452-427A-96BE-B3CD66620205} - C:\WINDOWS\system32\jkkHApmn.dll (file missing)
O2 - BHO: (no name) - {F5079233-08BD-445D-9314-B33911D20B5E} - C:\WINDOWS\System32\efcYPjHW.dll (file missing)
O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [BMdffa5655] Rundll32.exe "C:\WINDOWS\System32\nrislyms.dll",s
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] doskeys.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: jkkHApmn - jkkHApmn.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe

--
End of file - 2995 bytes


Ho riavviato il computer in modalità normale e appena effettuato il log dell’utente mi si è presentato il seguente errore, apparentemente non bloccante:

“Errore durante il caricamento di
C:\WINDOWS\SYSTEM32\nrislyms.dll
Impossibile trovare il modulo specificato.”

Ho provato a riavviare malwarebytes ma non va più, nel senso che dice di non riuscire a ritrovare il database e chiede di connettersi per scaricarlo.
Cosa impossibile dato che non riesce a trovare nessuno dei due collegamenti.
Evidentemente qualunque programmi scheduli azioni al riavvio genera qualche problema per cui appare quella schermata blu ed è impossibile mandare in esecuzione le azioni.
Ah..
Dimenticavo, sembra che il nome del Trojan sia Trojan.Vundo.H.
Dif
Utente Junior
 
Post: 10
Iscritto il: 01/10/08 11:13

Re: Problemi con Web browser - Probabile Trojan

Postdi Luke57 » 04/10/08 13:54

Ciao, con xp non aggiornato e IE alla versione 6 sei un ricettacolo per le infezioni, comunque scarica vundofix da qui:
http://www.atribune.org/ccount/click.php?id=4

Poi apri hijackthis, premi "do a system scan only", cerca e spunta le voci seguenti:
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Barbara\1120103928.dll
O2 - BHO: {779c58ae-eca4-e658-7594-2abe74deb823} - {328bed47-eba2-4957-856e-4aceea85c977} - C:\WINDOWS\System32\ujihek.dll
O2 - BHO: (no name) - {C2D425B2-3452-427A-96BE-B3CD66620205} - C:\WINDOWS\system32\jkkHApmn.dll (file missing)
O2 - BHO: (no name) - {F5079233-08BD-445D-9314-B33911D20B5E} - C:\WINDOWS\System32\efcYPjHW.dll (file missing)
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [BMdffa5655] Rundll32.exe "C:\WINDOWS\System32\nrislyms.dll",s
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] doskeys.exe
O20 - Winlogon Notify: jkkHApmn - jkkHApmn.dll (file missing)

premi fix checked.


Esegui vundofix
VundoFix si chiuderà e si riaprirà da solo, una volta riaperto, clicca sul pulsante "Scan for Vundo" quando la scansione è finita, clicca sul pulsante "Remove Vundo" a questo punto ti chiederà se vuoi eliminare i files, rispondi Yes una volta cliccato su Yes, non preoccuparti se il desktop scompare, è normale dato che è iniziata la procedura di eliminazione, finito la rimozione ti chiederà se vuoi riavviare, rispondi Yes e si riavvierà il pc.
E' possibile che vundofix non riesca ad eliminare alcuni files, in questo caso, vedrai vundofix apparire al riavvio basta che premi il pulsante Remove vundo per continuare la rimoazione.
Finito tutto, riavvia il pc

e posta il report C:\vundofix.txt

Infine, Scarica systemscan:
http://www.suspectfile.com/systemscan
estrailo, avvialo, metti la spunta a tutte le voci e premi "Scan". poi metti il suo log, formato .zip, (che trovi sul desktop all'interno della cartella "suspectfile") come allegato!

PS: se non riesci a scaricare il tool, scaricalo da un altro pc e poi trasportalo su quello infetto

qualora systemscan non si avviasse per la mancanza di alcuni privilegi (il SeDebugPrivilege) scarica anche questo tool

http://download.bleepingcomputer.com/sU ... estore.exe

e usalo. poi riavvia il pc, dopo di che systemscan dovrebbbe funzionare
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Problemi con Web browser - Probabile Trojan

Postdi Dif » 04/10/08 19:55

Dunque,
1) ho eliminato le voci da Hijackthis, tutto a posto.
2) ho mandato in esecuzione Vundofix, anche qui pare tutto a posto.
3) systemscan non mi crea la cartella suspectfile, anche dopo che ho mandato in esecuzione l’altro tool. Inoltre durante l’esecuzione genera un sacco di finestre di dialogo che segnalano “file not found”. Ho provato a fare “Check for Update” ma non trova la connessione (“Unable to retrive information about the la system scan version from internet. Please check your internet connection and try again.”) nonostante altre applicazioni, tipo Skype, ci riescano e il computer continui a spedire e ricevere pacchetti.

Comunquesia ecco qui il log di Vundofix, che ho mandato in esecuzione una seconda volta e non ha trovato nulla.

VundoFix V7.0.6

Scan started at 16.46.26 04/10/2009

Listing files found while scanning....

C:\Windows\system32\jbfglmyj.dll
C:\Windows\system32\jqfphauq.dll
C:\Windows\system32\krunfmwg.dll
C:\Windows\system32\popnsoel.dll

Beginning removal...

Attempting to delete C:\Windows\system32\jbfglmyj.dll
C:\Windows\system32\jbfglmyj.dll Has been deleted!

Attempting to delete C:\Windows\system32\jqfphauq.dll
C:\Windows\system32\jqfphauq.dll Has been deleted!

Attempting to delete C:\Windows\system32\krunfmwg.dll
C:\Windows\system32\krunfmwg.dll Has been deleted!

Attempting to delete C:\Windows\system32\popnsoel.dll
C:\Windows\system32\popnsoel.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V7.0.6

Scan started at 20.08.17 04/10/2009

Listing files found while scanning....

No infected files were found.


Ecco il log di hijackthis.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.49.46, on 04/10/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\Security\nuoHijack\HiJackThis.exe

O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] doskeys.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe

--
End of file - 2935 bytes

Grazie ancora infinitamente per l’aiuto.
Dif
Utente Junior
 
Post: 10
Iscritto il: 01/10/08 11:13

Re: Problemi con Web browser - Probabile Trojan

Postdi Luke57 » 04/10/08 21:18

Ciao, apri hijackthis, premi "do a system scan only", cerca e spunta:
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] doskeys.exe

premi fix checked.

Non ho capito molto su come hai usato system scan, comunque. Prova ad aprirlo, spunta solo la voce "recent files, days old" (lasciando impostato a 60 gg), fai lo scan, che è velocissimo e poi allega il log.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Problemi con Web browser - Probabile Trojan

Postdi Dif » 04/10/08 21:57

Ciao.
Ho eseguito le operazioni con hijackthis, ecco il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.59.13, on 04/10/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\WINDOWS\System32\devldr32.exe
C:\Security\nuoHijack\HiJackThis.exe

O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe

--
End of file - 2618 bytes


Ho eseguito Suspectfile lasciando l'opzione
Recent files days old: 60.
Sono apparse 4 finestre di dialogo con scritto "file not found".
Dopodichè nella parte in fondo del form di suspctfile è apparso:
"Report saved as Desktop\suspectfile\04_10_2009_23_08_report.zip".
Il problema è che il file effettivamente non viene salvato da nessuna parte.
Ho provato varie volte e si comporta sempre nello stesso modo, ma del report nessuna traccia...
Forse è qualcosa che ha a che fare con le finestre di dialogo, magari il suspectfile prova a salvare sul file di log e non lo trova.
Aiutoo!!
Ah, fra l'atro il fatto che la data indicata sia il 2009 è abbastanza sospetto, dato che uno dei problemi era dovuto ad un fantomatico antivirus2009.
Inoltre permane l'icona a fianco di start di questo exsplorer (vicino all'icona di explorer) che non si capisce cos'è.
Grazie ancora.
Dif
Utente Junior
 
Post: 10
Iscritto il: 01/10/08 11:13

Re: Problemi con Web browser - Probabile Trojan

Postdi Luke57 » 05/10/08 08:49

Ciao, il log di hijackthis sarebbe pulito......, scarica il programma myuninstaller da qui
http://www.nirsoft.net/utils/myuninst.zip
Decomprimi l'archivio in una nuova cartella
Avvia il programma,aspetta che la lista si carichi,una volta caricata tutta individua il programma da disistallare (exsplorer e "The best offers", se ci sono sempre)
li selezioni, tasto destro del mouse e selezioni l'opzione "Delete selected entry" .
Prova a disistallare combofix
Start>Esegui, nella casella di dialogo, digita (oppure, copia ed incolla) questo comando: combofix /u e premi invio.

Poi vai qui:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file" ,basta che cambi il nome che ti appare li in abc.exe)
Una volta scaricato il programma, clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , posta il contenuto del file.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: Problemi con Web browser - Probabile Trojan

Postdi Dif » 05/10/08 10:16

Ciao,
ho mandato in esecuzione myuninstaller ed ho leliminato "The best offers", purtroppo "exsplorer" non appariva sulla lista, benchè l'cona continui ad esserci vicino a start insieme a explorer, outlook, itunes,quicktime ...

Ho provato a disinstallare combo fix con il comanod combofix /u ma mi dice che non riesce a trovare il file.

Ho scaricato sul desktop combofix come abc e mandato in esecuzione da esegui, ma il comportamento rimane lo stesso,
ovvero parte la progress bar titolata combofix, ma poi non accade nulla.
Ho cercato combofix.txt, ma nel sistema non c'è.

Unica nota positiva, explorer ora sembra funzionare correttamente e non escono più milioni di finestre.
Allego l'ultimo log di hijackthis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.31.42, on 05/10/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\devldr32.exe
C:\Security\nuoHijack\HiJackThis.exe

O4 - HKLM\..\Run: [AtiPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\MATLAB7\webserver\bin\win32\matlabserver.exe

--
End of file - 2453 bytes
Dif
Utente Junior
 
Post: 10
Iscritto il: 01/10/08 11:13

Re: Problemi con Web browser - Probabile Trojan

Postdi SkunkWorks 68 » 05/10/08 11:00

Luke 57 come al solito ha fatto un lavoro eccellente...
Adesso comincia a procurarti i pacchetti di aggiornamenti del SP 2 e poi SP3 ed aggiorna tutto a macchina assolutamente disconnessa da internet.
Nella condizione attuale,nel giro di molto poco,rischi di reinfettarti e saresti daccapo.
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Problemi con Web browser - Probabile Trojan":


Chi c’è in linea

Visitano il forum: Nessuno e 23 ospiti