Problema serio con uninstall.exe che non si cancella...

[taytus]

Ciao a tutti,
ho un problema abbastanza serio e non so come risolverlo.
NOD32 mi ha individuato un trojan chimato uninstall.exe, il problema è che non riesco ad eliminarlo in quanto ad ogni avvio del pc (dopo 1 minutino) riappare nella cartella: c:\Documents and Settings\All users\Menu Avvio\Programmi\Esecuzione automatica.
Il problema è che ogni tanto appare un messaggio di errore che iexplorer non riesce a connettersi a www.google.it anche se internet explorer non è aperto (ma attivo in background!).
Ho provao a scaricare hijackthis, ma il bello è che come clicco un link dove c'è la parola hijackthis internet explorer si chiude!!! Ho provato allora a scaricare il programma da un altro pc e copiarlo su quello infettato, ma appena avvio l' installazione mi viene chiusa!!

Qualcuno potrebbe darmi una mano?
Grazie e saluti

[Frate Aurelio]

@taytus,
Ciao e benvenuto nella comunità.

Esegui:

■ Hijackthis
Esegui il download da:
http://www.trendsecure.com/portal/en-US ... hijackthis
Esegui il download da:
http://www.trendsecure.com/portal/en-US ... s/download
- Scaricare cliccando su:
► Download Hijackthis Installer (consigliato)
Il file scaricato è: Hjtinstall.exe
L’installazione non installa nulla se non il solo file eseguibile.
- Caricare, cliccando, il file exe scaricato che proporrà un percorso di installazione:
- C:\Programmi\Trend Micro\HijackThis (Si può anche cambiare a piacimento)
- Confermare premendo il pulsante Install
- Verrà creata, sul desktop, l’icona di collegamento a Hijackthis.

► Consiglio Generale
Tutte le operazioni devono essere eseguite:
- Avvio PC in modalità normale
- Con il minor numero possibile di programmi in attività

► Creazione file Hijackthis.log:
- Cliccare sulla icona Hijackthis sul Desktop
- Premere il pulsante:
- Do System scan and save a logfile
Si aprirà il file Hijackthis.log con Blocco Note e nel contempo lo salverà in C:\Programmi\Trend Micro\HijackThis dove lo si potrà sempre rintracciare.
Con Bocco Note eseguire:
- Modifica►Seleziona tutto►Tasto Destro del mouse►copia
Postarlo nel Topic seguendo la seguente procedura:



Frate Aurelio

[taytus]

Ciao Frate Aurelio,
grazie per la tua risposta, che è molto esaustiva, ma purtroppo come clicco il link che mi hai dato per scaricare hijackthis mi viene chiuso internet explorer!
Ce qualche altra soluzione?
Saluti

[Luke57]

Ciao,Ciao, copia questo codice :

Codice: Seleziona tutto

@echo of
regedit.exe /e C:\file1.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
regedit.exe /e C:\file2.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
regedit.exe /e C:\file3.txt "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run"
regedit.exe /e C:\file4.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
regedit.exe /e C:\file5.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad"
regedit.exe /e C:\file6.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
regedit.exe /e C:\file7.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"
regedit.exe /e C:\file8.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects"
regedit.exe /e C:\file9.txt "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy"
regedit.exe /e C:\file10.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center"

salvalo sul desktop come:
nome: 1.bat (cambiando ovviamente l'estensione da .txt a .bat).
tipo di file: tutti i file

Poi lo esegui con doppio click, successivamente in C dovresti trovare i file .txt da 1 a 10 o perlomeno quelli che sono stati individuati, Inseriscili tutti in una cartella .zip e allegali a un post.

[taytus]

Ciao Luke,
ecco l allegato!
Grazie

[Luke57]

Ciao, prendi il file che ti allego e mettilo sul desktop. Estrai l'eseguibile sempre sul desktop, chiudi programmi e applicazioni.
Fatto questo, apri il taskmanager (premi ctrl+alt+canc), nella lista dei processi individui explorer.exe, lo evidenzi e premi termina processo
Il desktop scomparirà con tutte le icone, ma tu sempre dalla finestrella del task manager premi File>nuova operazione>sfoglia, clicchi l'opzione desktop, individui il file tool.exe, premi ok
si avvierà il programma, lascia selezionata solo la voce "scan for rookits", nello spazio bianco (sotto Input script here) incolli le scritte seguenti:

Files to delete:
c:\\windows\\system32\\hpgcprnd.ver

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe


Premi il tasto Execute.
Il computer si riavvierà, se non lo facesse riavvialo tu manualmente.
Posta l'esito dello script che troverai in C:\avenger.txt

[taytus]

ciao luke,
purtroppo mi dice che nel zip che hai allegato non c'è nessun file da estrarre e che la cartella è danneggiata (ho provato anche a riscaricarlo)

[Luke57]

Ciao, prendi lo da qui:
http://www.easy-share.com/1905249281/tool.zip

[taytus]

Ciao Luke,
ecco l esito:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\\windows\\system32\\hpgcprnd.ver" deleted successfully.
Registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[Luke57]

Ciao, sembra andato a buon fine, puoi utilizzare hijackthis adesso?

[taytus]

Ciao,
sembrerebbe di si, ora seguo il procedimento descritto da frate aurelio!
Chiederti dove stava il problema o come l hai individuato è chiedere troppo?

[taytus]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:32:26, on 18.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\File comuni\Virtual Token\vtserver.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\Program Files\ETHZ\VPN Client\cvpnd.exe
C:\Programmi\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCWLIcon.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programmi\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
C:\Programmi\Microsoft ActiveSync\wcescomm.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\acs.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\totalcmd\TOTALCMD.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: D - {9422134B-E48C-36B9-B583-FA32B0AF757D} - C:\WINDOWS\system32\dq64048.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [QCWLIcon] C:\PROGRA~1\ThinkPad\CONNEC~1\QCWLIcon.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [frymxins] "C:\Programmi\ATI Technologies\Fire GL 3D Studio Max\atiimxgl"
O4 - HKLM\..\Run: [PRONoMgrWired] C:\Programmi\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QCTray] C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [msnmsgr] "c:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727)" -"http://www.miniclip.com/games/hockey-showdown/de/"
O4 - HKLM\..\Policies\Explorer\Run: [388735063] "C:\WINDOWS\Temp\mgrwxset.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: uninstall.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\sysponet.dll
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... oader5.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Downl ... e-c283.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPU ... 10,0,911,0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 7324285875
O16 - DPF: {7876E4A5-78B7-4020-B08F-C960A1ED54C9} (WebWatch Class) - http://192.168.1.11:6970/AL/WinWebPush.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {CA11EB7C-1C85-4577-8A49-9E28EFB30184} (UMediaPlayer Class) - http://www.umediaserver.net/bin/UMediaControl4.cab
O16 - DPF: {CCA0B877-CB5E-4ADC-AD30-457C379512DD} (Gif89 Lite Class) - http://192.168.1.150/xplugLite.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} - http://3dlifeplayer.dl.3dvia.com/player ... taller.exe
O16 - DPF: {F3E17208-8AF2-4756-A1FE-BDCF1110B1AD} (XPlugLite3 Class) - http://192.168.1.44/XPlugLite3.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: bedstead - {b23dc537-3e13-44c7-bf67-d8405eb377f7} - (no file)
O23 - Service: ACU Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: ANSYS FLEXlm license manager - Macrovision Corporation - C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programmi\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\ETHZ\VPN Client\cvpnd.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programmi\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmi\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - (no file)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: Protector Suite Virtual Token (vtserver) - UPEK Inc. - C:\Programmi\File comuni\Virtual Token\vtserver.exe

--
End of file - 11639 bytes

[Luke57]

Ciao, il malware aggiunge la voce di registro explorer.exe, collegata come "debugger" al file hpgcprnd.ver che in realtà, a dispetto dell'estensione manifesta, è un eseguibile. Apri di nuovo hijackthis, poi premi "do a system scan only", cerca e spunta le voci seguenti:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [388735063] "C:\WINDOWS\Temp\mgrwxset.exe"
O4 - Global Startup: uninstall.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\sysponet.dll
premi fix checked.

scarica LSP.Fix
http://www.cexx.org/LSPFix.exe
lo esegui, seleziona il file c:\windows\system32\sysponet.dll
indicato nella parte sinistra della finestra e spostalo nella parte destra con i tasti >>
clicca su Finish

Elimina tutti i file temporanei, magari aiutandoti con ccleaner (lo trovi sul forum)

Poi, scarica combofix sul desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe


Fatto questo, disconnettiti da internet, chiudi programmi e applicazioni, disattiva l'antivirus, clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\combofix.exe" /killall

Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione, se spariscono le icone dal desktop non preoccuparti),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt ,allega il file a un prossimo post.

[taytus]

ecco il file in allegato.
Comunque quando ho lanciato il programma combofix (seguito passo per passo come indicatomi) non mi è apparsa una finestra dove poter inserire "%userprofile%\desktop\combofix.exe" /killall, ma il programma ha fatto tutto da solo.

[Luke57]

Ciao, apri un file di testo dal blocco note di widows e al suo inerno copiaci il seguente script:

Codice: Seleziona tutto

File::
C:\WINDOWS\com7.hss
C:\WINDOWS\system32\dq64048.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9422134B-E48C-36B9-B583-FA32B0AF757D}]

Salva il file chiamandolo CFScript.txt sul desktop, poi trascinalo con il puntatore del mouse sull'icona di combofix. Il programma avvierà una nuova scansione e al termine di essa riavvia ilcpomputer e posta il nuovo report.

Inoltre, esegui una scansione con Prevx_Gromozon e posta il rapporto.
http://info.prevx.com/gromozon.asp
E una in modalitrà provvisoria con Symantec_removal_tool_linkOpt.
http://www.symantec.com/content/en/us/g ... inkopt.exe

[taytus]

Ciao, ecco il rapporto:

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\system32\ilut.dll
Removed!


Trojan.Gromozon Removed!

[Luke57]

Ciao, hai eseguito combofix? e il tool della symantec?

[taytus]

Ciao, si il rapporto del combofix l ho postato precedentemente, mentre quello di symantec è questo:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8

Trojan.Linkoptimizer has not been found on your computer.

[Geoline]

E' un problema che ho riscontrato proprio in questi giorni.
Con una distribuzione Ubuntu (Live su cd, la 8.10) ho avviato la macchina e puntato la cartella incriminata:
C:\Documents and Settings\All users\Menu Avvio\Programmi\Esecuzione automatica

Dapprima ho provato a cancellare il file, ma si ricreava all'avvio.
Poi ho cancellato la cartella "Esecuzione automatica", ma si ricreava nella radice C:

A quel punto ho capito che si trattava di codice annidato nell'MBR.
Ho inserito il CD di Winzozz, e con un bel FIMBR ho ripulito il file di avvio.
Poi, da consolle, ho rimosso lo stramaledettissimo uninstall.exe e riavviato la macchina.

Pare tutto OK.
Provaci anche tu e facci sapere.
Ciao
Geo

[taytus]

Ciao,
a quanto pare sono riuscito a cancellare il file uninstall.exe dopo aver fatto tutto quanto consigliatomi da Luke57.
Grazie mille a tutti per l aiuto datomi!
saluti