WIN32.TROJANDOWNLOADER.SWIZZOR.BR Trojan intoglibile

[Bandolero stanco]

Ciao...alcuni giorni fà ho preso un mucchio di spyware che mi facevano comparire barre e messaggi...alcuni di essi erano Z-Demon e Winpup32 i quali ne SpyBot ne Ad-aware riuscivano a eliminare....(o cercato ma i forum che ho trovato eran tt in inglese e...) allora ho formattato...rimesso tutto apposto..Firewall aggiornatissimo ma,nemmeno due ore di navigazione ed ecco dinuovo le stesse barre e il resto...non ho più trovato Spyware ma solo un Trojan "WIN32.TROJANDOWNLOADER.SWIZZOR.BR" che penso sia la causa di tutto e anche dell'arrivo di spyware ecc ecc...
purtroppo nessun software mi riesce a togliere stà...
mi date una mano,non ho voglia di riformattare...
ciau e grasie in anticipo

[Dylan666]

Prima di tuto c'è la sequanza di procedure standard:

http://www.pc-facile.com/guide.php?t=111274

http://www.pc-facile.com/guide.php?t=148946

Poi mi viene da dire: ma hai un sistema operativo aggiornato? Latrimenti come fa a passare tutte le volte questo malware?

http://www.scanspyware.net/info/Win32.Swizzor.br.htm

[Bandolero stanco]

si è aggiornato l' S.O. la guida la sapevo già lo vista e tutto se avessi saputo toglierlo così non chiedevo...ripeto spy-bot e ad-aware non ci fanno nulla HijackThis lo provato e le chiavi che cancello e quelle che non mi sembrano giuste e cmq segnalòate da spy-bot ed ad-aware anche cancellandole a mano...il sito http://www.scanspyware.net/info/Win32.Swizzor.br.htm
non và...
comunque grazie spero in altri aiuti

[Dylan666]

Trascrivi il log di HijackThis.

PS: se non dici che le procedure di certi link li hai seguiti, la gente che ne sa?

PPS: la pagina ieri andava, peccato che non ci sia una copia nella Google-cache, perché c'erano tutti i file da eliminare

[Bandolero stanco]

Codice: Seleziona tutto

Logfile of HijackThis v1.99.0
Scan saved at 17.53.08, on 13/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Messenger Plus! 3\MsgPlus.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\SUPERD~1\IMPOST~1\Temp\Rar$EX00.943\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yaqvbgmsgrjo.com/3mXPKNJ3gdWixUUgKIVsny6Mplk3DhCqoYoyWYvAbL8BTsb7glJPPRqN6eqtz2wO.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

ti ho trascritto tutto...io ho eliminato la prima...poi il resto..bho?

cmq avevo detto che ne ad-aware ne Spy-bot ne nessun software riusciva...perciò...

[Dylan666]

cmq avevo detto che ne ad-aware ne Spy-bot ne nessun software riusciva...perciò...

E che significa? La guida è formata da 8 punti, di cui non mi risulta tu abbia applicato ne la parte di MSCONFIG ne di CWShredder

Questo mi pare abbastanza strano:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yaqvbgmsgrjo.com/3mXPKNJ3gdW ... 8BTsb7glJP PRqN6eqtz2wO.html

Ma mi pare strano ci sia così poca roba. Sicuro che sei ancora infetto? Da che lo vedi?

[Bandolero stanco]

allora ora ho fatto veramente pulizia e forse ho risolto:
andando nel tasck manager anche non in linea vi erano due processi IEXPLORE.EXE il che mi pareva strano...provando a chiuderle ho visto che per un istante compariva un aplicazione e poi ritornava I.E. a girare...dopo varie volte ho preso il nome delle aplicazioni che eran

Codice: Seleziona tutto

Newbold.exe
Real Base.exe
REALBA...(aveva un estensione lunghissima).exe

vene erano altre ma 2 mi pare ma ora non ricordo...cmq o provato le ho cercate ed eliminate...ho eliminato le chiavi di registro che comprendevano quei nomi poi...

Codice: Seleziona tutto

ArchiveData(3.bckp)
Referencefile : SE1R25 11.01.2005
======================================================

WIN32.TROJANDOWNLOADER.SWIZZOR.BR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Process : c:\docume~1\superd~1\impost~1\temp\


questo è ciò che mi diceva ad-aware ho cercato il trojan nelle chiavi di registro e lo eliminato e ho eliminato l'applicazione [b]ceyludrn.exe sia dalle cartelle che dal registro...ora nessuno dei software che scannerizza trova più nulla...
non sò se la soluzione sia quella giusta...ora sono pulito,da una mezzoretta non c'è più niente,spero in bene.

cmq la lista che ti ho postato prima era di ieri quando l'infestazione era massima,anche a me e a 12 è sembrato strano.
Cmq la soluzione che ho citato...non prendetela per buona perchè p stato un tentativo un po' troppo azzardato anche se ancora niente nemmeno dopo un riavvio.[/b][/list]

[Bandolero stanco]

rettifica
Ad-aware

Codice: Seleziona tutto

ArchiveData(3.bckp)
Referencefile : SE1R25 11.01.2005
======================================================

WIN32.TROJANDOWNLOADER.SWIZZOR.BR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Process : c:\docume~1\superd~1\impost~1\temp\ceyludrn.exe


[Dylan666]

il sito http://www.scanspyware.net/info/Win32.Swizzor.br.htm
non và...

Ora sì:

Delete the following directories:

Win32.Swizzor.br does not create any directories

Delete the following files:

sta33.exe
sta3c.exe
sta3d.exe
eqstupid.exe
ford bore date.exe
kbelhpmz.exe
lsfjwaej.exe
winsaveaboutpoll.exe
zkumfamz.exe
fork error default.exe
intrastop.exe
bytemess.exe
xyq.exe
exit show.exe
browse glue.exe
debug platform one.exe
1 jugs default.exe
bookslow.exe
sect meow.exe


Delete the following Cookies:

Win32.Swizzor.br does not create any cookies

Delete the following registry keys:

Win32.Swizzor.br does not create any registry keys

Delete the following registry values:

16 web
cash mess
exit bags
fileflap
fragmeta
memo
remotecreative
support two
surfgrid