Trojan bast...o e velonosissimo. Help!!

[maxone78]

Dopo aver seguito tutti i consigli riportati nell'apposito thread e parlatone col buon Eraser, ho fatto un pò di pulizia nel mio hd trovando una quantità di virus come mai ne avevo trovati assieme da quando navigo, e son ormai anni, sulla rete. Nel dettaglio:

con Bitdefender ho trovato ed eliminato se9vchost.exe (Trojan Downloader.Small.bvj)
MSCOMM32.EXE (Trojan.MulDrop3511)
cmd.exe


con Ewido Troj/Brospy-C

con HiJackThis fixato un paio di cosucce

con entrambi rilevato un file, LinkOptimizer, che non sono riuscito ad eliminare in alcun modo

infine con Avast ho individuato e cancellato un trojan chiamato Win32:Agent-Gen
Ed è questo il bastardo del titolo.

Il trojan in questione si presenta dopo pochi minuti o a volte un paio di ore che sono online. Ho il sospetto che arrivi via Msn perchè, non ne sono certo, mi pare di averlo quasi sempre riscontrato mentre ho il prog aperto, ma potrei sbagliarmi.

Genera un file chiamato qbog1.exe, visibile sulla Task Manager ma da dove non si può terminare, che a sua volta, dopo un pò di secondi, genera una finta connessione remota chiamata Internet, visibile solo accedendo alla cartella dove sono tutte le connessioni.

Il bastardo infatti, ti disconnette e si riconnette col suo numero facendoti credere che sia il tuo normale provider. Infatti se andate a controllare questa connessione leggerete il numero di telefono del solito servizio a cui vi connettete normalmente!!

Il virus evidentemente maschera il suo numero vero. Se come alcuni miei amici avete chiamato Internet la vostra connessione in rete è facile rimanere fregati.

Aggiungo infine un'altra cosa strana, non s se legata a qualche virus: ultimamente quando faccio delle ricerche su Google mi si aprono delle finestre mai viste prima. Vi allego la foto così è più chiaro



Aggiungo che ho eseguito tutte le operazioni "disinfettanti" in mod provvisoria e con il ripristino disattivato laddove era possibile

Vi allego qua sotto il file di Hijackthis fatto stamattina



AIUTOOOOOOOOOOOOO

[manganese]

per linkoptimizer leggi quì
http://www.helpinweb.it/forum/index....t=0&#entry4302

Per il log rifallo mettendo HJT in una cartella C:\
Copia il log in un formato testo nel seguente 3d (con la descrizione dei sintomi)
http://www.hwupgrade.it/forum/showthread.php?t=937676

[Bugs Bunny]

Quote:

Originariamente inviato da maxone78

Dopo aver seguito tutti i consigli riportati nell'apposito thread e parlatone col buon Eraser, ho fatto un pò di pulizia nel mio hd trovando una quantità di virus come mai ne avevo trovati assieme da quando navigo, e son ormai anni, sulla rete. Nel dettaglio:

con Bitdefender ho trovato ed eliminato se9vchost.exe (Trojan Downloader.Small.bvj)
MSCOMM32.EXE (Trojan.MulDrop3511)
cmd.exe


con Ewido Troj/Brospy-C

con HiJackThis fixato un paio di cosucce

con entrambi rilevato un file, LinkOptimizer, che non sono riuscito ad eliminare in alcun modo

infine con Avast ho individuato e cancellato un trojan chiamato Win32:Agent-Gen
Ed è questo il bastardo del titolo.

Il trojan in questione si presenta dopo pochi minuti o a volte un paio di ore che sono online. Ho il sospetto che arrivi via Msn perchè, non ne sono certo, mi pare di averlo quasi sempre riscontrato mentre ho il prog aperto, ma potrei sbagliarmi.

Genera un file chiamato qbog1.exe, visibile sulla Task Manager ma da dove non si può terminare, che a sua volta, dopo un pò di secondi, genera una finta connessione remota chiamata Internet, visibile solo accedendo alla cartella dove sono tutte le connessioni.

Il bastardo infatti, ti disconnette e si riconnette col suo numero facendoti credere che sia il tuo normale provider. Infatti se andate a controllare questa connessione leggerete il numero di telefono del solito servizio a cui vi connettete normalmente!!

Il virus evidentemente maschera il suo numero vero. Se come alcuni miei amici avete chiamato Internet la vostra connessione in rete è facile rimanere fregati.

Aggiungo infine un'altra cosa strana, non s se legata a qualche virus: ultimamente quando faccio delle ricerche su Google mi si aprono delle finestre mai viste prima. Vi allego la foto così è più chiaro




Aggiungo che ho eseguito tutte le operazioni "disinfettanti" in mod provvisoria e con il ripristino disattivato laddove era possibile

Vi allego qua sotto il file di Hijackthis fatto stamattina



AIUTOOOOOOOOOOOOO

QUALE CMD.EXE HAI CANCELLATO?!?
qbog1.exe cancellalo in mod provvisoria

scansiona con kaspersky

[maxone78]

ciao e grazie per la risposta.

Linkoptimizer in pratica non dovrebbe esserci piu nel mio sistema, nel senso che non si trovano più di lui ne cartelle, ne key, ne i files indicati nella discussione che mi hai linkato

c'è solo se vai in Pannelo di controllo---> Installazione applicazioni. se provi a disisytallarlo ti rimanda ad una pagina internet dove anche non cliccando su unistall secondo me lo rigenera. così appare morto, ma non vorrei sbagliarmi

[maxone78]

ciao Bugs, ehm non ricordo quale fosse cmd.exe, ne avevo 2, non vorrei aver fatto na cazz


qbog1.exe l'ho cancellato in mod provvisoria 5 volte, ma ricompare sempre.

[maxone78]

Aggiornamento: seguendo i consigli dell'altro link ho scoperto uno strano eseguibile chiamato px.exe in C:\Programmi

mi sa che è quello. ma dubito si possa far fuori cosi, anche in provvisoria

[Commodore]

Quote:

Originariamente inviato da maxone78

Aggiornamento: seguendo i consigli dell'altro link ho scoperto uno strano eseguibile chiamato px.exe in C:\Programmi

mi sa che è quello. ma dubito si possa far fuori cosi, anche in provvisoria

Controlla se il file px.exe -è per caso nascosto e di sola lettura?- cambia nome dopo qualche avvio, e se è un file criptato (nome con la scritta verde). Controlla in pannello di cotrollo>servizi se hai qualche servizio strano avviato PVhsX o qualcosa del genere

[Bugs Bunny]

Quote:

Originariamente inviato da maxone78

ciao Bugs, ehm non ricordo quale fosse cmd.exe, ne avevo 2, non vorrei aver fatto na cazz


qbog1.exe l'ho cancellato in mod provvisoria 5 volte, ma ricompare sempre.

allora se ne hai cancellato uno in system32 hai fatto una cavolata in quanto serve ad interpretare i comandi DOS.
per qbog1 ti ho già risposto sul thread di hijackthis dicendoti di svuotare la cartella dei files di ripristino configurazione di sistema

[maxone78]

Quote:

Originariamente inviato da Commodore

Controlla se il file px.exe -è per caso nascosto e di sola lettura?- cambia nome dopo qualche avvio, e se è un file criptato (nome con la scritta verde). Controlla in pannello di cotrollo>servizi se hai qualche servizio strano avviato PVhsX o qualcosa del genere

Si per tutto quello che mi hai detto su Px.exe

In servizi ho trovato un file chiamato PEU.... mi sa che è l'equivalente di PVhsX

Allora, andando a controllare da Servizi ho avuto conferme: PEU è al momento disattivato, ma fa riferimento a Px.exe. E' da qui che ha origine tutto.


Grazie Bugs, corro a leggere e provo. cmd.exe non è quello di system32per fortuna, appena controllato

[Bugs Bunny]

ok
ricordati di pulire e cancellare i file di ripristino conf di sistema

[maxone78]

Quote:

Originariamente inviato da Bugs Bunny

ok
ricordati di pulire e cancellare i file di ripristino conf di sistema

Bugs perdona l'ignoranza, ma mi spiegheresti come fare?

Ah, per quel file, PEU, che è configurato come connessione, qualcuno ha qualche idea? come posso eliminarlo? Provo a cambiare password e altre cose e mandarlo in tilt?

[eraser]

FERMO!!!

NON ELIMINARE QUEL FILE! E' IMPORTANTISSIMO.

aspetta 5 minuti e ti dico come muoverti

[maxone78]

ok

[eraser]

Scarica questo programma: The Avenger

Decomprimilo in una cartella, poi eseguilo.

Clicca alla voce "Input script manually"

Clicca poi sulla lente di ingrandimento, ti si aprirá una nuova finestra bianca dove poter scrivere

Inserisci queste due righe di testo:

Quote:

Files to delete:
c:\programmi\Px.exe

Clicca ora su Done

Clicca sull'icona del semaforo. Ti chiederá di riavviare il pc. Una volta riavviato controlla che il file non ci sia piu. Controlla poi se il programma ti ha fatto un backup del file sotto:

C:\windows\system32\avenger\backup.zip

Mandami quel file (backup.zip) via form.

that's all

[Bugs Bunny]

Quote:

Originariamente inviato da maxone78

Bugs perdona l'ignoranza, ma mi spiegheresti come fare?

Ah, per quel file, PEU, che è configurato come connessione, qualcuno ha qualche idea? come posso eliminarlo? Provo a cambiare password e altre cose e mandarlo in tilt?

allora hai win xp vero?
vai su pannello di controllo>prestazioni e manutenzione>sistema>ripristino configurazione di sistema>metti la spunta a disattiva ripristinoi conf di sistema poi selezioni applica poi la levi e selezioni applica(così lo riattivi)
naturalmente tutto questo dopo aver pulito il computer da virus e schifezze varie.

[maxone78]

Ok, graie millle ragazzi. Provo e vi faccio sapere. A tra poco

[maxone78]

Riecomi. Allora, eraser, il file Px.exe non compare più in Programmi, ti ho spedito il backup.zip che volevi. Resta ora quel cavolo di PEU presente in Servizi. Fa sempre riferimento allo scomparso px.exe, ma non mi permette di toccarlo. Ho provato a disattivarloma mi dice "accesso negato"

[eraser]

cavolo, il programma non ha potuto fare il backup del file...

[maxone78]

Quote:

Originariamente inviato da eraser

cavolo, il programma non ha potuto fare il backup del file...

Azz, ma che diavolo di trojan è sto coso??

Cmq secondo te se cambio le impostazioni di quel coso presente in Servizi, PEU, faccio danno?

[eraser]

beh, il file a cui fa riferimento il servizio non c'è piu, quindi il servizio non dovrebbe essere attivo