--------------------------------------------------------------------------------

Salve,
da un pò di tempo ho un virus (credo trojan) , che mi fa saltare la mia connessione e ne crea un'altra chiamata "internet".
Ho analizzato i file responsabili ( hanno l'icona con due labbra rosse)
con tutti i software possibili (anche on-line)
e l'unico che è me lo ha individuato è VirIT dicendomi che era un
Trojan.win32.Dialer.IH e l'ha eliminato.
Ma dopo alcuni giorni si ricrea il file con sei lettere a randon
( es : abcdef.exe ) sempre nella cartella Temp di window ,ed anche
nel registro per l'avvio di windows.
Da premettere che ho seguito già le indicazioni trovate nei vari forum,
ma niente di definitivo mi ha aiutato.
Molto importante il fatto che il file si ricrea dopo pochi minuti
quando digito il login in un forum come questo .
Nessuno aveva postato per questo trojan fino ad ora ,
e mi hanno suggerito di aprire una nuova discussione.
Ditemi voi .
GRAZIE ANTICIPATAMENTE.
p.s. Intanto posto il log di hijackthis

Qesto è il malware da cancellare:

C:\WINDOWS\TEMP\eockda.exe

che si auto ricrea al prossimo avvio...


@ potito0:
segui la procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti rispettando le Regole di Sezione.

Forse non serve, ma:
Il mio S.O. è Windows XP Home (SP2) e il mio antivirus è KAV 5
entrambi aggiornati.
Purtroppo dato il mio hardware piuttosto datato ,
e la mia connessione lumaca (magari 56Kb).
Inizio con postare i primi log.(è la prima volta, quindi se qualcosa non và...)
GRAZIE DEL VOSTRO AIUTO

log di ADSR
Clicca qui per scaricare (http://www.fileup.itadib.com/download.php?id=11l6qx7XE0rfaye2xVBf)

log di a-squared Free
a-squared Free - Version 3.1
Last update: 06/04/2008 3.16.25

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata: 06/04/2008 12.04.22

C:\Documents and Settings\ANGELO&ANTONELLA\Cookies\angelo&antonella@atdmt[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\ANGELO&ANTONELLA\Cookies\angelo&antonella@bravenet[2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\ANGELO&ANTONELLA\Cookies\angelo&antonella@doubleclick[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\ANGELO&ANTONELLA\Cookies\angelo&[email protected][2].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\ANGELO&ANTONELLA\Cookies\angelo&antonella@mediaplex[1].txt rilevati: Trace.TrackingCookie
C:\Documents and Settings\ANGELO&ANTONELLA\Cookies\angelo&antonella@tradedoubler[2].txt rilevati: Trace.TrackingCookie

Scansionati

Files: 80045
Tracce: 399286
Cookies: 48
Processi: 26

Rilevato

Files: 0
Tracce: 0
Cookies: 6
Processi: 0
Chiavi registro: 0

Fine scansione: 06/04/2008 13.30.08
Tempo scansione: 1:25:46

log diprevx_csi
Clicca qui per scaricare (http://www.fileup.itadib.com/download.php?id=THvLuBcC97EAN1PJT47n)

log di BitDefender on-line fatta giovedì scorso

[General]
App = "BitDefender Online Scanner v8"
Date = 03:04:2008
Time = 18:56:49
Scan Path = A:\;C:\;D:\;E:\;

[Engines Info]
Virus Definitions = 1104039
Engine build = "AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)"
Scan plugins = 16
Archive plugins = 41
Unpack plugins = 7
E-mail plugins = 6
System plugins = 5

[Scan Statistics]
Folders = 3316
Files = 119405
Archives = 6764
Packed files = 8600
Identified viruses = 0
Infected files = 0
Warnings = 0
Suspect files = 0
Disinfected files = 0
Deleted files = 0
Copied files = 0
Moved files = 0
Renamed files = 0
I/O Errors = 74

[Scan Settings]
SecondAction = Delete
FirstAction = Disinfect
Heuristics = 1
Enable Warnings = 1
Exclude Ext =
Extensions = *;
Scan Emails = 1
Scan Archives = 1
Scan Packed = 1
Scan Files = 1
Scan Boot = 1
Verify Memory = 0

se puoi inviarli su file.up è meglio perchè rimangono più leggibili e li puoi contenere tutti in un messaggio unico (possibilmente anteponendo al link per il download il nome del file) :)

Purtroppo se non mi spieghi passo passo.....:confused:
Non so come fare.....
Ora provo a fare così ..speriamo:mc:
Facendo una scansione con Virit aggiornato
ne ho trovato un'altro.......andiamo bene:cry:
Grazie

log file ViriT
Clicca per scaricare il file log VirIT (http://www.fileup.itadib.com/download.php?id=file_log_VirIT)

log file Gmer
Clicca qui per scaricare il file log Gmer (http://www.fileup.itadib.com/download.php?id=filelogGmer)

Oggi mi sono accorto che ho sbagliato tutto:muro:
Scusate li ripropongo:
Primo o poi mi devo imparare......

Clicca qui per scaricare il log di ADSR (http://www.fileup.itadib.com/download.php?id=shnes4wAIeZYmFCSD58e)

Clicca qui per scaricare il log di a-squared (http://www.fileup.itadib.com/download.php?id=63LH5HUi9jpVrggZH7l9)

Clicca qui per scaricare il log di Prevx CSI (http://www.fileup.itadib.com/download.php?id=hQZHouuLY70RmtL2Hpak)

Clicca qui per scaricare il log di BitDefender on-line (http://www.fileup.itadib.com/download.php?id=nryqRrRWt3TTPhlPTcx3)

Clicca qui per scaricare il log di VirIT (http://www.fileup.itadib.com/download.php?id=HXsr6aetKkZcnPk46bw3)

Clicca qui per scaricare il log di Hijackthis (http://www.fileup.itadib.com/download.php?id=zHPqQMeT4D9fDXEaBTrs)

Clicca qui per scaricare il log di Gmer (http://www.fileup.itadib.com/download.php?id=iA7CTLtzsKyeItIN6Pgb)

preciso che i software sono stati eseguiti tutti in
modalità normale.
Se qualcuno può darmi una mano....
GRAZIE

per virIT:

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\system32\updwlzwn.exe Possibile variante da Trojan.Win32.Agent.BMY
C:\WINDOWS\Temp\eockda.exe Infetto da Trojan.Win32.Dialer.IH


illog di prevxCSI è assolutamente alluccinantemai viste quelle sfilze di oggetti tra i quali estrapolo:
C:\WINDOWS\system32\updwlzwn.exe InMem: 0 Det [UP<R1>] MD5: 196DD74FD79B79BCB38643F0B7AFEED1 PX5: A8712D68285CC8517E64006E6EDF4B00253E3B8B


C:\WINDOWS\system32\SHLWAPI.dll InMem: 1 Det [UP] MD5: D264E6A8F41AE5B6DCC6BE1EC3A93806 PX5: E506693E005ABB1E3E0D07D91586C8003F46C8C1


Summary:
C:\WINDOWS\system32\updwlzwn.exe - [U1] >> Hidden Process: 1164


rifai la scansione con HijackThis scegliendo l'opzione "Only Scan", a fine scansione il pulsante in basso a sinistra si chiamerà "Fix This" quindi selezioa le voci di tuo interesse e premi questo tasto.

Fixare:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

Fatto , e pronto per il proseguo...

Fatto , e pronto per il proseguo...

Urge una drastica ripulita per togliere la "polvere" così da focalizzarsi sul grosso, non so se mi spiego. ;)
Fai una cosa, riavvia in modalità provvisoria (tasto F8 all'avvio) accedi come Administrator e ripulisci le cartelle dei files temporanei.
Una è sotto c.\windows\temp
e poi ne troverai una per ogni utente creato in C:\Documents and Settings\nome utente\Impostazioni locali\Temp
In ognuna di queste cartelle potresti trovare cartelle e files: elimina tutto e svuota il cestino.

Riavvia in modalità normale, e svuota la cache dei browser internet che usi.

Fai una scansione online con Kaspersky: http://www.kaspersky.com/virusscanner

E solo a questo punto ripeti le analisi che già hai fatto reinserendone nuovamente i log. ;)

Dopo aver fixato i 3 processi con Hijackthis
ogni volta che avvio il pc si apre in automatico
sul desktop la cartella <system32>.
Ho visto nel tab di avvio in <msconfig>
vi è un nuovo processo chiamato <""/bootupreg>.
Cosa devo fare?
Intanto posto il log di KAV online Scanner,
dopo aver svuotato (come da procedura ) le cartelle temp
ed aver aver svuotato la cache di IE7.
In ultimo:
Devo eliminare tutti gli elementi trovati da KAV online?
GRAZIE DEL CONTINUO AIUTO.

Clicca qui per scaricare il log di KAV online Scanner (http://www.fileup.itadib.com/download.php?id=YV1PKXWoHNpLmeYCA5z6)

Non facendo partire il processo in questione <""/bootupreg>
non appare più la cartella <system32> all'avvio.
Comunque ecco i nuovi log:

Clicca qui per scaricare il log di ADSR (http://www.fileup.itadib.com/download.php?id=X5NBacItvkgUNQRtYTK3)

Clicca qui per scaricare il log di a-squared (http://www.fileup.itadib.com/download.php?id=M5CKq9F9CYkJXU3YAr9m)

Clicca qui per scaricare il log di prevxCSI (http://www.fileup.itadib.com/download.php?id=VrHuSLBP1fDz732xA4BS)

Clicca qui per scaricare il log VirIT (http://www.fileup.itadib.com/download.php?id=kXSu4NlptzdlZhuoTut9)

Clicca qui per scaricare il log di Hijackthis (http://www.fileup.itadib.com/download.php?id=3433UAdYIMueTPN06rRi)

Clicca qui per scaricare il log di Gmer (http://www.fileup.itadib.com/download.php?id=oTZWnHRboMz5eJqfgXJG)

prima vorrei un log fatto con FindAWF (http://noahdfear.geekstogo.com/FindAWF.exe) (opzione 1) e solo se non trova nulla procedi in autonomia con quanto scritto di seguito :)


scarica Avenger (http://swandog46.geekstogo.com/avenger.zip) e scopattandolo in una cartella esclusiva a lui avvialo e dagli questo script da eseguire:


File to delete:
C:\WINDOWS\system32\updwlzwn.exe

scarica Avenger (http://swandog46.geekstogo.com/avenger.zip) e scopattandolo in una cartella esclusiva a lui avvialo e dagli questo script da eseguire:


File to delete:
C:\WINDOWS\system32\updwlzwn.exe

Ciao xcdegasp, mi stavo giusto studiando i log anch'io, e ho visto quel file identificato, ma ho visto pure che comunque non è tra i processi. Comunque va eliminato in ogni caso, quindi io procederei senza troppi indugi. ;)

Invece ho notato che in hijackthis c'è questo processo C:\WINDOWS\system32\S3apphk.exe che viene caricato da O4 - HKLM\..\Run: [S3apphk] S3apphk.exe che secondo me, se non ha a che fare con applicazioni ben conosciute dal nostro potito0 andrebbe fixato, visto che comunque non fa parte del SO. ;)

Ultima cosa, consiglio a potito0 di rimuovere Virit e BitDefender, e di installare Avira. ;)

Tu che dici?

S3apphk.exe è un file relativo a dispositivi video S3 Graphics quindi legittimo

le voci di virIT si riferiscono al tool usato mentre bit-defender al motore web che installa un activeX... aveva il kav installato ma i suoi file vengono stranamente visti come "unknow" da prevx e innumerevoli file di windows anch'essi nella stessa situazione anomala, per questo il sospetto di cartelle bak :)

Purtroppo si ricrea il processo <""/bootupreg> nel tab di avvio in msconfig
e appare sempre la cartella <system32> all'avvio.

Il tool FindAWF non ha trovato nulla (credo)

Clicca qui per scaricare il log di FindAWF (http://www.fileup.itadib.com/download.php?id=wMFsMEguqETmNKSJwdat)

Utilizzando avenger con il relativo script ho avuto questo errore :
Error : Invalid script . A valid script must begin with a command directive.
Aborting execution.

Attendo nuove disposizioni.
GRAZIE

vedi se trovi nel pc sto file:
C:\WINDOWS\system32\updwlzwn.exe


e in caso fallo analizzare su www.virustotal.com se no allora potremmo fare uno scan con dr.web cureIT :)

Potito sei sicuro di aver copiato ed incollato lo Script compreso il comando che è Files to delete: e cliccato su Execute?

Inoltre allega un log degli Startup in questo modo:
Lancia HJT clicca su Open the Misc Tool section - clicca su Generate Startup List log mettendo il segno di spunta su entrambi i campi a dx

Ecco cos' era :
il comando non era "file" ma "files" (grazie a Chill-Out)
Ora si è creata una cartella "Avenger" in C:
con il file in questione ( updwlzwn.exe) ed un file di testo zippato (backup)
che non riesco ad aprire perchè è crittografato.
Devo eliminare tutto? O devo farlo analizzare come avevate detto ?

Ecco il log chiesto:
Clicca qui per scaricare il log Startuplist (http://www.fileup.itadib.com/download.php?id=biK2ve7annOV773poq2x)

Grazie del continuo aiuto

Ecco cos' era :
il comando non era "file" ma "files" (grazie a Chill-Out)
Ora si è creata una cartella "Avenger" in C:
con il file in questione ( updwlzwn.exe) ed un file di testo zippato (backup)
che non riesco ad aprire perchè è crittografato.
Devo eliminare tutto? O devo farlo analizzare come avevate detto ?

Lo lasci dov'è è solo il file di Backup li non può nuocere

Ecco il log chiesto:
Clicca qui per scaricare il log Startuplist (http://www.fileup.itadib.com/download.php?id=biK2ve7annOV773poq2x)

Grazie del continuo aiuto

Fai pulizia con CCleaner come indicato qui: http://www.hwupgrade.it/forum/showthread.php?t=1589984 al punto 2

Al termine nuovo log degli Startup e nuovo log di Prevx CSI, aggiornami anche sul problema, ciao.

Ecco i nuovi due log:

Clicca qui per scaricare il log di Startuplist (http://www.fileup.itadib.com/download.php?id=c23I6PnFx4AJdTfY32WS)

Clicca qui per scaricare il log di Prevx CSI (http://www.fileup.itadib.com/download.php?id=n8ogAiSrVckX6A7MnEB8)

Andando a controllare il file " partizan exe" che ha trovato Prevx ,
ho visto che è della Greatis software.
Presto detto:
prima di affidarmi a voi ,ho spulciato nei vari forum
e ho visto che il mio problema poteva essere causato dal "Rustock rootkit"
e consigliavano il software "reg run Reanimator" che ha un tool specifico.
Da allora alla partenza del pc ,Noto prima della schermata azzurra con il logo
windows Xp ,un'altra schermata azzurra con scritto
"reg run partizan greatis software ..... "
Forse parte in automatico da solo....
Come posso toglierlo?
NON MI STANCO DI DIRE "GRAZIE"

Sei Ok, per quanto riguarda Partizan.exe fa effettivamente riferimento a RegRun Suite software from Greatis Software, prova a disinstallare il software e a pulire con CCleaner

Il fatto è
che il software viene utilizzato senza installazione.
C'è l'ho in una cartella tutta sua...
ma ha creato ( non sò perchè )quel file nella cartella System32.
Ora cancello tutto ...
tanto non mi serve.
Un ultima cosa :
Ccleaner devo utilizzarlo in modalità provvisoria o normale?
GRAZIE A TUTTI (XCDEGASP, CHILL-OUT ,FRANZ.)
PER L'AIUTO E LA DISPONIBILITA'.

Il fatto è
che il software viene utilizzato senza installazione.
C'è l'ho in una cartella tutta sua...
ma ha creato ( non sò perchè )quel file nella cartella System32.
Ora cancello tutto ...
tanto non mi serve.
Un ultima cosa :
Ccleaner devo utilizzarlo in modalità provvisoria o normale?
GRAZIE A TUTTI (XCDEGASP, CHILL-OUT ,FRANZ.)
PER L'AIUTO E LA DISPONIBILITA'.


CCleaner lo usi in odalità normale, poi cerca al'interno della cartella creata da RegRun Suite il suo Uninstaller, eventualmente clicci sull'icona del software in questione col tasto dx del mouse - Proprietà - clicca su trova destinazione - cerca all'interno della finestra l'uninstaller

Purtroppo il problema è ricomparso:
Si crea sempre nel tab di avvio (in msconfig) l'applicazione <""/bootupreg>
e visualizzo all'avvio del pc la cartella <system32>.
Ho provato a disabilitarlo , ma si ricrea.
Non ho capito perchè per un breve periodo ha smesso e poi è
tornato :muro:
Se devo postare il problema in un'altra sezione ditemelo
GRAZIE

Purtroppo il problema è ricomparso:
Si crea sempre nel tab di avvio (in msconfig) l'applicazione <""/bootupreg>
e visualizzo all'avvio del pc la cartella <system32>.
Ho provato a disabilitarlo , ma si ricrea.
Non ho capito perchè per un breve periodo ha smesso e poi è
tornato :muro:
Se devo postare il problema in un'altra sezione ditemelo
GRAZIE

Hai ricaricato dei software o dei dati di backup? :mbe:

Purtroppo il problema è ricomparso:
Si crea sempre nel tab di avvio (in msconfig) l'applicazione <""/bootupreg>
e visualizzo all'avvio del pc la cartella <system32>.
Ho provato a disabilitarlo , ma si ricrea.
Non ho capito perchè per un breve periodo ha smesso e poi è
tornato :muro:
Se devo postare il problema in un'altra sezione ditemelo
GRAZIE

Ciao allega un log di HijackThis, Prevx Csi l'hai per caso installato?

Per problema ritornato , non intendevo il virus :D
ma "solo" la comparsa in automatico della cartella System32.
Come avevo detto :
è iniziato tutto dopo aver fixato i 3 processi con Hijackthis (vedi pagina 1).
Per ora non ho caricato nessun software ,ecc.
Cosa posso fare ?
Grazie

Purtroppo il problema è ricomparso:
Si crea sempre nel tab di avvio (in msconfig) l'applicazione <""/bootupreg>
e visualizzo all'avvio del pc la cartella <system32>.
Ho provato a disabilitarlo , ma si ricrea.
Non ho capito perchè per un breve periodo ha smesso e poi è
tornato :muro:
Se devo postare il problema in un'altra sezione ditemelo
GRAZIE

Per problema ritornato , non intendevo il virus :D
ma "solo" la comparsa in automatico della cartella System32.
Come avevo detto :
è iniziato tutto dopo aver fixato i 3 processi con Hijackthis (vedi pagina 1).
Per ora non ho caricato nessun software ,ecc.
Cosa posso fare ?
Grazie

La butto là non è che percaso l'hai infilata in esecuzione automatica? C:\WINDOWS\system32\

Allega un log di HijackThis ed uno Screenshot del TAB Avvio di MSCONFIG

Non sono un guru in informatica,
ma l'hai sparata grossa....
Credo che il problema sia molto strano :confused:
perchè all'avvio vado a vedere la chiave in:
HKLM\Software\Microsoft\Windows\Current Version\Run
E trovo che il nome è Prevx CSI ,e il dato è : ""\bootupreg.
Anche nel tab di avvio trovo il comando :""\bootupreg.
Dopo un paio di minuti :
Questa chiave scompare..... non c'è più (neanche nel tab).
Ricordo che ho impostato che prevx non deve partire all'avvio.
Non sò cosa sia...

Non sono un guru in informatica,
ma l'hai sparata grossa....

Nemmeno io ho mai affermato di essere un Guru, mi piacerebbe capire che cosa avrei sparato di grosso, ti ho semplicemente detto di controllare se per caso e qui mi cito: "La butto là non è che percaso l'hai infilata in esecuzione automatica? C:\WINDOWS\system32\" a questo punto mi domando qual'è la parte della frase che non hai capito?

Credo che il problema sia molto strano :confused:
perchè all'avvio vado a vedere la chiave in:
HKLM\Software\Microsoft\Windows\Current Version\Run
E trovo che il nome è Prevx CSI ,e il dato è : ""\bootupreg.
Anche nel tab di avvio trovo il comando :""\bootupreg.
Dopo un paio di minuti :
Questa chiave scompare..... non c'è più (neanche nel tab).
Ricordo che ho impostato che prevx non deve partire all'avvio.
Non sò cosa sia...

cosa ti avevo domandato nei post precedenti:
http://www.hwupgrade.it/forum/showpost.php?p=22010904&postcount=29
Ciao allega un log di HijackThis, Prevx Csi l'hai per caso installato?

e tu rispondi:
http://www.hwupgrade.it/forum/showpost.php?p=22027535&postcount=30
Per problema ritornato , non intendevo il virus
ma "solo" la comparsa in automatico della cartella System32.
Come avevo detto :
è iniziato tutto dopo aver fixato i 3 processi con Hijackthis (vedi pagina 1).
Per ora non ho caricato nessun software ,ecc.
Cosa posso fare ?
Grazie

per poi riconfermare quelle che avevo supposto all'inizio:
Credo che il problema sia molto strano
perchè all'avvio vado a vedere la chiave in:
HKLM\Software\Microsoft\Windows\Current Version\Run
E trovo che il nome è Prevx CSI ,e il dato è : ""\bootupreg.
Anche nel tab di avvio trovo il comando :""\bootupreg.
Dopo un paio di minuti :
Questa chiave scompare..... non c'è più (neanche nel tab).
Ricordo che ho impostato che prevx non deve partire all'avvio.
Non sò cosa sia...

temo tu stia facendo un pò tanta confusione rileggiti ciò che tu hai scritto, se poi hai voglia di allegare il log e lo screenshot che ti ho domandato, bene, io sono ancora disponibile a darti una mano, se non altro possiamo fare a gara a chi la spara più grossa tra i due, divertente non trovi?