PDA

View Full Version : Help Trojan.Mitglieder.L

GHz
13-06-2005, 19:53
Ho un computer infettato con un virus rognoso che non riesco a debellare....

Questo virus pianta la connessione ad internet....chiude il taskmanager, regedit, msconfig, e blocca gli antivirus (avg, nod :eek: ).

In esecuzione c'è un processo chiamato windll32.exe e cercando su google salta fuori questo: Trojan.Mitglieder.L (http://securityresponse.symantec.com/avcenter/venc/data/trojan.mitglieder.l.html)

Ho provato a riavviare in modalità provvisoria, ho tolto la chiave dal regedit (in current version\run) e fatto una scansione con NOD e non ha trovato nulla....ma avviando normalmente c'è ancora http://www.webalice.it/landipaolo/immagini/maroni.gif

Che posso fare oltre a formattare? :boh:
Jaguar64bit
13-06-2005, 20:09
Prova a farti uno scan installandoti l'antivirus Kaspersky 5 Personal... scaricati la trial da www.kaspersky.com e aggiornalo.. poi scaricati anche ewido 3.0 www.ewido.net installalo e aggiornalo e scansiona anche con questo.

Nod 32 con i trojan non è il migliore.
Jaguar64bit
13-06-2005, 20:11
Poi posta il log di Hijackthis.
lord2
13-06-2005, 20:18
http://securityresponse.symantec.com/avcenter/venc/data/trojan.mitglieder.l.html

a questo link fondo pagina la spiegazione alla rimozione attenzione al registro di sistema fai copie sicure prima di procedere.
YMen
13-06-2005, 20:21
scarica killbox poi riavvia in modalità provvisoria inserisci in killbox l'intero percorso del file windll.exe e cancellalo dopodichè posta il log di hijackthis
GHz
13-06-2005, 20:50
Grazie per i consigli...dunque, non so se quello sia l'unico virus che c'è perchè è veramente bastardo.....termina anche hijackthis :ncomment:

Rinominando il file in hijackthi.exe va :asd:

Ora scanno e posto il log :muro:
Jaguar64bit
13-06-2005, 20:53
Grazie per i consigli...dunque, non so se quello sia l'unico virus che c'è perchè è veramente bastardo.....termina anche hijackthis :ncomment:

Rinominando il file in hijackthi.exe va :asd:

Ora scanno e posto il log :muro:


Visto che hai beccato il virus più b@stardo della storia ,



avrai un maggior divertimento a schiattarlo...:asd: :D
GHz
13-06-2005, 20:55
Visto che hai beccato il virus più b@stardo della storia ,



avrai un maggior divertimento a schiattarlo...:asd: :D

Come no :D Oltretutto ogni tanto escono schermate blu e il pc si riavvia :mbe:

Cmq il log è questo:

Logfile of HijackThis v1.99.1
Scan saved at 21.51.07, on 13/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\OpenOffice.org1.0.1\program\soffice.exe
F:\HijackThi.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programmi\ISTbar\istbarcm.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [notes] notepaad.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKLM\..\RunServices: [Firewall Updater] msnupdateit.exe
O4 - HKLM\..\RunServices: [MotherBoard Sounds] sounds.exe
O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe
O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKLM\..\RunServices: [notes] notepaad.exe
O4 - HKLM\..\RunServices: [Service] wN2S.exe
O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] msnt32.exe
O4 - HKCU\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKCU\..\Run: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKCU\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
O4 - Startup: OpenOffice.org 1.0.1.lnk = C:\Programmi\OpenOffice.org1.0.1\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline/Free-Internet_By_Tuttogratis.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A368A5C-6A2B-43BA-8720-A83E04AC6E08}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A368A5C-6A2B-43BA-8720-A83E04AC6E08}: NameServer = 192.168.1.254
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)

Analizzandolo online sembra che ci siano diverse schifezze ma non riesco bene a capire che roba sia :stordita:
YMen
13-06-2005, 21:02
Conosci userinit32.exe? se no terminalo dal task e cancella le seguenti voci:
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe

Poi fixa cmq queste:
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programmi\ISTbar\istbarcm.dll (file missing)

O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE

O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe

O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe

O4 - HKCU\..\Run: [Windows Dynamic Loading Header] winDLL32.exe

O4 - HKCU\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline/Free-Internet_By_Tuttogratis.exe

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
poi riposta il log
Jaguar64bit
13-06-2005, 21:08
Da quello che vedo io fixa :


C:\WINDOWS\system32\userinit32.exe


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;


O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programmi\ISTbar\istbarcm.dll (file missing)


O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE


O4 - HKLM\..\RunServices: [Service] wN2S.exe


O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe


O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe


O4 - HKCU\..\Run: [Windows Dynamic Loading Header] winDLL32.exe


O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)


O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline/Free-Internet_By_Tuttogratis.exe
GHz
13-06-2005, 21:17
Grazie per i consigli :)

Ora vedo di cancellare un pò di robaccia....non saprei in che altro modo fixare :D

Non so come ma ora non si chiudono più le finestre....in compenso la lista dei processi del taskmanager è vuota :doh:
Jaguar64bit
13-06-2005, 21:20
Grazie per i consigli :)

Ora vedo di cancellare un pò di robaccia....non saprei in che altro modo fixare :D

Non so come ma ora non si chiudono più le finestre....in compenso la lista dei processi del taskmanager è vuota :doh:


Mi fai un favore ? installati ewido 3.5 beta e fai fare uno scan anche al registro con la nuova funzione che lo scansiona. http://www.ewido.net/en/download/beta/
GHz
13-06-2005, 21:44
Mi fai un favore ? installati ewido 3.5 beta e fai fare uno scan anche al registro con la nuova funzione che lo scansiona. http://www.ewido.net/en/download/beta/

Sto provando....tra poco posto quello che ha trovato :)
juninho85
13-06-2005, 22:21
C:\WINDOWS\system32\userinit32.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;<local>
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programmi\ISTbar\istbarcm.dll (file missing)
O4 - HKLM\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [notes] notepaad.exe
O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKLM\..\RunServices: [Firewall Updater] msnupdateit.exe
O4 - HKLM\..\RunServices: [MotherBoard Sounds] sounds.exe
O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe
O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKLM\..\RunServices: [notes] notepaad.exe
O4 - HKLM\..\RunServices: [Service] wN2S.exe
O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] msnt32.exe
O4 - HKCU\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKCU\..\Run: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKCU\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline/Free-Internet_By_Tuttogratis.exe
23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner -
C:\WINDOWS\System32\SCardClnt.exe (file missing)




controlla che:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A368A5C-6A2B-43BA-8720-A83E04AC6E08}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A368A5C-6A2B-43BA-8720-A83E04AC6E08}: NameServer = 192.168.1.254

siano i dns di alice;)
Jaguar64bit
13-06-2005, 22:22
Sto provando....tra poco posto quello che ha trovato :)


Non addormentarti è :D :D :p
GHz
13-06-2005, 23:00
Non addormentarti è :D :D :p

No no....fino alle 5 sono qua...se vuoi apriamo pure il bar :sofico:

Cmq grazie ancora per i consigli, ho sistemato i DNS direttamente dalla connessione di rete che quel cretino dove era stato portato il computer a sistemare aveva lasciato i settaggi della rete sua :doh: Io prima di attaccarlo alla mia voglio che sia pulitissimo altrimenti :nonsifa:

Ho provato ewido....e devo dire che ha trovato parecchia roba....:eek:

Nella scansione del registro ha trovato diversi di questi 3 spyware:

http://img59.echo.cx/img59/4939/powerscan8ac.th.png (http://img59.echo.cx/my.php?image=powerscan8ac.png)

http://img59.echo.cx/img59/5514/istbar6jp.th.png] (http://img59.echo.cx/my.php?image=istbar6jp.png)

http://img57.echo.cx/img57/5554/solutions1if.th.png (http://img57.echo.cx/my.php?image=solutions1if.png)

Poi nella scansione della memoria ha trovato 2 processi maligni e li ha eliminati.

Poi ho fatto una scansione approfondita del sistema ed ha trovato diversi virus, e li ho fatti eliminare tutti, questo il report:

---------------------------------------------------------
ewido security suite - Rapporto Scansione
---------------------------------------------------------

+ Creato il: 23.00.56, 13/06/2005
+ Report-Checksum: F7E7AF95

+ Scan result:

C:\Documents and Settings\Proprietario\Cookies\[email protected][2].txt -> Spyware.Cookie.Media-motor
C:\Documents and Settings\Proprietario\msdirectx.sys -> Trojan.Rootkit.h
C:\Programmi\Common Files\uwqk\uwqkp.exe -> Spyware.Xupiter
C:\Programmi\Power Scan\powerscan.exe -> Spyware.PowerScan
C:\WINDOWS\msnredirect.html -> TrojanDownloader.IstBar.o
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\ASLBIFHF\ncase_new[1].exe -> Spyware.180Solutions
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\ASLBIFHF\powerscan[1].exe -> Spyware.PowerScan
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\ASLBIFHF\sidefind[1].exe -> Spyware.SideFind
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\D8RC9MCM\sidefind13[1].dll -> Spyware.SideFind
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\EVRW5IUZ\cmctl[1].dll -> Spyware.AdMir
C:\WINDOWS\system32\CTSVCCD.EXE -> Backdoor.Rbot.mg
C:\WINDOWS\system32\pro.exe -> Spyware.WinFetcher.b
C:\WINDOWS\system32\__delete_on_reboot__userinit32.exe -> Backdoor.Rbot
C:\WINDOWS\system32\__delete_on_reboot__winDLL32.exe -> TrojanDownloader.Agent.mg
C:\WINDOWS\Temp\powerscan.exe -> Spyware.PowerScan
C:\WINDOWS\Temp\sidefind.exe -> Spyware.SideFind
C:\WINDOWS\Temp\tbinst.exe -> Backdoor.Rbot.azy
C:\WINDOWS\_DlrApps\Free-Internet_By_Tuttogratis.exe -> Heuristic.Win32.Dialer


::Fine Rapporto

Sembra che adesso i problemi siano spariti.....:winner:

Forte sto ewido.....sarà che non lo conosceva e non lo bloccava :D

Ora faccio un pò di pulizie dei file temporanei e provo se va la connessione....:)
Jaguar64bit
13-06-2005, 23:40
Sono contento che Ewido 3.5 beta abbia fatto bene il suo lavoro , vedo che ti ha trovato molte porcherie assortite , meno male che hai usato la nuova versione che è molto migliorata... :)
Jaguar64bit
13-06-2005, 23:44
Si ho guardato la lista di programmi che questo virus termina...pare che Ewido non ci sia...:D

ci cerdo che il pc ti da problemi...è pieno zeppo di tutto , fossi in te per sicurezza mi farei altre scansioni con i soliti programmi noti. :D
GHz
14-06-2005, 01:06
Si ho guardato la lista di programmi che questo virus termina...pare che Ewido non ci sia...:D

ci cerdo che il pc ti da problemi...è pieno zeppo di tutto , fossi in te per sicurezza mi farei altre scansioni con i soliti programmi noti. :D

Infatti...in sto PC c'era un concentrato di virus :D

Ho aggiornato NOD e fatto la scansione....trovati altri 8 virus! :eek:

C:\Programmi\Common Files\uwqk\uwqkd\vocabulary - Win32/TrojanDownloader.TSUpdate.J cavallo di troia - cancellato
C:\RECYCLER\MyLove.exe - NewHeur_PE virus probabilmente sconosciuto [7] - cancellato
C:\WINDOWS\fwk.exe - Win32/KillAV.NAC cavallo di troia - cancellato
C:\WINDOWS\update-sp5.html - Win32/Adware.MediaTickets.downloader Application - cancellato
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\PJ50KGOA\targetsaver[1].exe - Win32/TrojanDownloader.TSUpdate.J cavallo di troia - cancellato
C:\WINDOWS\Temp\GLF8GLF8.EXE - Win32/TrojanDownloader.TSUpdate.J cavallo di troia - cancellato
C:\WINDOWS\Temp\targetsaver.exe - Win32/TrojanDownloader.TSUpdate.J cavallo di troia - cancellato
C:\WINDOWS\Temp\tsinstall_4_0_3_8_b17.exe - Win32/TrojanDownloader.TSUpdate.J cavallo di troia - cancellato

Ora c'è nod che fa da guardia...ma un bel firewall ce lo metterei prima di riportarlo al proprietario....di quello di win mi fido poco :mbe:
Jaguar64bit
14-06-2005, 01:13
Incredibile..su quel Pc i virus non finiscono mai..:D ti direi di fare altri scan con altri programmi.. , ma poi non ti passa più. :D

per il firewall..non so mettici il kerio..oppure zone alarm , col sygate la versione 5.6 ad alcuni da problemi..se hai la 5.5 metti questa....oppure vai col solito ZA.
GHz
14-06-2005, 01:48
Incredibile..su quel Pc i virus non finiscono mai..:D
Veramente :D
ti direi di fare altri scan con altri programmi.. , ma poi non ti passa più. :D
Ora ho fatto una scansione con Ad-aware se ed ha trovato qualche altra schifezza dei trojan e spyware già eliminati e l'ho cancellata...poi ho fatto una scansione online con Trend Micro ed è tutto pulito...penso di aver raggiunto un buon risultato...:mc:
per il firewall..non so mettici il kerio..oppure zone alarm , col sygate la versione 5.6 ad alcuni da problemi..se hai la 5.5 metti questa....oppure vai col solito ZA.
Vada per il kerio....:D

Grazie veramente per tutti i consigli :mano:

Ciao,
GHz