[risolto][win XP] Nuovo utente PC... spero sia solo un dialer

[mikimac]

Ciao a tutti, sono un "nuovo" utente PC e mi imbatto per la prima volta in virus e antivirus.
Espongo il problema: ho una connessione UMTS tramite Tim (modem nokia N73) e a un certo punto, mentre navigo, la connessione a Tim cade e il cel cerca di chiamare un altro numero. Guardando nel pannello di controllo/connessioni di rete mi compare una nuova connessione remota chiamata internet che prova a connettersi.

Ora allego LOG, sperando di aver fatto tutto giusto.

[mikimac]

Questo è il LOG di PrevX CSI
Prevx CSI Build: (v1.2.101.109)
Prevx Computer Security Investigator Output Log
System analyzed at: 01/03/08 at 01:20:55

[mikimac]

Scusate se posto a pezzi ma con la connessione che va e viene è un disastro...

Risultato Scansione con Nanoscan online:
Riassunto:
Il PC è infetto con 2 virus (Nascondi dettagli)

Dettagli:
Pericolosità Nome Minaccia (3) Tipo Stato
Media Spyware/MarketScore (1)
C:\WINDOWS\SOUNDLIB.EXE
Spyware Latente
Bassa Generic Malware (1)
C:\DOCUMENTS AND SET...I\TEMP\ZOVZAA.EXE
Trojan Attivo
N/A File Sospetto (1)
C:\WINDOWS\SYSTEM32\WEBMONS.DLL
- Attivo

Ora:
26 secondi
Antivirus:
Grisoft AVG 7.5.516 (attivo e aggiornato)

[mikimac]

Questo è il log con Hijackthis

[deneb87]

lol metti il log dentro il tag code modificando il mex

[Gle89]

mikimac vedo con piacere che hai letto ed eseguito da sola la Guida alla disinfestazione e questo mi fa molto piacere, però i log vanno allegati TUTTI, quindi quello di PREVXCSI sei pregato di cancellarlo e di allegarlo (dato che è troppo grosso uppalo su www.zshare.net)

Appena avrai ri-modificato il post "incriminato" ti daremo assistenza e stai certo che ne verrai a capo.

Ti aspetto!

[xcdegasp]

@ mikimac:
sinceramente non capisco cosa t'abbia spinto a inserire il log di prevx con un semplice copia/incolla visto che dovresti essere stato conscio della lunghezza di tale log e hai dimostrato di conoscere le Regole di Sezione...
ovviamente te l'ho rimosso e sono veramente convinto che userai metodi più consoni per allegare i log, basta che tu per primo provi a rileggerli dopo averli inseriti per comprendere quale sia il sistema migliore per analizzarli in comodità...

inutile dire che se si ripete il problema sospendo inquanto porta il thread a non essere fruibile e diventare molto dispersivo

[Gle89]

mikimac se lo hai attivo, disabilita il ripristino di configurazione di sistema che dovrà rimanere disabilitato fino alla fine della disinfestazione
(start – programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).

Ora apri di nuovo HiJackThis con la seconda opzione “do a system scan” e seleziona le voci che ti riporterò qui sotto, mettendo il segno di spunta verde alla sinistra di ogni voce. Alla fine premi “Fix Checked”in fondo e dai la conferma. Chiudi pure HiJackThis.

Queste sono le voce da fixare:

Quote:

O2 - BHO: MouseGest - {112AB43D-32C4-3B21-53BA-13A46743BC34} - C:\WINDOWS\system32\mousegex.dll
O2 - BHO: Web Mon - {7428F943-BC4F-4A39-3B43-AB433C523B34} - C:\WINDOWS\system32\WebMons.dll
O4 - HKLM\..\Run: [zovzaa.exe] C:\DOCUME~1\casa\IMPOST~1\Temp\zovzaa.exe
O4 - HKLM\..\Run: [Soundlibs] C:\WINDOWS\soundlib.exe
O4 - HKLM\..\RunOnce: [VcCleanUp.exe] C:\DOCUME~1\casa\IMPOST~1\Temp\VcCleanUp.exe /F C:\PROGRA~1\FILECO~1\SYMANT~1\LiveReg\ /RemoveAll

ora scarica l’ultima versione di VirIt:clicca qui per il download.
Installalo, eseguilo, aspetta il termine del controllo della memoria, ed AGGIORNALO (è importante). Fai la scansione completa del sistema (salva il log allegalo qui)

Adesso vai nella cartella C:\WINDOWS\system32 (ricordati di abilitare la visualizzazione di cartelle e file nascosti) e cerca ed elimina questi file:

soundlib.exe
mouseges.dll
WebMons.dll
syszxhqz.exe

ora CCLEANER: clicca qui per il download
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Aggiorna INTERNET EXPLORER alla versione 7: clicca qui per il download


Alla fine riavvia il pc, rifai un log di HJT e allegalo qui insieme a quello di VIRIT

[mikimac]

Inizio postando il log erroneamente incollato prima più quello di Gmer:

log prevxcsi.txt - 0.40MB
gmer.log - 0.08MB

Spero di aver fatto tutto giusto... e comincio con i primi suggerimenti.

Thanks

[xcdegasp]

sei pieno di rootkit...

Codice:

C:\WINDOWS\system32\mousegex.dll

	Loaded into: C:\WINDOWS\Explorer.EXE

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{112AB43D-32C4-3B21-53BA-13A46743BC34}\(default)	MouseGest

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{112AB43D-32C4-3B21-53BA-13A46743BC34}\(default)	MouseGest

PX5: 23033A8900075B7ABCDB00B9E534F000FA1C22FB

MD5: 1372c5fa34a1d707112973915544df14

Determination: SUSPICIOUS

C:\WINDOWS\system32\WebMons.dll

	Loaded into: C:\WINDOWS\Explorer.EXE

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7428F943-BC4F-4A39-3B43-AB433C523B34}\(default)	Web Mon

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7428F943-BC4F-4A39-3B43-AB433C523B34}\(default)	Web Mon

PX5: 18ECC594000016C2E24700F1DADEF3007AE8E6EB

MD5: dd6d5081e6939f04c85ee50cdf16d902

Determination: BAD

Malware Group: Generic.Malware

C:\WINDOWS\system32\syszxhqz.exe

	Loaded into: C:\WINDOWS\system32\syszxhqz.exe

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Run\syszxhqz	"c:\windows\system32\syszxhqz.exe"

	Loaded from: ROOTKIT

	Loaded from: ROOTKIT

	Loaded from: FILE

PX5: 12093AC4F8684E6F8C0C00AC55840100863A8CBF

MD5: 207358c6886ccba47f85565f0ed8c9ef

Determination: SUSPICIOUS

scarica Panda AntiRootKit e fai la scansione profonda

cmq strano che Gmer non abbia identificato voci in rosso...

[mikimac]

Quote:

Originariamente inviato da Gle89

mikimac se lo hai attivo, disabilita il ripristino di configurazione di sistema che dovrà rimanere disabilitato fino alla fine della disinfestazione
(start – programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).

Ora apri di nuovo HiJackThis con la seconda opzione “do a system scan” e seleziona le voci che ti riporterò qui sotto, mettendo il segno di spunta verde alla sinistra di ogni voce. Alla fine premi “Fix Checked”in fondo e dai la conferma. Chiudi pure HiJackThis.

Queste sono le voce da fixare:


ora scarica l’ultima versione di VirIt:clicca qui per il download.
Installalo, eseguilo, aspetta il termine del controllo della memoria, ed AGGIORNALO (è importante). Fai la scansione completa del sistema (salva il log allegalo qui)

Adesso vai nella cartella C:\WINDOWS\system32 (ricordati di abilitare la visualizzazione di cartelle e file nascosti) e cerca ed elimina questi file:

soundlib.exe
mouseges.dll
WebMons.dll
syszxhqz.exe

ora CCLEANER: clicca qui per il download
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Aggiorna INTERNET EXPLORER alla versione 7: clicca qui per il download


Alla fine riavvia il pc, rifai un log di HJT e allegalo qui insieme a quello di VIRIT

Posto i log:

[mikimac]

Quote:

Originariamente inviato da xcdegasp

sei pieno di rootkit...

Codice:

C:\WINDOWS\system32\mousegex.dll

	Loaded into: C:\WINDOWS\Explorer.EXE

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{112AB43D-32C4-3B21-53BA-13A46743BC34}\(default)	MouseGest

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{112AB43D-32C4-3B21-53BA-13A46743BC34}\(default)	MouseGest

PX5: 23033A8900075B7ABCDB00B9E534F000FA1C22FB

MD5: 1372c5fa34a1d707112973915544df14

Determination: SUSPICIOUS

C:\WINDOWS\system32\WebMons.dll

	Loaded into: C:\WINDOWS\Explorer.EXE

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7428F943-BC4F-4A39-3B43-AB433C523B34}\(default)	Web Mon

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7428F943-BC4F-4A39-3B43-AB433C523B34}\(default)	Web Mon

PX5: 18ECC594000016C2E24700F1DADEF3007AE8E6EB

MD5: dd6d5081e6939f04c85ee50cdf16d902

Determination: BAD

Malware Group: Generic.Malware

C:\WINDOWS\system32\syszxhqz.exe

	Loaded into: C:\WINDOWS\system32\syszxhqz.exe

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Run\syszxhqz	"c:\windows\system32\syszxhqz.exe"

	Loaded from: ROOTKIT

	Loaded from: ROOTKIT

	Loaded from: FILE

PX5: 12093AC4F8684E6F8C0C00AC55840100863A8CBF

MD5: 207358c6886ccba47f85565f0ed8c9ef

Determination: SUSPICIOUS

scarica Panda AntiRootKit e fai la scansione profonda

cmq strano che Gmer non abbia identificato voci in rosso...

Panda dice che non ha trovato alcun rootkit...

Devo riprovare con Gmer?

Thanks

[murack83pa]

ciao
x caso virit l'hai fatto girare prima di panda antirootkit?
xchè dal log di virit sembra che quei rootkit che deg ti aveva segnalato siano stati rimosssi proprio da virit che ha fatto molto bene il suo lavoro
dal log di hijackthis sembra che siamo sulla buona strada, è pulito
ti consiglierei di fare un altro controllo con prevcsi, x essere sicuri
vediamo che dicono gli altri
bye bye

[Gle89]

Si i virus sono stati completamente rimossi da VIRIT IL log di HJT è pulito.

Quali altri problemi hai?

[mikimac]

Quote:

Originariamente inviato da Gle89

Si i virus sono stati completamente rimossi da VIRIT IL log di HJT è pulito.

Quali altri problemi hai?

Innanzitutto mille grazie, ieri sera non mi si è mai disconnesso, ho la flat serale e stasera ti/vi darò conferma.

1. Stamattina all'accensione è partito VIRIT in automatico e ha trovato 2 trojan legati a un software che ho in seguito disinstallato, rilanciando VIRIT non ha trovato più nulla. Da cosa dipende?

2. A questo punto se il PC dovesse essere pulito cosa ne faccio dei circa 15 antivirus e simili che ho installato?

3. In attesa di riuscire a comprare un Mac anche per casa nuova come faccio a tenere pulito il PC? (forse c'è una discussione a riguardo , meglio che controlli o posso approfittare del post?)
Io ho AVG free, AVG per spyware e rootkit, sono sufficienti?

[murack83pa]

ciao
1- che software avevi installato?
2-come antivirus avg è buono, xò obiettivamente il migliore in assoluto è avira, come antispyware tieniti avg antispyware , aggiungerei anche superantispyware e asquared, che fanno scansioni a comando, quindi nn appesantiscono la tua ram in quanto senza protezione realtime
ti consiglio di installare un firewall, come comodo, oppure online armor
vai qui dove ti sapranno consigliare meglio
bye

[xcdegasp]

io aggiungo che si potrebbe anche passare a linux risparmiando su un eventuale spesa di un mac

[mikimac]

Giusto per chiudere la discussione, il simpaticissimo Dialer, mi è costato la bellezza di 185 euro in telefonate all'899 quando, per un mesetto, ho utilizzato il 56K... scusate l'OT (credo) ma avevo bisogno di parlarne con qualcuno

[Riverside]

Quote:

Originariamente inviato da mikimac

Giusto per chiudere la discussione, il simpaticissimo Dialer, mi è costato la bellezza di 185 euro in telefonate all'899 quando, per un mesetto, ho utilizzato il 56K... scusate l'OT (credo) ma avevo bisogno di parlarne con qualcuno

In vertià, dovresti parlarne con quelli della Telecom e, soprattutto, richiedere, espressamente, la disabilitazione dei numeri telefonici a costo aggiuntivo.