[win XP] Trojan.Win32.BHO.agz

[andreaxol]

Ciao a tutti

Sto letteralmente impazzendo per cercare di rimuovere un trojan che ha infestato un pc di un cliente. Come antivirus utilizzo F-Secure Corporate 7.0 e questo lo rivela come Trojan.Win32.BHO.agz.

Spyware doctor e aSquared non sono riusciti a rimuoverlo.
Ho fatto pulizia con Hijackthis ma due voci si ricreano...in pratica la dll che è impossibile eliminare anche in modalità provvisoria e utilizzando utility apposite è C:\Windows\System32\drpcllr.dll

Devo provare con ComboFix ma non ho molte speranze...

Anche alla Kaspersky non hanno trovato una soluzione:

http://www.kaspersky.com/viruswatchl...&hour_offset=7

Non mi resta che...formattare?

[Riverside]

Quote:

Originariamente inviato da andreaxol

Non mi resta che...formattare?

Per via di uno stupido trojano?

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

installa PREVX CSI: clicca qui per il download
● una volta installato, esegui una scansione
● al termine della scansione, clicca su:
● Options
● Save Log
allega log salvato

installa TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download
● scompattalo in una cartella dedicata (è un tool standalone)
● lancia il tool e clicca su Scan
● al termine della scasione ti verrà richiesto di salvare il log
● se venissero rilevati Rootkit provvedi alla loro eliminazione
● il log verrà salvato in una cartella denominata TRMBLog che trovi all'interno della cartella dedicata che hai precedentemente creato
allega il log salvato

BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online
● una volta aperta la pagina, clicca I AGREE: ti farà scaricare un activex, tu segui la procedura guidata.
allega il Report che verrà rilasciato

Al termine Riavvia

Installa HIJACKTHIS: clicca qui per il download
● crea una apposta nuova Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona)
● lancialo, clicca su Do a system scan and save a logfile ed una volta che è stata creata la list, clicca su Save Log
Allega il log che verrà rilasciato

Pulisci gli eventuali ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

ATTENZIONE

Per quanto riguarda la pubblicazione dei log e/o report che richiesti: li host su Zshare clicca qui per raggiungere ZShare, pubblicando, nella discussione, il link che verrà rilasciato, per ogni singolo log, per il download.

[andreaxol]

Grazie 1000. Ora non posso fare queste prove, giovedi rientro al lavoro e metto subito in pratica.

Dimenticavo...ho provato con il Prevx 2.0 che rivela qualcosa ma per la rimozione è richiesta l' attivazione...ma da quando? Mi ricordavo fosse trial 30 giorni!

[Chill-Out]

Quote:

Originariamente inviato da andreaxol

Grazie 1000. Ora non posso fare queste prove, giovedi rientro al lavoro e metto subito in pratica.

Dimenticavo...ho provato con il Prevx 2.0 che rivela qualcosa ma per la rimozione è richiesta l' attivazione...ma da quando? Mi ricordavo fosse trial 30 giorni!

Prevx CSI è solo un tool diagnostico, preoccupati solo di allegare il log insieme agli altri richiesti.

[andreaxol]

Quote:

Originariamente inviato da Chill-Out

Prevx CSI è solo un tool diagnostico, preoccupati solo di allegare il log insieme agli altri richiesti.

Mii riferivo al Prevx Anti-Malware 2.0

[Chill-Out]

Quote:

Originariamente inviato da andreaxol

Mii riferivo al Prevx Anti-Malware 2.0

Ed io mi riferivo a Prevx CSI, quindi o scarichi la trial di Prevx per l'eventuale rimozione dei malware trovati o utilizzi Prevx CSI e li rimuoviamo a manina.

[andreaxol]

Quote:

Originariamente inviato da Chill-Out

[...]quindi o scarichi la trial di Prevx per l'eventuale rimozione dei malware trovati [...]

Purtroppo, come ho scritto sopra, ora per rimuovere le infezioni è necessaria l' attivazione.

Appena rientro al lavoro seguo la procedura postata.

[Chill-Out]

ribadisco segui la procedura e allega oltre agli altri log anche quello di Prevx CSI, ciao.

[Riverside]

Quote:

Originariamente inviato da andreaxol

Purtroppo, come ho scritto sopra, ora per rimuovere le infezioni è necessaria l' attivazione.
Appena rientro al lavoro seguo la procedura postata.

Nessuno ti ha chiesto di eseguire una attivazione (che, per altro, è a pagamento, di PreX CSI: ti è stato chiesto di pubblicare il log che viene rilasciato.
E', questo, di difficile comprensione?.
L'eventuale inferzione, la rimuoviamo lo stesso, manualmente.

[andreaxol]

Quote:

Originariamente inviato da andreaxol

Dimenticavo...ho provato con il Prevx 2.0 che rivela qualcosa ma per la rimozione è richiesta l' attivazione...ma da quando? Mi ricordavo fosse trial 30 giorni!

Ragazzi non facciamo inutili polemiche. Non mi riferivo al CSI...ho solo fatto una considerazione sul Prevx Anti Malware 2.0. Anche questo non mi sembra di difficile comprensione

Fino a quando non rientro al lavoro non posso postare il log.

[andreaxol]

In compenso sono appena stato da un amico che ha un' infezione simile. Spybot 1.5 la rileva come "Free AntiSpyware" infatti all' apertura di Explorer si apre il download di un' anti spyware fake. Sembra rimuoverla senza problemi.

[andreaxol]

Aggiornamenti.

Scansione con Prevx 2.0, acquistata licenza per rimozione minaccia...esito negativo.

E alla fine ho fatto quello che avrei dovuto fare subito, collegare l' hard disk su un altro pc con un adattatore usb ed eseguire la rimozione manuale delle dll e le scansioni.


Vabè, 20 € per la licenza del Prevx non sono la fine del mondo.

[fafafSonny-84sdfsdfsdf]

premesso ke ho fatto tutte le scansioni e salvato i vari report e log... nn sono stato capace di inviarvelo tramite Zshare
ki mi spiega come si creano i tag?




attendo una vostra risposta

ciao a tutti

[xcdegasp]

Quote:

Originariamente inviato da Sonny-84

premesso ke ho fatto tutte le scansioni e salvato i vari report e log... nn sono stato capace di inviarvelo tramite Zshare
ve li scrivo qui i risultati:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.33.51, on 05/01/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal



attendo una vostra risposta

ciao a tutti

visto che hai letto la "Guidalla disinfezione per Infetti" dovresti aver letto anche le Regole di Sezione, visto che il metodo da te usato per inserire i log non è un metodo corretto sei ufficialmente richiamato.
al secondo avvertimento sei sospeso!

il metodo per inserire i log è importante per rendere scorrevole la discussione e agevolare il compito a chi si pone come infermiere per aiutare il malcapitato.. è quindi buon senso da parte dell'utente infetto immedesimarsi in chi proporrà il suo tempo gratuitamente per aiutare la disinfezione di un pc e cercando una massima cooperazione..

grazie per l'attenzione

[fafafSonny-84sdfsdfsdf]

mi spiegate come si mettono i tag..????

[murack83pa]

se devi postare log, nn utilizzare la funzione tag, utilizza la funzione allegati oppure ancora meglio carichi i log sul sito www.zshare.net e copi qui il link x il download.....cosi come spiegate nelle famose regole di sezione

[Polpett@]

Ciao è la prima volta che scrivo. Ho anche io qualche problemino con Win32.bho.agz.
Ho seguito la procedura di River e vi post i log. Mi date una mano? Grazie


http://www.zshare.net/download/65791500558854/

http://www.zshare.net/download/657928109efd34/

http://www.zshare.net/download/6579298c5f88c3/

http://www.zshare.net/download/65793108110199/

[murack83pa]

ciao Polpett@:
ho letto il log di hijackthis.....hai per caso ricevuto la classica email con il virus Christmas.exe?
facciamo cosi :

1- Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

2- Installa CCLEANER: DOWNLOAD
clicca sulla icona di Setup, si avvierà il Wizard di installazione; una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

3- rilancia HIJACKTHIS e fixa queste voci:

Quote:

O2 - BHO: (no name) - {78FBFD68-5D47-4465-A32D-67CAE9A7FE5F} - C:\WINDOWS\system32\ddrawi.dll

O4 - HKCU\..\Run: [ChristmasTree] C:\Documents and Settings\Cicci\Impostazioni locali\Temp\Christmas.exe

4- scarica questo tool di kasersky: DOWNLOAD
lo installi, gli fai fare una scansione completa, salva il report e lo posti qui

5-fai una nuova scansione con HIJACKTHIS e posta qui il log

stai attento a come posti i log, scegliendo tra:
1)la funzione allegati, rinominando i log in formato txt
2)caricare il log su FileUp, copiando qui i link x il download
è preferibile l'ultima opzione

ciao

[Polpett@]

Grazie Murack !
ti posto solo il log di hijackthis perchè kaspersky mi crea un report di 155 mb !

Forse ho fatto un passaggio sbagliato? Comunque neanche kasper riesce ad eliminare quel file che mi dicevi di fixare.

http://www.fileup.itadib.com/downloa...hJn6TuzzGz1XKq

[murack83pa]

un risultato l'abbiamo raggiunto: quel christmas.exe nn c'è piu

x quanto riguarda il log di kaspersky, spezzettalo e riporta solo la parte della individuazione ed eliminazione di virus, ok?

questo log di hijackthis l'hai fatto dopo aver fatto girare kaspersky?

voglio vedere se e cosa ha trovato kaspersky....