Aiuto: Trojan Horse Clicker.TQR

[Iria]

Ieri sera AVG8 ha cominciato a rilevarmi a nastro questo Trojan Clicker.TQR
Nel frattempo circa 1 volta all'ora mi si apriva da solo Explorer7 (mai toccato, uso solo Firefox) con pagine pubblicitarie varie.
Ho fatto diversi scan e ho rimosso il rimovibile con AVG8 e Spybot S&D ma a quanto pare il bastardo è nascosto da qualche parte e non lo trovano.
Explorer 7 in compenso ha smesso di aprirsi da solo (probabilmente avevo anche altro in giro)



I file che trova son sempre in quelle cartelle, oppure in System32 (sigh)
sempre con nomi random simili a quello.


Log di Hijackthis

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.24.25, on 03/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\ASUS WiFi-AP Solo\RtWLan.exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\File comuni\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programmi\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "c:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programmi\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programmi\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache\Apache2.2\bin\ApacheMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D1346D3-347D-4263-8F88-317ABDFB0711}: NameServer = 213.205.32.70,213.205.36.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB373607-D296-4674-9FC0-F216B500A42D}: NameServer = 213.205.32.70,213.205.36.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D1346D3-347D-4263-8F88-317ABDFB0711}: NameServer = 213.205.32.70,213.205.36.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{2D1346D3-347D-4263-8F88-317ABDFB0711}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Apache2.2 - Apache Software Foundation - C:\Programmi\Apache\Apache2.2\bin\httpd.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: CachemanXP (CachemanXPService) - Outertech - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programmi\File comuni\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe

--
End of file - 8980 bytes

Ho riavviato e chiuso il chiudibile ma mi rendo conto che c'è un sacco di roba in background a dar fastidio.

[wjmat]

Ciao benvenuta nel pronto soccorso di HU.

Per ripulire completamente il pc segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità .

Leggi bene tutto questo post, e salvo problemi gravi, arriverai in fondo alla guida in perfetta autonomia

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner, vogliamo necessariamente in ordine e anche se non è stato rilevato nulla:

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria, se non bastasse nemmeno così prova con il rescue cd di avira, a fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM, anche una memoria RAM con qualche giorno di vita può essere la causa di tutti i mali...

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log, qui e qui esempi precisi ed ordinati di come vorremmo tu li caricassi.

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com, imageshack

[Iria]

Sorry wjmat, ho zompato molti step della procedura basandomi su altri thread con problemi "simili" che ho trovato in questa sezione.

Riparto da capo seguendo le indicazioni:

1. Ho cancellato tutta la roba inutile con ATF Cleaner
2. PrevxCSI, non ha trovato nulla
3. Malwarebytes log http://www.mediafire.com/?0lzukyttnmg
4. A-Squared log http://www.mediafire.com/?m5wk5myjdlz
5. Fsecure log http://www.mediafire.com/?rd1zoq2mmdy
6. Dr.Web Cureit ha solo trovato e cancellato una cosa dalla quarantena di Spybot S&D, non posto il log per privacy.
7. ESET Sysinspector non ha trovato nulla, log http://www.mediafire.com/?wmhjqyh2dm2
8. Hijackthis, nuovo log http://www.mediafire.com/?mejt4jmwzzg
9. Gmer, log http://www.mediafire.com/?e2zgjtcnv4d
10. Nuovo scan di PrevxCSI risultato pulito

Ho fatto i compiti stavolta!
Ci ho messo ore ma.. magari ne è valsa la pena.

Però purtroppo non è cambiato molto..
Ogni tot tempo i .exe in impostazioni locali si "ricreano" e AVG me li segnala di continuo..
Ho in C: un file chiamato bold.log
non so assolutamente cosa sia e al suo interno c'è scritto questo

Codice:

3120 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() enter
3120 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() - decoding strings to put into memory
3120 (C:\WINDOWS\system32\05Uikv36.exe): InsertID enter
3120 (C:\WINDOWS\system32\05Uikv36.exe): InsertID exit
3120 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() exit
3120 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() returned 1
3120 (C:\WINDOWS\system32\05Uikv36.exe): enum procs to inj returned 51
1780 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() enter
1780 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init()  - mem already initialized
1780 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() returned 50
3700 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() enter
3700 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init()  - mem already initialized
3700 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() returned 50
1124 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() enter
1124 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init()  - mem already initialized
1124 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() returned 50
3840 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() enter
3840 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init()  - mem already initialized
3840 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() returned 50
2668 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() enter
2668 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init()  - mem already initialized
2668 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() returned 50
3148 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() enter
3148 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init()  - mem already initialized
3148 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() returned 50
3320 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() enter
3320 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init()  - mem already initialized
3320 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() returned 50
2708 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() enter
2708 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init()  - mem already initialized
2708 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() returned 50
1476 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() enter
1476 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init()  - mem already initialized
1476 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() returned 50
1040 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() enter
1040 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init()  - mem already initialized
1040 (C:\WINDOWS\system32\05Uikv36.exe): bold_shm_init() returned 50

Quelle righe ripetute sono aumentate tantissimo dalla prima volta che l'ho visto.. non so se è un file legato al mio maledetto trojan

[wjmat]

i log sarebbe meglio che li caricassi tutti

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "c:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programmi\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O16  - tutte le voci

carica un log di Combofix (leggi bene le info)

[Chill-Out]

Successivamente allega un log degli StartUp ==>> esegui HijackThis -> clicca su Open the Misc Tool section -> Generate Startup List log spuntando entrambi i campi a destra.

Anche se apparentemente pulito allega il log di Prevx CSI

Ciao

[Iria]

Vi ringrazio per le risposte, AVG è tutto il giorno che non mi segnala più niente, in ogni caso appena ne ho la possibilità faccio tutto e posto i log.

Ad ogni modo.. stavo pensando di formattare la partizione col sistema operativo e tutti i programmi, tanto per ripulire tutto visto che è un bel po' che non lo faccio. Il mio problema è capire la fonte del trojan. Se formattassi C per poi scoprire che la fonte del problema è su D... sarebbe solo peggio.

Non ho idea su che tipo di file si attacchino sti virus, da dove vengono e come agiscono, quindi boh, proverei a pulire tutto prima di formattare in ogni caso.

[wjmat]

facendo le scansioni complete anche d: è stata ripulita

[Iria]

Ho deciso di non formattare ma di perseverare..

Log di Hijackthis http://www.mediafire.com/file/dnngyd...ijackthis3.log
Startup List di Hijackthis http://www.mediafire.com/file/mzdmwg...tartuplist.txt
Log di Combofix http://www.mediafire.com/file/ennxey0nnwy/ComboFix.txt

E infine il log di PrevxCSI anche se pulito http://www.mediafire.com/file/tumqyjuum2e/PrevxCSI.log

[Chill-Out]

Quote:

Originariamente inviato da Iria

Ho deciso di non formattare ma di perseverare..

Log di Hijackthis http://www.mediafire.com/file/dnngyd...ijackthis3.log
Startup List di Hijackthis http://www.mediafire.com/file/mzdmwg...tartuplist.txt
Log di Combofix http://www.mediafire.com/file/ennxey0nnwy/ComboFix.txt

E infine il log di PrevxCSI anche se pulito http://www.mediafire.com/file/tumqyjuum2e/PrevxCSI.log

Apri il Blocco Note copia e incolla questa righe:

Quote:

File::
c:\windows\System32\Drivers\SjyPkt.sys
C:\WINDOWS\system32\05Uikv36.exe
c:\windows\Tasks\At1.job
c:\windows\Tasks\At10.job
c:\windows\Tasks\At11.job
c:\windows\Tasks\At12.job
c:\windows\Tasks\At13.job
c:\windows\Tasks\At14.job
c:\windows\Tasks\At15.job
c:\windows\Tasks\At16.job
c:\windows\Tasks\At17.job
c:\windows\Tasks\At18.job
c:\windows\Tasks\At19.job
c:\windows\Tasks\At2.job
c:\windows\Tasks\At20.job
c:\windows\Tasks\At21.job
c:\windows\Tasks\At22.job
c:\windows\Tasks\At23.job
c:\windows\Tasks\At24.job
c:\windows\Tasks\At25.job
c:\windows\Tasks\At26.job
c:\windows\Tasks\At27.job
c:\windows\Tasks\At28.job
c:\windows\Tasks\At29.job
c:\windows\Tasks\At3.job
c:\windows\Tasks\At30.job
c:\windows\Tasks\At31.job
c:\windows\Tasks\At32.job
c:\windows\Tasks\At33.job
c:\windows\Tasks\At34.job
c:\windows\Tasks\At35.job
c:\windows\Tasks\At36.job
c:\windows\Tasks\At37.job
c:\windows\Tasks\At38.job
c:\windows\Tasks\At39.job
c:\windows\Tasks\At4.job
c:\windows\Tasks\At40.job
c:\windows\Tasks\At41.job
c:\windows\Tasks\At42.job
c:\windows\Tasks\At43.job
c:\windows\Tasks\At44.job
c:\windows\Tasks\At45.job
c:\windows\Tasks\At46.job
c:\windows\Tasks\At47.job
c:\windows\Tasks\At48.job
c:\windows\Tasks\At5.job
c:\windows\Tasks\At6.job
c:\windows\Tasks\At7.job
c:\windows\Tasks\At8.job
c:\windows\Tasks\At9.job
c:\windows\system32\Hkj5S488.exe
C:\WINDOWS\system32\05Uikv36.exe.a_a

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

NB: disabilita tutti i software di sicurezza Antivirus - Anispyware etc.........

[Iria]

Quote:

Originariamente inviato da Chill-Out

Apri il Blocco Note copia e incolla questa righe:

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

NB: disabilita tutti i software di sicurezza Antivirus - Anispyware etc.........

Fatto.
Tanto per sapere cos'ho appena fatto, cos'erano i file.job? Ma soprattutto.. gli exe?
Dai report non capisco molto
Nuovo report di ComboFix (questo programma mi inquieta, sembra capace di distruggermi il SO con un solo gesto): http://www.mediafire.com/file/dlehej...ComboFix_2.txt

Grazie

[wjmat]

i .job sono i file delle operazioni pianificate, ma in questo caso, invece che richiamare un aggiornamento, un backup andavano a richiamare files infetti

effettivamente combo inquieta un pò...

crea un nuovo file CFScript.txt con all'interno questo codice
fai come prima, e carichi il nuovo log

Codice:

driver::
c:\windows\System32\Drivers\SjyPkt.sys

vedi sotto stringa corretta da chill

[Chill-Out]

Quote:

Originariamente inviato da wjmat

i .job sono i file delle operazioni pianificate, ma in questo caso, invece che richiamare un aggiornamento, un backup andavano a richiamare files infetti

effettivamente combo inquieta un pò...

crea un nuovo file CFScript.txt con all'interno questo codice
fai come prima, e carichi il nuovo log

Codice:

driver::
c:\windows\System32\Drivers\SjyPkt.sys

Così

Quote:

File::
c:\windows\System32\Drivers\SjyPkt.sys

Driver::
SjyPkt

[Iria]

Done
Log di ComboFix http://www.mediafire.com/file/mtrzng...ComboFix_3.txt

[Chill-Out]

Quote:

Originariamente inviato da Iria

Done
Log di ComboFix http://www.mediafire.com/file/mtrzng...ComboFix_3.txt

Ok ci aggiorni sullo stato del PC

[Iria]

Quote:

Originariamente inviato da Chill-Out

Ok ci aggiorni sullo stato del PC

Il pc sembra a posto
Nessun comportamento strano nè file che si moltiplicano come funghi.

Ho fatto uno scan di C con AntiVir ed è risultato pulito (in caso qui c'è il report http://www.mediafire.com/file/5dxn1t...1-515B1D08.LOG )

L'unica cosa sospetta sono questi

Codice:

Begin scan in 'C:\'
C:\pagefile.sys
    [WARNING]   The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNING]   The file could not be opened!

Inoltre ho delle cose nuove in C: che non so da dove vengano
tipo tal "sccfg.sys" e due cartelle "Qoobox" e "fsaua.data"

Any clue?

(Grazie ancora siete davvero disponibili )

[Chill-Out]

Quote:

Originariamente inviato da Iria

Il pc sembra a posto
Nessun comportamento strano nè file che si moltiplicano come funghi.

Ho fatto uno scan di C con AntiVir ed è risultato pulito (in caso qui c'è il report http://www.mediafire.com/file/5dxn1t...1-515B1D08.LOG )

L'unica cosa sospetta sono questi

Codice:

Begin scan in 'C:\'
C:\pagefile.sys
    [WARNING]   The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNING]   The file could not be opened!

Inoltre ho delle cose nuove in C: che non so da dove vengano
tipo tal "sccfg.sys" e due cartelle "Qoobox" e "fsaua.data"

Any clue?

(Grazie ancora siete davvero disponibili )

Tutto regolare, direi che siamo a posto leggi attentamente qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

[Iria]

Sir, yes Sir!

Grazie ancora

[Chill-Out]

Prego