Trojan/virus Smitfraud

brunosac · 16-07-2005, 18:28

Salute a tutti, ho preso ieri quest'affare che mette sul desktop un avviso di infezione al posto dello sfondo, ed un'iconcina rotonda rossa vicino all'orologio con lo stesso avviso che rimanda al sito SPGuard). Naturalmente installa anche un certo numero di files e di chiavi di registro...
Dopo innumerevoli scansioni (anche in modalità provvisoria, con antivirus installati ed in linea e 4/5 antispyware) e cancellazioni seguendo i consigli di vari siti, mi è rimasto apparentemente solo un problema.
Durante il riavvio di Windows (XP Home SP2) il sistema si pianta per circa un minuto sulla normale videata azzurra "Windows XP", e dopo per un altro minuto sullo sfondo desktop.
In seguito carica icone, barra ed il resto.
Subito prima di ciò esegue un tentativo di accesso al floppy.
Tutto a posto anche in Hijackthis.
Che ne dite?
Grazie, ciao a tutti.

andorra24 · 16-07-2005, 18:39

Forse e' rimasto qualche residuato bellico. Prova a postare il log di hijackthis oppure prova ad usare ewido security suite: http://www.ewido.net/en/download/

brunosac · 16-07-2005, 20:29

Ciao Andorra, e grazie per l'intervento.
Non conoscevo questo Ewide, ha trovato 3 oggetti ma il problema rimane.
Ecco il logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20.27.26, on 16/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\vssvc.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Outlook Express\msimn.exe
C:\WINDOWS\system32\mmc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bruno Sacco\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Microsoft® JavaScript® Console - {B1246FF6-710D-4D6C-8C11-F6C54B084840} - C:\WINDOWS\System32\comdlg32.ocx
O9 - Extra 'Tools' menuitem: JavaScript Console - {B1246FF6-710D-4D6C-8C11-F6C54B084840} - C:\WINDOWS\System32\comdlg32.ocx
O9 - Extra button: Microsoft® JavaScript® Console - {B1246FF6-710D-4D6C-8C11-F6C54B084840} - C:\WINDOWS\System32\comdlg32.ocx (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {B1246FF6-710D-4D6C-8C11-F6C54B084840} - C:\WINDOWS\System32\comdlg32.ocx (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093647884703
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{963E7D35-000A-4E9C-B3AB-872A51A187B1}: NameServer = 85.37.17.8 151.99.125.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe

andorra24 · 16-07-2005, 20:41

Il tuo log e' pulito. Non c'e' nulla di strano. Sei sicuro di non aver cancellato qualche file importante durante le scansioni che hai fatto per rimuovere quel virus?

brunosac · 16-07-2005, 21:20

Allora, dopo una ulteriore pulizia con altro anti-spyware, alcuni check sul floppy ed ulteriore riavvio, sembra tutto a posto.
Non ho capito il "residuato" dove stava, ma vabbè...
Ti ringrazio molto per l'interessamento

(speriamo non ci siano ricadute!)
Grazie ancora e ciao!

andorra24 · 16-07-2005, 21:34

Quote:

Originariamente inviato da brunosac

Allora, dopo una ulteriore pulizia con altro anti-spyware, alcuni check sul floppy ed ulteriore riavvio, sembra tutto a posto.
Non ho capito il "residuato" dove stava, ma vabbè...
Ti ringrazio molto per l'interessamento

(speriamo non ci siano ricadute!)
Grazie ancora e ciao!

OK, ciao

juninho85 · 18-07-2005, 00:02

C:\WINDOWS\System32\vssvc.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

questi mi sono nuovi...sai a cosa fanno riferimento?

andorra24 · 18-07-2005, 00:09

Quote:

Originariamente inviato da juninho85

C:\WINDOWS\System32\vssvc.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

questi mi sono nuovi...sai a cosa fanno riferimento?

Sono entrambi sicuri:
http://www.liutilities.com/products/...library/vssvc/
http://www.liutilities.com/products/...rary/sisusbrg/

Wylly82 · 18-07-2005, 19:26

Un pc mi è stato portato con questo stesso virus, (non se dipenda dal virus ma a video da problemi come se la scheda video fosse bacata da righe verticali anche in provvisoria la visuale fa schife), io ora sto facendo una scansione col norton da provvisoria, ho passato adware, ho passato altri due antispyware scaricati al momento ma non hanno risolto il problema, vabbè il desktop disattivandolo ritorna normale. ma rimane nel sistemtry quella x rossa che dice sistema infetto, ho provato a cercare le chiavi di registro da cancellare come dice il sito symn.. te niente.. mi puoi dire tu come lo hai risolto?ehehe è tutto il pomeriggio che ci sbattevo la testa GRAZIE

Wylly82 · 18-07-2005, 19:29

scusate dimenticavo una cosa importante il Sistema è W2000

andorra24 · 18-07-2005, 19:33

Questo sembrerebbe in grado di rimuoverlo:http://www.adwareaway.com/download/AdwareAway.exe
Per sicurezza puoi anche postare il log di hijackthis

brunosac · 18-07-2005, 21:12

Quote:

Originariamente inviato da Wylly82

Un pc mi è stato portato con questo stesso virus.. mi puoi dire tu come lo hai risolto?ehehe è tutto il pomeriggio che ci sbattevo la testa GRAZIE

Ciao, la soluzione di base sarebbe qui:
http://www.bleepingcomputer.com/foru...id-t17258.html

16-07-2005, 18:28	#1
brunosac Member Iscritto dal: Oct 2004 Messaggi: 83	Trojan/virus Smitfraud Salute a tutti, ho preso ieri quest'affare che mette sul desktop un avviso di infezione al posto dello sfondo, ed un'iconcina rotonda rossa vicino all'orologio con lo stesso avviso che rimanda al sito SPGuard). Naturalmente installa anche un certo numero di files e di chiavi di registro... Dopo innumerevoli scansioni (anche in modalità provvisoria, con antivirus installati ed in linea e 4/5 antispyware) e cancellazioni seguendo i consigli di vari siti, mi è rimasto apparentemente solo un problema. Durante il riavvio di Windows (XP Home SP2) il sistema si pianta per circa un minuto sulla normale videata azzurra "Windows XP", e dopo per un altro minuto sullo sfondo desktop. In seguito carica icone, barra ed il resto. Subito prima di ciò esegue un tentativo di accesso al floppy. Tutto a posto anche in Hijackthis. Che ne dite? Grazie, ciao a tutti.

18-07-2005, 19:33	#11
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Questo sembrerebbe in grado di rimuoverlo:http://www.adwareaway.com/download/AdwareAway.exe Per sicurezza puoi anche postare il log di hijackthis Ultima modifica di andorra24 : 18-07-2005 alle 19:48.

16-07-2005, 18:39	#2
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Forse e' rimasto qualche residuato bellico. Prova a postare il log di hijackthis oppure prova ad usare ewido security suite: http://www.ewido.net/en/download/

16-07-2005, 20:29	#3
brunosac Member Iscritto dal: Oct 2004 Messaggi: 83	Ciao Andorra, e grazie per l'intervento. Non conoscevo questo Ewide, ha trovato 3 oggetti ma il problema rimane. Ecco il logfile: Logfile of HijackThis v1.99.1 Scan saved at 20.27.26, on 16/07/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\dllhost.exe C:\Programmi\ewido\security suite\ewidoctrl.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\vssvc.exe C:\Programmi\Microsoft IntelliPoint\point32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Outlook Express\msimn.exe C:\WINDOWS\system32\mmc.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\Bruno Sacco\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Microsoft® JavaScript® Console - {B1246FF6-710D-4D6C-8C11-F6C54B084840} - C:\WINDOWS\System32\comdlg32.ocx O9 - Extra 'Tools' menuitem: JavaScript Console - {B1246FF6-710D-4D6C-8C11-F6C54B084840} - C:\WINDOWS\System32\comdlg32.ocx O9 - Extra button: Microsoft® JavaScript® Console - {B1246FF6-710D-4D6C-8C11-F6C54B084840} - C:\WINDOWS\System32\comdlg32.ocx (HKCU) O9 - Extra 'Tools' menuitem: JavaScript Console - {B1246FF6-710D-4D6C-8C11-F6C54B084840} - C:\WINDOWS\System32\comdlg32.ocx (HKCU) O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093647884703 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{963E7D35-000A-4E9C-B3AB-872A51A187B1}: NameServer = 85.37.17.8 151.99.125.1 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe

16-07-2005, 20:41	#4
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Il tuo log e' pulito. Non c'e' nulla di strano. Sei sicuro di non aver cancellato qualche file importante durante le scansioni che hai fatto per rimuovere quel virus?

16-07-2005, 21:20	#5
brunosac Member Iscritto dal: Oct 2004 Messaggi: 83	Allora, dopo una ulteriore pulizia con altro anti-spyware, alcuni check sul floppy ed ulteriore riavvio, sembra tutto a posto. Non ho capito il "residuato" dove stava, ma vabbè... Ti ringrazio molto per l'interessamento (speriamo non ci siano ricadute!) Grazie ancora e ciao!

18-07-2005, 00:02	#7
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28983	C:\WINDOWS\System32\vssvc.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe questi mi sono nuovi...sai a cosa fanno riferimento?

18-07-2005, 19:26	#9
Wylly82 Member Iscritto dal: Feb 2005 Città: Brescia Messaggi: 37	Un pc mi è stato portato con questo stesso virus, (non se dipenda dal virus ma a video da problemi come se la scheda video fosse bacata da righe verticali anche in provvisoria la visuale fa schife), io ora sto facendo una scansione col norton da provvisoria, ho passato adware, ho passato altri due antispyware scaricati al momento ma non hanno risolto il problema, vabbè il desktop disattivandolo ritorna normale. ma rimane nel sistemtry quella x rossa che dice sistema infetto, ho provato a cercare le chiavi di registro da cancellare come dice il sito symn.. te niente.. mi puoi dire tu come lo hai risolto?ehehe è tutto il pomeriggio che ci sbattevo la testa GRAZIE

18-07-2005, 19:29	#10
Wylly82 Member Iscritto dal: Feb 2005 Città: Brescia Messaggi: 37	scusate dimenticavo una cosa importante il Sistema è W2000

Strumenti
Mostra una versione stampabile Invia questa pagina per email