Trojan su Winlogon - Remover Tool dove?

[akumasama]

Come dicevo in questo Thread in un altra sezione del forum (leggete QUI x piacere) da un paio di giorni sto avendo degli strani problemi con IE e browser collegati a esso (nessun problema con gli altri come Firefox etc).

Credo di aver capito il problema: Virus!

Ieri notte a casa ho fatto le 4:00 e lol, vediamo un pò. Oltre ad essere stracolmo di roba + o meno pericolosa ho trovato due virus in particolare. Ecco il software da me utilizzato
HijackThis
Avast! Antivirus
Ad-Aware
Spybot Search & Destroy
Rootkit Detector
CCleaner
Ewido

Ho eliminato praticamente tutto tranne due cose che Avast trovava e non riuscivo ad eliminare: Avast li chiamava "Win32:Trojano-1320 [TRJ]" e secondo lui avevano infettato SVCHOST e WINLOGON.
Apparentemente eliminava i file ma ovviamente ad ogni riavvio ricomparivano. Provato le varie cose con connessione staccata, modalità provvisoria blah blah.
Dopo vari cicli ho trovato un pò di robetta.
Ewido mi ha trovato un worm preciso che mi ha eliminato. Dopodichè gli altri software come CCleaner e SpybotS&D sono stati in grado di eliminarmi SVCHOST (prima di eliminare il bug con Ewido mi dicevano che nn erano in grado di cancellarlo).
O almeno credo ci siano riusciti, non ho ancora la conferma perchè non ho riavviato ancora (sono in ufficio ora) ma credo abbia funzionato, perchè non mi ha cancellato solo il file finale .exe come faceva Avast, Ewido mi ha trovato il worm che è all'ORIGINE dell'infezione del file exe, ed avendo eliminato quello il file non si dovrebbe + infettare ad ogni riavvio. Credo! Avrò la conferma dopo.

Non sono invece riuscito ad eliminare nè a trovare quello relativo a WinLogon.

Hijackthis mi dice che c'è un file chiamato dvd4free.dll che è collegato a WinLogon, Rootkit Detector mi dice che c'è un file dvd4free.dll che è invisibile alle windows API. Immagino allora che sia questo .dll ad essere all'origine dell'infezione di Winlogon. Quindi se riesco ad eliminare questo .dll (e gli eventuali fratellini) allora forse riuscirei a pulire fino in fondo il file Winlogon.exe.
Veniamo al dunque: sapete di che virus/worm si tratta? Esiste un removal kit da qualche parte? Perchè altrimenti non ho idea di come fare...




P.S.
A quanto pare questi virus/worm, oppure le operazioni effettuate per rimuoverli, hanno danneggiato due componenti di Windows

1) Windows Installer: riesco a installare le altre applicazioni ma non le cose di Windows (tipo .net framework, o altra roba). Se sono in Windows normale sento solo un "ping" di errore e non succede niente. Se sono in Modalità Provvisoria mi appare un tentativo di notifica a Microsoft, e se leggo i dettagli vedo che c'è un problema con Windows Installer.
Mi è venuto in mente, quindi, di andare in installazione applicazioni e disinstallare Windows Installer (che però prima di farlo mi dà 2000 avvertimenti sui danni che potrei fare etc). Avevo intenzione di disinstallarlo e poi farlo "reinstallare" automaticamente da Windows Update. Facendo così secondo voi risolvo, oppure incasino ulteriorimente rovinando tutti i componenti già installati?

2) Internet Explorer: come potete vedere nel thread che ho linkato all'inizio. Alcune pagine non mi vanno, poche per assurdo... solo con IE e non con browser non basati su IE. La pagina sembra caricarsi ma poi tutto si stoppa e rimane una pagina bianca. Non è un problema di rete (gli altri PC funzionano) nè delle impostazioni di rete in locale (in modalità provvisoria funziona). Immagino che sia colpa di qualcuno di quei trojan che hanno rovinato qualche pezzo... che dite, è plausibile?

[andorra24]

Prova a fare una scansione con bitdefender free:
http://www.bitdefender.com/site/Down...adFile/340/EN/

[akumasama]

Grazie mille della segnalazione, provo subito appena torno a casa

[akumasama]

Allora, bisogna dire che quando ho postato avevo il problema chiamato Win32:Trojano-1320 [Trj] rilevato da Avast! su due files: Winlogon.exe e Scvhost.exe
Ho usato i seguenti software:

RootkitRevealer
Ewido
Windows Defender
Avast! Antivirus
Avast! Worm Cleaner
Unhack me
Bit Defender
CCleaner
Spybot Seek & Destroy
HijackThis
BlackLight

e devo ancora provare a fondo SmitRem

Con una combinazione di Spybot, CCleaner ed Ewido ho eliminato il problema relativo a Scvhost.exe

Inoltre HijackThis e RootKitRevealer trovavano qualcosa relativo a un file "dvd4free.dll" che a quanto pare faceva una chiamata a Winlogon.exe. Ho pensato che fosse lui la causa.
L'unico in grado di cancellare questo file nascosto alle API di Windows è stato BlackLight, che ha pure trovato un altro file chiamato dvdkernl.sys. Anche lui nascosto nella cartella System32 come l'altro.
E' risucito ad eliminarli/rinominarli non so che cosa, cmq non vengono + trovati e ho risolto alcuni problemi che avevo (come il non poter installare software e upgrades Microsoft, e il malfunzionamento (Pagina Bianca) su alcuni siti Web usando Internet Explorer).


Tuttavia Avast! Continua a rilevarmi il famoso Trojano-1320, questa volta su Winlogon.exe e su Regserv.dll.
Apparentemente riesce ad eliminarli, ma poi ritornano sempre.
Gli altri programmi non trovano assolutamente nulla.
Non so nemmeno se sia un errore di Avast!, se la roba sia pericolosa, che tipo di Worm è etc etc.
Non so nulla...

Avete consigli da darmi? Altri software free o trial da provare? Ormai ne ho installati 2000, uno in + non fa differenza

[wgator]

Ciao,

bè... Winlogon.exe è un file di windows e deve "abitare" in "system32" e la sua copia protetta invece risiede in "sistem32\dllcache"
Se viene trovato in altre posizioni va eliminato. Se risulta infetto quello in system32, può essere cancellato e sostituito con la copia presente in dllcache (anche tramite il comando sfc /scannow)

Regserv.dll se scritto in quel modo è piuttosto sospetto ed è bene farlo analizzare qui: http://www.virustotal.com/flash/virustotal_en.html

[akumasama]

Allora CREDO di aver risolto. Posto la soluzione che magari serve pure a qualcun altro

Avast RILEVAVA il virus in memoria e sui file, ma non riusciva davvero ad eliminarlo, anche xchè nn sapeva come si chiamava (trojano-1320 è un nome in codice di Avast)

Però Avast era l'UNICO che trovava qualcosa di storto.
Alla fine ho risolto con Nod32, installato in versione trial.
Ho visto che mi vedeva delle cosette e le cancellava ma non risolvevo xchè al riavvio ce le riavevo (come con Avast), senonaltro però Nod32 trovava un nome a queste cose.

Ho eseguito in modalità provvisoria e, a differenza di Avast, Nod32 li rilevava anche in modalità provvisoria e li ha eliminati. Ecco la cronistoria

Win32/Spy.Goldun.GU trojan.
Win32/Rootkit.Agent.AT trojan
Rilevati da Nod32 (in windows normale) rispettivamente sui files finti Winologon.dll e regserv.dll

Mentre in modalità provvisoria:
trojan.small.g (o qualcosa di simile)
Rilevato da Nod32 su Winlogon.exe e Regserv.exe
(tutti residenti nella cartella c:\windows\system)

Apparentemente Nod32 è riuscito a salvarmi. Sto facendo la seconda scansione dopo il riavvio. Ora procederò a disinstallare la roba lol, ho installato quintalate di software
Senonaltro ho testato svariati programmi e posso dire che:

Ewido: Non perfetto ma decisamente valido e veloce

Spybot Seek & Destroy + CCleaner = Sembrano lavorare molto bene insieme e compensarsi, guardano molto bene la roba presente nei registri.

Rootkit Revealer = fa vedere tutta la roba nascosta, ma è un pò inutile xchè poi non ti permette di fare azioni

BlackLight = Potentissimo rivelatore di Rootkit. E' stato lui che "rinominando" i due file nascosti dvdkrnl.sys e dvd4feee.dll aggiungendo un .ren alla fine, è riuscito a renderli visibili e a farli catturare subito sia a mano che da altri antivirus.

Unhackme = non ha trovato un kazzo

Bitdefender = non ha trovato un kazzo

Windows Defender = non ha trovato un Kazzo

Avast! Cleaner = non ha trovato un kazzo

HiJack This = ottimo ma poco funzionale, perfetto x altre cose imho, come per fare log da postare su forum o altro.

Avast! Antivirus = ottimerrimo. Non riusciva ad eliminarmi il virus ma era l'unico che me lo trovava. Avessi avuto Avast installato anche prima son sicuro che sarei stato a posto

NOD32 = altro potentissimo antivirus, forse + approfondito di Avast! Home per quanto riguarda rootkits etc. Però è a pagamento, Avast! Home è gratis, quindi terrò Avast

Ad-Aware = Lo uso sempre, ma serve + per cookies, tracing cookies, spyware etc, non mi sembra di averlo mai trovato efficace su roba "seria" ma solo su cazzatine.