Trojan Rootkit.Win32.Agent.qq

[neida]

Non riesco ad eliminare in nessun modo questo trojan: Rootkit.Win32.Agent.qq

Tutto ha avuto inizio quando qualche giorno fa mi sono reso conto che ogni volta che provavo a cercare qualcosa con google, cliccando su un link qualsiasi della pagina con i risultati della ricerca avveniva un redirect forzato al sito search.daily.com con i termini cercarti accodati alla stringa dell'url redirezionato.

Ho cercato in molti modi di sistemare la cosa, utilizzando diversi antivirus da Avast! a AVG, da VirIT a Kaspersky, ma non ci sono ancora riuscito. Solo con KAV, l'ultimo antivirus con cui ho tentato l'ennesima scansione, sono venuti fuori diversi trojan tra cui Rootkit.Win32.Agent.qq e Rootkit.Win32.Agent.ql

KAV mi avvisa del pericolo chiedendomi cosa fare se eliminare o mettere i file in quarantena. In entrambi i casi però, dopo il riavvio del sistema (necessario per completare loperazione), la situazione non cambia: ad una successiva scansione me li ritrovo di nuovo allo stesso posto:

- Trojan Rootkit.Win32.Agent.qq - C:\WINDOWS\TEMP\qcnejlwn.dat
- Trojan Rootkit.Win32.Agent.ql - C:\WINDOWS\system32\drivers\jokieatf.dat

Ah, ho provato ad eseguire le scansioni anche in modalità provvisoria ma senza nessun risultato positivo.

Ultima cosa di tutta questa brutta storia sono due file che non riesco a rimuovere dall'avvio con HiJackThis: dsdmod.dll e ciodmj.dll

Vi allego il Log di Hijackthis:

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.26.46, on 18/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP4LAK.EXE
C:\WINDOWS\system32\CAP4RSK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP4SWK.EXE
C:\WINDOWS\System32\alg.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrator\Desktop\documenti - nico\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C652E87-D18B-4B33-84E4-495B7886C10B} - c:\windows\system32\dsdmod.dll
O2 - BHO: (no name) - {7EE48F2F-AC6A-4C2E-A6AF-4DA0EE1F6C7D} - C:\WINDOWS\system32\ciodmj.dll
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Finestra di stato di Canon LBP3200.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP4LAK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86BC40EF-8E62-4CD4-82B7-F083D86F935F}: NameServer = 85.37.17.9 85.38.28.75
O20 - Winlogon Notify: tnqixqvn - C:\WINDOWS\SYSTEM32\dsdmod.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe

--
End of file - 3442 bytes

Ho cercato delle notizie in merito in rete ma non sono riuscito a trovare nessuna indicazione utile per ripulire il pc da questo dannati virus! Forse si tratta di programmi maligni abbastanza recenti oppure non ci sono dei tools dedicati per la rimozione, fatto sta che più passa il tempo e più la situzione peggiora... con KAV sempre attivo in modalità "ambiente ostile" spesso non riesco nemmeno a navigare perchè questi virus si camuffano dietro dll o file di sistema "normali" agendo liberamente al lor posto. Quando KAV mi mostra l'avviso di "azione sospetta: riskware..." nell'indecisione chiedo di negare l'operazione e molto spesso il risultato è che l'intera connessione ad internet si blocca! ...sono alla frutta ormai, datemi una mano!

[Chill-Out]

Segui la Guida alla Disinfezione per Infetti http://www.hwupgrade.it/forum/showthread.php?t=1599737
hosta i logs in formato .txt su www.zshare.net indicando il link dove prelevarli, ciao.