Trojan testardo

[GuardaKeTipo]

Ciao a tutti.

E' da questa notte che un trojan si è comodamente impossessato del mio pc
Premetto ke ho provato la rimozione tramite antivirus (fissando pure con hijackthis) e manualmente, sia cancellando il file incriminato, sia intervendo nelle chiavi del registro di sistema.
Il risultato è nullo: di nuovo tutto com'era prima dell'intervento

Viene richiamato ogni volta un file di nome se.dll (visto come bar nel registro di sistema ) posto sulla directory "temp" delle "impostazioni locali" del mio user.
Provando, la prima volta, a cancellare questo file mi è stato dato un "Accesso Negato"... provo allora ad aprire il task manager... vedo rundll32 in esecuzione. Chiudo il processo, cancello il file se.dll !!!
Risultato: questo ricompare quando riapro una pagina internet.

Ho provato pure a modificare il file e salvarlo... pensando che vedendolo già esistente ma da me reso "innocuo" tutto andasse liscio. Invece il file viene riconosciuto modificato e riportato come prima.

Qui il log di hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\GkT\IMPOST~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\GkT\IMPOST~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8E1A77A9-77BF-4FA5-B2A3-7B4A07C7BD39} - C:\WINDOWS\System32\lfag.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvMixerTray] C:\Programmi\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\Gtwatch.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\GkT\IMPOST~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\Trust\Direct Webscan\WATCH.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/game.../y/fltt3_x.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O18 - Filter: text/html - {AA3C3AED-4902-4123-9D05-6D95AD0F7C67} - C:\WINDOWS\System32\lfag.dll
O18 - Filter: text/plain - {AA3C3AED-4902-4123-9D05-6D95AD0F7C67} - C:\WINDOWS\System32\lfag.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio iPod - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

La chiave in grassetto viene rimossa e subito dopo ricreata. Anche con hijackthis... fisso... clicko su scan e ricompare come se niente fosse stato

In allegato il file se.dll pigliato e salvato come txt

Grazie a chi vorrà aiutarmi

[andorra24]

Rimuovilo con questo: http://www.adwareaway.com/download/AdwareAway.exe

Le voci del log da fixare sono:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\GkT\IMPOST~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\GkT\IMPOST~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {8E1A77A9-77BF-4FA5-B2A3-7B4A07C7BD39} - C:\WINDOWS\System32\lfag.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\GkT\IMPOST~1\Temp\se.dll,DllInstall
O18 - Filter: text/html - {AA3C3AED-4902-4123-9D05-6D95AD0F7C67} - C:\WINDOWS\System32\lfag.dll
O18 - Filter: text/plain - {AA3C3AED-4902-4123-9D05-6D95AD0F7C67} - C:\WINDOWS\System32\lfag.dll

[GuardaKeTipo]

Grazie per la celere risposta

Avevo già provato a fixare quelle voci e a fare scan su scan con adaware e spybot.

Adaware all'inizio mi segnalava dei cookies.. tutto cancellato.
Ora adaware mi dà ok su tutto, idem spybot.

Ogni volta hijackthis mi segnala però quelle voci... Anche se fixate non so ormai quante volte ricompaiono sempre. E sempre si aprono finestre di pubblicità e richieste di connessioni

Non so che fare... formatto e via?

[andorra24]

Ma veramente non ti ho detto di provare con adaware ma con questo programma: http://www.adwareaway.com/download/AdwareAway.exe
Non ti costa nulla provare. Poi se vuoi formattare fai pure.

[boston2058]

io lo tolto facendo scansioni in modalita provvisoria con ad aware, spybot, cw shredder, hijack this, prova cmq se cerchi in rete ci sono gli appositi removal è abb famoso cme spyware rompiballe il se.dll, cmq il processo che attiva in genere è sp.exe

[GuardaKeTipo]

Quote:

Originariamente inviato da andorra24

Ma veramente non ti ho detto di provare con adaware ma con questo programma: http://www.adwareaway.com/download/AdwareAway.exe
Non ti costa nulla provare. Poi se vuoi formattare fai pure.

Scuuusaaaa

Proverò immediatamente stasera quando torno


Grazie grazie grazie... vi farò sapere

[GuardaKeTipo]

Vorrei ringraziare tutti per i vostri interventi e per i messaggi postati in passato... un forum è, come prima cosa, aver pazienza di leggere e non solo domandare.
Senza i vostri vecchi interventi su altri problemi simili non avrei saputo nè quali programmi usare nè come muovermi


Il problema di questo trojan non è tanto il se.dll ma l'altro dll ke andorra mi invitava a fissare. E' quello l'artefice del problema.

L'ho rimosso manualmente

1. Sono andato sul prompt di MsDos ed eseguito il comando: regsvr32 -u lfag.dll

Il dll è stato così cancellato.

2. Quindi regedit: HKLM\System\CurrentControlSet\Control\Session Manager

Da lì sulla destra si troverà optional...rename (ho già dimenticato il nome esatto ) Comunque si troverà sotto la voce ObjectDirectories

Clickare sulla voce e prendere nota del nome del file che verrà elencato (sarà un .tmp)
Praticamente è il dll prima cancellato ke lui backuppa sotto .tmp.
Cancellare tutta la voce della quale si è preso nota e riavviare.

3. Cancellare il file.tmp prima annotato ed eseguire hijackthis

Cancellare le chiavi di cui parlava andorra

4. Terminare il processo rundll32 sul task manager e cancellare il file se.dll

5. Eseguire ad-aware e spybot per esser sicuri che tutto sia sparito


Grazie a tutti e spero sarò utile a chi avrà il mio stesso problema.
Ciao ciao e grazie ancora

[andorra24]

Mi fa piacere che finalmente hai risolto il tuo problema.

[GuardaKeTipo]

Quote:

Originariamente inviato da andorra24

Mi fa piacere che finalmente hai risolto il tuo problema.

L'ho risolto grazie a te andorra... se non mi avessi illuminato su quel lfag.dll starei ancora a cercare... anzi... avrei già reinstallato tutto

Già... perchè comunque su c:\ tengo solamente sistema operativo e programmi proprio per questo motivo. Si perde meno tempo a formattare e reinstallare tutto che a cercare e correggere