[risolto][WINXP] Virtumonde, non se ne va

[Nuz]

Bene, allega un log di hijackthis e vediamo se ora risulta pulito.

[Mauci]

Hijack 17.46.txt

[Nuz]

Fixa queste voci:

O2 - BHO: {7b7c67f5-a144-b8e9-df14-5742ff874d14} - {41d478ff-2475-41fd-9e8b-441a5f76c7b7} - C:\WINDOWS\system32\jsfdourh.dll (file missing)
O20 - Winlogon Notify: urqqqrp - urqqqrp.dll (file missing)
O20 - Winlogon Notify: winzdn32 - winzdn32.dll (file missing)

Poi fai un altro log di hjt.

[Mauci]

Hijack 17.58.txt

[Chill-Out]

Fixa questa e sei pulito
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

[Nuz]

@Chill-Out: avevo notato anch'io quella voce però ho letto che fa parte di Messenger, come tu sai sicuramente, e che è sicura. Alcuni commenti dicono di non rimuoverla. Mentre l'analizzatore dice che è non necessario. Io nel dubbio non la faccio rimuovere. Tu che sei sicuramente più esperto mi puoi spiegare, anche in pvt se vuoi, perchè consigli di toglierla e l'effetto di questa modifica.

[Gle89]

Io l ho detto molte volte che questa voce O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) NON va fixata perchp l'analizzatore automatico non riconosce ancora che è una sottochiave di MSN

[Mauci]

Oh perfetto fixato anche quello!!
Grazie mille, è stata dura ma ci siamo riusciti!
Faccio un riepilogo:

Ho preso sto virus dal sito serial99.com
Mi sono accorto di averlo poichè mi compariva il sito serial qualsiasi pagina aprissi. Fixato sto problema con nod32 rimaneva il fatto che nella finestra di explorer compariva il nome di serial99 qualsiasi sito aprissi, e compariva inoltre spam pubblicitario all'apertura di ogni nuova pagina.
Scansionato con avast vundofix vundobegone nod32 avg AS spybot senza poterlo eliminare.
Iniziato a postare qui log di Hijackthis che è parsa l'unica soluzione per sbarazzarsi di sto bastardello.
Sostituito spybot con Asquared, scaricato spyware terminator e rimosso voci infette con Avenger. Da quello che ho capito eliminare sto virus non è una semplice operazione di apri programma e clicca, se avete letto le 3 pagine ci vogliono tentativi mirati a seconda dei casi.

[Mauci]

ecco...mannaggia alla mia fretta....l'ho fixata, e ora?

[Gle89]

Quote:

Originariamente inviato da Mauci

ecco...mannaggia alla mia fretta....l'ho fixata, e ora?

Nel 99% dei casi non succede niente.

Ad ogni modo non ho capito se hai risolto o meno il tuo problema

[Nuz]

Non ti preoccupare puoi sempre aprire Hijackthis, selezionare View List of Backup e ripristinare la voce.

Edit: Il problema pare risolto, infatti dopo la scansione con PREVX 2.0 sono stati individuati i file infetti e successivamente sono stati rimossi con avenger (causa trial scaduta di prevx). Infine sono state fixate con hijackthis le voci che erano rimaste.

[Chill-Out]

Quote:

Originariamente inviato da Nuz

@Chill-Out: avevo notato anch'io quella voce però ho letto che fa parte di Messenger, come tu sai sicuramente, e che è sicura. Alcuni commenti dicono di non rimuoverla. Mentre l'analizzatore dice che è non necessario. Io nel dubbio non la faccio rimuovere. Tu che sei sicuramente più esperto mi puoi spiegare, anche in pvt se vuoi, perchè consigli di toglierla e l'effetto di questa modifica.

nello specifico è riferita a Windows Live Call HoverToCall class, questa cosa l'ha fatta notare più di una volta anche il buon Lancetta, a mio avviso si può tranquillamente fixare è un accrocchio imprecisato di Microsoft.

[Mauci]

Grazie mille e scusate per tutto il tribolare che vi abbiam dato io e sto virus

alla prossima (speriamo di no )

[Chill-Out]

Quote:

Grazie mille e scusate per tutto il tribolare che vi abbiam dato io e sto virus

prego

Quote:

alla prossima (speriamo di no )

speriamo di si, ma alla cena che offri tu (ovviamente scherzo)

[xcdegasp]

Quote:

Originariamente inviato da Mauci

Oh perfetto fixato anche quello!!
Grazie mille, è stata dura ma ci siamo riusciti!
Faccio un riepilogo:

Ho preso sto virus dal sito serial99.com
Mi sono accorto di averlo poichè mi compariva il sito serial qualsiasi pagina aprissi. Fixato sto problema con nod32 rimaneva il fatto che nella finestra di explorer compariva il nome di serial99 qualsiasi sito aprissi, e compariva inoltre spam pubblicitario all'apertura di ogni nuova pagina.
Scansionato con avast vundofix vundobegone nod32 avg AS spybot senza poterlo eliminare.
Iniziato a postare qui log di Hijackthis che è parsa l'unica soluzione per sbarazzarsi di sto bastardello.
Sostituito spybot con Asquared, scaricato spyware terminator e rimosso voci infette con Avenger. Da quello che ho capito eliminare sto virus non è una semplice operazione di apri programma e clicca, se avete letto le 3 pagine ci vogliono tentativi mirati a seconda dei casi.

ottimo riepilogo e analisi dell'accaduto

[lucariello86]

Quote:

Originariamente inviato da Chill-Out

Avenger
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.
http://swandog46.geekstogo.com/avenger.zip

Lo script da inserire è il seguente:

Files to delete:
http://www.hwupgrade.it/forum/attach...6&d=1195035003
che non sono altro che i file infetti rilevati da Prevx CSI
esempio: C:\WINDOWS\SYSTEM32\SWREG.EXE
non per niente ti avevo chiesto il log di Prevx CSI

Ho provato anch'io con questo programma ma mi dice:

Codice:

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Error:  selected file does not appear to be a valid script.
Error code: 1813

Il mio problema è questo: link

[Mauci]

prima della riga del file hai messo la frase

Files to delete:

?

serve quello script

[Nuz]

Secondo me prima devi provare con Prevx 2.0. Se questo dovesse fallire allora vediamo qual'è lo script che devi usare.

[lucariello86]

Quote:

Originariamente inviato da Mauci

prima della riga del file hai messo la frase

Files to delete:
?
serve quello script

Fatto...riavviato e scansionato con hijackthis. Ecco il logfile:

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.53.45, on 15/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\mrofinu572.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Acer\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu572.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C88332017491394661A64DB7C8F0287E55E246220D9E728F9FC17D446BC57D5375FB0FB68AD6
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programmi\Eset\nod32krn.exe

--
End of file - 3799 bytes

Che ne dite?Va tutto bene ora?
Nod32 nn mi segnala più nulla!

[Nuz]

Fixa queste:

C:\WINDOWS\mrofinu572.exe

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu572.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C88332017491394661A64DB7 C8F0287E55E246220D9E728F9FC17D446BC57D5375FB0FB68AD6

O15 - Trusted Zone: *.amaena.com

O15 - Trusted Zone: *.avsystemcare.com

O15 - Trusted Zone: *.gomyhit.com

O15 - Trusted Zone: *.imageservr.com

O15 - Trusted Zone: *.imagesrvr.com

O15 - Trusted Zone: *.onerateld.com

O15 - Trusted Zone: *.trustedantivirus.com

O15 - Trusted Zone: *.virusschlacht.com

O15 - Trusted Zone: *.amaena.com (HKLM)

O15 - Trusted Zone: *.avsystemcare.com (HKLM)

O15 - Trusted Zone: *.gomyhit.com (HKLM)

O15 - Trusted Zone: *.imageservr.com (HKLM)

O15 - Trusted Zone: *.imagesrvr.com (HKLM)

O15 - Trusted Zone: *.onerateld.com (HKLM)

O15 - Trusted Zone: *.trustedantivirus.com (HKLM)

O15 - Trusted Zone: *.virusschlacht.com (HKLM)

Poi allega un altro log.