trojan inamovibile?

ripes72 · 23-03-2006, 10:13

Salve a tutti. Ho un problema con un trojan che si è dimostrato una brutta bestia. AVG riconosce come trojan il file uyxff.exe (Generic Downloader) ma non riesce a farci niente. Hijack non riesce a rimuovermi le due voci F2. Perfino modificando le due chiavi del registro relative a uyxff.exe e gtfjpnn.exe, dopo mi ricompaiono uguali!! Con Google non ho trovato NIENTE su questi due file. Come potete immaginare sono piuttosto diperato... Ogni aiuto sarà ricompensato con gratitudine eterna!

Saluti

Logfile of HijackThis v1.99.1
Scan saved at 11.01.42, on 23/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\$NtUninstallKB896422$\IEXPLORE.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Rainlendar\Rainlendar.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINNT\system32\uyxff.exe
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,gtfjpnn.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Startup: Rainlendar.lnk = C:\Programmi\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Garzanti Linguistica - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\File comuni\Garzanti\Dizionari Garzanti 2005\IEExtension.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1124290578937
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AB14EC5-3D1E-4570-AC04-55FAC461EAC1}: NameServer = indirizzo ip
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmi\Symantec\pcAnywhere\awhost32.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\winnt\system32\directx.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

andorra24 · 23-03-2006, 10:44

Il log di hijackthis va postato nel thread in rilievo.

Per quanto riguarda le due voci F2 che non riesci a fixare riprova in modalita' provvisoria. Fai anche una scansione con ewido:
http://download.ewido.net/ewido-setup.exe

Stev-O · 23-03-2006, 10:56

PCANotify.dll scansionalo su www.virustotal.com perchè potrebbe dare sorprese
se risulta infetto fixalo ed eliminalo casomai con killbox
quindi eventualmente fixa la relativa voce:
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
per il resto:
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINNT\system32\uyxff.exe
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,gtfjpnn.exe
fixerei questi

ripes72 · 23-03-2006, 12:21

Anzitutto grazie per la partecipazione...

1) Hijack NON fissa i due processi nemmeno in modalità provvisoria
2) ewido non ha trovato niente di rilevante (i soliti cookies e basta)
3) non posso usare scansioni on line perché, tra le altre cose, l'accesso in rete è bloccato!

Altre idee? la disperazione aumenta...

Stev-O · 23-03-2006, 12:30

disattiva il ripristino configurazione di sistema e riprova
altrimenti prova con killbox

ripes72 · 23-03-2006, 12:54

E' un win2k, quindi non c'è nessun ripristino etc.
Ora provo killbox...

ripes72 · 23-03-2006, 13:29

Allora: killbox ha trovato i files e li ha cancellati in modalità "al riavvio". In questo modo sono anche riuscito a eliminare le voci incriminate dal registro, che prima ricomparivano immediatamente facendo aggiorna per quanto le cancellassi o modificassi...

Intanto, GRAZIE MILLE!!

Poi, cosa consigliate di fare adesso?

Stev-O · 23-03-2006, 13:31

secondo me sei a posto

ripes72 · 23-03-2006, 13:35

come non detto. al riavvio sono ricomparsi i file e le voci nel registro....

ripes72 · 23-03-2006, 15:11

probabilmente ho trovato la soluzione:
c'era un uletriore file in system32, ephbfi.exe, che veniva avviato allo startup e *probabilemente* rigenerava gli altri due. dopodiché spariva, quindi hijack non poteva vederlo. quindi quel che ho fatto è:

1) rimuovere i tre .exe con killbox in modalità "al riavvio"
2) riavviare in modalità provvisoria
3) lanciare hijack e fissare i due processi F2
4) ripulire il registro dalle chiamate a ephbfi.exe

e ora SEMBRA tutto pulito. Grazie per l'attenzione...

ripes72 · 23-03-2006, 16:20

ah, per la cronaca: il trojan l'ho beccato scaricando Complete Messenger.

Stev-O · 24-03-2006, 10:30

evitare le versioni moddate di messenger

23-03-2006, 10:13	#1
ripes72 Senior Member Iscritto dal: Jan 2005 Città: Pisa Messaggi: 424	trojan inamovibile? Salve a tutti. Ho un problema con un trojan che si è dimostrato una brutta bestia. AVG riconosce come trojan il file uyxff.exe (Generic Downloader) ma non riesce a farci niente. Hijack non riesce a rimuovermi le due voci F2. Perfino modificando le due chiavi del registro relative a uyxff.exe e gtfjpnn.exe, dopo mi ricompaiono uguali!! Con Google non ho trovato NIENTE su questi due file. Come potete immaginare sono piuttosto diperato... Ogni aiuto sarà ricompensato con gratitudine eterna! Saluti Logfile of HijackThis v1.99.1 Scan saved at 11.01.42, on 23/03/2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINNT\$NtUninstallKB896422$\IEXPLORE.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Programmi\Rainlendar\Rainlendar.exe C:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti F2 - REG:system.ini: Shell=Explorer.exe, C:\WINNT\system32\uyxff.exe F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,gtfjpnn.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - Startup: Rainlendar.lnk = C:\Programmi\Rainlendar\Rainlendar.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Garzanti Linguistica - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\File comuni\Garzanti\Dizionari Garzanti 2005\IEExtension.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1124290578937 O17 - HKLM\System\CCS\Services\Tcpip\..\{1AB14EC5-3D1E-4570-AC04-55FAC461EAC1}: NameServer = indirizzo ip O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmi\Symantec\pcAnywhere\awhost32.exe O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\winnt\system32\directx.exe O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe __________________ Quaedam naturali iure communia sunt omnium, quaedam universitatis, quaedam nullius.

23-03-2006, 10:56	#3
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	PCANotify.dll scansionalo su www.virustotal.com perchè potrebbe dare sorprese se risulta infetto fixalo ed eliminalo casomai con killbox quindi eventualmente fixa la relativa voce: O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll per il resto: F2 - REG:system.ini: Shell=Explorer.exe, C:\WINNT\system32\uyxff.exe F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,gtfjpnn.exe fixerei questi __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK* Ultima modifica di Stev-O : 23-03-2006 alle 11:01.

23-03-2006, 12:21	#4
ripes72 Senior Member Iscritto dal: Jan 2005 Città: Pisa Messaggi: 424	Anzitutto grazie per la partecipazione... 1) Hijack NON fissa i due processi nemmeno in modalità provvisoria 2) ewido non ha trovato niente di rilevante (i soliti cookies e basta) 3) non posso usare scansioni on line perché, tra le altre cose, l'accesso in rete è bloccato! Altre idee? la disperazione aumenta... __________________ Quaedam naturali iure communia sunt omnium, quaedam universitatis, quaedam nullius.

23-03-2006, 12:30	#5
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	disattiva il ripristino configurazione di sistema e riprova altrimenti prova con killbox __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

23-03-2006, 12:54	#6
ripes72 Senior Member Iscritto dal: Jan 2005 Città: Pisa Messaggi: 424	E' un win2k, quindi non c'è nessun ripristino etc. Ora provo killbox... __________________ Quaedam naturali iure communia sunt omnium, quaedam universitatis, quaedam nullius.

23-03-2006, 10:44	#2
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Il log di hijackthis va postato nel thread in rilievo. Per quanto riguarda le due voci F2 che non riesci a fixare riprova in modalita' provvisoria. Fai anche una scansione con ewido: http://download.ewido.net/ewido-setup.exe

23-03-2006, 13:29	#7
ripes72 Senior Member Iscritto dal: Jan 2005 Città: Pisa Messaggi: 424	Allora: killbox ha trovato i files e li ha cancellati in modalità "al riavvio". In questo modo sono anche riuscito a eliminare le voci incriminate dal registro, che prima ricomparivano immediatamente facendo aggiorna per quanto le cancellassi o modificassi... Intanto, GRAZIE MILLE!! Poi, cosa consigliate di fare adesso? __________________ Quaedam naturali iure communia sunt omnium, quaedam universitatis, quaedam nullius.

23-03-2006, 13:31	#8
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	secondo me sei a posto __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

23-03-2006, 13:35	#9
ripes72 Senior Member Iscritto dal: Jan 2005 Città: Pisa Messaggi: 424	come non detto. al riavvio sono ricomparsi i file e le voci nel registro.... __________________ Quaedam naturali iure communia sunt omnium, quaedam universitatis, quaedam nullius.

23-03-2006, 15:11	#10
ripes72 Senior Member Iscritto dal: Jan 2005 Città: Pisa Messaggi: 424	probabilmente ho trovato la soluzione: c'era un uletriore file in system32, ephbfi.exe, che veniva avviato allo startup e probabilemente rigenerava gli altri due. dopodiché spariva, quindi hijack non poteva vederlo. quindi quel che ho fatto è: 1) rimuovere i tre .exe con killbox in modalità "al riavvio" 2) riavviare in modalità provvisoria 3) lanciare hijack e fissare i due processi F2 4) ripulire il registro dalle chiamate a ephbfi.exe e ora SEMBRA tutto pulito. Grazie per l'attenzione... __________________ Quaedam naturali iure communia sunt omnium, quaedam universitatis, quaedam nullius.

23-03-2006, 16:20	#11
ripes72 Senior Member Iscritto dal: Jan 2005 Città: Pisa Messaggi: 424	ah, per la cronaca: il trojan l'ho beccato scaricando Complete Messenger. __________________ Quaedam naturali iure communia sunt omnium, quaedam universitatis, quaedam nullius.

24-03-2006, 10:30	#12
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	evitare le versioni moddate di messenger __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

Strumenti
Mostra una versione stampabile Invia questa pagina per email