Ancora Trojan - Log di Hijack

[jota]

Ciao ragazzi, si, ancora questi bei trojan. Il pc ne è infetto, non riesco a toglierli, e i sintomi sono chiari e davvero pesanti. Spero di trovare qualche risposta nei vostri commenti sul log che invio:

Logfile of HijackThis v1.99.1
Scan saved at 11.39.33, on 02/06/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\syntax2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programmi e utility\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Syntax2 Positive] syntax2.exe
O4 - HKLM\..\Run: [File Mapping Services] hp-1003.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoft Update System] update.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunServices: [Syntax2 Positive] syntax2.exe
O4 - HKLM\..\RunServices: [File Mapping Services] hp-1003.exe
O4 - HKLM\..\RunServices: [Microsoft Update System] update.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update System] update.exe
O4 - HKCU\..\Run: [File Mapping Services] hp-1003.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunServices: [File Mapping Services] hp-1003.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Come vedete ho spyware doctor ma non risolve il problema, neppure gli altri programmi come spybot, ad-aware ecc..!Aspetto notizie. Grazie ancora.

[xcdegasp]

sei sicuro che non sia attivo l'antivirus di ZoneAlarm??

[nispo]

Quote:

Originariamente inviato da jota

Ciao ragazzi, si, ancora questi bei trojan. Il pc ne è infetto, non riesco a toglierli, e i sintomi sono chiari e davvero pesanti. Spero di trovare qualche risposta nei vostri commenti sul log che invio:

Come vedete ho spyware doctor ma non risolve il problema, neppure gli altri programmi come spybot, ad-aware ecc..!Aspetto notizie. Grazie ancora.

Cè molta roba sospetta:
verifica:
C:\WINDOWS\System32\syntax2.exe
O4 - HKLM\..\Run: [Syntax2 Positive] syntax2.exe
O4 - HKLM\..\Run: [File Mapping Services] hp-1003.exe
O4 - HKLM\..\RunServices: [File Mapping Services] hp-1003.exe
O4 - HKLM\..\RunServices: [Syntax2 Positive] syntax2.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab

Poi cambia assolutamente antivirus e metti antivir, e un firewall decente, tipo comodo

il trojan:
O4 - HKLM\..\Run: [Microsoft Update System] update.exe
O4 - HKLM\..\RunServices: [Microsoft Update System] update.exe

[jota]

Quote:

Originariamente inviato da nispo

Cè molta roba sospetta:
verifica:
C:\WINDOWS\System32\syntax2.exe
O4 - HKLM\..\Run: [Syntax2 Positive] syntax2.exe
O4 - HKLM\..\Run: [File Mapping Services] hp-1003.exe
O4 - HKLM\..\RunServices: [File Mapping Services] hp-1003.exe
O4 - HKLM\..\RunServices: [Syntax2 Positive] syntax2.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab

Poi cambia assolutamente antivirus e metti antivir, e un firewall decente, tipo comodo

il trojan:
O4 - HKLM\..\Run: [Microsoft Update System] update.exe
O4 - HKLM\..\RunServices: [Microsoft Update System] update.exe

Scusa per l'ignoranza ma cosa intendi per "verifica"? ...poi sotto hai scritto "il trojan" ..con le due chiavi ..giusto? ..e quindi?..devo fixarle con hijack?

[jota]

Quote:

Originariamente inviato da xcdegasp

sei sicuro che non sia attivo l'antivirus di ZoneAlarm??

si, zone è attivo. Prima ho dato un occhio su internet per syntax..e mi sembra di capire che sia proprio un trojan che intacca il file system!Uffa, mi sembra anche di aver letto che non basta cancellare la chiave di registro perché in qualche modo si rigenera. Qualcuno sa un modo per eliminarlo oltre a formattare? ..

[Tidus Strife]

Innanzitutto disabilita il system restore.
Poi vedi se riesci a killare questo processo:
C:\WINDOWS\System32\syntax2.exe
Senza che si rigeneri. In caso contrario lascia stare.

Poi fixa in Hijackthis queste voci:

O4 - HKLM\..\Run: [Syntax2 Positive] syntax2.exe
O4 - HKLM\..\Run: [File Mapping Services] hp-1003.exe
O4 - HKLM\..\Run: [Microsoft Update System] update.exe
O4 - HKLM\..\RunServices: [Syntax2 Positive] syntax2.exe
O4 - HKLM\..\RunServices: [File Mapping Services] hp-1003.exe
O4 - HKLM\..\RunServices: [Microsoft Update System] update.exe
O4 - HKCU\..\Run: [Microsoft Update System] update.exe
O4 - HKCU\..\Run: [File Mapping Services] hp-1003.exe
O4 - HKCU\..\RunServices: [File Mapping Services] hp-1003.exe

Insomma tutte quelle relative ai file syntax2.exe, hp-1003.exe e update.exe...
Poi scarica avenger cliccando QUI

e inserisci questo script:

Files to delete:
C:\WINDOWS\System32\syntax2.exe
C:\WINDOWS\System32\hp-1003.exe
C:\WINDOWS\System32\update.exe

Controlla però che i percorsi siano giusti... il primo file sicuramente risiede in System32 xke dal log si vede ma gli altri non so... hp-1003.exe sul sito di avira c'è scritto che risiede in %Sysdir%\update.exe, quindi dovrebbe essere giusto... fai una ricerca con windows e prova a vedere se il file update.exe è in system32... se sì, puoi andare tranquillo con l'inserire lo script... in caso contrario modifica tu la directory che ho scritto!

Quando avenger ti chiede di riavviare il pc riavvialo e poi rifai il log e ripostalo controllando che non ci siano più le voci che ti ho detto poi fai una ricerca con windows e ricerca i 3 file infetti per controllare che ti siano spariti e poi vedi se ti sono spariti i problemi al pc...

Ciao,
Tidus Strife.