Win32: tiny-GZ

[jax]

Salve a tutti

Un paio di giorni fa sono stato infettato da un virus attraverso un allegato trasmesso via Windows Messenger da un contatto che avevo in lista... (purtroppo, trattandosi di un contatto fidatissimo, non ho pensato che il file potesse nascondere una trappola, anche perché era corredato da un messaggio proveniente apparentemente dal contatto stesso)

Il virus in questione manda a mia insaputa lo stesso file infetto ai contatti nella mia lista di MSN.

Dopo aver fatto una scansione completa con i vari Avast eSpyBot, pare che il virus in questione sia il troyan in oggetto.

Anche eliminando a mano i file incriminati, si ripresenta a intervalli più o meno regolari quando sono collegato online.

Come posso rimuoverlo? (per esigenze di lavoro sono "costretto" a stare collegato fisso e a usare MSN per interagire con i miei colleghi e questa cosa potrebbe crearmi non pochi problemi)

Grazie in anticipo

[Alfredo8989]

fai una scansione on-line con panda

[lancetta]

posta un log di Hijackthis e se ci dici anche il percorso dove avast rileva il trojan nel frattempo disabilita il ripristino di sistema ( se non sai come fare vedi QUI link) e fai fare una scansione di avast all'avvio (è una funzione dell'antivirus si trova nell'impostazioni tasto dx sull'icona nella sistem tray ) dovrebbe farti partire la scansione prima che il pc carichi il sitema operativo...fammi sapere

Ciao

[jax]

Ho disabilitato il ripristino configurazione sistema e ora faccio fare la scansioen di Avast all'avvio...

I file infetti me li trova su C:\Documents and Settings\Desktop\Impostazioni Locali\Temporary Internet Files o semplicemente su C\Documents and Settings\Desktop. Il bello è che questi file, se li cerco, non li trova.

Aggiungo che poco dopo aver scritto me ne ha trovati un altro paio Winn32:Agent-ITI

Stavo pensando se un formattone potesse risolvere il problema alla radice, eliminando qualsiais traccia, ma temo che il problema sia quando mi collego online

[oasis90]

una buona idea sarebbe sostituire Avast o con Antivir o con Active Virus Shield..

[lancetta]

Quote:

Originariamente inviato da jax

Ho disabilitato il ripristino configurazione sistema e ora faccio fare la scansioen di Avast all'avvio...

I file infetti me li trova su C:\Documents and Settings\Desktop\Impostazioni Locali\Temporary Internet Files o semplicemente su C\Documents and Settings\Desktop. Il bello è che questi file, se li cerco, non li trova.

Aggiungo che poco dopo aver scritto me ne ha trovati un altro paio Winn32:Agent-ITI

Stavo pensando se un formattone potesse risolvere il problema alla radice, eliminando qualsiais traccia, ma temo che il problema sia quando mi collego online

bè il formattone è normale che risolverebbe questo poi dipende da te...comunque otre quello scarica ccleaner da QUI non sò se lo conosci è un programma free per la pulizia dei file inutili sul pc sopratutto i temporanei perchè se il malware non ha messo radici così si risolve ah! e il log di hijackthis.........poi se vuoi formattare è inutile che fai procedure...decidi tu...............

SALUTI

[jax]

CCleaner lo uso già... per sicurezza avevo anche eliminato tutti i cookie e i file temporanei, ma sembra non essere servito a nulla

Al limite potrei anche formattare, però non vorrei che il problema si ripresentasse non appena mi ricollego online con il mio profilo MSN o su Internet

[lancetta]

Quote:

Originariamente inviato da jax

CCleaner lo uso già... per sicurezza avevo anche eliminato tutti i cookie e i file temporanei, ma sembra non essere servito a nulla

Al limite potrei anche formattare, però non vorrei che il problema si ripresentasse non appena mi ricollego online con il mio profilo MSN o su Internet

Considera che se il tuo contatto è ancora infetto potrebbe rimandarti il file tanto per dirne una.....ultimamente girano molti virus che usano msn per diffondersi,l'importante e non accettare nulla e chiedere sempre al contatto se ti ha inviato qualcosa di sua iniziativa senti ma c'è l'hai hijackthis? posta un log così per curiosità....

[jax]

no, hijack this non ce l'ho... dove posso scaricarlo? (scusate se vi stresso, ma non avevo mai avuto a che fare con virus di questo tipo)

[lancetta]

scaricalo da QUI LINK è stand alone (senza installazione) lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati, copi ed incolli nel prossimo post

[jax]

Ecco il log generato:

Logfile of HijackThis v1.99.1
Scan saved at 14.36.51, on 08/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programmi\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programmi\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\Programmi\ASUS\AASP\1.00.01\aaCenter.exe
C:\Programmi\ASUS\Ai Suite\AiNap\AiNap.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Razer\Copperhead\razerhid.exe
C:\Programmi\Babylon\Babylon-Pro\Babylon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\Creative\MediaSource\Go\CTCMSGo.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\SEC\Natural Color\NaturalColorLoad.exe
C:\Programmi\File comuni\Logitech\khalshared\KHALMNPR.EXE
C:\Programmi\Creative\ShareDLL\CADI\NotiMan.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Razer\Copperhead\razerofa.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Programmi\TRADOS\T7_FL\TT\TW4Win.exe
C:\Programmi\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Ulisse.DESKTOP\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://updates.installshield.com/GetUpdates.asp?p={F843C6A3-224D-4615-94F8-3C461BD9AEA0}&r=9.00&v=ISUA%203.1&u={E779CE1E-F9C7-4EEF-854D-757563A42C22}&l=1033&K=Z
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Coolstreaming_Tool-Bar_v1.0 toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Coolstreaming_Tool-Bar_v1.0 toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll
O3 - Toolbar: Coolstreaming_Tool-Bar_v1.0 toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programmi\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programmi\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programmi\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AsusServiceProvider] C:\Programmi\ASUS\AASP\1.00.01\aaCenter.exe
O4 - HKLM\..\Run: [Ai Nap] "C:\Programmi\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [razer] C:\Programmi\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Programmi\Creative\MediaSource\Go\CTCMSGo.exe" /SCB
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: system32 - {889EEA91-2364-4858-86D6-59BC4DEB4819} - sysprinters.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MS Common Service - Unknown owner - C:\WINDOWS\system32\mscomserv.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[wizard1993]

disabilita il system restore e fixa
O21 - SSODL: system32 - {889EEA91-2364-4858-86D6-59BC4DEB4819} - sysprinters.dll (file missing)
O23 - Service: MS Common Service - Unknown owner - C:\WINDOWS\system32\mscomserv.exe (file missing)

poi riavvia e fai una scan con panda antirootkit e dopo gmer

[jax]

Ho fatto uno scan con Avast al riavvio, prima di caricare il SO e mi ha trovato un solo file infetto (quello che mi era stato passato via messenger) che ho provveduto a rimuovere a mano.

Strano che questo file non mi veniva segnalato facendo lo scan da dentro il SO.

Per "disabilita il system restore" intendi disabilitare il ripristino configurazione automatica? (l'avevo già disabilitato)

[lancetta]

allora apri una cartella qualsiasi vai su sulla barra :strumenti->opzioni cartella->visualizzazione->metti la spunta a "visualizza file e cartelle nascoste" e togli la spunta a "nascondi file protetti di sistema"-->applica poi da modalità provvisoria cerca e cancella se ci sono:
c:\windows\myalbum.zip
c:\windows\system32\sysprinter.dll i file che ho evidenziato in neretto
e tutta la cartella in
C:\Install poi Start->esegui->nel box scrivi "regedit" si apre il registro di sistema e navighi fino a questa chiave: HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 (se c'è) all'interno della cartella ci dovrebbe essere insieme ad altri file " sysprinters.dll" se così cancella tutta la cartella,solo fai attenzione nel registro di sistema...facci sapere

Saluti

[jax]

Ho disabilitato il ripristino configurazione sistema e fixato le due voci che mi erano state consigliate, quindi ho scaricato panda antirootkit e ho fatto una scansione anche con quello, rimuovendo la voce sospetta che mi aveva trovato (relativa a msn.exe).

Ho provato a scaricare gmer, ma ogni volta che lo lancio, a un certo punto l'applicazione mi dà errore e mi costringe a chiuderla.

Comunque spero che tutto ciò che ho fatto e rimosso finora possa essere servito ad arginare il problema

Per ora grazie a tutti per i consigli

[jax]

Il file myalbum.zip l'avevo già cancellato (è quello a cui facevo riferimento prima, che mi era stato trovato da Avast durante la scansione al riavvio)

il file sysprinter.dll contenuto nella cartella C:\windows\system32 va cancellato?

Nel registro, nella cartella che mi hai indicato non ci sono altri file "sysprinters.dll

[lancetta]

si cancellalo senza pietà...!!!come và il pc adesso?

[jax]

Ok, ho cancellato anche sysprinters.dll.

Il registro non l'ho toccato, visto che non ho trovato i file che mi avevi segnalato (c'è solo la cartella 5603, ma all'interno non c'è traccia di file con nome sysprinters.dll).

Speriamo che ora sia tutto ok. Domani credo avrò la controprova e ti saprò dire.

[lancetta]

molto probabilmente qualcosa te l'aveva già cancellato i soft di sicurezza comunque se la situazione si dovesse essere normalizzata ti raccomando di riabilitare i file di sistema nascosti eccetera, basta che fai il percorso inverso che ti ho indicato qualche post fà,poi al limite ti leggi qualche post in sezione per la messa in sicurezza del pc..e se ti è possibile cerca di navigare con account user e non admin...fammi sapere

Saluti

[jax]

Pare che il virus sia stato debellato... sono stato collegato tutto ieri e, a quanto pare, non è partito più alcun messaggio strano, né ne ho ricevuti

Grazie di nuovo a tutti per i preziosi suggerimenti