[INFO] Nuova infezione ancora senza nome...

[OliVale]

Saluti a tutti del Forum,
ieri sera a casa di un amico mi sono imbattuta in una infezione nuova a quantomeno fastidiosa.
Ho cercato tramite Google se c'erano già notizie utili su come pulire il PC da questo problema ma per ora ho trovato solo un rifermento ad uno dei files incriminati sul PC http://www.prevx.com/filenames/27886...OFINU.EXE.html

che dice sia stato scoperto il 1 novembre 2007 in America ma ancora nessuna istruzione sulla rimozione.

Mi sono dotata di avenger, combofix, PrevXCSIfree, HiJackThis e Gmer e ora andrò a casa del mio amico alla caccia di questo strano intruso, avviando il PC in Modalità provvisoria...

Praticamente i sintomi su un WinXP con SP2 e Avast! installato sono i seguenti: poco dopo l'avvio compare una finestra che segnala un Virus Alert Infection e suggerisce di cliccare su Ok per scaricare un virus remover, però non fa riferimento a nessun software antivirus che potrebbe essere l'origine di questa segnalazione.

Poi periodicamente compaiono delle finestrelle gialle simili ai balloons di avviso di WinXP nell'angolo in basso a destra vicino all'ora di sistema, anch'essi che segnalano varie forme di infezione (Trojan-Spy.win32@mx oppure PSW.x_Vir trojan o Spyware.Cyberlog-X), senza però identificare l'origine della segnalazione, sono scritte in inglese, piene di errori di scrittura e tutte invitano a cliccare per scaricare fantomatici anti-malware o malware remover...

I files strani che ho trovato hanno i seguenti nomi:
nella cartella windows:
mrofinu572.exe.tmp
mrofinu572.exe
mrofinu1000106.exe
17PHolmes572.exe

nella cartella System32:
una dozzina di files .dll con nome lungo da 5 a 8 caratteri a caso, del tipo jkkjjhh.dll oppure qadfwjdc.dll o gebyw.dll di cui 3 non si riescono a cancellare nemmeno dalla modalità provvisoria.

sul desktop si ricreano ad ogni riavvio due icone con links:
Live Safety Center
Online Security Guide
che assomigliano mostruosamente alle icone del firewall di Windows ma con colori diversi, e che puntano entrambi ad un dominio htepo.com con a seguire codici che non son riuscita a trascrivere.
e anche un rMa01yy1065.exe che non ricordo dov'era salvato...

Nessuno di questi nomi di files si ritrovano nel registro di sistema o in msconfig...

Se risolvo la situazione vi descriverò come ho fatto...
se avete suggerimenti aggiuntivi ben accetti per tutti.
Buona serata!
Valeria

[Chill-Out]

Il tuo amico ha cliccato su un ADS infetto e si installato un falso antivirus/antispyware con annesso un bel Trojan.
Edit: nessuna nuova infezione - Kaspersky Trojan-Downloader.Win32.Agent.emo

[xcdegasp]

prima di proseguire senza schemi ti consiglierei di frenare gli animi, prendere fiato e seguire una facile scaletta che spesso identifica gran parte dei problemi.
avremo senz'altro indicazioni più precise di quel canchero che usi come antivirus.

per iniziare segui alla lettera le indicazioni date in "Regole di Sezione" e intendo rispettandone completamente l'ordine di esecuzione.

Nel tuo caso ti chiederei di fare sia la scansione con i servizi Online sia con Dr.Web o "Avira Antivir Classic". (il resto rimane uguale a come detto in quel thread che ti ho suggerito).

Una volta finite tutte le scansioni ritorna e dicci i risultati.. per HiJackThis attenderei i risultati delle prime analisi

[OliVale]

Ciao xcdegasp, prima di scrivere il thread iniziale in effetti ho letto tutte le regole, e ho già seguito i consigli, tranne quello di inviare i files sospetti a visurtotal oppure a pcalsicuro...
CCleaner ha pulito tutto quello che si poteva pulire, ho il log se non sbaglio.
Ho disattivato il ripristino di sistema.
Ho fatto la scansione con HiJackThis ma non ha funzionato il Fix dei problemi legati ai files che non riuscivo a cancellare. Posto il log dopo la descrizione, sto facendo intanto la scanzione online con A-squared Anti Malware e sul PC con Avast! aggiornato.
Ho provato ad usare anche Gmer ma non partiva.
Poi ho utilizzato PREVXCSIfree per vedere se scopriva il nome dell'intruso.
Ne ha trovati ben 2: Trojan.Vundo (che ho eliminato con il Removal Tool della Symantec) e Trojan.Zlob (di cui non ho trovato removal tools ma di cui non ho ancora cercato istruzioni su questo forum...faccio subito!).
Seguirò sicuramente anche la pista suggerita da Chill-Out cercando istruzioni su come rimuovere il Trojan-Downloader.Win32.Agent.emo
Qualcuno di voi conosce per caso una "Security Toolbar 7.1" per IE???? Non riesco a disabilitarla... e il mio amico non sa da dove sia giunta... Farò ricerca sul Forum anche per questo eventualmente...
Grazie della consulenza, spero di darvi buone notizie fra poco...
Saluti
Valeria

(ho eliminato il log HiJackThis doppio che non era tra i tag CODE)

[xcdegasp]

devi mettere il lig tra i tag CODE o inserirlo tramite la funzione "Gestisci allegati"

le scansioni falle esattamente come te le ho consigliate e con i prodotti consigliati, a tutto c'è un perchè e se vuoi quando sei disinfettata ti dirò tale motivazione.
quindi mi raccomando rispetta quell'ordine e sopratutto accetta il consiglio di disinstallare quel coso di Avast per fare la scansione con DrWeb e poi con Avira Antivir Classic che adotterai come antivirus.

[OliVale]

Chiedo scusa per il log...l'avevo letto ma mi sono scordata di applicarlo...rimedio subito.

Codice:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.03.14, on 13/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Prevx2\PXConsole.exe
C:\Programmi\Prevx2\PXAgent.exe
C:\Programmi\Alwil Software\Avast4\ashSimpl.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Gaspari\Desktop\malware protection\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.corriere.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {388A3483-4C04-4D83-9426-C7EF92348D9B} - C:\WINDOWS\system32\gebyw.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\ajncixpj.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ajncixpj.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx2\PXConsole.exe"
O4 - HKLM\..\Run: [384eb3ea] rundll32.exe "C:\WINDOWS\system32\fxmahfvd.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F8799A3-9C92-46E8-A761-3C1EDD4DFBD7}: NameServer = 85.37.17.7 85.38.28.95
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00D1164.dat
O20 - Winlogon Notify: ajncixpj - C:\WINDOWS\SYSTEM32\ajncixpj.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PREVXAgent - Prevx - C:\Programmi\Prevx2\PXAgent.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 4843 bytes

Per l'ordine delle istruzioni, ho stoppato il tutto e sto cercando di seguire di nuovo le istruzioni dall'inizio, anche se un po' mi confonde che il primo punto di REGOLE di SEZIONE sia di leggere la GUIDA alla DISINFEZIONE e il primo punto della GUIDA mi dica di leggere le REGOLE..... se sbaglio qualcosa correggetemi, che sto andando in confusione...
Seguo la GUIDA e solo alla fine eseguo CCleaner..giusto?
Grazie ancora e scusate il casino...
Valeria

[Bugs Bunny]

O2 - BHO: (no name) - {388A3483-4C04-4D83-9426-C7EF92348D9B} - C:\WINDOWS\system32\gebyw.dll

O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\ajncixpj.dll

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ajncixpj.dll

O4 - HKLM\..\Run: [384eb3ea] rundll32.exe "C:\WINDOWS\system32\fxmahfvd.dll",b

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00D1164.dat

O20 - Winlogon Notify: ajncixpj - C:\WINDOWS\SYSTEM32\ajncixpj.dll



Per i "colleghi del forum": è la seconda volta che vedo questa appinit dll
C:\WINDOWS\system32\__c00D1164.dat
sarà il caso di studiarci su?

[Nuz]

Piccolo OT: Guarda caso anche l'altro utente aveva Avast.

[Riverside]

Quote:

Originariamente inviato da Bugs Bunny

Per i "colleghi del forum": è la seconda volta che vedo questa appinit dll C:\WINDOWS\system32\__c00D1164.dat
sarà il caso di studiarci su?

Giusta osservazione Bunny.
.dat è una estensione utilizzata, spesso, dagli allegati di posta elettronica in Outlook, se non ricordo male.
PERò concentrerei l'attenzione su questo appinit dll: la voce corretta dovrebbe essere AppInit_DLLs
Azzardo: worm_bagz.f o comunque una variante.

[OliVale]

ADSR non ha rilevato nulla di anomalo, tanti files thumbs.db legittimi sparsi ovunque, solo questo strano che ho cancellato:

Codice:

[Note]: Stream C:\Documents and Settings\Gaspari\Desktop\ShareLandingSignin.htm:Zone.Identifier:$DATA deleted successfully.

a2free - log:

Codice:

a-squared Free - Version 3.0
Last update: 13/11/2007 21.00.14

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\WINDOWS\, C:\Programmi
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata:	13/11/2007 21.01.04

[684] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[760] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[948] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[1024] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[1132] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[1252] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[1480] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[1492] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[1824] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[1884] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[1900] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[2028] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[392] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[2232] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
[2296] C:\WINDOWS\system32\__c00C325B.dat 	rilevati: Trojan-Downloader.Win32.ConHook.hl
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> cmd 	rilevati: Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> configversion 	rilevati: Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> i 	rilevati: Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> nextupdate 	rilevati: Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> p 	rilevati: Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> version 	rilevati: Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Products --> compname 	rilevati: Trace.Registry.BestsellerAntivirus
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Products --> prodname 	rilevati: Trace.Registry.BestsellerAntivirus
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Products --> rdomain 	rilevati: Trace.Registry.BestsellerAntivirus
C:\Documents and Settings\Gaspari\Cookies\gaspari@doubleclick[2].txt 	rilevati: Trace.TrackingCookie
C:\Documents and Settings\Gaspari\Cookies\gaspari@mediaplex[1].txt 	rilevati: Trace.TrackingCookie
C:\Documents and Settings\Gaspari\Cookies\gaspari@tradedoubler[1].txt 	rilevati: Trace.TrackingCookie
C:\WINDOWS\b122.exe 	rilevati: Trojan-Downloader.Win32.Agent.erf
C:\WINDOWS\system32\elusluwp.dll 	rilevati: Trojan-Downloader.Win32.ConHook.hl
C:\WINDOWS\system32\ufdsqeql.exe 	rilevati: Heuristic.LOP
C:\WINDOWS\system32\uwdkkeao.dll 	rilevati: Trojan-Downloader.Win32.ConHook.hl

Scansionati

Files: 	19027
Tracce: 	339607
Cookies: 	47
Processi: 	27

Rilevato

Files: 	4
Tracce: 	9
Cookies: 	3
Processi: 	15
Chiavi registro: 	0

Fine scansione:	13/11/2007 21.18.58
Tempo scansione:	0.17.54

C:\WINDOWS\system32\ufdsqeql.exe	Cancellato Heuristic.LOP
C:\WINDOWS\b122.exe	Cancellato Trojan-Downloader.Win32.Agent.erf
C:\Documents and Settings\Gaspari\Cookies\gaspari@doubleclick[2].txt	Cancellato Trace.TrackingCookie
C:\Documents and Settings\Gaspari\Cookies\gaspari@mediaplex[1].txt	Cancellato Trace.TrackingCookie
C:\Documents and Settings\Gaspari\Cookies\gaspari@tradedoubler[1].txt	Cancellato Trace.TrackingCookie
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Products --> compname	Cancellato Trace.Registry.BestsellerAntivirus
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Products --> prodname	Cancellato Trace.Registry.BestsellerAntivirus
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Products --> rdomain	Cancellato Trace.Registry.BestsellerAntivirus
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> cmd	Cancellato Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> configversion	Cancellato Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> i	Cancellato Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> nextupdate	Cancellato Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> p	Cancellato Trace.Registry.BitTorrent Smart
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WR --> version	Cancellato Trace.Registry.BitTorrent Smart
[684] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[760] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[948] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[1024] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[1132] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[1252] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[1480] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[1492] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[1824] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[1884] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[1900] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[2028] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[392] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[2232] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
[2296] C:\WINDOWS\system32\__c00C325B.dat	Cancellato Trojan-Downloader.Win32.ConHook.hl
C:\WINDOWS\system32\elusluwp.dll	Cancellato Trojan-Downloader.Win32.ConHook.hl
C:\WINDOWS\system32\uwdkkeao.dll	Cancellato Trojan-Downloader.Win32.ConHook.hl

Cancellato

Files: 	4
Tracce: 	9
Cookies: 	3

PrevX CSI a seguire segnala ora 4 files infetti (prima erano 3)
%windir%\system32\ __C00C325B.DAT Trojan.Zlob
%windir%\system32\ AJNCIXPJ.DLL Trojan.Zlob
%windir%\system32\ FXMAHFVD.DLL Trojan.Vundo
%windir%\system32\ GEBYW.DLL Trojan.Vundo

Domanda: la cancellazione del file __C00C325B.DAT segnalata da a2free non sembra essere andata a buon fine... o queste scansioni di riferiscono a diversi processi?

Dr.Web CureIT sta ancora analizzando il disco intero, la scansione Express non ha trovato niente...

Vale la pena cercare di ripulire il PC o la formattazione risolve il problema senza penare troppo?

[Riverside]

Quote:

Originariamente inviato da OliVale

Vale la pena cercare di ripulire il PC o la formattazione risolve il problema senza penare troppo?

Calma Oli, da qui, quasi mai, nessuno è uscito formattando.
Quindi vediamo di risolvere la cosa.
Inzia, intanto, con l'allegare il log di PREVX CSI quindi, procedi in questo modo:
● riesegui una scansione con PrevX CSI
● al termine della scansione, clicca su:
● Options
● Save Log
● allega il log salvato per farlo analizzare, poi valutiamo come proseguire.

[OliVale]

PrevX CSI mi ha rimandato sul web per il log, l'ho riportato prima ma forse c'erao troppe info:
Your Prevx CSI Scan Results:
Computer Name gaspari-01e8023
Security Product Prevx 2.0 Version 1.0.1.33
Windows Windows XP Professional Service Pack 2 (Build 2600) 32bit
Scans 2 (First Scan: Nov 13 17:59 UCT Last Scan: Nov 13 20:20 UCT)
Files Checked 2,778
Bad Files 4
Your Computer Status INFECTED
Pathname Filenames Groupname
%windir%\system32\ __C00C325B.DAT Trojan.Zlob
%windir%\system32\ AJNCIXPJ.DLL Trojan.Zlob
%windir%\system32\ FXMAHFVD.DLL Trojan.Vundo
%windir%\system32\ GEBYW.DLL Trojan.Vundo
E' questo che ti serviva?

[OliVale]

Trojan.Winpop.origin è stato trovato proprio ora da Dr. Web, non può essere curato. File C:\Programmi\Temporary\wininstall.exe
Procedo intanto con PrevX CSI e riprovo a salvare il log... non ho notato questa opzione nelle scanzioni precedenti, così avevo salvato il report mostrato nella pagina web che era comparsa alla fine della scansione...
Nel frattempo, per evitare di usare IE che conteneva come componenti aggiuntivi due dll infette (AJNCIXPJ.DLL come Oggetto Helper Browser e come Security Toolbar; e GEBYW.DLL come Oggetto Helper Browser; che ho disabilitato), ho installato e sto usando FireFox 2.0.

[Riverside]

Per il log, segui semplicemente le istruzioni che ho indicato nel mio precedente reply.

Segui anche quanto stabilito dal Regolamento di sezione, per favore, quindi:

Per allegare quello e gli altri log o report che ti verrano richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, deve essere allegato utlizzando il tag code dall'editor del messaggio;
● in alternativa sempre se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare, pubblicando, nella discussione, il link che verrà rilasciato per il download.

[OliVale]

prevxcsi20071113.log - 0.29MB è il link al log di PrevxCSI, 299KB...
Dr.Web ha terminato trovando e cancellando anche
C:\WINDOWS\system32\rMa01yy\rMa01yy1065.exe
identificato come Trojan.Downloader.24715 e tutti i sintomi problematici ci sono ancora:
icone sul desktop che cancello e si ricreano, finestre/ballons gialle in zona ora di sistema di vari security alerts, avviso di Critical System Warning sul desktop, e ora si sono aggiunte finestre di IE che si aprono a caso su immagini palesemente pubblicitarie e altro.
Grazie del supporto ragazzi.
Posso verificare o fare altro?

[Riverside]

Quote:

Originariamente inviato da OliVale

prevxcsi20071113.log - 0.29MB è il link al log di PrevxCSI, 299KB...
Ho Dr.Web all'89% e tutti i sintomi problematici ci sono ancora:
icone sul desktop, finestre/ballons gialle in zona ora di sistema, avviso di Critical System Warning sul desktop, e ora si sono aggiunte finestre di IE che si aprono a caso su immagini palesemente pubblicitarie e altro.
Grazie del supporto ragazzi.
Posso verificare o fare altro?

Ok Oli, vediamo si stroncare il nemico

Intanto fai terminare la scansione con Dr Web, poi, inzia a seguire questa procedura (la facciamo per gradi):

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
lo devi tenere disattivato fino a quando non avremo risolto il problema

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

pulisci gli ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Scarica questi software e tool per eseguire una pulizia:

CCLEANER: clicca qui per il download
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

PANDA ANTIROOTKIT: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

E qui ci fermiamo: eseguiti questi passaggi, riavvia il sistema, ed alleghi un nuovo log di Hthis (lo carichi su ZShare, mi viene più comodo).

[OliVale]

Quote:

Originariamente inviato da Riverside

Ok vediamo si stroncare il nemico

Intanto fai terminare la scansione con Dr Web,

Dr.Web ha terminato trovando e cancellando anche
C:\WINDOWS\system32\rMa01yy\rMa01yy1065.exe
identificato come Trojan.Downloader.24715

Quote:

Originariamente inviato da Riverside

poi, inzia a seguire questa procedura (la facciamo per gradi)

Ok, ora comincio...
Ripristino del sitema già disattivato quasi da subito.
Ora eseguo svuotamento Prefetch ed eliminazione ADS con HTHIS, CCleaner è già installato, seguirò le procedure da te descritte, anche se già l'avevo fatto prima con le opzioni descritte...rieseguo. Poi farò anche la scansione con Panda Antirootkit...
Ci sentiamo fra un po' con i risultati.
Grazie ancora!

[Riverside]

@ Oli, ho visto che parte della procedura che ti ho indicato la hai già eseguita.
Preferisco fartela ripetere e seguire, passo dopo passo, l'evolversi della cosa.

[OliVale]

Quote:

Originariamente inviato da Riverside

@ Oli, ho visto che parte della procedura che ti ho indicato la hai già eseguita.
Preferisco fartela ripetere e seguire, passo dopo passo, l'evolversi della cosa.

Si, nessun problema, a volte sono solo pignola nelle descrizioni.
Ho avuto problemi a cancellare i files nella cartella Prefetch perchè il sistema era diventato instabile, sfarfallavano tutte le icone nel desktop e non funzionava né il tasto dx del mouse e nemmeno un modo per cancellare i files... ho riavviato e ora sto proseguendo come hai richiesto tu, a parte il ripristino di sistema che era già disabilitato, ho verificato.
A più tardi.

[xcdegasp]

@ OliVale:
è probabile che a fine scansione con a-squared tu non abbia impartito nessun comando..
in fondo dovresti avere i pulsanti "quarantena" ed "elimina", quindi rifai la scansione DEEP da modalità provvisoria e poi selezione quello che trova e metti in quarantena.

sicura di aver disabilitato il ripristino di sistema?

spero che con questa dimostrazione tu possa fidarti maggiormente rispetto a prima