Infetto da Trojan.win32.Dialer.IH

[potito0]

--------------------------------------------------------------------------------

Salve,
da un pò di tempo ho un virus (credo trojan) , che mi fa saltare la mia connessione e ne crea un'altra chiamata "internet".
Ho analizzato i file responsabili ( hanno l'icona con due labbra rosse)
con tutti i software possibili (anche on-line)
e l'unico che è me lo ha individuato è VirIT dicendomi che era un
Trojan.win32.Dialer.IH e l'ha eliminato.
Ma dopo alcuni giorni si ricrea il file con sei lettere a randon
( es : abcdef.exe ) sempre nella cartella Temp di window ,ed anche
nel registro per l'avvio di windows.
Da premettere che ho seguito già le indicazioni trovate nei vari forum,
ma niente di definitivo mi ha aiutato.
Molto importante il fatto che il file si ricrea dopo pochi minuti
quando digito il login in un forum come questo .
Nessuno aveva postato per questo trojan fino ad ora ,
e mi hanno suggerito di aprire una nuova discussione.
Ditemi voi .
GRAZIE ANTICIPATAMENTE.
p.s. Intanto posto il log di hijackthis

[security!!!]

Qesto è il malware da cancellare:

C:\WINDOWS\TEMP\eockda.exe

[xcdegasp]

che si auto ricrea al prossimo avvio...


@ potito0:
segui la procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti rispettando le Regole di Sezione.

[potito0]

Forse non serve, ma:
Il mio S.O. è Windows XP Home (SP2) e il mio antivirus è KAV 5
entrambi aggiornati.
Purtroppo dato il mio hardware piuttosto datato ,
e la mia connessione lumaca (magari 56Kb).
Inizio con postare i primi log.(è la prima volta, quindi se qualcosa non và...)
GRAZIE DEL VOSTRO AIUTO

log di ADSR
Clicca qui per scaricare

log di a-squared Free

Codice:

a-squared Free - Version 3.1
Last update: 06/04/2008 3.16.25

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies, C:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata:	06/04/2008 12.04.22

C:\Documents and Settings\ANGELO&ANTONELLA\Cookies\angelo&antonella@atdmt[1].txt 	rilevati: Trace.TrackingCookie
C:\Documents and Settings\ANGELO&ANTONELLA\Cookies\angelo&antonella@bravenet[2].txt 	rilevati: Trace.TrackingCookie
C:\Documents and Settings\ANGELO&ANTONELLA\Cookies\angelo&antonella@doubleclick[1].txt 	rilevati: Trace.TrackingCookie
C:\Documents and Settings\ANGELO&ANTONELLA\Cookies\angelo&[email protected][2].txt 	rilevati: Trace.TrackingCookie
C:\Documents and Settings\ANGELO&ANTONELLA\Cookies\angelo&antonella@mediaplex[1].txt 	rilevati: Trace.TrackingCookie
C:\Documents and Settings\ANGELO&ANTONELLA\Cookies\angelo&antonella@tradedoubler[2].txt 	rilevati: Trace.TrackingCookie

Scansionati

Files: 	80045
Tracce: 	399286
Cookies: 	48
Processi: 	26

Rilevato

Files: 	0
Tracce: 	0
Cookies: 	6
Processi: 	0
Chiavi registro: 	0

Fine scansione:	06/04/2008 13.30.08
Tempo scansione:	1:25:46

log diprevx_csi
Clicca qui per scaricare

log di BitDefender on-line fatta giovedì scorso

Codice:

[General]
App	= "BitDefender Online Scanner v8"
Date	= 03:04:2008
Time	= 18:56:49
Scan Path	= A:\;C:\;D:\;E:\;

[Engines Info]
Virus Definitions	= 1104039
Engine build	= "AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)"
Scan plugins	= 16
Archive plugins	= 41
Unpack plugins	= 7
E-mail plugins	= 6
System plugins	= 5

[Scan Statistics]
Folders	= 3316
Files	= 119405
Archives	= 6764
Packed files	= 8600
Identified viruses	= 0
Infected files	= 0
Warnings	= 0
Suspect files	= 0
Disinfected files	= 0
Deleted files	= 0
Copied files	= 0
Moved files	= 0
Renamed files	= 0
I/O Errors	= 74

[Scan Settings]
SecondAction	= Delete
FirstAction	= Disinfect
Heuristics	= 1
Enable Warnings	= 1
Exclude Ext	= 
Extensions	= *;
Scan Emails	= 1
Scan Archives	= 1
Scan Packed	= 1
Scan Files	= 1
Scan Boot	= 1
Verify Memory	= 0

[xcdegasp]

se puoi inviarli su file.up è meglio perchè rimangono più leggibili e li puoi contenere tutti in un messaggio unico (possibilmente anteponendo al link per il download il nome del file)

[potito0]

Purtroppo se non mi spieghi passo passo.....
Non so come fare.....
Ora provo a fare così ..speriamo
Facendo una scansione con Virit aggiornato
ne ho trovato un'altro.......andiamo bene
Grazie

log file ViriT
Clicca per scaricare il file log VirIT

log file Gmer
Clicca qui per scaricare il file log Gmer

[potito0]

Oggi mi sono accorto che ho sbagliato tutto
Scusate li ripropongo:
Primo o poi mi devo imparare......

Clicca qui per scaricare il log di ADSR

Clicca qui per scaricare il log di a-squared

Clicca qui per scaricare il log di Prevx CSI

Clicca qui per scaricare il log di BitDefender on-line

Clicca qui per scaricare il log di VirIT

Clicca qui per scaricare il log di Hijackthis

Clicca qui per scaricare il log di Gmer

[potito0]

preciso che i software sono stati eseguiti tutti in
modalità normale.
Se qualcuno può darmi una mano....
GRAZIE

[xcdegasp]

per virIT:

Codice:

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
 
C:\WINDOWS\system32\updwlzwn.exe Possibile variante da Trojan.Win32.Agent.BMY
C:\WINDOWS\Temp\eockda.exe Infetto da Trojan.Win32.Dialer.IH

illog di prevxCSI è assolutamente alluccinantemai viste quelle sfilze di oggetti tra i quali estrapolo:

Codice:

C:\WINDOWS\system32\updwlzwn.exe	InMem: 0	Det [UP<R1>]	MD5: 196DD74FD79B79BCB38643F0B7AFEED1	PX5: A8712D68285CC8517E64006E6EDF4B00253E3B8B


C:\WINDOWS\system32\SHLWAPI.dll	InMem: 1	Det [UP]	MD5: D264E6A8F41AE5B6DCC6BE1EC3A93806	PX5: E506693E005ABB1E3E0D07D91586C8003F46C8C1


Summary:
C:\WINDOWS\system32\updwlzwn.exe - [U1] >> Hidden Process: 1164

rifai la scansione con HijackThis scegliendo l'opzione "Only Scan", a fine scansione il pulsante in basso a sinistra si chiamerà "Fix This" quindi selezioa le voci di tuo interesse e premi questo tasto.

Fixare:

Codice:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

[potito0]

Fatto , e pronto per il proseguo...

[Franz.]

Quote:

Originariamente inviato da potito0

Fatto , e pronto per il proseguo...

Urge una drastica ripulita per togliere la "polvere" così da focalizzarsi sul grosso, non so se mi spiego.
Fai una cosa, riavvia in modalità provvisoria (tasto F8 all'avvio) accedi come Administrator e ripulisci le cartelle dei files temporanei.
Una è sotto c.\windows\temp
e poi ne troverai una per ogni utente creato in C:\Documents and Settings\nome utente\Impostazioni locali\Temp
In ognuna di queste cartelle potresti trovare cartelle e files: elimina tutto e svuota il cestino.

Riavvia in modalità normale, e svuota la cache dei browser internet che usi.

Fai una scansione online con Kaspersky: http://www.kaspersky.com/virusscanner

E solo a questo punto ripeti le analisi che già hai fatto reinserendone nuovamente i log.

[potito0]

Dopo aver fixato i 3 processi con Hijackthis
ogni volta che avvio il pc si apre in automatico
sul desktop la cartella <system32>.
Ho visto nel tab di avvio in <msconfig>
vi è un nuovo processo chiamato <""/bootupreg>.
Cosa devo fare?
Intanto posto il log di KAV online Scanner,
dopo aver svuotato (come da procedura ) le cartelle temp
ed aver aver svuotato la cache di IE7.
In ultimo:
Devo eliminare tutti gli elementi trovati da KAV online?
GRAZIE DEL CONTINUO AIUTO.

Clicca qui per scaricare il log di KAV online Scanner

[potito0]

Non facendo partire il processo in questione <""/bootupreg>
non appare più la cartella <system32> all'avvio.
Comunque ecco i nuovi log:

Clicca qui per scaricare il log di ADSR

Clicca qui per scaricare il log di a-squared

Clicca qui per scaricare il log di prevxCSI

Clicca qui per scaricare il log VirIT

Clicca qui per scaricare il log di Hijackthis

Clicca qui per scaricare il log di Gmer

[xcdegasp]

prima vorrei un log fatto con FindAWF (opzione 1) e solo se non trova nulla procedi in autonomia con quanto scritto di seguito


scarica Avenger e scopattandolo in una cartella esclusiva a lui avvialo e dagli questo script da eseguire:

Codice:

File to delete:
C:\WINDOWS\system32\updwlzwn.exe

[Franz.]

Quote:

Originariamente inviato da xcdegasp

scarica Avenger e scopattandolo in una cartella esclusiva a lui avvialo e dagli questo script da eseguire:

Codice:

File to delete:
C:\WINDOWS\system32\updwlzwn.exe

Ciao xcdegasp, mi stavo giusto studiando i log anch'io, e ho visto quel file identificato, ma ho visto pure che comunque non è tra i processi. Comunque va eliminato in ogni caso, quindi io procederei senza troppi indugi.

Invece ho notato che in hijackthis c'è questo processo C:\WINDOWS\system32\S3apphk.exe che viene caricato da O4 - HKLM\..\Run: [S3apphk] S3apphk.exe che secondo me, se non ha a che fare con applicazioni ben conosciute dal nostro potito0 andrebbe fixato, visto che comunque non fa parte del SO.

Ultima cosa, consiglio a potito0 di rimuovere Virit e BitDefender, e di installare Avira.

Tu che dici?

[Chill-Out]

S3apphk.exe è un file relativo a dispositivi video S3 Graphics quindi legittimo

[xcdegasp]

le voci di virIT si riferiscono al tool usato mentre bit-defender al motore web che installa un activeX... aveva il kav installato ma i suoi file vengono stranamente visti come "unknow" da prevx e innumerevoli file di windows anch'essi nella stessa situazione anomala, per questo il sospetto di cartelle bak

[potito0]

Purtroppo si ricrea il processo <""/bootupreg> nel tab di avvio in msconfig
e appare sempre la cartella <system32> all'avvio.

Il tool FindAWF non ha trovato nulla (credo)

Clicca qui per scaricare il log di FindAWF

Utilizzando avenger con il relativo script ho avuto questo errore :
Error : Invalid script . A valid script must begin with a command directive.
Aborting execution.

Attendo nuove disposizioni.
GRAZIE

[xcdegasp]

vedi se trovi nel pc sto file:
C:\WINDOWS\system32\updwlzwn.exe


e in caso fallo analizzare su www.virustotal.com se no allora potremmo fare uno scan con dr.web cureIT

[Chill-Out]

Potito sei sicuro di aver copiato ed incollato lo Script compreso il comando che è Files to delete: e cliccato su Execute?

Inoltre allega un log degli Startup in questo modo:
Lancia HJT clicca su Open the Misc Tool section - clicca su Generate Startup List log mettendo il segno di spunta su entrambi i campi a dx