mi sono imbacato....

[nottolo]

Ciao a tutti, ho avviato erroneamente un file exe che conteneva un troian e mi ha piazzato in system32 un eseguibile che non riesco a cancellare, con hijack lo vedo e lo fixo ho provato anche in provvisoria, ma nulla riparte, lo ho tolto dal run nel registro ma riparte, praticamente fa ronzare il floppy continuamente come se cercasse il disco (che non c'è) e apre e chiude un processo in task manager.. ho provato con killbox ma cercando in system32 il file eudslfin.exe non si vede, qualcuno sa come debellarlo ?
aggiungo che a intervalli di una decina di munuti lo schermo diventa nero per 2 secondi...

Allego il log di hijack

Codice PHP:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.21.32, on 09/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programmi\Power Translator 10\LogoMedia TranslateDotNet Server.exe
C:\Programmi\NOD32\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Utility\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programmi\VNC4\WinVNC4.exe
C:\Programmi\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programmi\Utility\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\mshearts.exe
C:\WINDOWS\system32\drivers\explorer.exe
C:\WINDOWS\system32\eudslfin.exe
C:\Programmi\NOD32\nod32kui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\PrintKey-Pro\PKey_Pro.exe
C:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Utility\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programmi\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\NOD32\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S188.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [vmware-tray] C:\Programmi\VMware Workstation\vmware-tray.exe
O4 - HKLM\..\Run: [none] C:\WINDOWS\system32\eudslfin.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MemoREX] C:\Programmi\MemoRex\MemoRexStart.exe 
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [none] C:\WINDOWS\system32\eudslfin.exe
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - Global Startup: PrintKey-Pro.lnk = C:\Programmi\PrintKey-Pro\PKey_Pro.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1209844395609
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202335575468
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C67316D-49CC-41B7-9CEB-8F495673891A}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Unknown owner - C:\Programmi\Utility\Ad-Aware 2007\aawservice.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator 10\LogoMedia TranslateDotNet Server.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programmi\NOD32\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Utility\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Utility\PerfectDisk\PDEngine.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programmi\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programmi\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programmi\File comuni\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programmi\VNC4\WinVNC4.exe

--
End of file - 8689 bytes 


[Chill-Out]

Ciao segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

[nottolo]

ho passato Malwarebytes Anti-Malware e ho fixato 3 file dichiarati trojan da lui... bel casino... non parte ne in provvisoria ne in normale... rimane lo schermo senza icone.... i files se non ricordo male erano dll di explorer ma non ricordo bene il percorso.. il log è dentro il pc morto.... AIUTOOOOOOOO

[Chill-Out]

Quote:

Originariamente inviato da nottolo

ho passato Malwarebytes Anti-Malware e ho fixato 3 file dichiarati trojan da lui... bel casino... non parte ne in provvisoria ne in normale... rimane lo schermo senza icone.... i files se non ricordo male erano dll di explorer ma non ricordo bene il percorso.. il log è dentro il pc morto.... AIUTOOOOOOOO

Spiegati meglio cosa vuol dire non parte? Scrivi che non parte ne in provvisoria ne in modalità normale, poi dici che il SO viene caricato ma il Desktop è privo di icone

[nottolo]

il pc parte ma rimane il desktop vuoto sia in normale che in provvisoria, ho controllato nel registro la famosa chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options e anche sotto policies.. ma non ne vuole

non so come procedere

[Chill-Out]

Quote:

Originariamente inviato da nottolo

il pc parte ma rimane il desktop vuoto sia in normale che in provvisoria, ho controllato nel registro la famosa chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options e anche sotto policies.. ma non ne vuole
vedo che fra i processi ce n'è uno spoolsv vistosamente fasullo ma secondo me ce ne sono altri sotto svchost non so come procedere

Hai seguito questa Guida alla lettera http://www.hwupgrade.it/forum/showthread.php?t=1555416

[nottolo]

seguita alla lettera... ma nulla sempre schermo vuoto ho fatto anche la procedura per la sostituzione dei file di sistema protetti sfc /scannow ma nulla

[wjmat]

riesci a lanciare i programmi?

[nottolo]

solo task manager .....

[wjmat]

riesci a lanciare explorer?

[nottolo]

Riesco ma non parte.. compare un attimo una schermata di dos c:\windows\system32\drivers\explorer.exe e non parte..

[nottolo]

ce l'ho fatta... avviare da floppy procexp.exe e da li ho killato il processo malefico nascosto come gioco delle carte MSHEARTS.exe il pc si è riavviato dopo ho lanciato explorer.exe sempre da procexp.exe e tutto è ripartito.. ora passerò i MIEI pulitori che sono sicuro conoscere.. ricordo che tutto è successo dopo aver killato due file di explorer con Malwarebytes

[Chill-Out]

Quote:

Originariamente inviato da nottolo

ce l'ho fatta... avviare da floppy procexp.exe e da li ho killato il processo malefico nascosto come gioco delle carte MSHEARTS.exe il pc si è riavviato dopo ho lanciato explorer.exe sempre da procexp.exe e tutto è ripartito.. ora passerò i MIEI pulitori che sono sicuro conoscere.. ricordo che tutto è successo dopo aver killato due file di explorer con Malwarebytes

Sarebbe prezioso a questo punto vedere il log di MBAM

[wjmat]

Quote:

Originariamente inviato da nottolo

ce l'ho fatta... avviare da floppy procexp.exe e da li ho killato il processo malefico nascosto come gioco delle carte MSHEARTS.exe il pc si è riavviato dopo ho lanciato explorer.exe sempre da procexp.exe e tutto è ripartito.. ora passerò i MIEI pulitori che sono sicuro conoscere.. ricordo che tutto è successo dopo aver killato due file di explorer con Malwarebytes

mi spieghi meglio cosa hai fatto?
killato significa solo stoppato oppure anche cancellato?

[nottolo]

Stoppato (Kill e non Kill and Delete)e a quel punto si è riavviato la macchina ma non è ripartito il processo... nel frattempo sul floppy dove si trovava procexp.exe aveva scritto un file AUTORUN.inf e loaderh.exe. A quel punto da procexp.exe ho lanciato explorer e il desk è tornato..
Ecco il LOG richiesto...

Codice:

Malwarebytes' Anti-Malware 1.30
Versione del database: 1375
Windows 5.1.2600 Service Pack 3

09/11/2008 21.58.14
mbam-log-2008-11-09 (21-58-14).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 243628
Tempo trascorso: 37 minute(s), 30 second(s)

Processi delle memoria infetti: 1
Moduli della memoria infetti: 1
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 2

Processi delle memoria infetti:
C:\WINDOWS\system32\drivers\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.
Moduli della memoria infetti:
C:\WINDOWS\system32\iexplorer.dll (Trojan.Agent) -> Delete on reboot.
Chiavi di registro infette:
(Nessun elemento malevolo rilevato)
Valori di registro infetti:
(Nessun elemento malevolo rilevato)
Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
C:\WINDOWS\system32\iexplorer.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.

[xcdegasp]

@ nottolo:
questo log te l'ho corretto inserendo i tag richiesti il prossimo sarà rimosso ti consiglio pertanto di leggere le Regole di Sezione

[nottolo]

[wjmat]

a me sembra che mbam non abbia eliminato nulla di critico anzi...

Codice:

C:\WINDOWS\system32\drivers\explorer.exe 
C:\WINDOWS\system32\iexplorer.dll

come procede la disinfezione?

[nottolo]

il fatto stà che dopo aver passato lui... il pc è defunto.. la disinfezione è terminata dopo aver fatto fuori quel processo di cui sopra aver ripristinato exploret e aver passato spybot ccleaner cleanup ashampoo tune up e nod 32...

[Webbone]

Ciao ragazzi ho ho lo stesso identico problema di nottolo, con lo il lettore floppy che fa casino e lo schermo che diventa nero ogni tanto. Uso windows vista 64 bit. Il floppy l'ho disattivato per ora da gestione dispositivi. C'è un processo che si chiama: mshearts.exe *32 che mi occupa sempre il 30-35 per cento di cpu e che tenta di stabilire connessioni, ma viene bloccato da COMODO. Il file è situato in windows\SysWOW64\. Se provo ad arrestare il processo da gestione attività windows il computer crasha con la schermata blu. Scansionando con Malwarebytes trova 3 files infetti, solo che forse non mi conviene provare a cancellarli visto quello che è successo a nottolo. Qui comunque c'è il log:

Codice:

Malwarebytes' Anti-Malware 1.30
Versione del database: 1383
Windows 6.0.6001 Service Pack 1

11/11/2008 22.19.12
mbam-log-2008-11-11 (22-19-07).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 140123
Tempo trascorso: 26 minute(s), 16 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 1
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\Windows\System32\drivers\downld (Trojan.Agent) -> No action taken.

File infetti:
C:\Windows\System32\iexplorer.dll (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

Cosa devo fare?