prima che mi incavolo: rimuovere trojan TR/Dldr.WinSh.AC.05

[Killian]

oggi (almeno credo) non so come ho preso questo trojan maledetto.

Lo so perchè Antivir me lo rileva ma anche cancellando il file questo prima o poi rispunta.

Il file in questione è BWRKS.DLL e si trova in c:\windows\system32\

Come cacchio posso fare?

[SFOGO]

ma la gente di merda che crea queste cose non potrebbe fare altro per impiegare il tempo?

[/SFOGO]

[MrOZ]

Prova adaware6, spybot 1.3 e poi posta un log di hijackthis.

[wgator]

Quote:

[SFOGO]
ma la gente di merda che crea queste cose non potrebbe fare altro per impiegare il tempo?
[/SFOGO]

hehehe, evidentemente hanno dei gravi problemi sessuali.
Come diceva il caro, vecchio Sigmund, se hanno dei problemi con le donne poi si devono rifare su qualche altra cosa

[Killian]

allora, intanto il bastardo mi modifica anche la pagina iniziale mettendo

res://bwrkz.dll/index.html#96676

e anche se provo a cambiarla dopo un po' me la ritrovo; ho provato anche a cambiare il registro, 4 o 5 voci, ma non è cambiato niente.

Il log di hijackthis è il seguente:

Quote:

Logfile of HijackThis v1.97.7
Scan saved at 19.51.25, on 16/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\crkc32.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\msis32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Luigi\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bwrkz.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bwrkz.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://bwrkz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bwrkz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://bwrkz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bwrkz.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {733C5A02-3F39-07DE-F16A-3181EE7CE97B} - C:\WINDOWS\atlbe32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [crkc32.exe] C:\WINDOWS\system32\crkc32.exe
O4 - HKLM\..\Run: [tcactive] C:\Programmi\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programmi\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [msis32.exe] C:\WINDOWS\msis32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//paxan/main.chm::/load.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E3A3783-7548-444B-AB80-7A9DB33D8297}: NameServer = 212.216.112.112 212.216.172.62

ora ti invio la dll (zippata) MrOz, visto che me la hai chiesta, ma non so quale sia il file che la generi visto che dall'antivirus (AntiVir) continuo a cancellarla ma si riforma, anche se mi sembra di aver capito che ciò accade quando explorer si collega al collegamento che ha messo il trojan come pagina iniziale.

EDIT: ovviamente Ad-Aware e Spybot non hanno trovato niente su di lui, solo AntiVir sembra accorgersene quando "qualcosa" accede alla dll.

[MrOZ]

metti hijackthis in una cartella che non sia il desktop o i temporanei e prova così:

con dllfix prova ad eliminare bwrkz.dll.

Elimina poi con hijackthis:

O2 - BHO: (no name) - {733C5A02-3F39-07DE-F16A-3181EE7CE97B} - C:\WINDOWS\atlbe32.dll

O4 - HKLM\..\Run: [crkc32.exe] C:\WINDOWS\system32\crkc32.exe

O4 - HKLM\..\RunOnce: [msis32.exe] C:\WINDOWS\msis32.exe

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//paxan/main.chm::/load.exe

e tutte le R1 che si riferiscono a bwrkz.dll.

riavvia ed elimina il file crkc32.exe in C:\WINDOWS\system32\crkc32.exe e se ne trovi traccia msis32.exe in C:\WINDOWS\msis32.exe.


Vai in c:\winnt\system32\drivers\etc ed apri col notepad il file hosts (che non ha alcuna estensione). Controlla che ci sia questa stringa e basta O1 - Hosts: 127.0.0.0 localhost.
Se ne trovi altre cancella quelle che iniziano con O1 - Hosts: 127.0.0. ed hanno poi il nome di qualche sito.

Fai uno scan con adaware6 e spybot 1.3 aggiornati.

[Killian]

Quote:

Originariamente inviato da MrOZ

riavvia ed elimina il file crkc32.exe in C:\WINDOWS\system32\crkc32.exe e se ne trovi traccia msis32.exe in C:\WINDOWS\msis32.exe.

sembra tutto risolto, comunque non solo msis32.exe era ancora al suo posto al riavvio ma era anche in esecuzione come processo di sistema, infatto l'ho dovuto chiudere prima di cancellare il file.

Per ora va tutto bene, grazie di tutto.

[TheGuren]

Stesso problema....

....ma sta volta hijackthis non mi aiuta. Quel IPMP32.dll (in BHO) non ne vuol sapere di andarsene....anche a eliminarlo manualmente si ricrea.

Perchè la gente che fa sti cosi non se ne va a giocare a undici in autostrada?

Se avete qualke dritta....grazie Mille!

Logfile of HijackThis v1.97.7
Scan saved at 16.17.15, on 17/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\s3hotkey.exe
C:\WINDOWS\System32\00THotkey.exe
C:\Programmi\TOSHIBA\TME\TMESRV11.EXE
C:\Programmi\TOSHIBA\TME\TMESBS21.EXE
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\S3tray.exe
C:\WINDOWS\System32\S3tray.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\msqb.exe
C:\WINDOWS\d3kh.exe
F:\Backup\Download Apps\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2094E145-E5BF-EAC7-FA5F-9FEDD6D04284} - C:\WINDOWS\system32\ipmp32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\MSDXM.OCX
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programmi\TOSHIBA\TME\TMESRV11.EXE /service
O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programmi\TOSHIBA\TME\TMESBS21.EXE /service
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AT-Watch] C:\Programmi\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programmi\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [msqb.exe] C:\WINDOWS\msqb.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKLM\..\RunOnce: [d3kh.exe] C:\WINDOWS\d3kh.exe
O4 - HKLM\..\RunOnce: [appxo.exe] C:\WINDOWS\appxo.exe
O4 - HKLM\..\RunOnce: [d3yy32.exe] C:\WINDOWS\d3yy32.exe
O8 - Extra context menu item: Download All with DC-Sakura - C:\Programmi\DC-Sakura\TagAnalizer.htm
O8 - Extra context menu item: Download Links with DC-Sakura - C:\Programmi\DC-Sakura\LinkAnalizer.htm
O8 - Extra context menu item: Download this one with DC-Sakura - C:\Programmi\DC-Sakura\Download.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Salva oggetto con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddList.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: DC-Sakura (HKLM)
O9 - Extra 'Tools' menuitem: &DC-Sakura (HKLM)
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://dev-www.fileplanet.com/fpdlmg...C_1_0_0_41.cab
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01e33d3d...dxIE601_it.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...064.0855671296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19549028-A7A1-4FAE-84AC-BBE5A1BFA725}: NameServer = 131.175.12.1,131.175.12.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{19549028-A7A1-4FAE-84AC-BBE5A1BFA725}: NameServer = 131.175.12.1,131.175.12.2