aiuto, non so piu' che fare

[GiulioM]

Ciao!

Da parecchi giorni sto combattendo contro uno spyware invano....mi mette come pagina bianca un sito (search for...) e non riesco a levarlo dalle balle
Ho usato Spybot ultima versione, CWshredder ultima versione, AVG antivirus aggiornato, BHO, HSremove ecc
Tutti sembrano per un attimo toglierlo ma se aspetto un po' ricompare..
In tutti i casi compare sempre una dll che Avg la da come infettata...il programma la isola ma dopo un po' (anche dopo qualche ora) ne rimcompare un' altra

Logfile of HijackThis v1.98.0
Scan saved at 8.57.16, on 07/07/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
d:\AVG6\avgserv.exe
C:\Programmi\ISS\BlackICE\blackd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programmi\ISS\BlackICE\blackice.exe
C:\Programmi\ICQ\ICQ.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\mIRC\mirc.exe
C:\Programmi\emule\emule.exe
D:\Netscape\Netscp.exe
C:\Programmi\Winamp3\winamp3.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\HackScan\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {488D68A7-EEE8-46B3-9DFC-35E82BF19731} - C:\WINNT\system32\jekhm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programmi\ICQ\NDetect.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Programmi\ISS\BlackICE\blackice.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download using Download &Express - file://D:\Download Express\Add_Url.htm
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6701D5A5-BC37-4063-805E-7A9B3BB91AFA}: NameServer = 217.141.104.205 151.99.125.1
O18 - Filter: text/html - {6CE4A70F-1333-4340-90FA-1A7D333975EE} - C:\WINNT\system32\jekhm.dll
O18 - Filter: text/plain - {6CE4A70F-1333-4340-90FA-1A7D333975EE} - C:\WINNT\system32\jekhm.dll


Prima la dll era jil.dll, poi aoob.dll che ho in quarantena e ora questo jekhm.dll

[netquik]

vediamo che succede

fixa
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: (no name) - {488D68A7-EEE8-46B3-9DFC-35E82BF19731} - C:\WINNT\system32\jekhm.dll

O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O18 - Filter: text/html - {6CE4A70F-1333-4340-90FA-1A7D333975EE} - C:\WINNT\system32\jekhm.dll
O18 - Filter: text/plain - {6CE4A70F-1333-4340-90FA-1A7D333975EE} - C:\WINNT\system32\jekhm.dll

riavvia in provvisorio elimina
C:\WINNT\system32\jekhm.dll
e svuota la cartella Temp
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp

e fai pulizia almeno con adware cwshredder e
http://www.trojaner-info.de/cgi-bin/...i?file=sphjfix

e raivvia posta il log nuovo

[GiulioM]

Ciao

Forse forse ho risolto!
Anche io prima facevo cosi' ma dopo un po' ritornava tutto
Ho provato a fare uno scan con mcafee tramite internet e oltre a quella dll me ne ha trovata un'altra e un exe notepad.exe.tmp
ora li ho eliminati e pulito tutto

la cartella temp invece non riesco a svuotarla, mi dice che molto file sono in uso, altri potrebbero "danneggiare" il sistema ecc

[netquik]

anche da provvisoria non riuscivi a svuotarla?

[GiulioM]

Dalla modalità provvisoria nn ci ho provato
Ma devo eliminare tutto, anche le directory? ( cronologia, cookies ecc)

[netquik]

io ti consilgio di svuotarla..
ma se vuoi lasciati i cookie


della cronologia hai davvero bisogno?

comunque è strano quella cartella che ti ho indicato
non dovrebbe avere i temporanei di internet....


controlla che stiamo parlando della stessa temp

[netquik]

comunque se pensi di aver risolto potrebbe essere inutile...

magari posta un log fresco che ci diamo un'occhiata

[GiulioM]

ciau
cmq ci ho dato una ripulita
la temp e' quella giusta...stranamente all' interno ha anche delle cartelle doppione come cronologia, temp internet files, e mi dice che sono di sistema bla bla
ora ho provato a metterle tutte nel cestino mah

ecco il nuovo log


Logfile of HijackThis v1.98.0
Scan saved at 23.02.02, on 07/07/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
d:\AVG6\avgserv.exe
C:\Programmi\ISS\BlackICE\blackd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programmi\ISS\BlackICE\blackice.exe
C:\Programmi\ICQ\ICQ.exe
D:\mIRC\mirc.exe
C:\Programmi\emule\emule.exe
D:\Netscape\Netscp.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\HackScan\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programmi\ICQ\NDetect.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Programmi\ISS\BlackICE\blackice.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download using Download &Express - file://D:\Download Express\Add_Url.htm
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab

l'ultima riga riguarda un gioco online

[netquik]

ah... io ti avevo detto di toglierla... per sicurezza

errore mio...



comunque sembri pulito!!

auguri!

[GiulioM]

oddio rieccolo

Logfile of HijackThis v1.98.0
Scan saved at 13.32.09, on 08/07/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
d:\AVG6\avgserv.exe
C:\Programmi\ISS\BlackICE\blackd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programmi\ISS\BlackICE\blackice.exe
C:\Programmi\ICQ\ICQ.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\HackScan\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {88FC01AE-AC33-434F-9263-400B0B07DFC1} - C:\WINNT\system32\odnkj.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programmi\ICQ\NDetect.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Programmi\ISS\BlackICE\blackice.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download using Download &Express - file://D:\Download Express\Add_Url.htm
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O18 - Filter: text/html - {1844F067-0448-464F-A96B-FC01D86D29DF} - C:\WINNT\system32\odnkj.dll
O18 - Filter: text/plain - {1844F067-0448-464F-A96B-FC01D86D29DF} - C:\WINNT\system32\odnkj.dll

[netquik]

accidenti...

prova a fare tutto di nuovo

basta che aggiorni il nome della dll...


ma quel gioco online...
è sicuro?


comunque segui la procedura...
poi
ti consiglio di utilizzare o adwatch di adware o spywareblaster per proteggerti...

[GiulioM]

Ciao
Mannaggia quanto e' rognoso...il bello e' che ho deattivato con Bho la dll...pulito con CWshredder e poi questa volta sono andato in modlità provvisoria, ho eliminato la dll incriminata e per curiosità ho rifatto il log Hijackthis...di nuovo pieno!! anche in modalità provvisoria!! ripulito di nuovo, riavviato...fatto andare SpyBot e ho messo anche immunizza....bon speriamo :/

Il gioco dovrebbe essere sicuro...e' da mesi che lo uso

[GiulioM]

rieccolooooooo buahhhhhhhhhhhh

ora pero' ho anche la url, si sostituisce a msn search

http://s1di.d8t.biz/index.php?aid=20038

[netquik]

allora
evidentemente non bastta la provvisoria...

controlla una cosa in esegui digita msinfo32

e lì vai in ambiente software >> Moduli Caricati

e controlla che non ci sia una di quelle dll che orami sai riconoscere


fammi sapere

[netquik]

ti posto comunque cosa provare...


trovata la .dll incriminata segnati il nome

poniamo sia ghyth.dll
e provvedi ad aggiornare adware con le ultime definizioni


riavvia in PROMP DEI COMANDI (dos insomma)

qui sperando tu sia pratico del dos

cd\Windows\System32 (o dove si trova la dll)

fai dir ghyth.dll

(probabilmete avrà grandezza 57,344 bytes)

fai
ren ghyth.dll ghyth.bob

non cancellare il file
ora riavvia in provvisoria (windows si lamenterà di non trovare la dll)

ora ffai pulizia con adware... che dovrebbe trovarti anche la dll rinominata..
assicurati che tutte le impostazioni di scansione siano più profonde possibile
in particolare le directory
\Windows, \Program Files, e \My Documents
devono essere scandite

puoi anche far partire altri pulitori dopo
cwshredder, spybot

ora riavvia e vedi un po

[GiulioM]

eh ma come troco questa dll incriminata
c'e' una lista che n nfinisce piu'
tutte avevano una dimesione di 30kb ma non ne ho trovate cosi'

[netquik]

mettile in ordine di data

[netquik]

e controlla anche in driver sistema

[netquik]

lo so non è facile...

puoi anche provare a fare entrare in \Windows\System32 dal prompt e fai dir *.dll | more

e cerca quella di quella grandezza precisa..
ce ne saranno varie...
ma quella avrà un nome strano...

se proprio non riesci...
dovremmo ributtarci su HijackThis

e provare il procedimento con la dll che risulta lì

[GiulioM]

Ciao

Ora sono piu' fiducioso
Prima sono riuscito ad eliminare la dll senza riavviare il sistema, ho pulito con tutti gli spybot che avevo e adesso finalemente se sbaglio un indirizzo ritorna msn search
Prima per eliminare la dll dovevo disattivarla con BHO e riavviare...ma anche in modalità provvisoria la dll sembrava riattivarsi anche se potevo eliminarla! secondo me in quel momento iniziava a crearne un'altra...o qualcosa de genere

Speriamo sia davvero finita
grazie dell' aiuto