Aiuto.... virus, worm o cosa? istbar!

[poetando]

Salve ragazzi..
qualche decina di giorni orsono, ho beccato come un cretino il virus ISTBAR.
Dopo aver cancellato qualche file, e aver disinfettato il pc usando questi programmi:

Trojan Remover
Stinger
Trend micro internet security
Scan on-line dal sito trend
Ad-Aware (lavasoft)
Spybot e destroyer
SwatIt
Microsoft Malware

temo di avere ancora questo rompi.. sul pc, perché
l'internet explorer si apre da solo indirizzandomi su una pagina non esistente, e sempre da solo mi chiude le pagine di explorer, mentre sto navigando

Ho installato successivamente il service pack 2 XP e attivato il firewall, ma le cose sono rimaste immutate

Cosa devo fare????

[davdo]

posta il log di hijackthis !

[poetando]

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programmi\Trend Micro\Internet Security\tmproxy.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\Programmi\Multimedia\Trust\305KSMouse\mouse32a.exe
C:\Programmi\Trend Micro\Internet Security\pccguide.exe
C:\Programmi\Trend Micro\Internet Security\PCClient.exe
C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Multimedia\Trust\305KSKeyboard\KbdAp32A.exe
C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programmi\Internet\P2p\FiGo\mirc.exe
C:\WINDOWS\System32\wisptis.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programmi\Internet\Posta\MagicMail\Magic.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Documents and Settings\Salvatore\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\Utility\SnagIt 7\SnagItBHO.dll
O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\system32\vFLjduld.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Utility\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\Utility\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [FLMK08KB] C:\Programmi\Multimedia\Trust\305KSKeyboard\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programmi\Multimedia\Trust\305KSMouse\mouse32a.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programmi\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Utility\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Windows Update.hta
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Utility\Download Express\Add_Url.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents...r/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E69FC681-45D5-4BED-BBA6-E327A0FF4E63}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: Adobe LM Service - Unknown - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Trend Micro Personal Firewall - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\tmproxy.exe

[poetando]

help up

[VelenoX79]

sospetti

O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\system32\vFLjduld.dll
O4 - Global Startup: Windows Update.hta
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

abbastanza sospetto

O17 - HKLM\System\CCS\Services\Tcpip\..\{E69FC681-45D5-4BED-BBA6-E327A0FF4E63}: NameServer = 193.70.152.15 193.70.152.25

sconosciuti

C:\Programmi\Internet\Posta\MagicMail\Magic.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programmi\Multimedia\Trust\305KSMouse\mouse32a.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

[BravoGT83]

ecco il virus

O4 - Global Startup: Windows Update.hta

[poetando]

Quote:

Originariamente inviato da BravoGT83

ecco il virus

O4 - Global Startup: Windows Update.hta

Giaffatto. Grazie cmq.

mi chiedo solo come mai tutti quei belin di programmi sovracitati non lo abbiano mai individuato...

[BravoGT83]

nn so com'è il trendmicro

[juninho85]

Quote:

Originariamente inviato da poetando

mi chiedo solo come mai tutti quei belin di programmi sovracitati non lo abbiano mai individuato...

il miglior AV per il tuo pc sono le tue conoscenze,dunque te stesso

[3dsst]

Quote:

Originariamente inviato da juninho85

il miglior AV per il tuo pc sono le tue conoscenze,dunque te stesso

quoto
cmq spybot se non ricordo bene lo levava ma sicuramente qui ci ha messo del suo il ripristino del sistema

[poetando]

Quote:

Originariamente inviato da 3dsst

quoto
cmq spybot se non ricordo bene lo levava ma sicuramente qui ci ha messo del suo il ripristino del sistema

Disattivato a suo tempo...
cmq adesso si è ripresentato il problema sotto menti spoglie!

Dite che rimuovo i file sospetti in modalità provvisoria si toglierà x sempre?

[3dsst]

Quote:

Originariamente inviato da poetando

Disattivato a suo tempo...
cmq adesso si è ripresentato il problema sotto menti spoglie!

Dite che rimuovo i file sospetti in modalità provvisoria si toglierà x sempre?

prova ma cmq non è che sia un virus di quelli che fanno dannare mi sembra strano che tu abbia questo problema facci sapere

[poetando]

Non c'è verso di eliminarlo!
ho usato hijackthis, spybot e ad-aware
anche in modalità provvisoria...
Ogni volta che riavvio con hijackthis esce un file DLL
dalla cartella windows/system32 di nome sempre diverso e si
accompagna a questa stringa:
O17 - HKLM\System\CCS\Services\Tcpip\..\{E69FC681-45D5-4BED-BBA6-E327A0FF4E63}: NameServer = 193.70.152.15 193.70.152.25


Cosa devo fare x debellare???

[bluepix]

Quote:

Originariamente inviato da poetando

Non c'è verso di eliminarlo!
ho usato hijackthis, spybot e ad-aware
anche in modalità provvisoria...
Ogni volta che riavvio con hijackthis esce un file DLL
dalla cartella windows/system32 di nome sempre diverso e si
accompagna a questa stringa:
O17 - HKLM\System\CCS\Services\Tcpip\..\{E69FC681-45D5-4BED-BBA6-E327A0FF4E63}: NameServer = 193.70.152.15 193.70.152.25


Cosa devo fare x debellare???

questo lascialo stare.. sono i parametri per la connessione al provider

O17 - HKLM\System\CCS\Services\Tcpip\..\{E69FC681-45D5-4BED-BBA6-E327A0FF4E63}: NameServer = 193.70.152.15 193.70.152.25


riposta il log di Hijackthis

[poetando]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programmi\Trend Micro\Internet Security\tmproxy.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\Programmi\Multimedia\Trust\305KSMouse\mouse32a.exe
C:\Programmi\Trend Micro\Internet Security\pccguide.exe
C:\Programmi\Trend Micro\Internet Security\PCClient.exe
C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Multimedia\Trust\305KSKeyboard\KbdAp32A.exe
C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
C:\Programmi\Internet\Posta\MagicMail\Magic.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\Salvatore\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.it/
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\Utility\SnagIt 7\SnagItBHO.dll
O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\system32\UcxHQxDy.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Utility\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\Utility\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [FLMK08KB] C:\Programmi\Multimedia\Trust\305KSKeyboard\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programmi\Multimedia\Trust\305KSMouse\mouse32a.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programmi\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Utility\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents...r/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E69FC681-45D5-4BED-BBA6-E327A0FF4E63}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: Adobe LM Service - Unknown - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Trend Micro Personal Firewall - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\tmproxy.exe

[bluepix]

sicuramente questo è da fixare subito:

O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\system32\UcxHQxDy.dll

[poetando]

Quote:

Originariamente inviato da bluepix

sicuramente questo è da fixare subito:

O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\system32\UcxHQxDy.dll

Si, ma dopo averlo fixato, quando riavvio il pc, mi esce un altro DLL di nome diverso, ma sempre che hijack mi da rosso...e ritornano gli stessi problemi che IE si apre e si chiude da solo!

[SkunkWorks 68]

...Quest' altra è sospetta:
"O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab"

[poetando]

Quote:

Originariamente inviato da SkunkWorks 68

...Quest' altra è sospetta:
"O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab"

Quello è il percorso della scansione online dal sito TREND MICRO

[SkunkWorks 68]

..Sì..credo che tu abbia ragione ...Il tuo caso è proprio difficile...