PDA

Visualizza la versione completa : Trojan.Win32.BHO.agz [era: Trojan... forse Smitfraud.C]


 
Apyna
06-06-2008, 23:40
Ciao a tutti... vi scrivo (con molta fatica) perché da oggi pomeriggio temo di aver preso un Trojan. Il problema è il seguente: ho norton internet security e da oggi continuano ad uscirmi avvisi di antispam a raffica. E' come se il pc cercasse di inviare email a raffica (il soggetto di queste email è in francese). I messaggi comunque non vengono inviati perché controllo la posta su webmail e di conseguenza tutti i messaggi di norton antivirus dicono che è stato impossibile inviare il messaggio xxx. Ho fatto andare SpyBot Search And Destroy, il quale mi ha trovato vari Trojan fra cui anche Smitfraud.C. Ho provato ad eliminarlo, sia con spybot sia con smitfraudfix.exe, ma il problema permane perché Norton Internet Security continua a spararmi alert a raffica (e vi assicuro che scrivere e usare il pc in queste condizioni è quasi impossibile). C'è qualche anima pia che può aiutarmi? =(

Grazie a tutti...

Deifobe
07-06-2008, 00:00
Ciao, per prima cosa benvenuta :)

vediamo un po'.. scarica SystemScan (http://www.suspectfile.com/systemscan), disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile (http://www.savefile.com/) e posta il link ottenuto.

Apyna
07-06-2008, 01:39
Ho fatto la scansione... il link è questo http://www.savefile.com/files/1594624
Grazie Mille

Deifobe
07-06-2008, 12:00
buongiorno :)
sto analizzando il rapporto. Dammi solo un po' di tempo x completare la procedura.


edit:
Scarica Avenger (http://swandog46.geekstogo.com/avenger2/avenger2.html) e CCleaner (http://www.filehippo.com/download_ccleaner/)

ti ho lasciato C:\Programmi\Block Checker.. è il programma di msn?

Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{4E2211C8-AAF8-4DE3-97D9-46F64B598BBA}]

[-HKCR\CLSID\{C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB}]



salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file


Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.dl_
C:\Programmi\temp01
C:\WINDOWS\system32\rpcc.exe
C:\WINDOWS\IFinst26.exe
c:\windows\system32\iickezz.dll
C:\WINDOWS\system32\navshext1.dll

folders to delete:
C:\WINDOWS\system32\AppCert

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | WindowsHive

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{4E2211C8-AAF8-4DE3-97D9-46F64B598BBA}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB}

programs to launch on reboot:
c:\fix.reg


Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Svuota C:\WINDOWS\Prefetch

Analizza su Virustotal (http://www.virustotal.com/it/) i files:
C:\WINDOWS\System32\Drivers\Winaw17.sys
C:\WINDOWS\system32\d3dx9_32w.dll
(fai copia/incolla dei percorsi e poi salva i rapporti)
Poi apri risorse del computer, trova i files, cliccaci sopra con il tasto destro del mouse e seleziona "properità". Dimmi la data di creazione e il produttore, se presenti.


Esegui una scansione:
vai su Kaspersky_virusscanner (http://www.kaspersky.com/virusscanner)
clicca su "kaspersky online scanner"
clicca su "accept"
--- verrà eseguito il download dei componenti necessari alla scansione
quando è terminato clicca su "next"
=> clicca su "my computer"
clicca su "scan settings"
Finita la scansione, salva e posta il rapporto


Posta il rapporto della scansione con kasperky, l'analisi di virustotal e il rapporto di avenger

Apyna
07-06-2008, 13:33
Sinceramente non ricordo di questo Block Checker... cmq procedo con le tue istruzioni lasciando Block Checker?

Deifobe
07-06-2008, 13:42
uhmmm allora forse andrebbe eliminata la cartella..
Fai prima la scansione con kaspersy e poi vediamo se eliminare qualcosa

Ciao

Apyna
07-06-2008, 13:45
Ok, ora scarico tutto, faccio le scansioni e posto i log. Per dovere di cronaca devo dire che inspiegabilmente adesso non mi appare più alcun alert... però all'avvio il pc è lentissimo e alcuni programmi (tipo quicktime) crashano subito mentre il pc carica tutte le icone. Bah... intanto procedo... grazie ancora!

Apyna
07-06-2008, 14:16
Ho completato l'esecuzione dello script di Avenger, ma al riavvio mi dice che è impossibile trovare c:\fix.reg... tenendo aperta la finestra di C:\ ho notato che proprio qualche secondo prima del riavvio il file fix.reg viene rinominato automaticamente in backup.reg e perciò al riavvio non lo trova.

Il log cmq è questo:


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\WinCtrl32.dll" deleted successfully.
File "C:\WINDOWS\system32\WinCtrl32.dl_" deleted successfully.
File "C:\Programmi\temp01" deleted successfully.

Error: file "C:\WINDOWS\system32\rpcc.exe" not found!
Deletion of file "C:\WINDOWS\system32\rpcc.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\IFinst26.exe" deleted successfully.
File "c:\windows\system32\iickezz.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\navshext1.dll" not found!
Deletion of file "C:\WINDOWS\system32\navshext1.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\WINDOWS\system32\AppCert" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run |WindowsHive" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{4E2211C8-AAF8-4DE3-97D9-46F64B598BBA}" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB}" deleted successfully.
Program "c:\fix.reg" successfully queued to run on reboot.

Completed script processing.

*******************

Finished! Terminate.



Ora procedo con CCleaner...

Apyna
07-06-2008, 14:32
Ok CCleaner è andato, cookie e file temp svuotati.

Cartella Prefetch svuotata.

Su Virustotal... questo file (C:\WINDOWS\System32\Drivers\Winaw17.sys) non ce l'ho nella cartella system32.

Per l'altra .dll il log è il seguente:

http://www.virustotal.com/it/analisis/2058475aaf5609cf49a893269e4a2352

Ora passo a Kaspersky!

Deifobe
07-06-2008, 14:52
il file C:\WINDOWS\System32\Drivers\Winaw17.sys hai provato a cercarlo anche facendo copia/incolla del percorso? appena posso accedo dal pc e ti faccio sapere ma se non erro il file esisteva...

la scansione potrò guardarla più tardi.. appena rientro ti farò sapere :)

a dopo..

Loading