HTML.it forum
HTML.it HTML.it forum Archive > Sistemi operativi e software > Sicurezza informatica e virus
 

Trojan.Win32.BHO.agz [era: Trojan... forse Smitfraud.C]

 
Apyna
Ciao a tutti... vi scrivo (con molta fatica) perché da oggi pomeriggio temo di
aver preso un Trojan. Il problema è il seguente: ho norton internet security e
da oggi continuano ad uscirmi avvisi di antispam a raffica. E' come se il pc
cercasse di inviare email a raffica (il soggetto di queste email è in francese).
I messaggi comunque non vengono inviati perché controllo la posta su webmail e
di conseguenza tutti i messaggi di norton antivirus dicono che è stato
impossibile inviare il messaggio xxx. Ho fatto andare SpyBot Search And Destroy,
il quale mi ha trovato vari Trojan fra cui anche Smitfraud.C. Ho provato ad
eliminarlo, sia con spybot sia con smitfraudfix.exe, ma il problema permane
perché Norton Internet Security continua a spararmi alert a raffica (e vi
assicuro che scrivere e usare il pc in queste condizioni è quasi impossibile).
C'è qualche anima pia che può aiutarmi? =(

Grazie a tutti...
Deifobe
Ciao, per prima cosa benvenuta :)

vediamo un po'.. scarica
SystemScan, disconnetti il pc
da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan
Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che
trovi sul desktop su Savefile e posta il
link ottenuto.
Apyna
Ho fatto la scansione... il link è questo
http://www.savefile.com/files/1594624
Grazie Mille
 
Deifobe
buongiorno :)
sto analizzando il rapporto. Dammi solo un po' di tempo x completare la
procedura.


edit:
Scarica
Avenger e
CCleaner

ti ho lasciato C:\Programmi\Block Checker.. è il programma di
msn?

Apri il blocco note e nella pagina copia/incolla:
Citazione:
Windows Registry Editor Version 5.00

[-HKCR\CLSID\{4E2211C8-AAF8-4DE3-97D9-46F64B598BBA}]

[-HKCR\CLSID\{C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB}]



salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file


Esegui avenger e nella finestra copia/incolla tutta la citazione:
Citazione:
files to delete:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.dl_
C:\Programmi\temp01
C:\WINDOWS\system32\rpcc.exe
C:\WINDOWS\IFinst26.exe
c:\windows\system32\iickezz.dll
C:\WINDOWS\system32\navshext1.dll

folders to delete:
C:\WINDOWS\system32\AppCert

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | WindowsHive

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{4E2211C8-AAF8-4DE3-97D9-46F64B598BBA}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB}

programs to launch on reboot:
c:\fix.reg


Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report
rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2
volte).

Svuota C:\WINDOWS\Prefetch

Analizza su Virustotal i files:
C:\WINDOWS\System32\Drivers\Winaw17.sys
C:\WINDOWS\system32\d3dx9_32w.dll
(fai copia/incolla dei percorsi e poi salva i rapporti)
Poi apri risorse del computer, trova i files, cliccaci sopra con il tasto destro
del mouse e seleziona "properità". Dimmi la data di creazione e il produttore,
se presenti.


Esegui una scansione:
vai su
Kaspersky_virusscanner
clicca su "kaspersky online scanner"
clicca su "accept"
--- verrà eseguito il download dei componenti necessari alla scansione
quando è terminato clicca su "next"
=> clicca su "my computer"
clicca su "scan settings"
Finita la scansione, salva e posta il rapporto


Posta il rapporto della scansione con kasperky, l'analisi di virustotal e il
rapporto di avenger
 
Apyna
Sinceramente non ricordo di questo Block Checker... cmq procedo con le tue
istruzioni lasciando Block Checker?
 
Deifobe
uhmmm allora forse andrebbe eliminata la cartella..
Fai prima la scansione con kaspersy e poi vediamo se eliminare qualcosa

Ciao
 
Apyna
Ok, ora scarico tutto, faccio le scansioni e posto i log. Per dovere di cronaca
devo dire che inspiegabilmente adesso non mi appare più alcun alert... però
all'avvio il pc è lentissimo e alcuni programmi (tipo quicktime) crashano subito
mentre il pc carica tutte le icone. Bah... intanto procedo... grazie ancora!
 
Apyna
Ho completato l'esecuzione dello script di Avenger, ma al riavvio mi dice che è
impossibile trovare c:\fix.reg... tenendo aperta la finestra di C:\ ho notato
che proprio qualche secondo prima del riavvio il file fix.reg viene rinominato
automaticamente in backup.reg e perciò al riavvio non lo trova.

Il log cmq è questo:

Citazione:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\WinCtrl32.dll" deleted successfully.
File "C:\WINDOWS\system32\WinCtrl32.dl_" deleted successfully.
File "C:\Programmi\temp01" deleted successfully.

Error: file "C:\WINDOWS\system32\rpcc.exe" not found!
Deletion of file "C:\WINDOWS\system32\rpcc.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\IFinst26.exe" deleted successfully.
File "c:\windows\system32\iickezz.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\navshext1.dll" not found!
Deletion of file "C:\WINDOWS\system32\navshext1.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\WINDOWS\system32\AppCert" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|WindowsHive"
deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\WinCtrl32" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{4E2211C8-AAF8-4DE3-97D9-46F64B598BBA}" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB}" deleted successfully.
Program "c:\fix.reg" successfully queued to run on reboot.

Completed script processing.

*******************

Finished! Terminate.



Ora procedo con CCleaner...
 
Apyna
Ok CCleaner è andato, cookie e file temp svuotati.

Cartella Prefetch svuotata.

Su Virustotal... questo file (C:\WINDOWS\System32\Drivers\Winaw17.sys) non ce
l'ho nella cartella system32.

Per l'altra .dll il log è il seguente:

http
://www.virustotal.com/it/analisis/2058475aaf5609cf49a893269e4a2352

Ora passo a Kaspersky!
 
Deifobe
il file C:\WINDOWS\System32\Drivers\Winaw17.sys hai provato a cercarlo anche
facendo copia/incolla del percorso? appena posso accedo dal pc e ti faccio
sapere ma se non erro il file esisteva...

la scansione potrò guardarla più tardi.. appena rientro ti farò sapere :)

a dopo..
 
Apyna
Sì ho provato sia con il copia incolla che cercandolo manualmente, ma niente.
Con il copia incolla mi diceva "0bytes trasferiti". Ora sto facendo andare
kasper... GRAZIE DI TUTTO!
 
Deifobe
uhmmm hai eseguito qualche scansione dopo l'esecuzone di systemscan? Il file
dovrebbe esserci:

----- recent files in C:\WINDOWS\system32\drivers\
06/06/2008 22.24.40 30080 byte 0 days old -- Winaw17.sys

cmq non fa niente. Rivredremo nel prossimo systemscan se esce ancora.


Poi, il link all'altro file analizzato porta ad un file che si chiama
dpvacmj.dll .... ricevuto il 2008.05.30 ... il tuo si chiama d3dx9_32w.dll

per sicurezza, ripeti la scansione (fallo rianalizzare quando te lo chiede) e,
se esce infetto, eliminalo.
 
Apyna
Ok appena kasper finisce riprovo...

P.S.
Il dll che ho fatto analizzare era d3qualcosa.dll, cmq il percorso l'ho preso
dal tuo post... strano! Cmq ricordo che la dll era risultata infetta.

EDIT:
ho appena provato con Winaw17.sys il file esiste, l'ho uploadato manualmente, ma
mi esce fuori sta scritta:

0 bytes size received / Se ha recibido un archivo vacio

Per l'altra dll ti incollo il report qui

Citazione:
File d3dx9_32w.dll ricevuto il 2008.06.07 14:51:36 (CET)

Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.55 2008.06.06 TR/ATRAPS.Gen
Authentium 5.1.0.4 2008.06.06 -
Avast 4.8.1195.0 2008.06.07 -
AVG 7.5.0.516 2008.06.07 Downloader.Delf.12.AN
BitDefender 7.2 2008.06.07 -
CAT-QuickHeal 9.50 2008.06.07 -
ClamAV 0.92.1 2008.06.07 -
DrWeb 4.44.0.09170 2008.06.07 Trojan.DownLoader.56883
eSafe 7.0.15.0 2008.06.05 -
eTrust-Vet 31.6.5855 2008.06.06 Win32/Kvol!generic
Ewido 4.0 2008.06.07 -
F-Prot 4.4.4.56 2008.06.06 -
Fortinet 3.14.0.0 2008.06.07 -
GData 2.0.7306.1023 2008.06.07 Rootkit.Win32.Podnuha.dw
Ikarus T3.1.1.26.0 2008.06.07 Virus.Trojan.Win32.Pakes.cdw
Kaspersky 7.0.0.125 2008.06.07 Rootkit.Win32.Podnuha.dw
McAfee 5312 2008.06.06 -
Microsoft 1.3604 2008.06.07 Trojan:Win32/Boaxxe.B
NOD32v2 3165 2008.06.06 probably a variant of Win32/Agent.NSG
Panda 9.0.0.4 2008.06.07 Adware/GoodSearchNow
Prevx1 V2 2008.06.07 Fraudulent Security Program
Rising 20.47.42.00 2008.06.06 Trojan.Clicker.Win32.Delf.mm
Sophos 4.30.0 2008.06.07 Mal/Generic-A
Sunbelt 3.0.1145.1 2008.06.05 Trojan.ATRAPS.Gen
Symantec 10 2008.06.07 -
TheHacker 6.2.92.339 2008.06.07 Trojan/Podnuha.dw
VBA32 3.12.6.7 2008.06.06 Rootkit.Win32.Podnuha.dw
VirusBuster 4.3.26:9 2008.06.06 -
Webwasher-Gateway 6.6.2 2008.06.07 Trojan.ATRAPS.Gen

Informazioni addizionali
File size: 88064 bytes
MD5...: fecf90bbf80fb03d6e27d10fdbc89bc8
SHA1..: 90358de5bceeba6e86e3705b5f913cb81640f305
SHA256: 2614037e739f887b035352494471e2076ebeae1cd1cabd284748e145d992bdc2
SHA512:
66ec2b22830f2f06d2a00109c80e0a27b2722438ff79ed9ab929c85bff94f1a6<BR>b7545bce444e
5ffd5977625e6f327a3f08394d32485e718e9a84e47dac5ae4d1
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.:
0x43a7d0<BR>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17
1992)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd
virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x25000 0x0 0.00
d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x26000 0x15000 0x14a00 7.90
7afc9f0fae5d6db6f01b4bd800b7445f<BR>.rsrc 0x3b000 0x1000 0xa00 3.54
2f17fdd27be1e14d7a262edf11bc7b6b<BR><BR>( 7 imports ) <BR>&gt; KERNEL32.DLL:
LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree<BR>&gt;
advapi32.dll: RegCloseKey<BR>&gt; ole32.dll: IsEqualGUID<BR>&gt; oleaut32.dll:
VariantCopy<BR>&gt; shell32.dll: SHGetMalloc<BR>&gt; user32.dll:
SetTimer<BR>&gt; wininet.dll: InternetCrackUrlA<BR><BR>( 4 exports )
<BR>DllCanUnloadNow, DllGetClassObject, DllRegisterServer,
DllUnregisterServer<BR>
Prevx info:
http://info.prevx.com/aboutprogramt.../> 53008A08B762
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
 
Apyna
No, dopo systemscan ho postato qui e ho spento il pc in attesa di una tua
risposta...
 
Deifobe
elimina entrambi i files, esegui kaspersky e poi nuovamente systemscan. posta i
rapporti.
 
Apyna
Citazione:
Originariamente inviato da Deifobe
elimina entrambi i files, esegui kaspersky e poi nuovamente systemscan. posta i
rapporti.


Per entrambi i file mi dice Accesso Negato. Controllare che il file non sia
protetto dalla scrittura e che il file non sia attualmente in uso.

Uso Avenger?
 
Deifobe
scusa, sono rientrata ora.
se mi posti systemscan e kaspersky eliminiamo in una sola volta con avenger
tutto quello che viene evidenziato come infetto (specialmente da kaspersky)..
 
Apyna
Ma non scusarti, stai facendo fin troppo! Cmq sto cercando di fare la scansione
con kasper... non capisco perché, mentre fa la scansione, inspiegabilmente il pc
si riavvia... ora riprovo per la terza volta.

Mi sa che per questo pc ci vuole l'esorcista...
 
Deifobe
no, lascia, preferisco farti risolvere prima..
scarica, installa e aggiorna malwarebytes,
esegui una scansione completa e posta il rapporto.
 
Apyna
Aspè aspè, forse ora ce la fa a finire... se si blocca ancora provo l'altro!
 
Apyna
Niente, Kaspersky continuava a bloccarsi, ho fatto la scansione con
Malawarebytes e questo è il log:

Citazione:
Malwarebytes' Anti-Malware 1.15
Versione del database: 838

21.41.31 07/06/2008
mbam-log-6-7-2008 (21-41-21).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 203754
Tempo trascorso: 2 hour(s), 13 minute(s), 59 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 2
Valori di registro infetti: 4
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 5

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\winctrl32 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts
(Trojan.Downloader) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\bf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\bk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\iu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\mu (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\System Volume
Information\_restore{EB17C91D-6F24-4899-93E1-D643B10B0F84}\RP2\A0000015.dll
(Spyware.Agent) -> No action taken.
C:\System Volume
Information\_restore{EB17C91D-6F24-4899-93E1-D643B10B0F84}\RP2\A0000016.dll
(Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Fonts\hairofthedog.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\zombified.zip (Trojan.Downloader) -> No action taken.
 
Deifobe
conosci __ArcadeDownloadFoler__rollercoastertycoon_IT_ti per caso?
se si, elimina dallo script la cartella in \IMPOST~1\Temp

1) Apri il registro (start => esegui => digita regedit
e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => esporta => salva la copia del
registro in c:\
Poi segui questo percorso:

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\Winaw17

clicca su Winaw17 con il tasto destro del mouse e seleziona "esposta".
Salvala come:
nome: pippo.txt
tipo di file: file di testo
salvala in c:\ e postala (caricala sempre su savefile)

(attenzione: devi salvarla esattamente come ti ho indicato)

Ripeti la stessa cosa con questa chiave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{D00D1D92-8BC6-4BA3-8922-C5F3237119C6}

e postala (chiamala pluto.txt)


2) esegui avenger e nella finestra copia/incolla:
Citazione:
files to delete:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\Fonts\hairofthedog.zip
C:\WINDOWS\Fonts\zombified.zip
C:\WINDOWS\System32\Drivers\Winaw17.sys
C:\WINDOWS\system32\d3dx9_32w.dll
C:\DOCUME~1\HP_PRO~1\IMPOST~1\Temp\_vdmstmsnd_.dat
C:\windows\system32\iickezz.dll
C:\WINDOWS\system32\navshext1.dll

folders to delete:
C:\DOCUME~1\HP_PRO~1\IMPOST~1\Temp\__ArcadeDownloadFoler__rollercoastertycoon_IT
_ti

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\bf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\bk
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\iu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\mu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\winctrl32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\Winaw17
HKEY_LOCAL_MACHINE\system\controlset001\services\Winaw17
HKEY_LOCAL_MACHINE\system\controlset002\services\Winaw17
HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_Winaw17
HKEY_LOCAL_MACHINE\system\controlset001\enum\root\legacy_Winaw17
HKEY_LOCAL_MACHINE\system\controlset002\enum\root\legacy_Winaw17
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{D00D1D92-8BC6-4BA3-8922-C5F3237119C6}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{4E2211C8-AAF8-4DE3-97D9-46F64B598BBA}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB}
clicca su execute

3) vai in C:\DOCUME~1\HP_PRO~1\IMPOST~1\Temp\ ed elimina
tutti i file ccxx.tmp, tipo CC58.tmp

4) Posta un nuovo systemscan.



Trojan.Win32.BHO.agz_kaspersky
 
Apyna
Ecco fatto! Allora... iniziamo con ordine.

Questo è Pippo.

Poi Pluto.

Il log di avenger, se ti serve, lo quoto qui:

Citazione:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\WinCtrl32.dll" deleted successfully.
File "C:\WINDOWS\system32\WinCtrl32.dl_" deleted successfully.
File "C:\WINDOWS\Fonts\hairofthedog.zip" deleted successfully.
File "C:\WINDOWS\Fonts\zombified.zip" deleted successfully.

Error: could not open file "C:\WINDOWS\System32\Drivers\Winaw17.sys"
Deletion of file "C:\WINDOWS\System32\Drivers\Winaw17.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

File "C:\WINDOWS\system32\d3dx9_32w.dll" deleted successfully.
File "C:\DOCUME~1\HP_PRO~1\IMPOST~1\Temp\_vdmstmsnd_.dat" deleted successfully.

Error: file "C:\windows\system32\iickezz.dll" not found!
Deletion of file "C:\windows\system32\iickezz.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\navshext1.dll" not found!
Deletion of file "C:\WINDOWS\system32\navshext1.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder
"C:\DOCUME~1\HP_PRO~1\IMPOST~1\Temp\__ArcadeDownloadFoler__rollercoastertycoon_I
T_ti" deleted successfully.

Error: could not delete registry key
"HKEY_LOCAL_MACHINE\system\currentcontrolset\services\Winaw17"
Deletion of registry key
"HKEY_LOCAL_MACHINE\system\currentcontrolset\services\Winaw17" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: could not delete registry key
"HKEY_LOCAL_MACHINE\system\controlset001\services\Winaw17"
Deletion of registry key
"HKEY_LOCAL_MACHINE\system\controlset001\services\Winaw17" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error: registry key "HKEY_LOCAL_MACHINE\system\controlset002\services\Winaw17"
not found!
Deletion of registry key
"HKEY_LOCAL_MACHINE\system\controlset002\services\Winaw17" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key
"HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_Winaw17" deleted
successfully.

Error: registry key
"HKEY_LOCAL_MACHINE\system\controlset001\enum\root\legacy_Winaw17" not found!
Deletion of registry key
"HKEY_LOCAL_MACHINE\system\controlset001\enum\root\legacy_Winaw17" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key
"HKEY_LOCAL_MACHINE\system\controlset002\enum\root\legacy_Winaw17" not found!
Deletion of registry key
"HKEY_LOCAL_MACHINE\system\controlset002\enum\root\legacy_Winaw17" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\bf" not found!
Deletion of registry key
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\bf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\bk" not found!
Deletion of registry key
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\bk" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\iu" not found!
Deletion of registry key
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\iu" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\mu" not found!
Deletion of registry key
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\mu" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\winctrl32" deleted successfully.
Registry key
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts" deleted
successfully.
Registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{D00D1D92-8BC6-4BA3-8922-C5F3237119C6}" deleted successfully.

Error: registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{4E2211C8-AAF8-4DE3-97D9-46F64B598BBA}" not found!
Deletion of registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{4E2211C8-AAF8-4DE3-97D9-46F64B598BBA}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB}" not found!
Deletion of registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


Il rapporto di SystemScan lo posto fra poco!


P.S.
Ora Norton Internet Security non mi mostra più gli avvisi di spam in uscita! O
meglio... me ne ha mostrati solo 4-5, poi basta.
 
Apyna
Eccolo: Rapporto di SystemScan
8/6/08

Per il resto ho già provveduto a cancellare tutto...
 
Apyna
Ah poi, quando si sarà risolto tutto, pensavo di togliere Norton Internet
Security e mettere su Avira Antivir, me ne hanno parlato bene... me lo consigli?
 
Deifobe
Citazione:
Questo è Pippo.

Poi Pluto.

...e mi è venuto da sorridere... :D


vediamo... mentre controllo le chiavi, hell's bells potrebbe indicarti i
procedura e link x disinstallare norton e installare avira (settaggio compreso)

:prrr:


@ hell's bells ... ti vedo on line :D
 
hell's bells
Devo mettermi invisibile :biifu: segui questa procedura:

vai su questo link

http://www.free-av.de/de/download/1...> ntivirus.html

devi cliccare su download.com

poi vai su questo

http://www.p2psin.net/forum/program...s-gratuito.html

ti copi e incolli questa guida su un file di word per averla disponibile

disconnetti il pc da internet, disabiliti la protezione di Norton (devi cliccare
sull'icona di Norton nella barra dell'orologio)

installi Avira lo configuri, ti riconnetti ad internet e lo aggiorni, ti
disconnetti nuovamente e fai una scansione, se Avira ti funziona senza problemi
ti postero' in seguito come rimuovere Norton
 
Deifobe
@ hell's bells: ... => :quote: ... => :malol: .... => :ignore:


@ Apyna: scarica Registry Search
Tool e cerca winctrl32. Poi cerca anche
Winaw17. Carica i rapporti su savefile (puoi anche unire i
risultati in un unico file di testo.txt, come vuoi)

Poi trova nel pc il file Winaw17.sys (usa la funzione cerca di windows - nelle
opzioni spunta di cercare tra i files nascosti e di sistema), cliccaci sopra con
il tasto destro del mouse e vedi la data di creazione e se ci sono altre info,
tipo il produttore ecc.
 
Apyna
Le proprietà di WINAW17.sys :
Data creazione : giovedì 19 agosto 2004, 14.00.00
Ultima modifica e ultimo accesso : Oggi 8 giugno 2008, 12.48.56
Percorso : C:\WINDOWS\system32\drivers
Dimensione : circa 30 kb
altra informazioni non ce ne sono.


Report Registry Search : qui
 
Deifobe
ok, cerca con registry search tool d3dx9_32w

posta le informazioni
 
Apyna
Ecco il report di d3dx9_32w

@ hell's bells
Avira funziona, ho fatto anche lo scan e non mi dà problemi. Aspetto le tue
istruzioni per disinstallare Norton.


Grazie a entrambi ancora...
 
Deifobe
..ma di che, il mio unico problema è che bisogna per forza usare combofix,
almeno in questo caso. I files che vedi creati nel 2004 sono "infetti".. ma non
sono del 2004 e da systemscan non li vedo tutti. Cmq abbiamo reperito parecchie
informazioni per fare pulizia.
Con le info che ho, avenger non funzionerebbe comunque, quei files non si
staccano (già sperimentato).

scarica
ComboFix_BleepingC
omputer sul desktop
disconnetti il pc da internet, chiudi tutti i programmi e disattiva
l'antivirus (è importante!)
esegui combofix, digita 1 e segui le indicazioni (ricorda.. "1")

NON toccare assolutamente il pc mentre combofix sta scansionando.
se vedi che ci mette tempo non preoccuparti, attendi...

Quando finisce, posta il log => C:\ComboFix.txt
 
Apyna
che programma serio :P , ok fatto .. ecco il
report di combofix
 
Deifobe
...controllo :P
 
Deifobe
mah, ci saranno altre cose, le cerchiamo con calma. Inserisco nuovamente quanto
trovato, così se WinCtrl32 si è riricreato lo elimina. Proviamo così...
apri il blocco note e copiaci dentro questo:
Citazione:
KillAll::
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Winaw17.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Winaw17.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Winaw17.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Winaw17.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winaw17.s
ys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Winaw17.s
ys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winaw17]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Winaw17]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winaw17]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\enum\root\legacy_Winaw17]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\enum\root\legacy_Winaw17]
[-HKEY_LOCAL_MACHINE\SYSTEM\currentControlSet\enum\root\legacy_Winaw17]
[-HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qtsfhshx]
[-HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32]
[-HKLM\system\currentcontrolset\services\hgpdhhax]
[-HKLM\system\ControlSet001\services\hgpdhhax]
[-HKLM\system\ControlSet003\services\hgpdhhax]
[-HKLM\system\currentcontrolset\enum\root\legacy_hgpdhhax]
[-HKLM\system\ControlSet001\enum\root\legacy_hgpdhhax]
[-HKLM\system\ControlSet003\enum\root\legacy_hgpdhhax]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D00D1D92-8BC6-4BA3-8922-C5F3237119C
6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\{D00D1D92-8BC6-4BA3-8922-C5F3237119C6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\bf]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\bk]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\iu]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings\mu]

File::
C:\WINDOWS\system32\drivers\Winaw17.sys
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\system32\iickezz.dll
C:\WINDOWS\system32\clbg.dll
C:\WINDOWS\system32\oski.exe
C:\Documents and Settings\HP_Proprietario\qebjdlsp.exe

Driver::
C:\WINDOWS\system32\drivers\Winaw17.sys

salvalo sul desktop con il nome CFScript.txt
Chiudi il file

disconnetti il pc da internet, chiudi tutti i programmi e disattiva l'antivirus

Trascina il file sull'icona rossa di combofix (poi non toccare nulla, come
prima)
Posta il log combofix e un nuovo systemscan

Poi, riesegui la scansione con Malwarebytes e posta il rapporto

riattiva l'antivirus

la chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Settings
la lascio nel registro.. ma il resto vediamo di ripulirlo :)

ciao
 
Apyna
Riemergo dalle scansioni :D :
dunque...
Combofix
Systemscan
Malwarebytes

Il problema in apparenza sembra non esserci più, poi non so se faccia tutto di
nascosto.

Ti auguro una buona notte :)
 
Deifobe
notte anche a te Apyna.

controllo i rapporti e ti lascio tutto postato..
No, il problema non dovrebbe esserci più..

:) ciao
 
Deifobe
tutto ok.. eccetto una cosa che ha trovato ora e non prima..

Disattiva il ripristino configurazione di sistema: start -> pannello di
controllo -> sistema -> ripristino configurazione di sistema -> spunta
"disattiva ripristino configuraz. di sistema"

esegui avenger:
Citazione:
registry keys to delete:
HKEY_CLASSES_ROOT\Typelib\{f9fa603d-697c-4900-a950-e54f08324a24}
HKEY_CLASSES_ROOT\nmwegbsf.1

clicca su execute

Finito il riavvio, riattiva il ripristino configurazione di sistema: start ->
pannello di controllo -> sistema -> ripristino configurazione di sistema ->
togli la spunta a "disattiva ripristino configuraz. di sistema"

...ora è tutto pulito, non esiste traccia in systemscan dei files.. se c'è, è
rimasta giusto qualche chiave nel registro per i files che non abbiamo cercato
ma non ti creeranno problemi... abbiamo eliminato fin troppo :D

una cosa che ti volevo chiedere.. C:\WINDOWS\system32\muzapp.exe lo conosci?


Ciao :)


edit : dimenticavo C:\Programmi\Block Checker
l'ho cercato..
http://www.castlecops.com/s11005-Block_checker_exe.html

elimina la cartella e svuota il cestino - usa la funzione cerca di windows e
vedi se trovi altre cartelle di nome Block Checker. Se le trovi,
eliminale
 
Apyna
Grazie mille davvero...
Se sei di Milano o lì vicino dimmelo che ti offro da bere :)
 
Deifobe
uhmmm quando vuoi fare un controllo stiamo qui :)

x il resto... non sono di Milano... :D ma prendo nota... :D non si sa mai
dovessi passare da quelle parti... :P ....

ciao :)

Trova la soluzione al tuo problema, cerca tra le guide di HTML.it

Loading

Powered by: Search Engine Indexer and vBulletin v2.3.6
Copyright © 2000 - 2002, Jelsoft Enterprises Limited