win32-trojan-gen

[beneamma]

Ciao a tutti,
un contatto di MSN mi ha inviato un virus che Avast rileva ma non riesce ad "ammazzare".
Ho fatto girare tutto quello che c'è nella guida di questo forum, oltre a vari altri programmi come AVG Anti-Spyware, Ad-Aware, CCleaner, Norman Malware, ATF_Cleaner, Sophos, Combofix , Avenger e molti altri.
Molti non rilevano neppure il virus, mentre Avast lo visualizza.
Poi ho installato Prevx CSI che individua:
c/windows/system32/vobuquydiz.exe
c/windows/system32/luzoosog.exe

Questo invece è il file di hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07, on 2008-07-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\Garzanti Linguistica\Francese Clic\vb\Trayicon.exe
C:\Programmi\SPAMfighter\SFAgent.exe
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\Programmi\ICQ6\ICQ.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

O23 - Service: SigmaTel Audio Service (yoyaoiyatmb0) - Unknown owner - C:\WINDOWS\system32\vobuquydiz.exe (file missing)

--
End of file - 3039 bytes

Cosa posso fare?
Grazie!

[Deifobe]

ciao Benedetta

scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

[beneamma]

Grazie Deifobe!
Ecco qua il link: http://www.savefile.com/files/1672997

[Deifobe]

scarica CCleaner; poi scarica, installa e aggiorna malwarebytes

esegui avenger e nella finestra copia/incolla:

files to delete:
C:\DOCUME~1\BENEDE~1\IMPOST~1\Temp\qckksrj3609D3E7 .tmp
C:\DOCUME~1\BENEDE~1\IMPOST~1\Temp\nqtlsvj1B5D6A6B .tmp
C:\DOCUME~1\BENEDE~1\IMPOST~1\Temp\krisyi5C04EE68. tmp
C:\DOCUME~1\BENEDE~1\IMPOST~1\Temp\cjfxA2CF7141.tm p
C:\WINDOWS\system32\vobuquydiz.exe
C:\WINDOWS\system32/luzoosog.exe

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | rude
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services | rude

drivers to disable:
yoyaoiyatmb0

clicca su execute. il pc si riavvierà.

svuota C:\WINDOWS\Prefetch

esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte)

esegui con malwarebytes una scansione completa (spunta l'opzione) e posta il rapporto.

riesegui la scansione con Avast e vedi se trova ancora l'infezione


riferito a questo:

### E:\autorun.inf
open=hozy.exe
shellexecute=hozy.exe
shell=open
shell\explore=E&xplore
shell\explore\command=hozy.exe

qual è l'unità E? Se si riferisce ad una pen drive o un HD esterno, per ora non collegarli al pc.

[beneamma]

Dunque Malwarebytes me lo fa scaricare ma al momento dell'installazione mi dà il seguente errore (l'ho scaricato da 3 siti diversi):
Impossibile registrare la DLL/OCX: RegSv32 è fallito con codice di uscita 0x5.

Inoltre mi sa che Avenger ha fatto poco (effettuato 2 volte una in modalità provvisoria ed 1 normale) perchè al riavvio mi vengono sempre rilevati i due file di cui alla prima mail ed inoltre mi dà questo report: http://www.savefile.com/files/1673966

La directory E non è una pen drive ma un settore creato automaticamente da HP dove dovrebbero trovarsi i salvataggi e che in realtà io non utilizzo.

[hell's bells]

L'errore di malewarebytes è comune, viene citato in molte discussioni, riprova a installarlo e quando esce l'errore dai ok e continua l'installazione, sembra sia un errore comune anche in fase di aggiornamento.

[beneamma]

Grazie ora l'ho installato e sto facendo la scansione!

[beneamma]

Ecco qua il risultato della scansione: http://www.savefile.com/files/1674262
Avast non lo rileva più ma appena riaccendo il pc mi parte la schermata di PREVX CSI che mi dice che sono infetta ma non so se è affidabile nel senso che non mi permette più di scansionare il pc ma mi invia solo questo messaggio.
Ho fatto girare Avast e non rileva nulla. Ho di nuovo fatto una scansione con hijack this e mi dà questo risultato: http://www.savefile.com/files/1674276

Ora lancio Avira e guardo che succede....

[antonpaco]

avast te lo dovrebbe mettere nella quarantena dove non da' nessun tipo di problema.
Per eliminarlo direttamente devi installare l'ottimo malwarebytes prelevabile dal sito omonimo (credo sia .org) e' in italiano ed e' OTTIMO.

[Deifobe]

Con prevx hai eseguito solo una scansione free, giusto? (http://www.prevx.com/freescan.asp)
se si, da hijackthis fixa:
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
e anche questa:
R3 - URLSearchHook: (no name) - - (no file)

fammi sapere Avira se trova altro. Poi ne facciamo una con kaspersky e, se è ok, abbiamo finito. Ciao