Trojan haxdoor (skyx16.dll, qz.dll, qz.sys) e Adware.EGDAccess

[sonicyouth81]

Salve.
Ho beccato il trojan haxdoor.hm sul mio pc con sistema Windows XP, e non riesco ad eliminarlo.
Mi viene riconosciuto da Spybot, il quale trova 3 file:
- skyx16.dll
- qz.dll
- qz.sys

Nella cartella system32 mi compaiono (sottoforma di cartelle):
- qz.dll_old
- qz.dll
- qz.sys_old
- qz.sys
- skyx16.dll_old
- skyx16.dll

Se le faccio analizzare da Panda 2008 (versione di prova), mi individua un virus in qz.dll, ossia bck/haxdoor.gen.

Provo a cancellarle ma non ottengo nulla. Al prossimo avvio ci sono ancora.

Ho scaricato Hijackthis. Se qualcuno può darmi una mano inserisco il logfile.

Grazie!

[Deifobe]

vediamo...

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). Te lo dico perchè, dovesse essere segnalato dall'antivirus (che non hai disattivato, come da indicazione), almeno sai il motivo. La procedura postata è sicura.


hijackthis è contenuto stesso nel rapporto di systemscan

ciao

[sonicyouth81]

Ho scaricato SystemScan.
Ora corro al lavoro e stasera posto il rapporto su Savefile.

Grazie!

[sonicyouth81]

Ecco il link:
http://www.savefile.com/files/1816549

[Deifobe]

Scarica Avenger e CCleaner

Crea una nuova cartella in c:\ e chiamala [red]pippo[/red]

Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to move:
C:\DOCUME~1\F3JC-A~1\IMPOST~1\Temp\pzf2vu2d.exe | c:\pippo\pzf2vu2d.exe
C:\DOCUME~1\F3JC-A~1\IMPOST~1\Temp\question.html | c:\pippo\question.html
C:\DOCUME~1\F3JC-A~1\IMPOST~1\Temp\7aj5bpvm.doc | c:\pippo\7aj5bpvm.doc
C:\WINDOWS\bxxs5.dll | c:\pippo\bxxs5.dll
C:\WINDOWS\banner.dll | c:\pippo\banner.dll
C:\WINDOWS\system32\qz.sys | c:\pippo\qz.sys
C:\WINDOWS\system32\exdl1.exe | c:\pippo\exdl1.exe
C:\WINDOWS\system32\exdl2.exe | c:\pippo\exdl2.exe
C:\WINDOWS\system32\exdl.exe | c:\pippo\exdl.exe
C:\WINDOWS\system32\exdl0.exe | c:\pippo\exdl0.exe
C:\WINDOWS\system32\winservs.exe | c:\pippo\winservs.exe
C:\WINDOWS\system32\yvpp01.dll | c:\pippo\yvpp01.dll
C:\WINDOWS\system32\exdl3.exe | c:\pippo\exdl3.exe
C:\WINDOWS\system32\ipv6mons.dll | c:\pippo\ipv6mons.dll
C:\WINDOWS\system32\docent2.dll | c:\pippo\docent2.dll
C:\WINDOWS\system32\docent0.dll | c:\pippo\docent0.dll
C:\WINDOWS\system32\egdhtml_1023.dll | c:\pippo\egdhtml_1023.dll
C:\WINDOWS\system32\egdhtml_1027.dll | c:\pippo\egdhtml_1027.dll
C:\WINDOWS\system32\bxxs5.dll | c:\pippo\bxxs5.dll
C:\WINDOWS\system32\egdhtml_1026.dll | c:\pippo\egdhtml_1026.dll
C:\WINDOWS\system32\egdhtml_1025.dll | c:\pippo\egdhtml_1025.dll
C:\WINDOWS\system32\egdhtml_1024.dll | c:\pippo\egdhtml_1024.dll
C:\WINDOWS\system32\bxsx5.dll | c:\pippo\bxsx5.dll
C:\WINDOWS\system32\winservn.exe | c:\pippo\winservn.exe
C:\WINDOWS\system32\skyx16.dll | c:\pippo\skyx16.dll
C:\WINDOWS\system32\qz.sys_old | c:\pippo\qz.sys_old
C:\WINDOWS\system32\qz.dll_old | c:\pippo\qz.dll_old
C:\WINDOWS\system32\skyx16.dll_old | c:\pippo\skyx16.dll_old
C:\WINDOWS\temp\report.dat | c:\pippo\report.dat

files to delete:
C:\DOCUME~1\F3JC-A~1\IMPOST~1\Temp\jar_cache31758.tmp
C:\DOCUME~1\F3JC-A~1\IMPOST~1\Temp\jar_cache41257.tmp

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Posta un nuovo systemscan e il rapporto di avenger

zippa la cartella pippo e carica su savefile l'archivio pippo.zip e inviami il link con un messaggio privato

(ripeto il link al file devi inviarmelo con un messaggio privato ... non caricarlo sul forum)

ora i file dovrebbero trovarsi tutti nella cartella pippo: elimina la cartella pippo e lascia nel pc il file pippo.zip (dovesse servire..)

Dimmi il pc come va


ciao

[Deifobe]

ok... ho visto il rapporto, ieri è stato scaricato di tutto di più.. C:\Programmi\180search assistant, C:\Programmi\navisearch, C:\Programmi\media-codec, C:\Programmi\webhancer ( ), C:\Programmi\newdotnet....


Scarica e installa e aggiorna malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto .


Scarica Norman Malware Cleaner, avvia il PC in modalità provvisoria ed esegui Norman Malware Cleaner.
Finita la scansione, rimuovi i files infetti trovati e posta il log che viene generato sul desktop.


ciao

[sonicyouth81]

Ho inviato in pvt i link per i report di Malwarebytes e Norman.

Malwarebytes ha trovato un bel po' di malware, mentre Norman ha trovato due file infetti nel pc (in una pagina htm e in una immagine jpg).
Ho rifatto la scansione con Spyboy e i tre simpatici amici (skyx16.dll, qz.dll, qz.sys) ci sono ancora

[Deifobe]

si, ho visto, ti ho risposto.
esegui navilog1.exe_il mafioso e posta il rapporto (dovrebbe trovarti altre cartelle che avevo visto nel rapporto di systemscan)

il rapporto di malwarebytes è questo:

Malwarebytes' Anti-Malware 1.28
Versione del database: 1226
Windows 5.1.2600 Service Pack 2

04/10/2008 7.08.24
mbam-log-2008-10-04 (07-08-24).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi scansionati: 328139
Tempo trascorso: 2 hour(s), 28 minute(s), 29 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 68

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\Programmi\mozilla.org\Mozilla\regxpcom.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\WINDOWS\explore.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\iexplorer.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\a.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\rundll.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\server.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\winupd.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\svhost.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\win32.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\winsys.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\winshow.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\csrss.exe (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\iexplore.exe (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\msmsgs.exe (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\skybot.exe (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\avpcc.dll (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\ctrlpan.dll (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\msconfd.dll (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\olehelp.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\qttasks.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> Delete on reboot.
C:\csrss.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\winlogon.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\svchost32.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\0.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\windll.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\smss.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\svchost.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\dll.dll (Trojan.Downloader) -> Delete on reboot.
C:\WINDOWS\sistem.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\mssvr.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\voiceip.dll (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\2020search.dll (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\2020search2.dll (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\system32\iexplorer.exe (Trojan.Downloader) -> Delete on reboot.
C:\WINDOWS\system32\msa64chk.dll (Trojan.Perfiler) -> Delete on reboot.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> Delete on reboot.
C:\WINDOWS\system32\winnb57.dll (Adware.Mirar) -> Delete on reboot.
C:\WINDOWS\system32\filekiller.dll (Rogue.Multiple) -> Delete on reboot.
C:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> Quarantined and deleted successfully.
C:\winstall.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\services.exe (Backdoor.ProRat) -> Delete on reboot.
C:\WINDOWS\system32\7search.dll (Adware.7FaSSt) -> Delete on reboot.
C:\WINDOWS\system32\klo5.sys (Stolen.Data) -> Delete on reboot.
C:\WINDOWS\xpupdate.exe (Trojan.Fakealert) -> Delete on reboot.
C:\WINDOWS\system32\ipv6mons.dll (Spyware.Passwords) -> Delete on reboot.
C:\WINDOWS\ExeDialer.exe (Adware.EGDAccess) -> Delete on reboot.
C:\WINDOWS\system32\egdial.dll (Adware.EGDAccess) -> Delete on reboot.
C:\WINDOWS\system32\ia.dll (Adware.EGDAccess) -> Delete on reboot.
C:\WINDOWS\system32\ieaccess2.dll (Adware.EGDAccess) -> Delete on reboot.
C:\WINDOWS\system32\msegcompid.dll (Adware.EGDAccess) -> Delete on reboot.
C:\WINDOWS\system32\mseggrpid.dll (Adware.EGDAccess) -> Delete on reboot.
C:\WINDOWS\system32\msklive.dll (Adware.EGDAccess) -> Delete on reboot.
C:\WINDOWS\system32\draw32.dll (Rootkit.Haxdor) -> Delete on reboot.
C:\WINDOWS\system32\c3.dll (Rootkit.Haxdor) -> Delete on reboot.
C:\WINDOWS\system32\cm.dll (Rootkit.Haxdor) -> Delete on reboot.
C:\WINDOWS\system32\sdmapi.sys (Rootkit.Haxdor) -> Delete on reboot.
C:\WINDOWS\system32\boot32.sys (Rootkit.Haxdor) -> Delete on reboot.
C:\WINDOWS\system32\vdnt32.sys (Rootkit.Haxdor) -> Delete on reboot.
C:\WINDOWS\system32\memlow.sys (Rootkit.Haxdor) -> Delete on reboot.
C:\WINDOWS\system32\c3.sys (Rootkit.Haxdor) -> Delete on reboot.
C:\WINDOWS\system32\c4.sys (Rootkit.Haxdor) -> Delete on reboot.
C:\WINDOWS\system32\hm.sys (Rootkit.Haxdor) -> Delete on reboot.
C:\WINDOWS\system32\wd.sys (Rootkit.Haxdor) -> Delete on reboot.

ciao

[sonicyouth81]

Ho inviato in pvt il link per il report di NaviLog.
Finché non sono spuntati skyx16.dll, qz.dll e qz.sys non pensavo di esser pieno di virus: avevo la memoria del pc quasi piena e pensavo dipendesse da quello la lentezza che notavo (ad esempio prima di spegnersi o caricando i file del desktop dopo averlo accesso).
Poi i risultati delle scansioni che facevo con AVG 8, Spybot, Prevx CSI eran sempre pulite e mi son fidato.
Evidentemente mi sbagliavo.


Ecco il report di NaviLog:

Search Navipromo version 3.6.6 began on 04/10/2008 at 12.46.30,28

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programmi\navilog1
Actual User Account : "F3JC-AP014"

Updated on 29.09.2008 at 17h30 by IL-MAFIOSO


Microsoft Windows XP [Versione 5.1.2600]
Version Internet Explorer : 6.0.2900.2180
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***

C:\WINDOWS\mc found !
C:\WINDOWS\mslagent found !
C:\WINDOWS\wincomp found !
C:\WINDOWS\winmgts found !
C:\WINDOWS\wintrim found !

*** Search folders in "C:\Programmi" ***

...\Instant Access found !

*** Search folders in "C:\Documents and Settings\All Users\menuav~1\progra~1" ***


*** Search folders in "C:\Documents and Settings\All Users\menuav~1" ***


*** Search folders in "c:\docume~1\alluse~1\datiap~1" ***


*** Search folders in "C:\Documents and Settings\F3JC-AP014\datiap~1" ***


*** Search folders in "C:\Documents and Settings\F3JC-AP014\impost~1\datiap~1" ***


*** Search folders in "C:\Documents and Settings\F3JC-AP014\menuav~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Documents and Settings\F3JC-AP014\impost~1\datiap~1" *



*** Search files ***


C:\WINDOWS\ExeDialer.exe found !
C:\WINDOWS\system32\egdial.dll found !
C:\WINDOWS\system32\ia.dll found !
C:\WINDOWS\system32\ieaccess2.dll found !
C:\WINDOWS\system32\msegcompid.dll found !
C:\WINDOWS\system32\mseggrpid.dll found !
C:\WINDOWS\system32\msklive.dll found !

*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Documents and Settings\F3JC-AP014\impost~1\datiap~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 04/10/2008 at 13.03.49,39 ***

[Deifobe]

Riavvia il computer in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
Esegui Navilog1 e scegli l'opzione 2 (Automatic Cleaning) e dai l'ok (eseguirà la pulizia dei files infetti trovati)
Quando finisce, riavvia il pc in modalità normale

Svuota C:\WINDOWS\Prefetch
Ripulisci con CCleaner i file temporanei e cookie (eseguilo 2 volte).

stesso da modalità normale, riesegui navilog1 (scegli opzione 1) e posta il rapporto


i rapporti puoi postarli qui