Problema trojan horse, Log hjt

[ivanzanovello]

Ho scritto in precedenza sul forum software e mi hanno indirizzato qui, per un problema legato al trojan msdirectx.sys. L'antivirus AVG lo rileva subito e lo elimina facilmente, ma continua ad istallarsi e l'antivirus lo rileva ogni 2 minuti, quindi piuttosto fastidioso.

Ho seguito tutto quanto dice il tread guida e nulla è cambiato, quindi eccomi qui con il log di hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 5.33.21, on 14/06/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\System32\rpcclient.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\xpjava.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\System32\fxredir.exe
C:\Programmi\Pinnacle\InstantCDDVD\InstantWrite\iw ctrl.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\MSASP32.exe
C:\WINDOWS\System32\KYSVCXD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\MSASP32.exe
C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gw.aliceadsl.it/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O1 - Hosts: 209.66.123.175 sexyrabbit.com
O1 - Hosts: 209.66.123.175 www.sexyrabbit.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [fxredir] C:\WINDOWS\System32\fxredir.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [VOBID] C:\Programmi\Pinnacle\InstantCDDVD\InstantDrive\In stantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programmi\Pinnacle\InstantCDDVD\InstantWrite\iw ctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Me...bridge-c18.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?Link...04&clcid=0x409
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.inforiviera.it/newwebcam/...CamControl.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/pro...tor/WebAAS.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: MpService - Canon Inc - C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - C:\WINDOWS\System32\rpcclient.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Spero nei vostri consigli.
Grazie!

[antares11]

Originariamente inviato da ivanzanovello
Ho scritto in precedenza sul forum software e mi hanno indirizzato qui, per un problema legato al trojan msdirectx.sys. L'antivirus AVG lo rileva subito e lo elimina facilmente, ma continua ad istallarsi e l'antivirus lo rileva ogni 2 minuti, quindi piuttosto fastidioso.

Ho seguito tutto quanto dice il tread guida e nulla è cambiato.............
Spero nei vostri consigli.
Grazie!

non direi che tu abbia seguito tutto quanto consigliato nel 1° 3d in rilievo anche se il mod lo ha concentrato in poche essenziali linee guida, per cui è almeno sottinteso che CMQ tu abbia fatto una ricerca con www.google.it su 'msdirectx.sys' che ti avrebbe dato utili indicazioni alla risoluzione del tuo problema (o quanto meno farti conoscere cosa combina quel trojan) e a caso posto un link per tua info
http://www.computing.net/security/ww...rum/15882.html

e di antivirus ne esistono degli altri e migliori, come anche di antitrojan .... perchè potrebbe darsi (magari non sarà il tuo caso) che tu abbia altro malware

[holifay]

Secondo me ti conviene seguire con attenzione la guida posta in evidenza. Una cosa da fare è aggiornare/cambiare l'antivirus, perchè non vorrei sbagliarmi, ma mi pare proprio che tu abbia un PC incasinato...

C:\WINDOWS\System32\xpjava.exe
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

Sei affetto dal worm W32/Rbot-YC (marzo 2005)
Le istruzioni per rimuoverlo sono qui: http://www.sophos.com/virusinfo/analyses/w32rbotyc.html

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MS Auto-IPSec Protection
MSASP32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MS Auto-IPSec Protection
MSASP32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
MS Auto-IPSec Protection
MSASP32.exe

Sei affetto dal virus W32/Rbot-AER (giugno 2005)
Le istruzioni per rimuoverlo sono qui: http://www.sophos.com/virusinfo/anal...32rbotaer.html

O1 - Hosts: 209.66.123.175 sexyrabbit.com
O1 - Hosts: 209.66.123.175 www.sexyrabbit.com

Fixa queste voci (sono modifiche del tuo file hosts)

O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

Fixa anche queste voci: i primi due sono siti pubblicitari: perchè sono in "trusted zone"?

C:\WINDOWS\System32\rpcclient.exe
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner -C:\WINDOWS\System32\rpcclient.exe

Che te ne fai di un client rpcc? Io lo eliminerei...

Beh, spero di sbagliarmi.

Ciao

[ivanzanovello]

Ho cercato di seguire i vostri consigli ed ho ottenuto buoni risultati, ma non ancora tutto è risolto...

I worm che avevate segnalato sono stati eliminati, ma il problema di msdirectx.sys ancora persiste. Ho istallato NOD32, ma non l'ha rimosso, dice che il file è inaccessibile.

Ho cercato il file che dice di eliminare il secondo consiglio del link datomi, ma non è presente nel computer.

Che mi consigliate di fare? Devo ripostare un log di hjt??

[holifay]

Un'altra cosa che potresti fare è eliminare questa voce:

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/M.../bridge-c18.cab

per quanto riguarda msdirectx.sys dovresti essere stato infettato da una variante del worm W32/Sdbot (anche se tra i processi in esecuzione non vedo niente altro di anomalo, ma non vuol dire). Puoi verificare la presenza di questa chiave di registro, di solito associata al worm:

HKLM\SYSTEM\CurrentControlSet\Services\msdirectx\

Se è presente è il worm, che si inserisce tra i processi di sistema.

Prova a seguire le istruzioni (si tratta solo di avviare un file da linea di comando) che trovi qui

[NetEscape]

setta Zone Alarm così: livello di security high sia per la Internet zone che per la trusted zone. vai su firewall >> advanced e metti il segno di spunta su lock host file. ciao


prima però ripulisci tutto. queste impostazioni sono importanti! ad esse vanno aggiunte eventuali patch.



La rimozione va fatta in modalità provvisoria.

ZA va settato così per proteggerti in futuro. altrimenti nn ha molto senso parlare di sicurezza.

[ivanzanovello]

Finalmente posso definitivamente ringraziarvi per il vostro aiuto, virus rimosso...
Settato ZoneAlarm come detto...riguardo alle patch nominate, di quali parli, winxp?

Grazie!

[NetEscape]

patch di giugno (6) di win xp. ciao!