rimozione di bkdr small.ai

[PiccoloElfo2]

Originariamente inviato da amvinfe
il fatto che l'antivirus non faccia, dalla modalità provvisoria, la scansione non è una cosa normale.

Posta un log di HijackThis, per cortesia leggi il suo tutorial prima d'inserire il risultato dello scan.

Ho letto il tutorial ed ho effettuato la scansione in modalità provvisoria.

Prima di tale operazione (tanto per stare tranquillo) ho eseguito alla lettera tutte le indicazioni riportate nella discussione in rilievo che mi hai segnalato. Inutile dire che il problema permane. Ecco il log:

Logfile of HijackThis v1.99.1
Scan saved at 0.39.17, on 18/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\HJthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nonsolofitness.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.nonsolofitness.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Progra~1\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\System32\req.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programmi\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [VaCtrl] C:\Programmi\VoiceAge\Common\VaCtrl.exe
O4 - HKLM\..\Run: [anassim] c:\programmi\syswin\syswin.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FreePOPs (2).lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Global Startup: Asus ChkMail (2).lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O15 - Trusted Zone: www.alexa.com
O15 - Trusted Zone: www.infodieta.it
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline...uttogratis.exe
O16 - DPF: {00000000-0000-0000-0000-002120570000} - http://www.pgsconnect.com/access/pgs0319.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/gamdr-it/itd/games3.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/604485.exe
O20 - Winlogon Notify: req - C:\WINDOWS\System32\req.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\tmproxy.exe

[PiccoloElfo2]

Dimenticavo di segnalare che, ad ogni riavvio del PC, l'antivirus segnala la rimozione del virus bkdr_small.ai, senza tuttavia nessuna risoluzione del problema.

[amvinfe]

posta un nuovo log con la scansione fatta dalla modalità normale, nel tutorial che ho scritto l'utilizzo di HijachThis dalla mod. provvisoria era riferito al momento della rimozione dei valori. Vedrò al più presto di modificarlo.
Comunque ho già visto diversi valori da rimuovere.

[PiccoloElfo2]

Sono nelle tue mani!

Ecco il logo in modalità normale

Logfile of HijackThis v1.99.1
Scan saved at 20.47.21, on 18/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programmi\Trend Micro\Internet Security\tmproxy.exe
C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\htpatch.exe
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmi\Trend Micro\Internet Security\pccguide.exe
C:\Programmi\Trend Micro\Internet Security\PCClient.exe
C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe
C:\Programmi\VoiceAge\Common\VaCtrl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\VoiceAge\Common\VaLangInterf.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\HJthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nonsolofitness.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.nonsolofitness.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Progra~1\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\System32\req.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programmi\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [VaCtrl] C:\Programmi\VoiceAge\Common\VaCtrl.exe
O4 - HKLM\..\Run: [anassim] c:\programmi\syswin\syswin.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: FreePOPs (2).lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Global Startup: Asus ChkMail (2).lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O15 - Trusted Zone: www.alexa.com
O15 - Trusted Zone: www.infodieta.it
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline...uttogratis.exe
O16 - DPF: {00000000-0000-0000-0000-002120570000} - http://www.pgsconnect.com/access/pgs0319.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/gamdr-it/itd/games3.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/604485.exe
O20 - Winlogon Notify: req - C:\WINDOWS\System32\req.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Programmi\Trend Micro\Internet Security\tmproxy.exe

[amvinfe]

con HJT elimina (dalla modalità normale)

O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\System32\req.dll
O4 - HKLM\..\Run: [anassim] c:\programmi\syswin\syswin.exe è collegato ad una variante del trojan Small (si collega al sito sgrunt.biz per sicurezza comunque, fai un controllo del file al seguente URL http://virusscan.jotti.org/ nel caso di responso positivo elimini la chiave e successivamente dalla mod. provvisoria la cartella "syswin")
O15 - Trusted Zone: www.alexa.com
O15 - Trusted Zone: www.infodieta.it (se questo non è un sito che conosci eliminalo)
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/weblin...Tuttogratis.exe
O16 - DPF: {00000000-0000-0000-0000-002120570000} - http://www.pgsconnect.com/access/pgs0319.exe
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/gamdr-it/itd/games3.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/604485.exe
O20 - Winlogon Notify: req - C:\WINDOWS\System32\req.dll

dalla mod. provvisoria elimina
C:\WINDOWS\System32\req.dll

ripeti una scansione, dalla provvisoria, con Adaware.
Fai una scansione online (3d in rilievo -links utili-)

[PiccoloElfo2]

accidenti ho provato decine di volte ma il file req.dll non viene rimosso perchè risulta usato da altri programmi, ho provato in tutti i modi! Naturalmente le voci 02 e 020 si rigenerano immediatamente ed il problma non si risolve!

[amvinfe]

Risulta usato da altri prograami perchè viene caricato quando il pc parte dalla modalità normale, se la rimozione non ti è riuscita dalla modalità provvisoria allora scaricati questo programma

KillBox
dezippa il contenuto all'interno di una nuoca cartella che collocherai in Programmi.

- Apri KillBox
- Clicca sulla cartellina giall "Browse for file"
- Cerca il file da eliminare e selezionalo (nella finestra verrà mostrato il file ed eil suo percorso)
- Metti la spunta su "Delete on Reboot"
- Clicca sulla X rossa ("Delete file")
- Riavvia

P.S.
il programma va usato non connesso e con il browser chiuso.


Ricordati prima di eliminare il valore
O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\System32\req.dll
servendoti di HijackThis

[PiccoloElfo2]

bene req.dll è stato eliminato, ho fatto una scansione online con symantec che ha rilevato questa monnezza:

C:\Programmi\GlobalSCAPE\CuteFTP\TSUninstaller.exe è infettato con Adware.TSAdBot
C:\WINDOWS\Downloaded Program Files\610515.exe è infettato con Dialer.Trafficadvance
C:\WINDOWS\Downloaded Program Files\1051941.exe è infettato con Dialer.Trafficadvance
C:\WINDOWS\Downloaded Program Files\1045518.exe è infettato con Dialer.Trafficadvance
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\sexy.exe è infettato con Dialer.Yeaknet


ora cerco nel medesimo sito della symantec se ci sono soluzioni alla mia portata d (in)competenza.

Tuttavia bkdr small è ancora li! L'antivirus ad ogni riavvio del SO dice di aver provveduto alla disinfezione! Ma è ancora li ed i problemi persistono! Ho anche scaricato ogni oggiornamento per il sistema operativo! Ma nulla da fare!

Chissà se riusciremo ad eliminarlo! In ogni caso alla fine, come minimo, ti devo una cena! Considerato che giro l'Italia in lungo e in largo non è il solito modo di dire!

[PiccoloElfo2]

aggiungo....

a dire il vero uno dei problemi lo abbiamo (leggi lo hai) risolto. IE è tornato a funzionare. Prima non consentiva l'apertura dei link programmati per aprirsi in una nuova finestra, ne i link cliccati da email e simili.

Ora queste funzionalità sono tornate a posto.

Resta da eliminare il maledetto bkdr small e la "monnezza" di dialer di cui sopra. Anche quelli vengono rilevati quasi ad ogni scansione con ad-aware, e rimossi. Ma tempo un paio di settimane (a volte giorni) e ricompaiono! :rollo: Ma sta gente possibile che non abbia di meglio da fare?

[PiccoloElfo2]

forse è stato rimosso! Anche se non so se la cosa sia plausibile.
Sta di fatto che, normalmente, ad ogni riavvia la "famosa" finestra dell'antivirus si apriva dichiarando che bkdr_small.ai era stato trovato e disinfettato. Questa mattina all'accensione del pc, tale finestra (che pure sino a ieri sera si apriva) non si è aperta. Ho riavviato per verificare, e continua a non comparire.

Intanto IE ha ripreso a funzionare.

Ti sembra possibile ipotizzare che sia stato eliminato definitivamente?

Tra un po' rifaccio una scansione online ed una con HijackThis e posto il log.