virus soleluna?

[«¿®=Manoet=®¿»]

salve a tutti
mio cugino si è beccato un virus (formattato appena un mese fa )
gli si è aperto un pop-up che gli chiedeva di scaricare software antivirus, anche se lui ha annullato, si è ritrovato l'installazione sul desktop, con il setup già avviato dicendo che era l'antivirus soleluna (ovviamente il setup nopn si poteva annullare)
da subito hanno cominciato a spuntare pop-up (tra cui un clone del sito ebay) e avvisi che segnalavano la presenza di spyware e trojan nel pc, sia sotto forma di finestre, sia come triangoli nella barra affianco all'orologio che riportano a pagine web di www.savetheinformation.com.
lui ieri ha disinstallato l'antivirus dal pannello di controllo, ma continuando i problemi mi ha chiamato;
oggi ho provato ad avviare all'ultima configurazione fiunzionante, ma tutte quelle precedenti a ieri sono scomparse, ho provato sia ad-aware che kaspersky online: l'uno trova, elimina e poi è come prima, l'altro non funziona proprio
log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17.00.55, on 11/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Hijackthis\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\zuzoahai.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0078D7.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

la voce "O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\zuzoahai.dll" l'avevo fixata, ma è ricomparsa all'avvio...

dimenticavo: precedentemente avevo eliminato i seguenti file in c:\windows\: mrofinu572.exe, mrofinu572.exe.tmp, mrofinu1000106;
c:\windows\system32\: ulbmxltw.exe

[Deifobe]

Riguardo la securiry toolbar, non si vede il resto (la toolbar è la meno utile, ci sono file infetti in giro che, come hai detto, la ricreano). Uno credo sia ulbmxltw.exe ma ne manca almeno un altro.
Per individuarli (se stanno qui, se non si tratta di una versione completamente diversa di toolbar), fagli controllare nel registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
prendi nota di una cartella e/o valore con lettere casuali
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHook
troverai una CLSID (forse {8DC13F33-719B-46C9-A590-6FA097E0570F} ma potrebbe essere un'altra) con il secondo file che ti serve (sempre con nome casuale).
Posta questi dati, se li trovi.

[Deifobe]

parte II

Ribadendo che deve fare quanto scritto sopra per prima cosa ( è molto importante) e sperando che ulbmxltw.exe non abbia cambiato nome..

Fagli Scaricare Registry Search Tool
Lo esegue (regsrch) e cerca separatamente le voci in elenco (deve fare copia/incolla e non lasciare spazi). Deve salvare i file .txt con i risultati.
Il programma potrebbe anche dirgli che non ha trovato nulla, ci vorra' qualche secondo prima di ricevere una risposta.

threadingmodel
ulbmxltw
zuzoahai
c0078D7
11A69AE4-FBED-4832-A2BF-45AF82825583

Per ogni file ottenuto deve postare i risultati a partire da questa riga:
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

I risultati sono le voci presenti nel registro che fanno riferimento alla Sec. Toolbar.

[Topdrake]

disattiva il ripristino configurazione sistema.
fixa
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\zuzoahai.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0078D7.dat
elimina zuzoahai.dll
fai anche una scansione con questo programma:
http://www.symantec.com/security_res...112111-3912-99
riposta un nuovo log.

[«¿®=Manoet=®¿»]

il tool della symantec non ha fatto nulla (terminato un processo e sospeso un altro, ma nulla di concreto)
per quanto riguarda il registro:
in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ sn presenti le cartelle: crypt32chain, cryptnet, cscdll, ScCertProp, Schedule, sclgntfy, SensLogn, termsrv, wlballoon, zuzoahai.
invece in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHook ho trovato una chiave {AEB6717E-7E19-11d0-97EE-00C04FD91972} classififcata come REG_SZ ma nel campo dei dati non compare nulla.
per quanto riguarda la ricerca nel registro eccoti i risultati:
threadingmodel è un file d 400kB e passa, non ho come mandartelo, se non per email...
ulbmxltw nessun risultato;
zuzoahai

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11A69AE 4-FBED-4832-A2BF-45AF82825583}\InprocServer32]
@="C:\\WINDOWS\\system32\\zuzoahai.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A95B281 6-1D7E-4561-A202-68C0DE02353A}\InprocServer32]
@="C:\\WINDOWS\\system32\\zuzoahai.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\zuzoahai]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\zuzoahai]
"Dllname"="zuzoahai.dll"

[HKEY_USERS\S-1-5-21-854245398-507921405-2147043491-1003\Software\Microsoft\Windows\CurrentVersion\App lets\Paint\Recent File List]
"File2"="F:\\virii\\zuzoahai.bmp"

[HKEY_USERS\S-1-5-21-854245398-507921405-2147043491-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ComDlg32\OpenSaveMRU\*]
"d"="F:\\virii\\zuzoahai.bmp"

[HKEY_USERS\S-1-5-21-854245398-507921405-2147043491-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ComDlg32\OpenSaveMRU\bmp]
"j"="F:\\virii\\zuzoahai.bmp"

c0078D7 nessun risultato;
11A69AE4-FBED-4832-A2BF-45AF82825583

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11A69AE 4-FBED-4832-A2BF-45AF82825583}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11A69AE 4-FBED-4832-A2BF-45AF82825583}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"=hex:00

[HKEY_USERS\S-1-5-21-854245398-507921405-2147043491-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"=hex:e4,9a,a6,11,ed,fb,32,48,a2,bf,4 5,\

[HKEY_USERS\S-1-5-21-854245398-507921405-2147043491-1003\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_USERS\S-1-5-21-854245398-507921405-2147043491-1003\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{11A69AE4-FBED-4832-A2BF-45AF82825583}\iexplore]

comunque la salute del pc peggiora: adesso dopo appena 2 minuti si blocca tutto, credo sarò costretto a formattare

[Deifobe]

no tranquillo.
scarica Vundofix, Superantispyware e SpyBot .

Scarica gli aggiornamenti e fai le scansioni.
Ricordati che devi disattivare antivirus, firewall e ripristino configurazione di sistema. Posta i log ottenuti e un altro di hjt.

NB quando finisci le scansioni ricordati di riattivare tutto.

edit: pensi di riuscire a passare almeno vundofix? prova

se te lo ritrovi già scaricato va bene anche combofix, che riconosce tranquillamente i file del vundo..

[«¿®=Manoet=®¿»]

ecco il report di threading model http://www.sendmefile.com/00594477
me n'ero copmpletamente dimenticato di questo metodo....
grazie deifobe; domani sera vi farò sapere l'esito

[Deifobe]

ok. parte di tutto quello che hai postato viene eliminata di programmi che ti ho indicato. Dovessero esserci problemi le eliminiamo con avenger..

[«¿®=Manoet=®¿»]

deifobe, grazie mille
il pc sembra essere perfettamente pulito adesso, comunque ti posto il log di hijackthis (io non vi ho trovato nulla di anomalo)

Logfile of HijackThis v1.99.1
Scan saved at 19.14.33, on 14/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0083AE4.dat
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

mi sono accorto solo ora dei due (file missing) finali... è colpa del virus o del fatto che avevo temporaneamente disabilitato avast?

[Demonios@]

Il log è perfettamente pulito
Installati un firewall e cambia antivirus
Ciao