Problema Trojan Horse Lop.ah

[daftsonny]

Ciao mi ritrovo con questo trojan da 2 giorni, sto usando antyspyware di avg, ad-aware, hjthis ma il maledetto non ne vuol sapere.......help meHKLM\SOFTWARE\sais -> Adware.180Solutions : Ignorato.
HKU\S-1-5-21-1715567821-492894223-854245398-1003\Software\sais -> Adware.180Solutions : Ignorato.
HKLM\SOFTWARE\Classes\NaviPromo.EGNaviScoring -> Adware.NaviPromo : Ignorato.
HKLM\SOFTWARE\Classes\NaviPromo.EGNaviScoring.1 -> Adware.NaviPromo : Ignorato.
HKLM\SOFTWARE\Classes\NaviPromo.EGNaviScoring\CLSI D -> Adware.NaviPromo : Ignorato.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\Internet Optimizer Software Installer -> Adware.SafeSurfing : Ignorato.
C:\WINDOWS\Downloaded Program Files\SET2332.TMP -> Adware.Vloading : Ignorato.
C:\WINDOWS\Downloaded Program Files\Go2.exe -> Dialer.Delf.b : Ignorato.
C:\WINDOWS\Downloaded Program Files\Go39.exe -> Dialer.Delf.b : Ignorato.
C:\WINDOWS\Downloaded Program Files\Go41.exe -> Dialer.Delf.b : Ignorato.
C:\WINDOWS\Downloaded Program Files\Go53.exe -> Dialer.Delf.b : Ignorato.
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\portaleporno.exe -> Dialer.Generic : Ignorato.
C:\WINDOWS\Downloaded Program Files\pompini-entra-veloce.exe -> Dialer.Generic : Ignorato.
C:\WINDOWS\Downloaded Program Files\portaleporno.exe -> Dialer.Generic : Ignorato.
C:\WINDOWS\Downloaded Program Files\droppay.exe -> Dialer.Polyekdo : Ignorato.
C:\WINDOWS\Downloaded Program Files\61A220.exe -> Dialer.TFD.b : Ignorato.
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\medall1x.exe -> Heuristic.Win32.Dialer : Ignorato.
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\svago2.exe -> Heuristic.Win32.Dialer : Ignorato.
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\medall1x.exe -> Heuristic.Win32.Dialer : Ignorato.
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\svago2.exe -> Heuristic.Win32.Dialer : Ignorato.
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\medall1x.exe -> Heuristic.Win32.Dialer : Ignorato.
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\svago2.exe -> Heuristic.Win32.Dialer : Ignorato.
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\svago2.exe -> Heuristic.Win32.Dialer : Ignorato.
C:\WINDOWS\Downloaded Program Files\CONFLICT.5\svago2.exe -> Heuristic.Win32.Dialer : Ignorato.
C:\WINDOWS\Downloaded Program Files\IEPlugin.exe -> Heuristic.Win32.Dialer : Ignorato.
C:\WINDOWS\Downloaded Program Files\medall1x.exe -> Heuristic.Win32.Dialer : Ignorato.
C:\WINDOWS\Downloaded Program Files\ragazzeallegre.exe -> Heuristic.Win32.Dialer : Ignorato.
C:\WINDOWS\Downloaded Program Files\ricette_di_cucina.exe -> Heuristic.Win32.Dialer : Ignorato.
C:\WINDOWS\Downloaded Program Files\svago2.exe -> Heuristic.Win32.Dialer : Ignorato.
C:\WINDOWS\Downloaded Program Files\archiviosesso.exe -> Trojan.Dialer.hh : Ignorato.
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\xx2.exe -> Trojan.Dialer.hz : Ignorato.
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\xx2.exe -> Trojan.Dialer.hz : Ignorato.
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\xxx.exe -> Trojan.Dialer.hz : Ignorato.
C:\WINDOWS\Downloaded Program Files\xx2.exe -> Trojan.Dialer.hz : Ignorato.


thanks in advance

[daftsonny]

Logfile of HijackThis v1.99.1
Scan saved at 10.43.03, on 22/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\Temp\qbce1.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\USER\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.corriere.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll (file missing)
O2 - BHO: Class - {EBE8BD59-F146-6277-247E-D9B3AD6A550D} - C:\WINDOWS\ysbne1.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sbtwxj] C:\WINDOWS\system32\vknufstt.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [qbce1.exe] C:\WINDOWS\Temp\qbce1.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [st-1ita00007] c:\program files\Webdialer\st-1ita00007.exe -m
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.baciamistupido.biz
O15 - Trusted Zone: www.nanobyte.biz
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.ricercadoppia.com
O15 - Trusted Zone: www.roserosse.biz
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: www.super-videochat-community.biz
O15 - Trusted Zone: www.umts-gprs-mondo-telefonino-cellulare.biz
O16 - DPF: {0F5B6A38-B470-4446-B453-C248D8FB3A4B} (Wonder_Plus05.WonderPlus05) - http://212.39.24.3/cab/WonderPlus05.CAB
O16 - DPF: {16E166F9-35E8-4CA5-B50D-5CEFABF45B09} - http://64.191.5.191/kiud43/xxx.exe
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab
O16 - DPF: {31F11DFA-3A23-4BC0-89B4-2FB3FB43525B} (Pro_Web016.ProWeb016) - http://sessogratis.net/ProWeb016.CAB
O16 - DPF: {3A471221-E332-4240-A709-C6D087007ADE} - http://www.sulquin.com/users_free_se...amatoriale.exe
O16 - DPF: {56E4B9EB-4C79-4568-A19E-72794FA70060} (PatsShellOCX Control) - http://www.twice.it/jtradernew/pats.cab
O16 - DPF: {6814A9EF-FBF1-46B2-A46E-56B401079C26} - http://212.39.24.3/cab/xu126.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1151946349836
O16 - DPF: {94F5DCB7-816C-4B94-A2C1-856C6E323C5B} - http://akamai.downloadv3.com/binarie...ce_4_EN_XP.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/1,0,...ccesMembre.cab
O16 - DPF: {D34151C8-0C6C-4A7D-B677-4FCC9552E957} (snConnect Class) - http://www.bcnx.com/SunInfoConnect_w...com_medium.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1071070.exe
O16 - DPF: {EA5651D4-8E99-4F91-BD03-E92325095852} - http://uv97vqm3.com/3217fdfe/55506/1/xp/Aqhly.cab
O16 - DPF: {FFFF0020-0001-101A-A3C9-08002B2F49FB} - http://www.ragazzetroie.net/32a.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NetRtd - Unknown owner - \\?\C:\Programmi\Windows NT\com8.exe (file missing)


AVG MI FA APPARIRE SEMPRE IL MESSAGGIO DEL TROJAN LOP AH E NOTOCHE IL SISTEMA E' SEMPRE PIU' LENTO......

[amvinfe]

Ciao,
vedi se riesci a scaricare e ad avviare questo tool
http://securityresponse.symantec.com...FixLinkopt.exe

Riavvia e posta un nuovo log di HJT

Nel caso non riuscissi ad aprire il link o ad avviarlo una volta scaricato fammelo sapere che ti indico (in PVT) una procedura alternativa.

[daftsonny]

Indirizzo non trovato
Firefox non riesce a contattare il server securityresponse.symantec.com.

* Verificare se l'indirizzo contiene errori di battitura del tipo
ww.example.com invece di
www.example.com

* Se non è possibile caricare nessuna pagina, controllare la connessione di rete del computer.

* Se il computer o la rete sono protetti da un firewall o un proxy, assicurarsi che Firefox abbia i permessi per accedere al web.

NON VA IL LINK!!AZZZZZZ

[amvinfe]

ti mando un pvt, dammi il tempo di scriverlo ed attieniti scrupolosamente alle indicazioni che ti darò.

Ricordo agli utenti che il pc di daftsonny è infetto da una variante di LinkOptim. capace di inibire tutti i tool specifici atti alla sua rimozione. Le procedure date via pvt servono per preservare i nuovi tool.

[daftsonny]

ok aspetto il pvt................ti ringrazio!!

[LeDaVinci]

potresti mandare un pvt pure a me che ho lo steso problema??
thk

[elsarfe]

Originariamente inviato da amvinfe
ti mando un pvt, dammi il tempo di scriverlo ed attieniti scrupolosamente alle indicazioni che ti darò.

Ricordo agli utenti che il pc di daftsonny è infetto da una variante di LinkOptim. capace di inibire tutti i tool specifici atti alla sua rimozione. Le procedure date via pvt servono per preservare i nuovi tool.

ciao
ti sarei grato se faresti un pvt anche a me
grazie
saluti
Jimmy

[amvinfe]

elsarfe, LeDaVinci
apriti due nove discussioni spiegando quali sono i vostri problemi e cosa avete fatto per risolverli, postare in una discussione aperta da altri crea solo confusione

Grazie

[daftsonny]

problema risolto!!
grande amvinfe