virus hijacker.small.kj

[piolo]

Il mio pc è stato infettato dal virus in oggetto. Il mio antivirus, Trend micro pc cillin, non lo ha rilevato. Sono riuscito ad individuarlo grazie ad ewido. Ho rimosso i relativi file infetti "services32" e "iexplore32.dll". Ad una nuova scansione l'antivirus ha rilevato "winsyst32.exe". Non sono sicuro di aver rimosso tutti i file infetti. Ho dei problemi con il firewall di Trend micro pc cillin. Ho fatto la scansione con hijackthis, riporto di seguito il log. Qualcuno mi sa dire se è tutto ok . Grazie

Logfile of HijackThis v1.99.1
Scan saved at 22.11.06, on 22/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\PROGRAMMI\EWIDO ANTI-MALWARE\EWIDOGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PCCTLCOM.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TMPROXY.EXE
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\khooker.exe
C:\PROGRA~1\WinFax\WFXSWTCH.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programmi\Babylon\Babylon.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\Programmi\WinFax\WFXMOD32.EXE
C:\PROGRA~1\TRENDM~1\INTERN~1\TMPFW.EXE
C:\Programmi\Trend Micro\Internet Security 14\pccguide.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SkypeMate\SkypeMate.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRA~1\TRENDM~1\INTERN~1\PCCMAIN.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {E741058E-FA99-5EE8-E5E4-0EDFD80A16AE} - C:\WINDOWS\igrqy1.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [CNYHKey] CNYHKey.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security 14\pccguide.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SkypeMate] C:\Programmi\SkypeMate\SkypeMate.exe
O4 - HKCU\..\Run: [Skype] "C:\PROGRAMMI\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE

[holifay]

Prova per prima cosa a far girare questo tool della symantec e posta il risultato:
http://www.symantec.com/enterprise/s...092316-4153-99

[piolo]

Incredibile !!!!!!!!!!!!
Il link che mi hai dato non è raggiungibile dal mio pc infetto. Così ho scaricato il tool da altro pc e poi ho copiato il file sul pc infetto. Anche questo tentativo è andato a vuoto, non riesco a mandarlo in esecuzione. Ho seguito le istruzioni riportate sul sito della symantec ma niente. In pratica clicco sul file e non succede nienete, nessun mesaggio compare. Ho trovato la dll "igrqy1.dll" tra i componenti aggiuntivi di explorer. Ritengo che il problema sia legato a questa dll (vedi file di log che ho allegato)

O2 - BHO: Class - {E741058E-FA99-5EE8-E5E4-0EDFD80A16AE} - C:\WINDOWS\igrqy1.dll (file missing)

Inoltre nelle impostazioni locali ho trovato una cartella che non ho crreato io. Ho provato a cancellarla ma non ci sono riuscito.

Il seguente file: "axpy1.exe" mi è stato segnalato da ewido una volta. L'ho cancelato ma dopo un giorno me lo sono ritrovato. Si trova nella cartella TEMP delle impostazioni locali.
Ho prvato ad inviarlo a tuo sito ma non ci sono riuscito. Se clicco sul link www.suspectfile.com mi da pagina non trovata.
Mi sa che chi ha programmato il virus legge wuesto forum. Sarà meglio che mi mandi un PM se. Grazie

[holifay]

Hai un PM

[piolo]

Scusa, ma PM non è l'acronimo di messaggio personale?
Quindi puoi usare la funzione "invia messaggio all'utente" disponibile su questo forum .

[piolo]

PM per holifay e Amvinfe

ciao

[holifay]

Risposto

Cero che ne avevi di roba...

C:\WINDOWS\com5.gfs
C:\Programmi\File comuni\System\ADR.exe
C:\Programmi\File comuni\System\bVd.exe
C:\Programmi\File comuni\System\Ccf.exe
C:\Programmi\File comuni\System\cwnMAP.exe
C:\Programmi\File comuni\System\ePhY.exe
C:\Programmi\File comuni\System\fJV.exe
C:\Programmi\File comuni\System\FnR.exe
C:\Programmi\File comuni\System\Ggj.exe
C:\Programmi\File comuni\System\Hdv.exe
C:\Programmi\File comuni\System\Imk.exe
C:\Programmi\File comuni\System\jGk.exe
C:\Programmi\File comuni\System\jZwXbq.exe
C:\Programmi\File comuni\System\lvU.exe
C:\Programmi\File comuni\System\mJm.exe
C:\Programmi\File comuni\System\NEH.exe
C:\Programmi\File comuni\System\oQe.exe
C:\Programmi\File comuni\System\OSO.exe
C:\Programmi\File comuni\System\OYX.exe
C:\Programmi\File comuni\System\prV.exe
C:\Programmi\File comuni\System\QRf.exe
C:\Programmi\File comuni\System\QzR.exe
C:\Programmi\File comuni\System\rhiQsR.exe
C:\Programmi\File comuni\System\UASMvP.exe
C:\Programmi\File comuni\System\uRn.exe
C:\Programmi\File comuni\System\WLh.exe
C:\Programmi\File comuni\System\XFT.exe
C:\WINDOWS\igrqy1.dll
C:\documents and settings\XYA

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{E741058E-FA99-5EE8-E5E4-0EDFD80A16AE}
HKLM\system\controlset002\services\SecWus
HKLM\system\controlset001\services\SecWus
HKLM\system\controlset003\services\SecWus