virus che cambia nome al riavvio

**trewio** · 23-09-2007, 05:37

Salve a tutti. vi ringrazio in anticipo per qualsiasi aiuto possiate darmi.
ho appena formattato per la terza volta il mio pc. non so piu che fare. non ho idea di come abbia fatto ma mi sono infettato il pc con un virus del quale non trovo nessuna informazione sul web. il processo sul task manager è hrxynmkb.exe.
terminarlo chiaramente è inutile dopo qualche secondo torna a ciucciarmi il 100% della cpu con alti e bassi.
è stato inutile anche terminarlo con HijackThis perche dopo averlo fixato riappare appena faccio un nuovo scan.
comodo all'apertura di una nuova sessione di firefox rileva l'applicazione nella cartella system32 ma è inutile eliminarlo, io chiaramente nego l'accesso.
nemmeno in modalità provvisoria perche anche il file è sempre li che si avvia con il sistema!!
in ogni disco ha intallato un file dal nome dtrzmclb.exe e un file autorun.inf (anche una pennetta usb viene subito infettata).
vi mando il mio log hijackthis spero ci capiate qualcosa:

Logfile of HijackThis v1.97.7
Scan saved at 5.58.07, on 23/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\SigmaTel\C-Major Audio\stacmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\WINDOWS\system32\hrxgynmkb.exe
C:\Documents and Settings\Ramon\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programmi\SigmaTel\C-Major Audio\stacmon.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\system32\hrxgynmkb.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

help spero che non debba formattare di nuovo il pc e comunque non sono riuscito ancora a capire come sia stato infettato.

**trewio** · 23-09-2007, 06:48

dimenticavo di dire 2 cose
che il virus non ha sempre lo stesso nome, ad un nuovo riavvio in modalità provvisoria, inizialmente non appare nel task ma poi appare con un altro nome (ugualmente impronunciabile),
e che a volte ( non mi è ben chiaro con quale logica) a volte non mi fa accedere ai dischi C e D, mi chiede di scegliere un programma dall'alenco per aprire il programma.....
purtroppo faccio fatica a scanzionare con una cpu al 100% ma adaware dopo circa un secolo ha trovato poco e niente, e comunque non è cambiato nulla.

**tecnico24** · 23-09-2007, 10:03

la tua versione di hijackthis e obsoleta(1.97),quindi e difficile che rilevi qualcosa,percio' scaricati la versione nuova da qui--> http://www.angololibero.it/software/...ijackthis.html
e posta il relativo log.

**trewio** · 23-09-2007, 17:41

Orrait!! mi sono alzato un po tardi ma ho fatto come dici, ecco il log della nuova versione che mi hai consigliato.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.18.46, on 23/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Comodo\Firewall\cpf.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\qvkgwrfvz.exe
C:\Documents and Settings\Ramon\Desktop\HiJackThis(2).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\system32\qvkgwrfvz.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 1929 bytes

chiaramente ora il processo attivo che trovo nel task mng è qvkgwrfvz.exe. il vecchio processo invece (hrxynmkb.exe.) sono andato a cercarlo nella cartella di system32 e l'ho eliminato con una semplicità ora vergognosa.
comuque se puo essere utile il mio firewall comodo ogni tanto mi avvisa che:
c:\windows\system32\qvkgwrfvz.exe has modified the parent application explorer.exe in memory. this is tipical of virus,trojan and spyware behaviour.
qvkgwrfvz.exe may be using explorer.exe to conceal its behaviour in an attemptto connect to the internet with firefox.
la cosa è molto interessante peccato che io non capisco una parola.

**trewio** · 23-09-2007, 18:45

comunque ho fatto 3 prove di riavvio e ho notato che non cambia il nome sempre, ma solo se viene riavviato in modalità provvisoria.
in questa modalita il virus non si presenta fino a quando non si apre una qualsiasi unita infettata (C, D, Pendrive) a quel punto te lo trovi attivo nel task mng con il nuovo nome.

**ste_95** · 23-09-2007, 18:53

scarica systemscan, link nella mia firma, fai la scansione con tutte le voci spuntate, alla fine metti il repost qui e poi dacci il primo link che ti viene per poterlo scaricare...

ciao...

**tecnico24** · 23-09-2007, 20:00

avvia hijackthis,spunta a sinistra su queste voci:

O4 - HKLM\..\Run: [Log System] C:\WINDOWS\system32\qvkgwrfvz.exe
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled

e sotto su fix checked.

scarica avenger http://swandog46.geekstogo.com/avenger.zip
clicca su input script manually,poi sulla lente di ingrandimento.
inserisci questo script nello spazio vuoto:

files to delete:
C:\WINDOWS\system32\qvkgwrfvz.exe

clicca su done
sul semaforo con luce verde,due volte si e riavvia il pc
all riavvio collegati e posta sul forum il log di avenger(c:/avenger.txt)

poi scansiona il pc con questo

**trewio** · 23-09-2007, 20:20

ho fatto la scanzione con il programma che mi hai passato.
siccome mi si bloccava l'ho dovuta fare in modalità provvisoria evitando di aprire le unità.
chiaramente ha cambiato nome, ho mandato il repot e questo è l'indirizzo.

http://www.freefilehosting.net/download/MjM4NzE=

per quanto riguarda il fixare con hijackthis il file che ora si chiama ihfmjdjsu.exe nulla da fare.
ad una successiva quasi immediata scanzione il file è sempre li!! quello di adobe invece no.

per quanto riguarda il files to delete:
C:\WINDOWS\system32\qvkgwrfvz.exe se adesso vado su system32 e lo cancello si elimina e non compare ora il problema è questo nuovo file ihfmjdjsu.exe, provero comunque fa farlo anche per questo file.

**trewio** · 23-09-2007, 20:37

operazione fatta con avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\mygwssdf

*******************

Script file located at: \??\C:\WINDOWS\lxerxnou.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\qvkgwrfvz.exe deleted successfully.

File C:\WINDOWS\system32\ihfmjdjsu.exe not found!
Deletion of file C:\WINDOWS\system32\ihfmjdjsu.exe failed!

Could not process line:
C:\WINDOWS\system32\ihfmjdjsu.exe
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

scansione con panda nanoscan
Your PC is infected with 1 virus. (Hide details)

Details:
Dangerous:High
Threat name (1):W32/Sdbot.LCA.worm (1)
Type Worm
Status Active
C:\WINDOWS\SYSTEM32\LHFMJDJSU.EXE

Time: 19 seconds

chissa forse finalmente ha un nome sto bastasrdo!!!

**tecnico24** · 23-09-2007, 21:46

inserisci questo nello script di avenger:

files to delete:
C:\WINDOWS\SYSTEM32\LHFMJDJSU.EXE

sempre postando il log di avenger.
poi scaricati Virit explorer lite da qui---> http://www.tgsoft.it/files/vnlt6212.exe
fai una scansione completa del sistema,rimuovera' i virus automaticamente,alla fine posta il relativo log dello scan.

Discussione: virus che cambia nome al riavvio

Strumenti discussione

Ricerca discussione

Visualizza

problemi con hrxynmkb.exe

virus che cambia nome

Permessi di invio