svchost.exe

[nando62]

URGE UN CONSIGLIO !!!!
premetto che con il PC non sono un "drago"....ma ultimamente stò perdendo ogni speranza.
Il PC incriminato viene usato da diverse persone, il sistema operativo è XP home una settimana fà se ne esce con :
"Impossibile creare la Rubrica. Errore 624"
rinomino la cartella "C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections" Pbk in Pbk.old
Installo VIRIT, trova e cancella un sacco di schifezze, tranne C:\WINDOWS\system32\monhgipl.exe che identifica come possibile variante di un troian.
Su internet non ho trovato nulla a riguardo di questo exe e per non cancellare un file che magari è necessario mi sono limitato a rinominarlo.
Non è servito a nulla, adesso il buon vecchio nod quotidianamente blocca e cancella :


Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni

23/01/2008 19.14.04 AMON file C:\WINDOWS\TEMP\wvzzqa.exe variante modificata di Win32/Dialer.RU cavallo di troia posto in quarantena. - cancellato NT AUTHORITY\SYSTEM Evento occorso su un nuovo file creato da un'applicazione: c:\windows\system32\svchost.exe.

22/01/2008 17.24.15 AMON file C:\WINDOWS\TEMP\gjggaa.exe variante modificata di Win32/Dialer.RU cavallo di troia posto in quarantena. - cancellato NT AUTHORITY\SYSTEM Evento occorso su un nuovo file creato da un'applicazione: c:\windows\system32\svchost.exe.

21/01/2008 16.24.30 AMON file C:\WINDOWS\TEMP\zodgaa.exe variante modificata di Win32/Dialer.RU cavallo di troia posto in quarantena. - cancellato NT AUTHORITY\SYSTEM Evento occorso su un nuovo file creato da un'applicazione: c:\windows\system32\winlogon.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.

C'è qualcuno che mi sà dare una dritta??

[Deifobe]

Scarica SistemScan

Disconnettiti da internet => disattiva l'antivirus => esegui sistemscan => spunta tutte le opzioni => clicca su "Scan Now".
Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi in C:\Suspectfile su www.sendmefile.com e posta il link ottenuto.
Se hai problemi con il SeDebug, scarica SeDebug-Restore ed esegui l'applicazione. Riavvia e riprova con SystemScan

[nando62]

FATTO .....

File Upload is successful:
file name: 24_01_2008_15_30_report.zip
file size: 34599 bytes
File number: 00608755
file link: http://www.sendmefile.com/00608755

Scusami se non lo ho fatto prima ma ti ringrazio per l'aiuto che mi stai dando
Grazieeeee

[nando62]

Dopo aver fatto l'operazione precedente, ho riavviato il pc e ho rifatto l'ennesima scansione,
questo è il rapporto di VIRIT:

24/01/2008 - 15:38:18
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\WINDOWS\system32\monhgipl.exe Possibile variante da Trojan.Win32.Agent.AUF
Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 56247.
Files Totali: 56247.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

immediatamente dopo NOD:

Tempo di controllo: 24/01/2008 15.58.54
Rapporto di scansione
Versione NOD32: 2820 (20080124) NT
è OK nella memoria operativa.

data: 24.1.2008 tempo: 15:59:28
Dischi, cartelle e file controllati: A:; C:
C:\pagefile.sys - errore durante l'apertura del file (il file è bloccato) [4]
C:\System Volume Information\_restore{FDAC71DD-9DF3-4A15-B161-567B9299476A}\RP5\A0002242.exe - Win32/Dialer.NDW cavallo di troia - impossibile disinfettare - cancellato
Numero di file controllati: 123799
Numero di virus trovati: 1
Numero di file disinfettati: 1
Scansione terminata alle: 16:17:04 Tempo impiegato: 1056 sec (00:17:36)

Note:
[4] Il file non può essere aperto. E' in uso esclusivo da parte di un'applicazione o del sistema.

ANDRA' AVANTI COSI ALL'INFINITO ?

[the hacker]

è un dialer usa la connessione dunque è questa che lo sta operando....prova a cancellarlo con la connessione spenta!

[nando62]

devo cancellare C:\WINDOWS\system32\monhgipl.exe ?

[the hacker]

sì!

[Deifobe]

Scarica Avenger e CCleaner.
Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla:

files to delete:
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\user\IMPOST~1\Temp\vrryza.exe
C:\WINDOWS\tasks\nxmud.job
C:\WINDOWS\tasks\exyugz.job
C:\WINDOWS\tasks\webnvu.job
C:\WINDOWS\tasks\stey.job
C:\WINDOWS\tasks\mgnsymt.job
C:\WINDOWS\tasks\eait.job
C:\WINDOWS\tasks\bzhl.job
C:\WINDOWS\tasks\axf.job
C:\WINDOWS\tasks\euhrcf.job
C:\WINDOWS\tasks\ppa.job
C:\WINDOWS\system32\monhgipl.exe
C:\WINDOWS\TEMP\gjggaa.exe
C:\WINDOWS\TEMP\zodgaa.exe

Files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe

folders to delete:
C:\Programmi\Analog Devices\Core\bak
C:\Programmi\Analog Devices\SoundMAX\bak
C:\Programmi\ATI Technologies\ATI.ACE\bak
C:\Programmi\ESET\bak
C:\Programmi\Picasa2\bak

Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato.
Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte ) che il registro.

[nando62]

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\jxincdug

*******************

Script file located at: \??\C:\Program Files\dnulupqc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ctfmon.exe deleted successfully.


File C:\DOCUME~1\user\IMPOST~1\Temp\vrryza.exe not found!
Deletion of file C:\DOCUME~1\user\IMPOST~1\Temp\vrryza.exe failed!

Could not process line:
C:\DOCUME~1\user\IMPOST~1\Temp\vrryza.exe
Status: 0xc0000034

File C:\WINDOWS\tasks\nxmud.job deleted successfully.
File C:\WINDOWS\tasks\exyugz.job deleted successfully.
File C:\WINDOWS\tasks\webnvu.job deleted successfully.
File C:\WINDOWS\tasks\stey.job deleted successfully.
File C:\WINDOWS\tasks\mgnsymt.job deleted successfully.
File C:\WINDOWS\tasks\eait.job deleted successfully.
File C:\WINDOWS\tasks\bzhl.job deleted successfully.
File C:\WINDOWS\tasks\axf.job deleted successfully.
File C:\WINDOWS\tasks\euhrcf.job deleted successfully.
File C:\WINDOWS\tasks\ppa.job deleted successfully.


File C:\WINDOWS\system32\monhgipl.exe not found!
Deletion of file C:\WINDOWS\system32\monhgipl.exe failed!

Could not process line:
C:\WINDOWS\system32\monhgipl.exe
Status: 0xc0000034



File C:\WINDOWS\TEMP\gjggaa.exe not found!
Deletion of file C:\WINDOWS\TEMP\gjggaa.exe failed!

Could not process line:
C:\WINDOWS\TEMP\gjggaa.exe
Status: 0xc0000034



File C:\WINDOWS\TEMP\zodgaa.exe not found!
Deletion of file C:\WINDOWS\TEMP\zodgaa.exe failed!

Could not process line:
C:\WINDOWS\TEMP\zodgaa.exe
Status: 0xc0000034

File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\syst em32\ctfmon.exe completed successfully.
Folder C:\Programmi\Analog Devices\Core\bak deleted successfully.
Folder C:\Programmi\Analog Devices\SoundMAX\bak deleted successfully.


Could not delete folder C:\Programmi\ATI Technologies\ATI.ACE\bak
Deletion of folder C:\Programmi\ATI Technologies\ATI.ACE\bak failed!

Could not process line:
C:\Programmi\ATI Technologies\ATI.ACE\bak
Status: 0xc0000035

Folder C:\Programmi\ESET\bak deleted successfully.
Folder C:\Programmi\Picasa2\bak deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[Deifobe]

Fai una scansione con Kaspersky_virusscanner (è on line.. ma puoi scollegarti dopo aver selezionato "my computer", ad inizio scansione). Posta il rapporto.

Fai anche una scansione in modalità provvisoria con SpyBot (non ricordo se l'hai.. eventualmente no, scaricalo e fai 1 aggiornamento). Dimmi cosa trova..