Virus appena mi collego (trojan Downloader.bat.ftp.DH)

[platov]

Credo di avere un bel problema. E preciso di esser molto poco addentro alla materia, purtroppo.

I dati del sistema.
Il mio sistema è win2000, uso Avast free aggiornatoe prevalentemtne firefox.

il problema
Appena mi collego, anche se non ho applicazioni il modem wireless carica qualcosa e Avast mi da immediatamente degli allarmi. Sono virus che chiama cf.exe o b.exe o ff.bat. Li dichiara affetti da un trojan (ad es.: trojanDownloader.bat.ftp.DH). Li toglie ma evidentemetne non toglie tutte. Facendo delle scansioni a pc scollegato trovava sempre qualcosa di analogo. Cancellavo ma al successivo collegamento ricominciava il tutto.

cosa ho fatto sinora
Ho fatto una scan online con BitDefender ed ha trovato ancora qualcosa che ha cancellato. Ho usato gli accorgimenti di pulizia delle cartelle temp. Poiché per usare lo scan online occorre Explorer che uso raramente ho notato che si avvia molto lento. Ho usato TrojanKiller che mi da come segnale di allarme il file csrss.exe consigliandomi di toglierlo. Ho letto uno dei post vecchi ove si parlava di questo file e si indicava ove NON dovrebe essere nel registro: ho visitato e mi pare tutto ok. Quindi ho seguito le indicazioni di trojankiller e lo ho tolto. Adware e SuperAntispyware non segnalano molto. Spyboot invece mi segnala un mucchio di allarmi. Appena installato ho provato ad aggiornarlo (e qundi andare online) e mi allarma su richieste di modifica di registro (WinLogonNotifiers:OpnMcccv) che non ho consentito e tuttavia continua a riempiermi il monitor di finestre. La scansione mi da un alert su ALexa, un file; 4 su microsoft ("qualcuno" ha odificato le impostazioni del security center) e un Virtumunde e un Virtumunde.dll. La correzione sembrava andata a buon fine ma rprovando la scansione il enomeno si riproduce. I post su Virtumonde non mi hanno aiutato, poiché come ho detto sono un novellino ma ho letto il suggerimento di scaricare. SystemScan e Avenger. Prima di postare risultati, compreso il log di Hijackthis, come da regolamento, aspetto un invito. Veramente, Avenger...con tutte gli allerta del sito...aspetto ad usarlo sotto controllo di un esperto per non fare casini!

In modalità provvisoria mi funziona solo avast e Adware, stranamente.

Grazie per il vostro aiuto

[Deifobe]

ok, posta systemscan (hijackthis è compreso nel rapporto)
dopo averlo eseguito non effettuare più scansioni con rimozione dei files infetti.

[platov]

Ecco qui: è talmente lungo che non me lo prende a scriverlo qui (mi preoccupo?): lo ho messo in savefile

http://www.savefile.com/files/1676159

Mille grazie per la sollecitudine

[Deifobe]

è "normalmente lungo", tranquillo
mi ci vorrà un po' per controllarlo.. quando finisco ti posto la procedura. Ciao




edit: Scarica Avenger e CCleaner

Apri il blocco note e nella pagina copia/incolla:

Windows Registry Editor Version 5.00

[-HKCR\CLSID\{21E116C7-8F86-4DCD-81F0-1A09D121F4BA}]

salvalo in c:\ con il nome nome: fix.reg
tipo di file: tutti i file


Esegui avenger e nella finestra copia/incolla tutta la citazione:

files to delete:
C:\a.bat
C:\gz
C:\9.tmp
C:\A.tmp
C:\7.tmp
C:\8.tmp
C:\4.tmp
C:\3.tmp
C:\5.tmp
C:\6.tmp
C:\bin.exe
C:\WINNT\tasks\At1.job
C:\WINNT\eraseme_01686.exe
C:\WINNT\csrss.exe
C:\WINNT\system32\opnMccCV.dll

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | iTunes
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {21E116C7-8F86-4DCD-81F0-1A09D121F4BA}

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnMccCV
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{21E116C7-8F86-4DCD-81F0-1A09D121F4BA}

programs to launch on reboot:
c:\fix.reg

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte).

Svuota C:\WINNT\Prefetch

Esegui una scansione:
vai su Kaspersky_virusscanner
clicca su "kaspersky online scanner"
clicca su "accept"
--- verrà eseguito il download dei componenti necessari alla scansione
quando è terminato clicca su "next"
=> clicca su "my computer"
clicca su "scan settings"
Finita la scansione, salva e posta il rapporto


Posta il rapporto della scansione con kasperky, un nuovo systemascan e il rapporto di avenger

[platov]

E' stata una cosa lunga!
Ho seguito le istruzioni. Alla conclusione Avenger ha riavviato e mi è apparsa prima una finestra di allarme che non trovava il file fix.reg (e infatti è sarito) e poi spyboot che mi chiedeva di eseguire una modifica, eseguita poiché non sapevo come uscire (ma c'è modo di eliminare spyboot dal lavoro automatico? ho anche timori di conflitto con avast). Non trovo la carella WINNT/prefech da svuotare! spero non sia grave
ho poi pulito tutto come suggerito sia con CCleaner che con ATF-cleaner. Poi scansione online totale con Kaspersky,che non trova nulla. nfine altro SystemScan.
ho allegato un txt trovato su C di cui ovviamente non capisco nulla... se è inutile...meglio.
Ho messo in un progetto da savefile il tutto. Spero che il progetto sia accessibile.

http://www.savefile.com/projects/808665037

eventualmente li ricarico uno per volta
grazie ancora!

[Deifobe]

tranquillo, avenger ha fatto il suo dovere..
ho visto che hai accettato le modifiche richieste da spybot... bene..
controllo il resto e modifico questo post


edit:
intanto, dimmi il pc come va e se rilevi ancora problemi

poi, usa la funzione cerca di windows e vedi se riesci a trovare eraseme (se lo trovi, dimmi in quale percorso e il nome completo - cerca anche tra i files e cartelle nascoste)

c'è un servizio collegato a 79.18.3.86
sembrerebbe un Ip di Roma.. Lo conosci?


da hjt fixa:
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
O23 - Service: 77026 - Unknown owner - \\79.18.3.86\PRINT$\wmsoft53451.exe (file missing)

[platov]

Innanzi tutto grazie: sembra che le cose vadano meglio!
eraseme non riesco a trovarlo con la funzione di ricerca di windows
quell'ip... io sono dell'area di roma ma non mi dice nulla
Mi sembra che il pc sia più rapido. Tuttavia IE continua ad esser lento al primo lancio.
ho eseguito il fix consigliato... per ora tutto bene e speriamo continui... che dire? grazie mille!

un fiore per ringraziarti
@>--------/-----------

[Deifobe]

...grazie...

ok per eraseme (volevo solo accertarmi non ci fosse)
riguardo l'Ip, sembra che il file non ci sia. Questo è il percorso che vedevo: \\79.18.3.86\PRINT$\wmsoft53451.exe ... dovesse farti tornare in mente qualcosa...

se serve..stiamo qui

ciao..