Trj Gafermus [era: doppio rundll.exe]

[emmeteo]

ciao a tutti, pochi giorni fa mi sono preso un virus (virtumonde), alla fine sono riuscito a eliminarlo completamente.
proprio ora però mi accorgo di avere due rundll.exe nel taskmanager, è normale?


vi allego il log di hijackthis, ci sono tre BHO ma non fanno riferimento ad alcun file, probabilmente sono stati eliminati da spybot quando ho ucciso virtumonde (tanto per la cronaca: alla fine di tutto dopo aver provato un sacco di programmi, dopo aver riavviato, riavviato in modalità provvisoria ed essermi sbattuto per due ore, per eliminare virtumonde bastava una pulizia con l'ultimo aggiornamento di spybot).. comunque qualcuno sa dirmi se va tutto bene? è normale avere più di un rundll.exe? grazie



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.30.00, on 22/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\matteo\DATIAP~1\mstsc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Trust\MI-4550XP WIRELESS OPTICAL MINI MOUSE\Mouse32a.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F3 - REG:win.ini: load=C:\DOCUME~1\matteo\DATIAP~1\MICROS~1\cisvc.ex e
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7515DDFE-2AEC-4695-88E4-6E40BB47DBBF} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {FA9092DA-680E-4B1E-A21E-E2DF39867CB5} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmi\Trust\MI-4550XP WIRELESS OPTICAL MINI MOUSE\Mouse32a.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [Mstsc] C:\DOCUME~1\matteo\DATIAP~1\mstsc.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [rsvp] C:\DOCUME~1\matteo\DATIAP~1\MICROS~1\rsvp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [rsvp] C:\DOCUME~1\matteo\DATIAP~1\MICROS~1\rsvp.exe /waitservice (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1231424183078
O17 - HKLM\System\CCS\Services\Tcpip\..\{78EFAA20-8872-48FE-9FA4-188E09EB09A3}: NameServer = 85.37.17.58 85.38.28.94
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5093 bytes

[Deifobe]

non sei ancora pulito
hai eliminato virtumonde ma ne hai un'altra viva e vegeta....

se mi dai qualche minuto ti mando un tool con un messaggio privato
fai quello che ti scrivo

[emmeteo]

ok grazie grazie

[Deifobe]

ad averli i messaggi privati abilitati

ok, mi accontento del forum.. .....e lo posto qui..

Remove Trj_Gafermus.zip

scaricalo
entra in modalità provvisoria ed esegui il file (se non funziona, abilita momentaneamente i messaggi privati cortesemente e ti spiegherò meglio..)

clicca su tutti tasti in ordine... dal numero 1 al numero 5

poi riavvia in modalità normale e riesegui la ricercadei file

posta il rapporto che trovi sul desktop (Rmv mqtgsvc report.txt)

[Deifobe]

ok, sembra che l'ospite sia stato risucchiato velocemente
ora.... scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Freefilehosting e posta sul forum il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[emmeteo]

ciao
ecco il report

report

[Deifobe]

da hijackthis fixa:
O2 - BHO: (no name) - {7515DDFE-2AEC-4695-88E4-6E40BB47DBBF} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {FA9092DA-680E-4B1E-A21E-E2DF39867CB5} - (no file)
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice


il pc come va?

[emmeteo]

ciao, scusa ora non sono davanti al mio pc. comunque il pc va benissimo, ma apparentemente andava benissimo anche prima. avevo solo l'impressione che fosse rimasto qualcosa di insano. appena posso fixo quelle voci. grazie

[Deifobe]

ok

il tool puoi anche cestinarlo quando pensi che non ti servira' piu'

dovesse servire altro, stiamo qui

ciao
dei

[emmeteo]

ok grazie tante a presto ciao