di nuovo lop.AH

[erpupone10]

ciao a tutti..
qualche giorno fa AVG mi ha dato il messaggio virus rilevato trojan Lop.AH..
ho cercato sul forum e ho seguito i vostri consigli e ho utilizzato i vari tool di rimozione e fix
ora AVG non mi da più il messaggio ma c'è ancora qualcosa che non va vi posto il log di HijackThis


Logfile of HijackThis v1.99.1
Scan saved at 15.26.27, on 28/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmi\cFosSpeed\spd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Giovanni\Documenti\Giovanni\tool trojan\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {E2A6F0F7-4C45-0C12-92F7-06BE8C9A0151} - C:\WINDOWS\mcggm1.dll (file missing)
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programmi\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [mqce1.exe] C:\WINDOWS\Temp\mqce1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFEA3B60-9F84-46B9-8EAF-4907B1079681}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programmi\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe



i miei problemi penso siano..
O2 - BHO: Class - {E2A6F0F7-4C45-0C12-92F7-06BE8C9A0151} - C:\WINDOWS\mcggm1.dll (file missing)

O4 - HKLM\..\Run: [mqce1.exe] C:\WINDOWS\Temp\mqce1.exe

qualcuno può aiutarmi o darmi qualche chiarimento..?
altra cosa..se uso Firefox per navigare non mi da problemi..se invece uso IE dopo un po' si disconnette e tenta di riconnettersi automaticamente...

grazie...

[aris73]

fixa

R3 - Default URLSearchHook is missing
2 - BHO: Class - {E2A6F0F7-4C45-0C12-92F7-06BE8C9A0151} - C:\WINDOWS\mcggm1.dll (file missing)
O4 - HKLM\..\Run: [mqce1.exe] C:\WINDOWS\Temp\mqce1.exe

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli

File to delete:
C:\WINDOWS\mcggm1.dll
C:\WINDOWS\Temp\mqce1.exe

clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

dopodiché usa questi tool

tool Symantec http://www.mytempdir.com/1010789 file rinominato e zippato Fix.zip
il tool deve essere usato come amministratore dalla modalità provvisoria. Per entrare in modalità provvisoria premere F8 al boot.

tool Prevx http://www.mytempdir.com/1012500 il tool può essere usato anche dalla modalità normale. Se non dovesse funzionare, riprovare dalla modalità provvisoria premendo F8 al boot.

[erpupone10]

ciao
innanziatutto grazie dei consigli
però il link che mi hai postato per scaricare avenger purtroppo non è reperibilie
non c'è un'altra fonte da cui poter scaricarlo??
grazie ancora...e scusa il disturbo

[aris73]

mi sà che é il malaware che lo blocca....

agiamo in un altro modo Lancia Hijackthis clic su "oper the misc tools section clic su"delete file on reboot e immetti:

C:\WINDOWS\mcggm1.dll
C:\WINDOWS\Temp\mqce1.exe

poi fixa:
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {E2A6F0F7-4C45-0C12-92F7-06BE8C9A0151} - C:\WINDOWS\mcggm1.dll (file missing)
O4 - HKLM\..\Run: [mqce1.exe] C:\WINDOWS\Temp\mqce1.exe

raivvia ed esegui i tool che t'ho postato prima

[erpupone10]

ciao mi tocca disturbarti ancora...
ho provato la procedura che mi hai consigliato ma quando vado a
cliccare su "delete file on reboot" e immetto:

C:\WINDOWS\mcggm1.dll

mi dice che non ho i diritti necessari e che è impossibile cancellare il file
ho provato a ripertere la procedura in Safe Mode come Amministratore ma nulla anche li mi dice lo stesso
ho scaricato un tool...AGVPFIX.exe
che mi cancella il file C:\WINDOWS\Temp\mqce1.exe

ma ovviamente quando riavvio mcggm1.dll ricrea il file precedentemente cancellato...
se hai qualche altro suggerimento che mi può essere utile te ne sarei grato...
ciao e scusa la mia insistenza...

P.S. il file C:\WINDOWS\mcggm1.dll
non riesco a vederlo ne tra i file nascosti ne facendo qualsiasi tipo di ricerca..riusciresti gentilmente a spiegarmi il perchè??
ciao giova

[aris73]

non ti devi assolutamente giustificare o scusare, la colpa non é tua ma del rognosetto ma penso proprio che avrà vita corta
niente di preoccupante, scarica virit dalla http://www.tgsoft.it/italy/download.htm , aggiornalo e scansiona da provvisoria, fai girare questi due
tool Symantec http://www.mytempdir.com/1010789 file rinominato e zippato Fix.zip
il tool deve essere usato come amministratore dalla modalità provvisoria. Per entrare in modalità provvisoria premere F8 al boot.

tool Prevx http://www.mytempdir.com/1012500 il tool può essere usato anche dalla modalità normale. Se non dovesse funzionare, riprovare dalla modalità provvisoria premendo F8 al boot.

dopodiché ulteriore scansione, con avg antispyware, aggiornato e da provvisoria, ed infine scarica Ccleaner, lo installi e lo apri, vai su Opzioni -> avanzate, e togli la spunta a "Cancella files in windows temp solo se più vecchi di 48 ore", ed elimini i file temporanei e le chiavi di registro.

[royally]

Prova a cercare il file infetto che è indicato dal messaggio che ti appare usando la ricerca file in modalità testo contenuto nel file dovrebbe apparire come estensione dell'applicazione quindi dalla stessa finestra lo cestini e dovresti risolvere il problema.
Auguri.


__________________
royally

[erpupone10]

..sono costretto a postare l'ennesimo insuccesso...
di ricerche del file ne ho fatte a non finire ma i risultati sono sempre stati pari a 0 file trovati..
ho scaricato avenger da un altro pc e ho provato a farlo girare ma il malware me lo blocca immediatamente..stessa cosa per virit..insomma tutti i tool me li chiude non appena li faccio girare..
ed in più tutti i siti riguardanti tool anti-spyware sono non reperibili...
ho notato però che spy sweeper è l'unico che "vede" il file..
si sofferma un bel po' durante la scansione ma poi lo ignora..
visto che non ho l'ultima versione provo a scaricarla...
grazie cmq a tutti..se avete altre soluzioni postate pure..
io faccio altri tentativi...
ciao

[amvinfe]

per usare VirIT:
scarica su pc non infetto il file d'installazione
copialo su cd ed installalo sul tuo pc infetto
aggiornalo
vai in c:\vexplite ed esegui il file gotgsoft.bat
segui le procedure indicate

[royally]

Scusa ma hai cercato anche con la ricerca classica del sistema inserendo il nome del file infetto solo nelle casella "ricerca una parola o una frase all'interno del file"?
se no prova e vedrai!