Nuovo Trojan,nome Sconosciuto.

[fenis2002]

Ciao a tutti,
ho scoperto di avere un trojan o qualcosa di simile da quando un gg il mio pc si è avviato e poco dopo si è bloccato con la cpu che operava al 100% senza un motivo apparente. :master:
Ho iniziato quindi un esame antivirus com McAfee(poi disinstallato),Bitdefender9+ E virIT.
Solo virIT,ha trovato qualcosina eppure tutti e 3 erano + che aggiornati.
Sono passato all'artiglieria pesante e con Conterspy,Ewido4.0 e spywared doctor 4.0,ho pulito tutti i cookie possibili,ma niente.
L'unico segnale è che sono apparsi 2 nuovi account IWAN e IUSER,come fà link optimizer.
Allora dal vs sito o tirato giu' tutti i rootkit.Ma niente linkoptimizer o gromozon.
Ma allora cosè che mi ha creato quei 2 nuovi accaunt che ritornano al riavvio pure se li cancello??e perchè il sistema è sempre al 100%???
AIUTO solo voi mi potete aiutare...

[amvinfe]

Scarica
http://www.suspectfile.com/upload/fi...systemscan.exe
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile il file report.txt.
Vai su www.mytempdir.com carica il file e nella tua prossima risposta scrivi l'URL per scaricarlo.

[fenis2002]

OK lo farò subito appena ritorno a mettere mani sul malato.
intanto ho saputo che pure spysweeper e L'antimalware gennaio2007(Windows-KB890830-V1.24) non hanno prodotto grandi risultati.
Hanno solo rivelato dei file nascosti .API(credo),ma andando in regedit e nella riga attinente sono invisibili,solo Gmer 1.10 li individua ma non dà possibilità di eliminazione.
Ormai è diventata MISSIONE IMPOSSIBILE,mai visti tanti software toppare così.
SONO DISPERATO!!!

[fenis2002]

QUESTO è FATTO CON HIJACKtHIS 1.97.7
StartupList report, 20/01/2007, 12.04.43
StartupList version: 1.52
Started from : C:\Documents and Settings\Administrator\Dati applicazioni\Opera\Opera\profile\cache4\temporary_ download\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Network Associates\Alert Manager\amgrsrvc.exe
F:\Programmi\CachemanXP\CachemanXP.exe
f:\Programmi\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
F:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
f:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
F:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
f:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\FlyNet\CnxDslTb.exe
C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe
C:\Programmi\Softwin\BitDefender9\vsserv.exe
F:\Programmi\D-Tools\daemon.exe
C:\Programmi\AGEIA Technologies\TrayIcon.exe
C:\Programmi\Softwin\BitDefender9\bdmcon.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Softwin\BitDefender9\bdoesrv.exe
C:\Programmi\Softwin\BitDefender9\bdnagent.exe
C:\Programmi\Softwin\BitDefender9\bdswitch.exe
F:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
F:\Programmi\Webroot\Spy Sweeper\SpySweeperUI.exe
F:\Programmi\ProcessGuard\pgaccount.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Programmi\ProcessGuard\procguard.exe
K:\systemscan.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\RarSFX0\runme.e xe
F:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\RarSFX0\catchme .exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
f:\Programmi\Webroot\Spy Sweeper\SSU.EXE
F:\Programmi\Opera\Opera.exe
C:\Documents and Settings\Administrator\Dati applicazioni\Opera\Opera\profile\cache4\temporary_ download\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CnxDslTaskBar = "C:\Programmi\FlyNet\CnxDslTb.exe"
DAEMON Tools-1033 = "F:\Programmi\D-Tools\daemon.exe" -lang 1033
AGEIA PhysX SysTray = "C:\Programmi\AGEIA Technologies\TrayIcon.exe"
BDMCon = "C:\Programmi\Softwin\BitDefender9\bdmcon.exe"
BDOESRV = "C:\Programmi\Softwin\BitDefender9\bdoesrv.exe "
BDNewsAgent = "C:\Programmi\Softwin\BitDefender9\bdnagent.ex e"
BDSwitchAgent = "C:\Programmi\Softwin\BitDefender9\bdswitch.ex e"
Zone Labs Client = "f:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
SpySweeper = "F:\Programmi\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
PrevxRootkitRemovalTool = "K:\gromozonROOLKIT removal tool.exe" -scan
!1_pgaccount = "f:\Programmi\ProcessGuard\pgaccount.exe"

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
!1_ProcessGuard_Startup = "f:\Programmi\ProcessGuard\procguard.exe" -minimize

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=sockspy.dll

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll
WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

--------------------------------------------------
End of report, 6.541 bytes
Report generated in 0,344 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

VI UPLOAD IL REPORT DI SUSPECT FILE...
RAGAZZI AIUTATEMI è UNA QUESTIONE DI PRINCIPIO E ONORE.
MORTE AGLI SPYWARE E AFFINI..
VI RINGRAZIO GIà DA ORA, FENIS.

[amvinfe]

il file report.txt lo devi caricare su www.mytempdir.com

grazie