ancora alle prese con Trojan.Win32.Dialer.IH

[erpupone10]

Non sono ancora riuscito a debellare questo trojan...
posto il log di HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 20.27.19, on 31/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\services.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmi\cFosSpeed\spd.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\VEXPLITE\viritsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\cFosSpeed\cFosSpeed.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\TEMP\sbsjca.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Giovanni\Dati applicazioni\Simply Super Software\Trojan Remover\nkv3.exe
C:\Documents and Settings\Giovanni\Dati applicazioni\Simply Super Software\Trojan Remover\nkv3.exe
C:\Documents and Settings\Giovanni\Documenti\Giovanni\tool trojan\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programmi\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe "
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [sbsjca.exe] C:\WINDOWS\TEMP\sbsjca.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: DownloadInformation -
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFEA3B60-9F84-46B9-8EAF-4907B1079681}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programmi\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

ho provato più volte ad eliminare le voci in neretto con HijackThis..ma nulla...
Può essere stato infettato il file Explorer.EXE ? ( compare con lettere maiuscole )
non so più dove sbattere la testa..

ciao e grazie a tutti..

è sospetta secondo voi la voce

O17 - HKLM\System\CCS\Services\Tcpip\..\{FFEA3B60-9F84-46B9-8EAF-4907B1079681}: NameServer = 62.211.69.150 212.48.4.15

mi hanno parlato di NetMatrix...può essere??

[dado69]

A mio giudizio potrebbe essere il linkoptimizer che in questo periodo e tornato fuori ti consiglio di cercare in rete la tool di rimozione di Gromozon Rootkit Removal Tool
- Avvialo con un doppio click
- Clicca su Scan
- Rispondi YES alla richiesta di riavvio
- Dopo il riavvio il tool terminerà la procedura
Posta il log che verrà creato in C:\gromozon_removal.txt

* Scarica quest'altro Trojan.Linkoptimizer Removal Tool
- Avvia il sistema in modalità provvisoria
- Ripristino disattivato per XP / ME
- avvia il tool con un doppio click
- Accetta il contratto di licenza
- Clicca su Start per avviare lo scan
- Rispondi Yes all'avviso e attendi la fine
Posta il contenuto del log FixLinkopt.txt

dopo di che torna a postare il log in attesa che qualcuno ti possa aiutare

[erpupone10]

ho già fatto una scansione con entrambi ma non è servito a molto visto che il problema persiste..

[erpupone10]

comunque ho eseguito le scansioni e posto i log...

Gromozon

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.



Symantec

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8

Trojan.Linkoptimizer has not been found on your computer.

Purtroppo non ha dato risultati..
Altri suggerimenti???
grazie a tutti...
ciao

[amvinfe]

visualizza file e cartelle nascoste
apri una qualsiasi cartella portati su
Strumenti>Opzioni cartella>Visualizzazione
metti la spunta su
"Visualizza cartelle e file nascoste"
Applica>OK

portati in C:\windows\temp
ed in
C.\Windows\system32

verifica se hai file con questa icona


se presenti riavvia in modalità provvisoria ed eliminali.

Sempre dalla provvisoria esegui una scansione con l'antivirus aggiornato.
Riavvia.


NB
per cortesia prima d'effettuare tali operazioni zippa il file C:\WINDOWS\TEMP\sbsjca.exe ed inviamelo a www.suspectfile.com
grazie

[erpupone10]

L'icona è proprio quella...
purtroppo è quello che avevo appena fatto e l'ho già eliminato...
ma sicuramente ricomparirà con un altro nome quindi appena rispunta ti
invio immediatamente il file
P.S.
comunque in C.\Windows\system32 non mi sembra compaia il file ma solo in
C:\windows\temp
comunque appena ricompare ti manderò info più dettagliate
grazie ciao

[erpupone10]

ecco ti ho inviato il file su SuspectFile.com
il nome è differente ma l'infezione è quella...

VirIT me lo rileva....
ma non riesco a far nulla..

grazie di tutto

[amvinfe]

appena ho un attimo lo guardo

[erpupone10]

ciao
ho eseguito la scansione con Panda ActiveScan e mi ha trovato un file infetto..
eccoti il log

Incident Virus:Trj/Agent.DVS
Status Disinfected
Location C:\WINDOWS\system32\sqlfojdo.exe


il problema è che se riavvio e faccio nuovamente lo scan
il file viene nuovamente trovato come infetto...
e all'avvio del pc mi dice che il registro è stato modificato
e c'è un processo in avvio automatico da me non confermato..
EXPLORER.EXE
che faccio???

grazie

[fenis2002]

ciao..

sei entrato a curiosare quali programmi ti partono all'esecuzione di windows?
allo start-up togli tutti quelli che ti sembrano strani,poi man mano che fai familiarità su cosa hai tolto vai per esclusione..
esempio banalissimo: gfgsfigbg.exe(virus ),avast.exe (antivirus ).ecc.

nella speranza sempre,che non abbia qlc rootkit...
ciao fenis