Un trojan mi ha colpito

[Furbacchione]

Da oggi, ogni tanto avast mi segnala la presenza di tre files infetti. Io spunto l'opzione per eliminarli completamente e risulta che i files siano stati cancellati.
Nonappena riavvio il PC essi si ripresentano.
Ho fatto una scansione con Systemscan spuntando tutte le caselle.
Questo è il link al log: http://www.mytempdir.com/1215397
Ho già il programma Avenger.
Vorrei sapere quali sono i comandi che devo dare a quest'ultimo per eliminare questi trojans?
Grazie a tutti in anticipo per le risposte!

[amvinfe]

il tuo pc è infetto da rustock, ciadoor (dove inietta una .dll in explorer.exe), probabilmente da una variante di Mixor, SdBot.

Scarica http://www.activevirusshield.com/ant...eav/index.adp?

disinstalla Avast, installa l'antivirus appena scaricato ed aggiornalo.
Riavvia in modalità provvisoria (premi F8 al boot) visualizza file e cartelle nascoste ed esegui una scansione completa. Rimuovi i valori infetti, ne avrai tanti.
Riavvia

Ora scarica la nuova versione di Systemscan
http://www.suspectfile.com/systemscan
esegui una nuova scansione, posta nuovamente l'URL per scaricare il report.txt


scarica questo tool che, forse, useremo in seguito
http://www.uploads.ejvindh.net/rustbfix.exe


NB.
per favore prima di fare tutte queste operazioni, mandami zippati e con password questi file a www.suspectfile.com quando compili la form, per favore, fai riferimento a questa discussione.

File da inviarmi, visualizza file e cartelle nascoste:
C:\WINDOWS\winhp32.exe
C:\WINDOWS\system32\BASSMOD.dll
c:\windows\system32\modhchlz.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\~DP1A8.dll
C:\WINDOWS\win32udt.exe
C:\WINDOWS\SYSTEM32\DIRECTX.EXE

[Furbacchione]

Sono riuscito a zippare solo 4 dei 6 files. C:\WINDOWS\win32udt.exe risulta non esserci (anche visualizzando i files nascosti), e modhchlz.exe non mi permette di copiarlo.
Quindi ho inviato solo quelli!

Non riesco a installare il programma. Mi dice che c'è stato un errore e che è necessario riavviare per terminare l'installazione. Riavvio e non cambia niente, mi chiede di nuovo di riavviare! E così ha fatto per 3-4 volte che ho provato!
Aiuto!

[amvinfe]

prova ad installare Antivir Personal www.free-av.com

poi una volta installato ed aggiornato procedi come ti ho descritto sopra. Se non riesci ad installare anche questo antivirus, allora esegui una scansione con la versione nuova di Systemscan

[Furbacchione]

Devo fare la scansione sempre in modalità provvisoria?

[Furbacchione]

Ho installato il programma, sono andato in modalità provvisoria, ho fattol a scansione ed ho eliminato una 20ina di files.
Poi c'era scritto "Warning:2", però non mi chiedeva se eliminarli o altro.
Poi sono entrato in modalità normale ed ho fatto una scansione con systemscan (log in allegato).
Sembra essere tornato tutto alla normalità...
Per quei due file che trovava e mi segnalava come warning cosa si può fare?
Grazie per le risposte

[Furbacchione]

Ho installato il programma, sono andato in modalità provvisoria, ho fattol a scansione ed ho eliminato una 20ina di files.
Poi c'era scritto "Warning:2", però non mi chiedeva se eliminarli o altro.
Poi sono entrato in modalità normale ed ho fatto una scansione con systemscan e questo è il link al log: http://www.mytempdir.com/1216783
Sembra essere tornato tutto alla normalità...
Per quei due file che trovava e mi segnalava come warning cosa si può fare?
Grazie per le risposte

[amvinfe]

Perfetto, ottimo lavoro,

vedi se ora riesci ad usare The Avenger e fai come segue

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre lafinestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKCR\Bho_html.edit_html
HKCR\CLSID\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKCR\Interface\{14D1A72C-8705-11D8-B120-0040F46CB696}
HKCR\TypeLib\{14D1A720-8705-11D8-B120-0040F46CB696}
HKCU\Software\fid
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{6902F36D-E8DE-4F58-9A64-5B68B888130D}
HKCR\CLSID\{6902F36D-E8DE-4F58-9A64-5B68B888130D}


Files to delete:
C:\Documents and Settings\Utente\21414345.dll
C:\DOCUME~1\Utente\IMPOST~1\Temp\~DP1A8.dll

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente

Portati in C:\ postami il contenuto del log generato da Avenger


Ultima cosa eliminiamo i valori ancora presenti di Rustock.
Ti avevo fatto scaricare rustbfix.exe

disabilita l'antivirus , esegui rustbfix.exe
Se viene trovata l'infezione ti verrà chiesto di riavviare, riavvia il pc.
Probabilmente il pc si riavvierà due volte una dopo l'altra, è normale.
Dopo il secondo riavvio portati in C:\Rustbfix all'interno della cartella
troverai un file chiamato pelog è un file di testo (pelog.txt), incollalo nella tua prossima risposta.

Tutto deve essere fatto non connesso e con il browser chiuso.

[Furbacchione]

The avenger non riconosce i comandi, mi esce scritto:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCR\Bho_html.edit_html


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCR\CLSID\{14D1A72D-8705-11D8-B120-0040F46CB696}


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCR\Interface\{14D1A72C-8705-11D8-B120-0040F46CB696}

Cosa faccio?

[amvinfe]

esegui la procedura ed inserisci questi valori.
Postami il log generato da avenger

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{6902F36D-E8DE-4F58-9A64-5B68B888130D}
HKCR\CLSID\{6902F36D-E8DE-4F58-9A64-5B68B888130D}


Files to delete:
C:\Documents and Settings\Utente\21414345.dll
C:\DOCUME~1\Utente\IMPOST~1\Temp\~DP1A8.dll