Prima era poebot, poi aveva un altro nome, infine ne sono comparsi altri. Aiuto.

[micmilk]

Ero partito per eliminare un Poebot e mi ritrovo con un mare di altra robaccia, comparsa in seguito.
Ho fatto molte scansioni con diversi software e tentato di fixare la key che sembrava essere responsabile del primo problema (quella in oggetto ), ma non ho ottenuto grossi risultati, anzi.
Se potete darmi una mano attualmente il mio log di hjthis è questo:


Logfile of HijackThis v1.99.1
Scan saved at 10.40.14, on 28/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\WINDOWS\vsnpstd2.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\notepad.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\ACER\Desktop\Alex\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {E05E5B1A-9EC6-4D99-B063-F000F0BBBB7E} - C:\WINDOWS\System32\mllmm.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - -{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installd...erstart_it.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: mllmm - C:\WINDOWS\System32\mllmm.dll (file missing)
O20 - Winlogon Notify: vtutrrp - vtutrrp.dll (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe


Come si vede la key in oggetto non si muove da lì, neppure togliendola con hijackthis.

Cosa fare?

[tognazzi]

infezione da "vundo"

apri hjthis, seleziona le voci seguenti e clicca "fix checked":

O2 - BHO: (no name) - {E05E5B1A-9EC6-4D99-B063-F000F0BBBB7E} - C:\WINDOWS\System32\mllmm.dll (file missing)
O3 - Toolbar: (no name) - -{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

specifico per chiarezza che non avevo ancora finito di controllare il log.
oyz è molto più veloce e ti ha indicato anche tutte le altre voci da fixare, segui lui

[OYS]

Non ho capito di quale chiave parli... Cmq fixa queste:


O2 - BHO: (no name) - {E05E5B1A-9EC6-4D99-B063-F000F0BBBB7E} - C:\WINDOWS\System32\mllmm.dll (file missing)

O3 - Toolbar: (no name) - -{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/install...nerstart_it.cab

O20 - Winlogon Notify: mllmm - C:\WINDOWS\System32\mllmm.dll (file missing)

O20 - Winlogon Notify: vtutrrp - vtutrrp.dll (file missing)


E scarica vundofix:

http://www.softpedia.com/progDownloa...oad-33165.html

[OYS]

Originariamente inviato da tognazzi
infezione da "vundo"

Oramai postiamo in sincronia!

[micmilk]

grazie x la velocità.
parlo di questa:
O3 - Toolbar: (no name) - -{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
la fixo e al successivo scan è ancora lì.
ora seguo le vostro istruzioni e vi faccio sapere.

[OYS]

Originariamente inviato da micmilk
grazie x la velocità.
parlo di questa:
O3 - Toolbar: (no name) - -{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
la fixo e al successivo scan è ancora lì.
ora seguo le vostro istruzioni e vi faccio sapere.

Anche se ricompare, è vuota (quindi disattivata), e pare faccia parte della toolbar di yahoo... Quindi non può essere causa di problemi..

[micmilk]

CVD.
La chiave in questione resta lì anche dopo avere usato il fix per virtumundo, mentre le altre spariscono.
Dalle varie scansioni, virtumundo era uno mentre poebot era l'altro;
Nod32 lo rilevava come poebot, mentre avg lo vede come IRC/BackDoor.SdBot2.Pta. O almeno credo sia la stessa roba, perchè poi ne ho vista anche altra a forza di usare tutti i tool consigliati dalle regole del forum, prima di postare.
Come bruciare quella chiave?
Tanto credo che sia da fare , visto che anche altrove mi hanno già consigliato più volte di fixarla.
O sbaglio?

[OYS]

Dall'esito di avg sembrerebbe il worm SdBot... già il terzo oggi...
Prova a vedere se trovi nella cartella C:\windows\system32\ il file kgjdie27.exe.


Poi portati nelle sottochiavi di registro:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run


e vedi se ci sono “kgjdi27„ = “kgjdie27.exe„ (o simili)

[tognazzi]

per me il problema è un'altro. ci deve essere un viruz che sfugge all'hijackthis.
a questo punto ci vuole uno strumento di rimozione specifico del vundo o anche il log del systemscan e l'eliminazione dei file dannosi con avenger. almeno credo.

PS
un'altra cosa. contro vundo c'è un accorgimento molto semplice che secondo il forum di majorgeeks funziona: rinominare la cartella e il file che contiene l'hijackthis dandogli un nome a piacere (ma preferibilmente dotato di significato come "analizzatore" o qualcosa di simile)

[tognazzi]

Originariamente inviato da tognazzi
per me il problema è un'altro. ci deve essere un viruz che sfugge all'hijackthis.
a questo punto ci vuole uno strumento di rimozione specifico del vundo o anche il log del systemscan e l'eliminazione dei file dannosi con avenger. almeno credo.

PS
un'altra cosa. contro vundo c'è un accorgimento molto semplice che secondo il forum di majorgeeks funziona: rinominare la cartella e il file che contiene l'hijackthis dandogli un nome a piacere (ma preferibilmente dotato di significato come "analizzatore" o qualcosa di simile)

PPS oyz ha aggiunto il suo ultimo post mentre stavo scrivendo.
intendevo dire di tentare proprio qualcosa del genere.