trojan dialer + crash di task manager, windows explorer ecc.

[wdm]

Ho letto i topic simili sull'argomento, ma il mio problema mi sembra .. complicato!
Sul Pc è installato sicuramente un dialer, perché ogni pochi minuti esce la finestra che tenta di connettersi a internet.
Inoltre Windows Explorer va spesso in crash, e non si riesce ad attivare Task Manager perché va in crash. (il sistema è XP Home)

Avevo trovato tra i programmi all'avvio msmmi.exe, l'ho rimosso seguendo tutte le istruzioni di post simili, rimuovendo anche le relative chiavi di registro.
Il programma non è più (ormai da parecchi giorni) tra quelli all'avvio, però i problemi continuano a presentarsi.

- hijackthis lanciato da una cartella su c:\ non va (parte, compare la finestra di accettazione e si richiude, non genera nessuin log)
- avenger va in crash
- ncleaner causa il reboot del sistema
- AVG antispyware va in crash
- non ho trovato cartelle bak

L'unico programma di indagine che riesco a lanciare è RegCleaner, allego l'elenco dei programmi attivati all'avvio.

Cosa mi consigliate?
Devo verificare alcune particolari chiavi di registro?
Grazie, non so più cosa fare

Agrsmmsg, AGRSMMSG.exe, HKEY_LM\Run
Avg7_cc, C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP, HKEY_LM\Run
Ctfmon.exe, C:\WINDOWS\system32\ctfmon.exe, HKEY_CU\Run
Desktop, N/D, Start Menu
Desktop, N/D, Start Menu (Utente Comune)
EPSON Stylus Photo R220 Series, C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA IE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220", HKEY_LM\Run
EPSON Stylus Photo R220 Series (Copia 1), C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA IE.EXE /P40 "EPSON Stylus Photo R220 Series (Copia 1)" /O6 "USB002" /M "Stylus Photo R220", HKEY_LM\Run
IntelliPoint, "C:\Programmi\Microsoft IntelliPoint\point32.exe", HKEY_LM\Run
LUMIX Simple Viewer, N/D, Start Menu (Utente Comune)
Microsoft Office, N/D, Start Menu (Utente Comune)
Msmsgs, "C:\Programmi\Messenger\msmsgs.exe" /background, HKEY_CU\Run
NvCplDaemon, RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup, HKEY_LM\Run
NvMediaCenter, RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit, HKEY_LM\Run
Nwiz, Nwiz.exe /install, HKEY_LM\Run
RemoteControl, C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe, HKEY_LM\Run
SoundMan, Soundman.exe, HKEY_LM\Run
Svcs: Dnscache, C:\WINDOWS\system\1\svchost.exe, HKEY_LM\Run

[tecnico24]

scarica Virit disattiva il tuo antivirus e fai una scansione in modalità provvisoria:
http://www.tgsoft.it/files/vnlt6093.exe
e posta il suo relativo logfile.
poi da Start\Esegui digita: regedit e OK.
Portarti alla seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

individuare nella finestra di destra USERINIT

e riporta qui i valori presenti (per il momento non eliminare nulla, la chiave è molto delicata).

[wdm]

scarica Virit disattiva il tuo antivirus e fai una scansione in modalità provvisoria:
http://www.tgsoft.it/files/vnlt6093.exe

il link non va, ho trovato vnlt6220.exe, penso sia la nuova versione; è ok?

per il resto, appena posso posto tutto...

grazie!

[tecnico24]

scaricalo da qui http://www.tgsoft.it/files/vnlt6220.exe
poi posta cosa trovi in USERINIT spiegato prima sopra.

[wdm]

Originariamente inviato da tecnico24
scarica Virit disattiva il tuo antivirus e fai una scansione in modalità provvisoria:
http://www.tgsoft.it/files/vnlt6093.exe
e posta il suo relativo logfile.

Virit ha identificato questo virus:
Trojan.Win32.Agent.ASJ

nel file c:\Windows\SYSTEM\1\svchost.exe

non è riuscito a rimuoverlo perché considerato file di sistema in uso.
Inoltre mi ha segnalato come file sospetto \\?\c:\Windows\SYSTEM32\COM4.MUH

Inoltre con Startup Manager di Advanced System Optimizer (asov) ho trovato questo responso su c:\Windows\SYSTEM\1\svchost.exe presente in memoria all'avvio:
System 1060 homepage hi-jacker. Found in a Windows\System\1060 directory.NOTE: This is not the valid svchost.exe as described here

Eseguendo ricerche sul sistema, questo file risulta più grande di quello valido e creato il giorno in cui sono iniziati i problemi, mentre sotto c:\Windows\System32 sembra esserci quello valido (più piccolo e creato il giorno di prima installazione di windows)

Pensavo di provare a modificare la chiave relativa del registro HKEY_LM\Run, farlo puntare al file valido, poi provare con Virit a vedere se riesce a rimuoverlo perché non lo considera più un file di sistema: faccio bene, faccio danni o è inutile perché si ricarica da solo? Prima di intervenire volevo sentire i vostri consigli.

Originariamente inviato da tecnico24
poi da Start\Esegui digita: regedit e OK.
Portarti alla seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
individuare nella finestra di destra USERINIT
e riporta qui i valori presenti (per il momento non eliminare nulla, la chiave è molto delicata).

Valori del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:

c:\windows\system32\userinit.exe,"c:\windows\syste m32\toshibaspeed.exe",

Preciso inoltre che tutti programmi di scansione della memoria o interfacce utente di antivirus vanno in crash, probabilmente perché il Trojan è mascherato da servizio di Windows (quindi sia l'interfaccia Utente di Virit, sia HiJackThis, taskmgr di Windows, dTaskmanager, avenger...)

Inoltre ho lanciato FindAWF, l'esito del log è:
bak folders found
~~~~~~~~~~~
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
end of report

(non riporta quali sono le cartelle bak)

Il programma termina in errore, che sono riuscito a intercettare:
Searching for duplicate files
Please wait
Impossibile trovare il file C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\FindAWF\bakfile s.
txt.

Che consigli mi date?
Almeno adesso sappiamo con chi abbiamo a che fare...

[tecnico24]

Originariamente inviato da wdm
Virit ha identificato questo virus:
Trojan.Win32.Agent.ASJ

nel file c:\Windows\SYSTEM\1\svchost.exe

non è riuscito a rimuoverlo perché considerato file di sistema in uso.
Inoltre mi ha segnalato come file sospetto \\?\c:\Windows\SYSTEM32\COM4.MUH

Inoltre con Startup Manager di Advanced System Optimizer (asov) ho trovato questo responso su c:\Windows\SYSTEM\1\svchost.exe presente in memoria all'avvio:
System 1060 homepage hi-jacker. Found in a Windows\System\1060 directory.NOTE: This is not the valid svchost.exe as described here

Eseguendo ricerche sul sistema, questo file risulta più grande di quello valido e creato il giorno in cui sono iniziati i problemi, mentre sotto c:\Windows\System32 sembra esserci quello valido (più piccolo e creato il giorno di prima installazione di windows)

Pensavo di provare a modificare la chiave relativa del registro HKEY_LM\Run, farlo puntare al file valido, poi provare con Virit a vedere se riesce a rimuoverlo perché non lo considera più un file di sistema: faccio bene, faccio danni o è inutile perché si ricarica da solo? Prima di intervenire volevo sentire i vostri consigli.



Valori del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:

c:\windows\system32\userinit.exe,"c:\windows\syste m32\toshibaspeed.exe",

Preciso inoltre che tutti programmi di scansione della memoria o interfacce utente di antivirus vanno in crash, probabilmente perché il Trojan è mascherato da servizio di Windows (quindi sia l'interfaccia Utente di Virit, sia HiJackThis, taskmgr di Windows, dTaskmanager, avenger...)

Inoltre ho lanciato FindAWF, l'esito del log è:
bak folders found
~~~~~~~~~~~
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
end of report

(non riporta quali sono le cartelle bak)

Il programma termina in errore, che sono riuscito a intercettare:
Searching for duplicate files
Please wait
Impossibile trovare il file C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\FindAWF\bakfile s.
txt.

Che consigli mi date?
Almeno adesso sappiamo con chi abbiamo a che fare...

vai nella seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:

c:\windows\system32\userinit.exe,"c:\windows\syste m32\toshibaspeed.exe","c:\windows\system32\toshibaspeed.exe", <----questo percorso rosso deve essere eliminato deve rimanere solo c:\windows\system32\userinit.exe, e con la virgola,mi raccomando.poi rilancia hijackthis e vedi se riesci ad avviarlo.

[wdm]

Originariamente inviato da tecnico24
vai nella seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:

c:\windows\system32\userinit.exe,"c:\windows\syste m32\toshibaspeed.exe","c:\windows\system32\toshibaspeed.exe", <----questo percorso rosso deve essere eliminato deve rimanere solo c:\windows\system32\userinit.exe, e con la virgola,mi raccomando.poi rilancia hijackthis e vedi se riesci ad avviarlo.

Devo eliminare solo la voce dalla chiave di registro o anche il file eseguibile dalla cartella system32?

P.S.: scusa se non sono tempestivo nell'eseguire immediatamente i consigli, ma il PC infetto è quello di casa, dal quale non riesco a collegarmi a internet, mentre sul forum vi vado dall'ufficio...

[tecnico24]

devi eliminare solo la chiave di registro:
"c:\windows\system32\toshibaspeed.exe",
e deve rimanere solo questa:
c:\windows\system32\userinit.exe,
mi raccomando,virgola compresa.
poi vedi se riesci a far partire hijackthis.

[wdm]

La situazione non è semplice...

Ho ripulito la chiave di registro USERINIT come consigliato, ma ad ogni riavvio il valore si ripristina (cioè ricompare la voce Toshibaspeed.exe).

Quindi ho gli stessi problemi a far partire HijackThis.
Ho provato anche con systemscan, mi dice che per eseguire lo scan occorre abilitare i Privilegi di Debug (seDebugPrivilege) al gruppo Administrators (il mio utente è Administrator): chiede di cliccare OK per conferma e riavviare il sistema: al riavvio succede sempre la stessa cosa!

virit continua a segnalarmi come sospetto il file \\?\c:\Windows\SYSTEM32\COM4.MUH, che non si vede nemmeno abilitando la visibilità dei file nascosti e di sistema.

Con Advanced System Optimizer sono riuscito a farmi listare i processi attivi n memoria, ci sono diversi fake, due IEXPLORE.exe (scritto così come maiuscole e minuscole), cinque SVCHOST.exe, e il famigerato Toshibaspeed.exe.
Purtroppo il prg non permette di copiare come testo la lista dei processi, se è utile posso provare a postarli come immagine(ho catturato la schermata).

Help!
Che posso fare adesso?

[tecnico24]

apri task menager(Ctrl+alt+canc)termina il processo toshibaspeed.exe
poi vai in system32 ed elimina il file toshibaspeed.exe
elimina il valore dalla chiave di registro("c:\windows\system32\toshibaspeed.exe",)f acendo attenzione.
poi riprova a far partire hijackthis.