Trojan: WebVideo Support e avvisi fake.

[x-dana]

Salve a tutti !
Scusate se disturbo nel vostro forum,
ma credo di aver un problema con un Trojan particolarmente tenace che non riesco ad eliminare completamente,
e spero che mi possiate aiutare.
Ve ne prego, questo Trojan mi sta mandando al manicomio...

Vi illustro quello che mi è successo:

Internet ha incominciato a darmi dei problemi con delle false finestre di contaminazione qualche giorno fa,
andando nell'elenco programmi e funzionalità mi sono accorta di un programma "WebVideo Support",
installato il giorno prima, che non era possibile rimuovere normalmente...
Facendo un paio di ricerche in rete, per quanto ne ho capito, si trattava di una variante di Smitfraud...
quindi seguendo la maggior parte dei suggerimenti in rete (molti dei quali in inglese, ma uno anche in questo forum) ho:

-scaricato Smitfraudfix
-riavviato in modalità provvisoria
-e fatto la scanzione con SmitFraudfix
(di cui questo è il report):

SmitFraudFix v2.307

Scan done at 18.17.57,56, 24/03/2008
Run from C:\Users\Daniela\Desktop\SmitfraudFix
OS: Microsoft Windows [Versione 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
::1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0F995905-16E1-47AC-A951-940B4B6D17F3}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{0F995905-16E1-47AC-A951-940B4B6D17F3}: NameServer=212.216.112.112,212.216.172.62
HKLM\SYSTEM\CCS\Services\Tcpip\..\{27B60CD2-8056-4A9C-9E82-44AA8C95A0BF}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0F995905-16E1-47AC-A951-940B4B6D17F3}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0F995905-16E1-47AC-A951-940B4B6D17F3}: NameServer=212.216.112.112,212.216.172.62
HKLM\SYSTEM\CS1\Services\Tcpip\..\{27B60CD2-8056-4A9C-9E82-44AA8C95A0BF}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0F995905-16E1-47AC-A951-940B4B6D17F3}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0F995905-16E1-47AC-A951-940B4B6D17F3}: NameServer=212.216.112.112,212.216.172.62
HKLM\SYSTEM\CS3\Services\Tcpip\..\{27B60CD2-8056-4A9C-9E82-44AA8C95A0BF}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

poi, sempre come suggerito in rete, anche una scanzione con Superantispyware (sempre in modalità provvisoria)...

Fortunatamente queste azioni sono riuscite ad eliminare quel programma "WebVideo Support",
(che mi faceva comparire una invasiva bar dorata) ed anche il mio povero, innocente (?), screen saver;
ma purtroppo sembrano essere rimasti altri pezzi del programma che non riesco in alcun modo ad eliminare :
delle orride finestre di cui vi posto le foto:

http://i253.photobucket.com/albums/h...Trojanpic4.jpg
http://i253.photobucket.com/albums/h...rojanpics3.jpg
http://i253.photobucket.com/albums/h...rojanpics2.jpg
http://i253.photobucket.com/albums/h...rojanpics1.jpg

Prima di loggarmi nel forum,
ho fatto anche scanzioni con Bitdifender e Spybot SeD,
ma sembra che entrambi non siano riusciti ad eliminare l'intero problema.

Adesso ho anche:
eliminato i file temporanei con ATF Cleaner,
fatto gli scan con AVG Antispyware e Ad-Aware,
e Kaspersky Online Scanner.
Ma, ammesso che io abbia seguito correttamente tutte le istruzioni, sembra che nulla sia riuscito ad eliminare quello che ha preso residenza nel mio pc.

Esiste una soluzione per questo problema?
Sono disperata, che cosa posso fare?
Vi prego aiutatemi.

[amvinfe]

si sono rifatti a Nod32


Scarica
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile un file con estensione .zip (data+ora+.zip)
Vai su www.sendmefile.com carica il file e posta l'URL per poterlo scaricare.

Ricordati d'effettuare la scansione non connessa e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

[x-dana]

Grazie per avermi risposto così velocemente . Lieta che qualcuno ci capisca qualcosa (io stavo impazzendo).

Ad ogni modo l'antivirus mi blocca "suspectfile" e non me lo fa neppure installare.

Che mi conviene fare? Disabilitare l'antivirus prima di scaricarlo (mi dice che c'è un trojan).

[amvinfe]

se leggi le condizioni di utilizzo c'è scritto di disabilitare l'antivirus e poi te l'ho anche scritto ...

le procedure devono essere fatte non connessi.

[x-dana]

Scusa ... *blush*

Spero di aver fatto tutto correttamente
(anche se non mi è riuscito di trovare il file in formato .zip, mi si è aperto direttamente in .txt )

http://www.sendmefile.com/00619250
Grazie ancora per tutto l'aiuto!

[amvinfe]

apri il Blocco note copia/incolla il testo in blu, clicca su "File", seleziona "Salva con nome".
In "Salva con nome" (in basso) scrivi fix.reg in "Tipo di File", seleziona "Tutti i file".

Il file deve essere salvato in C:\

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\xwnqclsc]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\pczokdsa]

apri SystemScan e seleziona l'opzione "Removal Script"
all'interno del box bianco inserisci questo script scritto in rosso

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run | 0moRjnDQfO

Files to delete:
C:\Windows\system32\vohufglk.exe
C:\Windows\system32ssurf022.dll
C:\Windows\mssecu.exe
C:\Windows\system32mssecu.exe
C:\Windows\system32winsystem.exe
C:\Windows\system32WINWGPX.EXE
C:\Windows\bdn.com
C:\Windows\winsystem.exe
C:\Windows\system32newsd32.exe
C:\Windows\system32vcatchpi.dll
C:\Windows\system32awtoolb.dll
C:\Windows\system32bdn.com
C:\Windows\system32akttzn.exe
C:\Windows\system32anticipator.dll
C:\Windows\system32thun.dll
C:\Windows\system32sysreq.exe
C:\Windows\system32vbsys2.dll
C:\Windows\system32emesx.dll
C:\Windows\system32Rundl1.exe
C:\Windows\zipped.tmp
C:\Windows\zip2.tmp
C:\Windows\userconfig9x.dll
C:\Windows\zip1.tmp
C:\Windows\system32ssvchost.exe
C:\Windows\system32regc64.dll
C:\Windows\system32psoft1.exe
C:\Windows\system32smp
C:\Windows\system32regm64.dll
C:\Windows\system32sncntr.exe
C:\Windows\system32psof1.exe
C:\Windows\system32ssvchost.com
C:\Windows\system32hxiwlgpm.dat
C:\Windows\system32dpcproxy.exe
C:\Windows\systxxxxx@xxxxxh@@k.dll
C:\Windows\system32ps1.exe
C:\Windows\system32thun32.dll
C:\Windows\system32VBIEWER.OCX
C:\Windows\system32temp#01.exe
C:\Windows\system32taack.dat
C:\Windows\system32taack.exe
C:\Windows\system32winlogonpc.exe
C:\Windows\zip3.tmp
C:\Windows\system32hxiwlgpm.exe
C:\Windows\system32medup012.dll
C:\Windows\system32msnbho.dll
C:\Windows\system32netode.exe
C:\Windows\system32mwin32.exe
C:\Windows\system32msvchost.exe
C:\Windows\system32mtr2.exe
C:\Windows\base64.tmp
C:\Windows\a.bat
C:\Windows\iTunesMusic.exe
C:\Windows\FVProtect.exe
C:\Windows\system32bsva-egihsg52.exe
C:\Windows\system32hoproxy.dll
C:\Windows\system32medup020.dll
C:\Windows\system32msgp.exe
C:\Windows\temp\D653F3EC.TMP
C:\Users\Daniela\AppData\Local\Temp\symlcsv1.exe
C:\Users\Daniela\AppData\Local\Temp\D653F3EC.TMP
C:\Users\Daniela\AppData\Local\Temp\3EE68A68.TMP

Folders to delete:
C:\ProgramData\hmzwjyvi
C:\ProgramData\pczokdsa

Programs to launch on reboot:
C:\fix.reg

clicca sul bottone
"Proceed with removal"

al riavvio del pc portati in C:\ troverai il file avenger.txt aprilo e copia/incolla il risultato.
Esegui una nuova scansione con SystemScan e posta il nuovo URL per scaricarlo.

NB.
le procedure vanno effettuate non connessa e con l'antivirus disabilitato.

[x-dana]

Ho creato il file .fix senza troppi problemi (ed è al suo posto),

ma quando sono andata a premere
"Proceed with removal"
in SystemScan

mi è successo questo:

Error
Fatal error!
Unsupported version of Windows!
This program will run only on Windows 2000 or XP.

Error code: 0
Error logged to errorlog.txt. Aborting now!

Praticamente credo che non funzioni con Vista.

Che devo fare?

[amvinfe]

hai ragione, scusami non ho visto che il so è vista.

Scarica la versione di The Avenger compatibile con vista e decomprimilo sul desktop

http://swandog46.geekstogo.com/avenger2/download.php

togli la spunta da "Scan for rootkits"

copia ed incolla lo script in rosso che ti ho precedentemente scritto, clicca su "Execute".
Al riavvio portati in C:\ apri il file di testo avenger.txt e copia/incolla il contenuto.

PS
al riavvio, sempre non connessa esegui nuovamente The Avenger metti la spunta su
"Scan for rootkits" e su "Automatically disable any rootikits found" e clicca su "Execute".

Riavvia.
Esegui un nuovo scan con SystemScan e posta l'URL per poter scaricare il report

ciao

[x-dana]

Cliccando su Execute, dopo aver incollato quanto scritto in rosso, mi esce:

Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

Ho riprovato anche un paio di volte, ma nulla .

Grazie ancora per tutta la pazienza che stai avendo con me

[amvinfe]

proviamo così,


scarica questo file di testo sul desktop
http://www.sendmefile.com/00619376

sempre non connessa e con l'antivirus non attivo:

apri The Avenger, clicca sulla cartellina gialla (in alto a sx) cerca il file (sul desktop) che hai appena scaricato, selezionalo e clicca su "Apri" successivamente su "Execute".