Trojan Dc485.exe

[Vintage_Girl]

Salve a a tutti, ho un piccolissimo problema, ho un trojan che il mio pc mi identifica come: Dc485.exe, ho provato a rimuoverlo tramite Virit e Kaspersky, ma nulla, è sempre lì. Come posso procedere? Intanto vi allego uno screenshot del percorso di questo virus + un log di Virit + un Log di hijackthis. Grazie in anticipo a chi risponderà

Log hijackthis.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:48:16, on 2009-01-16
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\User\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
C:\Programmi\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\File comuni\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\VEXPLITE\VIRITEXP.EXE
C:\Documents and Settings\User\Documenti\Spywere\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R3 - URLSearchHook: Softonic Italia TC Toolbar - {27abbd31-a422-439b-a251-423a4e96c9f8} - C:\Programmi\Softonic_Italia_TC\tbSoft.dll
O2 - BHO: Softonic Italia TC Toolbar - {27abbd31-a422-439b-a251-423a4e96c9f8} - C:\Programmi\Softonic_Italia_TC\tbSoft.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmi\Free Download Manager\iefdm2.dll
O3 - Toolbar: Softonic Italia TC Toolbar - {27abbd31-a422-439b-a251-423a4e96c9f8} - C:\Programmi\Softonic_Italia_TC\tbSoft.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\User\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O8 - Extra context menu item: Scarica con Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica i video con Free Download Manager - file://C:\Programmi\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1227174354843
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-04dcf536b841e958.spaces.l...d/MsnPUpld.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD42/JS...ws-i586-jc.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2025C17D-0391-4C57-852E-380BA33AE80B}: NameServer = 151.99.0.100
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 7223 bytes




Log Virit.


[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
16/01/2009 - 12:37:13

[SCANSIONE DEL REGISTRO]
{FE063DB9-4EC0-403e-8DD8-394C54984B2C} Infetto da BHO.Ask.A

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 1.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 71.
Files Totali: 71.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
[Hidden Services]
pcblpgq - system32\drivers\rfzsxeyy.sys

OK
--------------------------------------------------------
16/01/2009 - 12:45:50

[SCANSIONE DEL REGISTRO]
{FE063DB9-4EC0-403e-8DD8-394C54984B2C} Infetto da BHO.Ask.A

[A:]
BOOT SECTOR: OK


Chiavi Registro infette: 1.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 69.
Files Totali: 69.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

--------------------------------------------------------
16/01/2009 - 12:45:59

[SCANSIONE DEL REGISTRO]
{FE063DB9-4EC0-403e-8DD8-394C54984B2C} Infetto da BHO.Ask.A

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\RECYCLER\S-1-5-21-839522115-725345543-244684154-1003\Dc485.exe Infetto da Trojan.Win32.Agent.BWB

Chiavi Registro infette: 1.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 284248.
Files Totali: 284248.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
Log Virit Log hijackthis

[SkinBonno]

Ciao, da hijack fixa queste:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Poi:
Scarica e installa Malwarebytes. Aggiornalo e fai una scansione completa del computer. Posta il rapporto ottenuto. Per ora non rimuovere nessuna eventuale minaccia rilevata, aspetta nostre conferme.

[Vintage_Girl]

Originariamente inviato da SkinBonno
Ciao, da hijack fixa queste:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Poi:
Scarica e installa Malwarebytes. Aggiornalo e fai una scansione completa del computer. Posta il rapporto ottenuto. Per ora non rimuovere nessuna eventuale minaccia rilevata, aspetta nostre conferme.

La scansione in modalità provvisoria o normale? Ieri ne ho fatta una con Malwarebytes, l'ho anche aggiornato, ma nulla mi trova, però c'è da dire che ho fatto una scansione rapida.

[SkinBonno]

Da modalità normale, la scansione falla completa. Nel caso non rilevi nulla, fai una scansione online con Kasperky - in alto premi il bottone "scanner online", aspetta che finisca di scaricare l'aggiornamento, disattiva l'antivirus (ricordati di riattivarlo a scansione conclusa) e clicca su "scan my computer". Nel caso rilevi qualcosa di infetto, incolla il log ottenuto.

[Vintage_Girl]

Originariamente inviato da SkinBonno
Da modalità normale, la scansione falla completa. Nel caso non rilevi nulla, fai una scansione online con Kasperky - in alto premi il bottone "scanner online", aspetta che finisca di scaricare l'aggiornamento, disattiva l'antivirus (ricordati di riattivarlo a scansione conclusa) e clicca su "scan my computer". Nel caso rilevi qualcosa di infetto, incolla il log ottenuto.

L'ho fatta ieri sera la scansione con kasper, ma idem niente, tutto pulito. L'antivirus non ce l'ho, cioè, ce l'ho, ma non attivo, Avast, formattai il pc e da allora non lo vedo più in esecuzione nella barra. Comunque sto facendo la scansione cone Malware, appena finesce ed esce qualcosa posto il log.

[Gas75]

Prova ad inviare il file a http://www.virustotal.com/it/ : saprai con che altri nomi è conosciuto quel trojan, e molto probabilmente sarà disponibile un removal tool automatico, o almeno una procedura manuale da effettuare.

[Vintage_Girl]

Originariamente inviato da Gas75
Prova ad inviare il file a http://www.virustotal.com/it/ : saprai con che altri nomi è conosciuto quel trojan, e molto probabilmente sarà disponibile un removal tool automatico, o almeno una procedura manuale da effettuare.

:master: Nel percorso indicatomi da Virit, ossia C:\Recycler... non mi appare questa cartella. Quindi non so dove andare a reperire il file, sto facendo una ricerca, ma ancora nulla.. :master:

[SkinBonno]

Devi abilitare la visualizzazione delle cartelle nascoste e dei file di sistema. In teoria dopo in C:\ dovresti vedere la cartella Recycler. Per abilitare i file nascosti apri Risorse del computer --> Strumenti --> Opzioni cartella --> Visualizzazione --> Spunta "Visualizza cartelle e file nascosti" e togli la spunta a "Nascondi i file protetti di sistema (consigliato)".

[Vintage_Girl]

Originariamente inviato da SkinBonno
Devi abilitare la visualizzazione delle cartelle nascoste e dei file di sistema. In teoria dopo in C:\ dovresti vedere la cartella Recycler. Per abilitare i file nascosti apri Risorse del computer --> Strumenti --> Opzioni cartella --> Visualizzazione --> Spunta "Visualizza cartelle e file nascosti" e togli la spunta a "Nascondi i file protetti di sistema (consigliato)".

sisi, mi sono dimenticata di dire che avevo già la visualizzazione di file e cartelle nascoste.. ma non c'è, non l'ho trovato.

Fatta scansione con Malwarebytes, ecco il log:

Malwarebytes' Anti-Malware 1.33
Versione del database: 1656
Windows 5.1.2600 Service Pack 3

2009-01-16 19:10:04
mbam-log-2009-01-16 (19-10-04).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 186428
Tempo trascorso: 3 hour(s), 34 minute(s), 23 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

[SkinBonno]

Originariamente inviato da Vintage_Girl
sisi, mi sono dimenticata di dire che avevo già la visualizzazione di file e cartelle nascoste.. ma non c'è, non l'ho trovato.

:master: mmm strana questa....
Cmq a questo punto direi di fare un controllo più approfondito.
Scarica Systemscan.
Disconnetti la connessione internet--> Disattiva l'antivirus--> Lancia Systemscan--> Assicurati che siano spuntate TUTTE le caselle---> Esegui una scansione cliccando su Scan Now.
Carica il rapporto che ottieni su Savefile e posta il link ottenuto sul forum.

Nel caso Savefile non funzionasse (come accade spesso negli ultimi tempi) carica il rapporto su Freefilehosting e riporta il link ottenuto.

N.B.
Systemscan viene riconosciuto come infetto per il tipo di scansione effettuata, la procedura è sicura.

Poi chiedo l'intervento di un moderatore per il controllo del log e un aiuto per rimuovere questo virus, dato che non ho ancora ben capito come interpretare il log di systemscan.