MAGANIA - come eliminarlo

[gatto77]

I miei computer hanno contratto l'odioso trojan Magania. ho installato antivir premium che lo ha scansionato e messo in quarantena ma è come se ci fosse sempre. datemi una mano per eliminarlo.

p.s.: avrei bisogno anche di un buon riparatore di registro, magari free.

[Conetti]

Ciao, scansiona con HiJackThis e posta il log ottenuto.
Come software per la riparazione del registro di sistema ti consiglio CCleaner
Fammi sapere

[gatto77]

ecco qui il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.28.06, on 22/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\k4hidconvert.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\RDS\PLDlnk.exe
C:\Programmi\RDS\PLTBar.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\RDS\RMClient\PMCTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Microsoft Office\Office12\WINWORD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Messenger\msmsgs.exe
C:\DOCUME~1\CHRIST~1\IMPOST~1\Temp\Rar$EX00.772\Hi jackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=71126
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [bit4id csp store register (M)] RUNDLL32.EXE "C:\WINDOWS\system32\bit4upki-store.dll",RegisterMyPhysicalStore
O4 - HKLM\..\Run: [JobHisInit] C:\Programmi\RDS\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programmi\RDS\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Auto Document Link.lnk = C:\Programmi\RDS\PLDlnk.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Function Palette.lnk = C:\Programmi\RDS\PLTBar.exe
O4 - Global Startup: SmartDeviceMonitor for Client.lnk = C:\Programmi\RDS\RMClient\PMClient.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: Iphona - https://servizi.inps.it/servizi/Parl...les/Iphona.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1214561748212
O17 - HKLM\System\CCS\Services\Tcpip\..\{39EF744E-441D-43E1-AE64-24AEE91CF706}: NameServer = 151.99.125.1,151.99.0.100
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O21 - SSODL: UpdateCheck - {C362270F-87B2-46D4-9B8B-9B64AC925F08} - (no file)
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: key4hidconvert - TODO: <Company name> - C:\WINDOWS\system32\k4hidconvert.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6758 bytes

[Conetti]

Ciao, prima di procedere a Fixare le varie voci con HiJackThis ti invito a caricare ed analizzare su http://www.virustotal.com le seguenti voci:

C:\WINDOWS\system32\k4hidconvert.exe
O21 - SSODL: UpdateCheck - {C362270F-87B2-46D4-9B8B-9B64AC925F08} - (no file)
O23 - Service: key4hidconvert - TODO: - C:\WINDOWS\system32\k4hidconvert.exe

Poi posta il responso generato.
Ti chiedo questo perchè dall'analisi automatica del log risultano sconosciuti e da Google ho trovato poche informazioni: dal respondo di Virus Total possiamo scoprire se sono file infetti o no.
Fammi sapere

[amvinfe]

@Conetti

su virustotal.com si possono far analizzare file, non CLSID o servizi.

ciao

edit:
ah un consiglio
non affidarti ai servizi di analisi automatica, spesso creano più dubbi che certezze

[Conetti]

OK, grazie del consiglio Amvinfe
Non sapevo che su Virus Total non si potessero analizzare CLSID o servizi
Per caso sai se le ultime 2 chiavi della citazione di prima sono sicure o no?
Se no a che software appartengono?
Perchè su Google ho trovato poche informazioni, di solito è più fornito

[amvinfe]

http://www.bit4id.com/italiano/ ==> k4hidconvert.exe
probabilmente a Vundo, ma non è associata ad alcun file ==> {C362270F-87B2-46D4-9B8B-9B64AC925F08}

[Conetti]

Ok, quindi la prima voce appartiene al software che gestisce le smart card della Regione Lombardia mentre la seconda voce, non appartenendo a nessun file, può essere eliminata giusto?
Vundo se non sbaglio è un trojan
Ti ringrazio per i consigli e scusa il piccolo OT

[gatto77]

quindi che faccio??

[Inoki2]

Scarica, installa e aggiorna:

Malware Bytes


Fai una scansione completa ed elimina quello che trovi.

Questo software trova anche le chiavi di registro infette.