Trojan Horse PSW.Briss.D

**string** · 20-07-2004, 20:02

windows XP pro e avg antivirus...
e' gia' la seconda volta che la mia scansione permanente trova e blocca questo trojan, e con la manuale lo cancello...ma potra' succedere ancora, dato che a distanza di due giorni e' stato trovato lo stesso trojan sempre in 3 files...
ovviamente HijackThis.exe, eseguito, adaware eseguito....
tutto a posto....
pero' nel registro in Run ho trovato 2 stringhe senza valore(ma non so se c'entrino qualcosa, dato che negli ultimi tempi ho provato diversi software, e sinceramente dal nome della stringa e' impossibile stabilire da cosa sia stata generata, compreso la ricerca della stringa stessa nel registro)....bastera' fare la scansione in modalita' provvisoria????ma dovro' aspettare di riaverlo...insomma, suggeritemi tutto cio' che vi vienen in mente..grazie

**amvinfe** · 20-07-2004, 21:35

purtroppo le numerose varianti di questo trojan non aiutano a sapere quale è installata nella tua macchina,il problema si complica quando tre, quattro Aziende classificano in tre maniere differenti lo stesso malware.

Cosa ben diversa è invece se si sa quale eseguibile si ha in esecuzione automatica e quindi quale è la chiave nel registro a lui associata, il linea teorica un malware con diverse varianti si comporta sempre nella stessa maniera, andando a copiare i valori in una stessa directory, il problema è però conoscere la variante esatta (ed AVG certo non aiuta) per poter riconoscere quali valori sono stati copiati.
In conclusione, se sai il nome o dell'eseguibile, od anche quale valore nel registro va ad inserire saresti già a buon punto.

**string** · 21-07-2004, 17:39

lo ha fatto ancora....
l'eseguibile si trova in system32, ed esattamente si chiama dc.exe....
cercando ho trovato QUESTO...
ma non riesco a capire se il procedimento di rimozione e' free...pensi che una scansione online, oltre ad una in modalita' provvisoria possano risolvere????grazie...

**amvinfe** · 22-07-2004, 00:41

la pagina non porta a nulla.

Fai una scansione online con F-Secure ed elimina ciò che ti trova.
http://support.f-secure.com/enu/home/ols.shtml

**string** · 23-07-2004, 16:31

mah...volevo provare quello della mcafee, ma devi registrarti(mcafee e' la casa che per prima si e' occupata dell'argomento..), ora provo il tuo link, grazie..
speriamo bene

**string** · 25-07-2004, 12:50

elima tutto.....ma quando mi riconnetto....tutto come prima...non riesco proprio ad uscirne...

**amvinfe** · 25-07-2004, 15:24

In rilievo, -links utili- trovi l'ultima versione di HijackThis scaricala mettila all'interno di una nuova cartella fai lo scan eposta il Log

**string** · 25-07-2004, 19:09

questa versione di hijackThis ce l'ho da un mese + o -, non ho trovato quella che indichi tu...
comunque ecco il file:

codice:

Logfile of HijackThis v1.97.7
Scan saved at 18.15.51, on 25/07/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\System32\ups.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\rundll32.exe
C:\WINNT\SYSTEM32\cmd.exe
C:\Programmi\Pop Up Stopper and Ad Killer\pusak.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINNT\scvhost.exe
C:\Programmi\Lettore multimediale\wmplayer.exe
c:\Programmi\Mozilla Thunderbird\thunderbird.exe
c:\Programmi\mozilla\firefox.exe
C:\unzipped\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programmi\MyWay\SrchAstt\2.bin\MYSRCHAS.DLL (file missing)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\5.bin\MYBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybotsearchanddestroy\SDHelper.dll
O2 - BHO: (no name) - {A6927151-F5B4-11D4-AE7A-00D00925CF52} - C:\PROGRA~1\DLExpert\dll\iehelper.dll
O2 - BHO: (no name) - {BAF43D6F-B666-4AF4-9897-167B592DF6B7} - C:\WINNT\SYSTEM32\lpwjif.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\5.bin\MYBAR.DLL
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [cmd...lorenzo] "C:\WINNT\SYSTEM32\cmd.exe"
O4 - HKLM\..\Run: [sureshotpopupkiller] "C:\Programmi\Pop Up Stopper and Ad Killer\pusak.exe" -minimized
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [AutoUpdate] C:\WINNT\scvhost.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\officexp\Office10\OSA.EXE
O8 - Extra context menu item: &Download by DLExpert (Faster) - C:\Programmi\DLExpert\get.htm
O8 - Extra context menu item: Download &All by DLExpert (Faster) - C:\Programmi\DLExpert\getall.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\officexp\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: DLExpert (HKLM)
O9 - Extra 'Tools' menuitem: &DLExpert (HKLM)
O9 - Extra button: AllInOne (HKLM)
O9 - Extra 'Tools' menuitem: AllInOne (HKLM)
O9 - Extra button: Alice (HKCU)
O12 - Plugin for .mpg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...900.2825578704
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAEC361F-27C5-4A03-8649-CA6857A2A53C}: NameServer = 217.141.254.206 151.99.125.1

sempre grazie per la disponibilita'

**amvinfe** · 26-07-2004, 10:20

qui trovi HijackThis
http://forum.html.it/forum/showthrea...hreadid=235578

Riavvia in modalità provvisoria fai lo scan con HJT, metti la spunta ai seguenti valori clicca su Fix checked:

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\5.bin\MYBAR.DLL
O2 - BHO: (no name) - {BAF43D6F-B666-4AF4-9897-167B592DF6B7} - C:\WINNT\SYSTEM32\lpwjif.dll (file missing)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\5.bin\MYBAR.DLL
O4 - HKCU\..\Run: [AutoUpdate] C:\WINNT\scvhost.exe

sempre dalla provvisoria cerca ed elimina:

C:\Programmi\MyWay \myBar\5.bin\MYBAR.DLL<===la cartella
C:\WINNT\scvhost.exe<===il file (attenzione al percorso ed a non confonderti con il file leggittimo svchost.exe collocato però in C:\WINNT\system32\)

Riavvia e fai una nuova scansione con l'antivirus aggiornato.

Posta un nuovo log di HJT

**string** · 26-07-2004, 19:53

ok...ho fatto tutto quello che mi hai detto, ecco il log:

Logfile of HijackThis v1.98.0
Scan saved at 18.58.07, on 26/07/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\System32\ups.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\rundll32.exe
C:\WINNT\SYSTEM32\cmd.exe
C:\Programmi\Pop Up Stopper and Ad Killer\pusak.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\unzipped\hijackthisnuovo\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: dlexpertclick Class - {A6927151-F5B4-11D4-AE7A-00D00925CF52} - C:\PROGRA~1\DLExpert\dll\iehelper.dll
O2 - BHO: TChkBHO Class - {BAF43D6F-B666-4AF4-9897-167B592DF6B7} - C:\WINNT\SYSTEM32\lpwjif.dll (file missing)
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [cmd...lorenzo] "C:\WINNT\SYSTEM32\cmd.exe"
O4 - HKLM\..\Run: [sureshotpopupkiller] "C:\Programmi\Pop Up Stopper and Ad Killer\pusak.exe" -minimized
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\officexp\Office10\OSA.EXE
O8 - Extra context menu item: &Download by DLExpert (Faster) - C:\Programmi\DLExpert\get.htm
O8 - Extra context menu item: Download &All by DLExpert (Faster) - C:\Programmi\DLExpert\getall.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\officexp\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: DLExpert - {4AB89EA8-E2B8-11d4-AE71-00D00925CF52} - C:\Programmi\DLExpert\DLExpert.exe
O9 - Extra 'Tools' menuitem: &DLExpert - {4AB89EA8-E2B8-11d4-AE71-00D00925CF52} - C:\Programmi\DLExpert\DLExpert.exe
O9 - Extra button: AllInOne -
O9 - Extra button: Alice - {14E0CED7-B08C-43C7-9C8E-CB7388CB886D} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O12 - Plugin for .mpg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

Discussione: Trojan Horse PSW.Briss.D

Strumenti discussione

Ricerca discussione

Visualizza

Trojan Horse PSW.Briss.D

Permessi di invio