Olimpo Informatico

[frax_bigos]

Ciao a tutti!
Sembra che questo trojan mi abbia preso in simpatia!
Oggi AVG lo ha trovato sul mio PC con una nuova veste. Questa volta il file in questione e' iexplore32.dll
In piu' ho trovato questo file sul desktop: 101174851.dll e quel maledetto service32.exe in memoria

Quando cerco di cancellare 101174851.dll mi dice "accesso negato" e non me lo fa eliminare.

Ora cerco di eliminare tutti e due i files in modalita' provvisoria e spero che qualcuno mi suggerisca come fare per trovare eventuali riferimenti nel file di registro e se c'e' qualche altro file che devo cercare ed eliminare.
Posto qui il log hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19.14.22, on 02/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5296.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\service32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Grisoft\AVG7\avgwb.dat
C:\Program Files\Grisoft\AVG7\avgvv.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Trussiana\Desktop\101174851.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSRaid] C:\Program Files\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe


Qualcuno puo' suggerirmi se c'e' un modo per EVITARE che questi trojan mi infettino una volta a settimana il PC?

Grazie mille!
Francesco

[Smjert]

Allora:

[frax_bigos]

Premessa:
Sono riuscito ad eliminare i files del trojan in modalità provvisoria e al riavvio non erano piu' presenti.

Ho seguito le tue istruzioni:

1) Non c'e' nessuna cartella nascosta con un nome strano quindi penso che LinkOptimizer non si presente.

2) Ho fixato il riferimento al file con hijackthis (anche se tra parentesi c'era "file missing" perche non piu' presente sul disco)

3) Non essendoci piu' nessun file il programma avenger mi ha restituito un log dove diceva che non e' stato possibile eseguire lo script e processare i files.

Ho sbagliato e rimuovere i files manualmente in modalità provvisoria?
Al riavvio del PC i files non sono piu' presenti sul PC e l'antivirus non mi rileva nessuna infezione ed al momento sembra che vada tutto liscio come l'olio.

Ho una domanda: come posso fare per proteggere efficacemente il PC dai trojan horse, visto che in pratica viene infettato quasi esclusivamente (e frequentemente) da questi ultimi?

C'e' qualche software che devo scaricare?

[frax_bigos]

Ho istallato ZoneAlarm ed ho scoperto che c'e' qualcuno che cerca di infiltrarsi nel PC probabilmente e' così che mi ritrovo spesso con un trojan nel PC!!!
Nel giro di pochi minuti ho ricevuto ben 3 messaggi di avviso di tentativi di infiltrazione da altri computer!

AVG ha appena sgamato un altro trojan. Si chiama Generic2.DGF ed il file in questione e' winsyst32.exe
Che devo fare per eliminarlo?

[Smjert]

Se Avg l'ha beccato e la ripulito dovresti essere a posto.. riposta un log di HijackThis, fatti una scansione con Kaspersky e database esteso (dopo aver scaricato gli aggiornamenti fai Next e poi Scan Settings, da lì puoi mettere Extended).
Se trova qualcosa salva il log (il pulsante Save Report As) e posta qua il suo contenuto.

[holifay]

Naviga per favore fino a questa chiave nel registro (regedit.exe) e dimmi, se la trovi, che valori vedi nel pannello di destra:

HKLM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run