Olimpo Informatico

DarkAngel · Mortale devoto Registrato: 27/10/06 13:53 Messaggi: 10

raga il file syst32.dll è infettato dal virus win32:small-CGR (TRJ), ho fatto una scansione con prevxfix mi ha cancellato qualcosa ma nulla sto viru srimane all'avvio di avast... il log è questo:

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\System\Dai.exe
Removing protected file: C:\Programmi\File comuni\System\DTp.exe
Removing protected file: C:\Programmi\File comuni\System\idcsR.exe
Removing protected file: C:\Programmi\File comuni\System\IkL.exe
Removing protected file: C:\Programmi\File comuni\System\KME.exe
Removing protected file: C:\Programmi\File comuni\System\OvO.exe
Removing protected file: C:\Programmi\File comuni\System\rZAkNT.exe
Removing protected file: C:\Programmi\File comuni\System\SCY.exe
Removing protected file: C:\Programmi\File comuni\System\sUUW.exe
Removing protected file: C:\Programmi\File comuni\System\wsTxb.exe
Removing protected file: C:\Programmi\File comuni\System\wvMKvB.exe

Trojan.Gromozon Removed!

AIUTO!

Smjert

Syst32.dll fa parte del Trojan Clicker, quei file che ti ha cancellato il tool sono del Trojan Link Optimizer (alias Gromozon).
Molte volte quei due trojan vanno "a braccetto".

Scarica HijackThis

Scaricati anche il tool della Symantec e fallo girare in Modalità Provvisoria (F8 al boot)
Posta poi il contenuto del log FixLinkOpt.log

Avvia HijackThis e premi Do a system scan and save a log file, ti si aprirà una finestra di Notepad con il risultato, copialo e incollalo qua.

DarkAngel · Mortale devoto Registrato: 27/10/06 13:53 Messaggi: 10

Appena torno a casa provo! Smile

[/url]

DarkAngel · Mortale devoto Registrato: 27/10/06 13:53 Messaggi: 10

allora scansione hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 19.20.47, on 27/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\service32.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\BitComet\BitComet.exe
C:\Documents and Settings\PC\Documenti\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ultragames.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe

Smjert

Fai la scansione da Modalità Provvisoria con il tool Symantec e ricordati di postare il log(anche se sembra che tu non abbia più il LinkOptimizer).

Vai su Start->Esegui->digita regedit, ti si apre l'editor di registro, naviga fino a questa chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
cancellala.

DarkAngel · Mortale devoto Registrato: 27/10/06 13:53 Messaggi: 10

Ecco il log della scansione col tool symantec..

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group

C:\WINDOWS\Temp\_avast4_\unp137960277.tmp: (deleted)
C:\WINDOWS\Temp\_avast4_\unp202002766.tmp: (deleted)
C:\WINDOWS\Temp\_avast4_\unp205315031.tmp: (deleted)
C:\WINDOWS\Temp\_avast4_\unp206715995.tmp: (deleted)
C:\WINDOWS\Temp\_avast4_\unp218473834.tmp: (deleted)
C:\WINDOWS\Temp\_avast4_\unp219504516.tmp: (deleted)
C:\WINDOWS\Temp\_avast4_\unp266524214.tmp: (deleted)
C:\WINDOWS\Temp\_avast4_\unp35157514.tmp: (deleted)
C:\WINDOWS\Temp\_avast4_\unp37336256.tmp: (deleted)

Trojan.Linkoptimizer has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 55800
The number of deleted threat files: 9
The number of threat processes terminated: 0
The number of threat threads terminated: 0
The number of registry entries fixed: 0

Smjert

Se hai cancellato i file che ti ho segnato per sicurezza fai una scansione online con Kaspersky, con database esteso
(dopo che ha scaricato gli aggiornamenti appare il pulsante Next,
premilo poi premi Scan Settings e spunta la voce Extended, dai ok e inizia la scansione scegliendo My Computer).

Alla fine salva il report con il pulsante Save Report As, posta quindi il suo contenuto.

DarkAngel · Mortale devoto Registrato: 27/10/06 13:53 Messaggi: 10

Ho cancellato tutti i file segnalati tranne system32 e il virus è sparito Smile

Cmq faccio uns scansione con kaspersky
!

Smjert

Spero sia stato un "mistyping" (errore di battitura) o meglio un lapsus.
Intendevi service32.exe vero?

DarkAngel · Mortale devoto Registrato: 27/10/06 13:53 Messaggi: 10

si scusa service32...ho sbagliato a scrivere Confused

Smjert

Ehm cmq sei sicuro al 100% ? è molto strano che si autodistrugga (cose che pochi malware fanno.. e non mi risulta che il clicker sia tra questi) dovrebbe stare in C:\Windows

DarkAngel · Mortale devoto Registrato: 27/10/06 13:53 Messaggi: 10

io il servece32 nn riesco a toglierlo...

Smjert

Con "Non riesco a toglierlo" intendi che ti è impossibile cancellarlo perchè non te lo permette? (dovresti provare a cancellarlo in Modalità Provvisoria).

DarkAngel · Mortale devoto Registrato: 27/10/06 13:53 Messaggi: 10

si mi dice che è impossibile cancellarlo...ok lo cancellerò in modalità provvisoria Smile

Smjert

Ma te l'avevo scritto Rolling Eyes

anche gli altri file erano da cancellare in Modalità Provvisoria (Non te lo lascia cancellare perchè è in esecuzione).

DarkAngel · Mortale devoto Registrato: 27/10/06 13:53 Messaggi: 10

Smjert

Meglio così.. però ne ho dimenticato uno (cioè nella lista ne ho messo uno di quelli nuovi, che sono stati associati a lui recentemente e ne ho dimenticato uno vecchio... mannaggia a me!) cerca ancora spoolsv32.dll.
Fatti poi la scansione con Kaspersky.