Olimpo Informatico

Orange · Dio maturo Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma

E' stato segnalato in questi giorni un nuovo trojan, con effetti simili al vecchio gromozon. In pratica: l'impossibilità di usare i programmi come HijackThis, Avenger, Gmer e simili, si chiudono automaticamente le pagine browser contenenti queste parole, si trova impossibilitati di connettersi ai forum che trattano questo problema ecc, ecc...
Il trojan, come il vecchio gromozon, ha anche funzioni di dialer.
Il file, una volta eseguito, crea una copia di sé stesso sotto la directory di sistema di Windows con un nome casuale e viene eseguito all?avvio del sistema, grazie all?aggiunta della chiave di registro:
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato]
In questa maniera il trojan parte con il caricamento di explorer.exe. Vengono modificati i permessi di accesso alla chiave di registro in modo tale da renderne più difficile la rimozione. Una volta caricato s?inietta all?interno di explorer.exe e crea un thread in cui fa una scansione delle finestre aperte sul desktop e ne controlla i titoli.
Se il titolo contiene una delle parole presenti in un elenco contenuto all?interno del codice malevolo, il trojan ricava il PID del processo relativo alla finestra in questione e termina l?esecuzione del programma.
Fortunatamente, non sono presenti funzionalitá di rootkit, quindi la rimozione risulta essere più semplice.

si può usare questa procedura di rimozione manuale:
scaricare questo tool e decomprimerlo sul desktop

aprire TaskManager (ctrl-alt-canc) e terminare il processo explorer.exe (scompare il desktop, ma è normale)
aprire il registro (Start/Esegui digitare regedit/OK)
portarsi alla seguente chiave
HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
individuare nella finestra di destra il valore aggiunto all?explorer.exe e segnate il percorso completo.
sempre attraverso task manager lanciare Avenger
Una volta eseguito, cliccare sulla voce ?Input script manually? e poi sull?icona della lente di ingrandimento. Vi si aprirà una finestra, copiateci quello che è scritto qui sotto

Michy77 · Inviato: 11 Apr 2007 22:27 Oggetto:

Salve! Credo di aver beccato qualcosa del genere perchè i sintomi ci sono tutti...avevo postato il problema in "Connettività", ma a questo punto trova conferma il dubbio che avevo in origine, e cioè quello di aver beccato qualche schifezza...
Premetto che antivirus e antispyware vari non segnalano nulla: però non riesco a lanciare nessuno dei programmi per rilevare i processi attivi, e se cerco forum o siti dai quali poter scaricare i suddetti programmi mi si chiudono istantaneamente sia explorer sia Mozilla...
Ho provato a fare la procedura segnalata, ma nella cartella HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
non trovo nessun explorer.exe.
Un altro degli effetti collaterali è che mi si interrompe il colegamento dell'ADSL e appena salta il collegamento accanto al modem solito ne compare un altro che cerca di connettermi ad un numero. Questo però dura solo pochi secondi, quindi scompare.

nexen · Mortale devoto Registrato: 18/04/07 21:36 Messaggi: 11

Salve ragazzi, anche a me capita da qualche tempo questo problema, ho provato a seguire le tue indicazioni di entrare nella chiave di registro che indichi, ma non trovo la voce explorer.exe
Anche con Avenger che ho scaricato mi da lo stesso risultato di quando cerco di mettere in funzione Hijack...
C'è qualche altro metodo o tool che non sia 'segnato' da questo trojan o qualunque cosa sia?... Confused

per piacere un aiutino...

Orange · Inviato: 19 Apr 2007 07:21 Oggetto:

ciao, nexen e benvenuto nel forum Ciao

nexen · Mortale devoto Registrato: 18/04/07 21:36 Messaggi: 11

Grazie mille Orange! In coda a c:\windows\system32\userinit.exe, c'era c:\windows\CorelMonitor.exe,
Come lo ho cancellato hijackthis è ripartito senza problemi. Comunque ho seguito anche le istruzioni riguardo killbox e non c'erano utenze strane nelle password di accesso. Adesso sembra che tutto funziona bene. Mi avete fatto rinascere!! Very Happy

favanto · Mortale devoto Registrato: 06/05/07 12:01 Messaggi: 18

Orange · Dio maturo Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma

favanto · Mortale devoto Registrato: 06/05/07 12:01 Messaggi: 18

Orange · Dio maturo Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma

premetto che si deve prestare sempre la massima attenzione nel maneggiare il registro...
però in questo caso la sottochiave explorer.exe in condizioni "normali" non esiste nel PC e perciò la puoi cancellare senza paura Very Happy

favanto · Mortale devoto Registrato: 06/05/07 12:01 Messaggi: 18

Orange · Dio maturo Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma

favanto · Mortale devoto Registrato: 06/05/07 12:01 Messaggi: 18

favanto · Mortale devoto Registrato: 06/05/07 12:01 Messaggi: 18

favanto · Mortale devoto Registrato: 06/05/07 12:01 Messaggi: 18

Orange · Dio maturo Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma

ciao!
scusami tu -- sono stata un'pò assente questi giorni... Rolling Eyes

ti rimangono sempre quelle due voci da fixare:
O4 - HKLM\..\Run: [phewv] "C:\DOCUME~1\ANTONI~1\IMPOST~1\Temp\1160625.exe"
O4 - HKCU\..\Run: [phewv] "C:\DOCUME~1\ANTONI~1\IMPOST~1\Temp\1160625.exe"
hai disattivato il ripristino di configurazione?
hai fatto la pulizia con CCleaner come consigliato?

P.S. puoi usare il tasto "Rispondi", invece di "Riporta". I tuoi messaggi saranno molto più "leggibili" Wink

MFDONIANO · Mortale adepto Registrato: 11/05/07 23:24 Messaggi: 34

Per la verita' il ripristino di cofigurazione al mio pc era gia' disattivato,
la pulizia con ccleaner l'ho fatta la sera precedente all'operazione,pero',ti ripeto,in modalita' provvisoria mi da solo la prima delle 2 voci,la elimino,rifaccio la scansione con hijackthis,ed e' tutto a posto,spengo, riaccendo il pc in modalita' normale,e mi riappaiono le 2 voci da eliminare.

Orange · Dio maturo Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma

favanto · Mortale devoto Registrato: 06/05/07 12:01 Messaggi: 18

Perdonami Orange,purtroppo scrivendoti da casa,involontariamente,ho usato l'altro nick.
ho esguito l'operazione che mi hai descritto non in modalita provvisoria,e per il mommento nel log che ti ho inviato sembra tutto OK.
Grazie ed ancora SCUSA. Sad

:Logfile of HijackThis v1.99.1
Scan saved at 21.08.06, on 17/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\VM303_STI.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [kis] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: LG SyncManager.lnk = C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
O8 - Extra context menu item: Aggiungi a Kaspersky Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {64F2AAC0-5677-4B53-99D0-E0CB73E7C95C} (SmartCardReader.UCSmartCardReader) - https://reseller.indexpoint.it/DWL/SmartCardReader.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - http://eu.ntrsupport.com/inquiero/mod/setup/ntractivex118_24.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

( Sad

Orange · Dio maturo Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma

favanto · Mortale devoto Registrato: 06/05/07 12:01 Messaggi: 18

[size=26size]

Tutto OK.In verita ho conosciuto pochi forum cosi' gentile e tempestivi nella risoluzione dei problemi ,di gente che neanche conoscete.

GRAZIEEEE!!!! .

Dimenticavo sei un GRANDE!