Olimpo Informatico

[youtoo78]

Scusate se riposto qui, ma credo di aver sbagliato thread prima



Salve a tutti, sono nuovo del Forum, spero di poter innaugurare la mia presenza risolven do un problema con cui ho a che fare da un paio di giorni, purtroppo non sul mio pc ma su quello di un cliente, per cui opero in teleassistenza con net meeting, e tutto diventa più complicato.
La signorina impiegata, ha scaricato qualche programmino da interne, del tipo game- casinò on line, e disgrazie varie.
Ho provveduto a rimuoverli, e a far aggiornare l'antivirus.
L'antivirus è un Trend Micro Office Scan. Una volta aggiornato l'antivirus rileva la presenza di un possibile malwere centinaia di volte sempre sullo stesso file.
Il file in questione era il ddayx.dll e stava dentro la system32 di windows xp.
Ho cercato in giro per i forum ed ho fatto diversi tentativi. Ho utilizzato nell'ordine:
- Vundofix.exe - questi trova il file, anzi ne trova diversi, prova ad eliminarli, ma il risultato è negativo, ossia dice che li eliminerà al riavvio di windows ma niente non ce la fa e a questo punto continuo a cercare e trovo un'altra utility
- Combofix.exe - eseguo questa che lavora su cmd, sembra andare tutto a nozze, ovvero l'utility sembra cancellare i file malevoli, fa una serie di operazioni e mi chiede di riavviare la macchina, fatto questo al riavvio lancio Vundofix.exe e questi mi trova degli altri malwere che stavolta si chiamano diversamente (yayabxu.dll), rifaccio la scansione con combofix e sembra eliminarli tutti, ma cosi non è infatti al riavvio...non mi dilungo, il file che mi ritrovo adesso è gebcy.dll.
Ho usato anche ad-aware, HijackThis, unlocker, ma niente c'è qualcosa su esecuzione automatica che ogni volta che si avvia la macchina se io provvedo a disabilitarla cambia nome ed esegue comunque il malware.

Potete aiutarmi ?
sono disperato, sinceramente mi scoccia fare 300 km per andare a formattare la macchina per un malwere.

Help me

[youtoo78]

Logfile of HijackThis v1.99.1
Scan saved at 20:20, on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\it-it\bin\WindowsSearch.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\it-it\bin\WindowsSearchIndexer.exe
C:\Programmi\NetMeeting\conf.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rsvp.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programmi\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Programmi\Trend Micro\OfficeScan Client\PCCNTMON.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Administrator\Desktop\virus\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\yayabxu.dll
O2 - BHO: (no name) - {808E3BF0-5DBF-4CB3-95CF-21AA5C57AEC9} - C:\WINDOWS\system32\gebcy.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\system32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\it-it\bin\WindowsSearch.exe
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/230?893b96d091c4456eb5d8a1252b162a5b
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/229?893b96d091c4456eb5d8a1252b162a5b
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register3.valueactive.com/323/webolr/OCX/FlashAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C07E410F-574B-4B7C-AEC5-D927D33AFC8F}: NameServer = 10.10.0.4,217.22.209.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: gebcy - C:\WINDOWS\system32\gebcy.dll
O20 - Winlogon Notify: yayabxu - C:\WINDOWS\SYSTEM32\yayabxu.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe




Questo può essere utile?

[Orange]

ma benvenuto

bhe, visto che hai già provato i metodi più ovvi, proviamo con altri:
segui per favore le indicazioni di questo thread e posta un log di SystemScan.

[youtoo78]

link

ecco.. il file l'ho zippato io perchè il programma non lo ha fatto.
Fa qualcosa...
grazie ancora per la disponibilità


vi prego aiuto

aggiungo questo perchè mi sa che il file è di 1 kb

edit by bdoriano: log rimosso perché incompleto

[Orange]

[youtoo78]

link

ecco scusate

[Orange]

scarica Avenger e scompattalo sul desktop
avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/Edit scrit copia/incolla queste righe:

[youtoo78]

ho effettuato l'operazione stamattina e questo è il risultato... la dll gebcy.dll continua ad esistere e l'antivirus, continua ad impallare la macchina


Questo è il log di Avenger


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jkscekhd

*******************

Script file located at: gugvupaf

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

[youtoo78]

ho rieseguito combofix, ha fatto tutte le operazioni di pulitura, ha rliminato la dll in questione...al riavvio il mio antivirus segnala nuovamente il vundo, e stavolta la dll maledetta è pmnnl.dll...


mi arrendo?

[Orange]

hmmmm...
prova ad eseguire l'operazione in mod. provvisoria.
usa questo script:

[youtoo78]

Questa volta ha funzionato tutto perfettamente, non so come ringraziarvi, a buon rendere.
Ho fatto una scansione di tutto il sistema con i vari tools e con l'antivirus e non trova più nulla

[Orange]

tieni presente che mi prendo una percentuale

contenti che hai risolto.


se ti và di presentarti alla comunità divina del Olimpo, abbiamo uno speciale comitato di accoglienza! ti aspettiamo.