Olimpo Informatico

[focault]

....Un bel giorno avast mi ha segnalato la presenza del trojan win32dialer dw e da quel momento la mia vita non è più stata la stessa
L' antivirus, infatti , non è riuscito ad eliminarlo ( si diceva impossibilitato a farlo) ; controllando se nel frattempo erano presenti nuove connessioni ne ho notata una definita genericamente "internet" anch' essa non eliminabile. Una serie di scansioni successive con avast eseguite anche in modalità provvisoria ha permesso di individuare il malware e l' eliminazione si è resa possibile. Ma ad oggi, nonostante abbia ripetutamente eseguito scansioni con avast , ad-aware, spybot search and destroy, a-squared anti dialer ( tutti regolarmente aggiornati , accade che dopo una mezz'ora dalla accensione del computer tra le connessioni di rete appaia la fantomatica connessione generica di prima e la mia linea telefonica vienga occupata da non so cosa pur da computer disconnesso ( devo fisicamente staccare il cavo telefonico per evitare ciò).
Spero mi possiate dare una mano a risolvere questa situazione che mi sta letteralmente facendo impazzire

[bdoriano]

Ciao focault,
Scarica e salva questo programma in una sua cartella non temporanea e non sul desktop.
Avvia il programma
clicca su do a system scan and save a log file
al termine, ti si apre il blocco note con il risultato della scansione
copia il contenuto e incollalo nella tua risposta così gli diamo un'occhiata.

Scarica e salva anche findawf, avvialo. Posta anche il suo log.

[focault]

Ciao bdoriano.
Ti ringrazio per la solerte risposta . Di seguito i log da controllare ( non è che si riesce a capire anche chi può avermelo inviato questo virus?

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16.05.53, on 02/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\Canon\MultiPASS4\MPTBox.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Programmi\MarkAny\ContentSafer\MAAgent.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Garmin\gStart.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\applicazioni\internet\firefox\firefox.exe
C:\Hjiack\HiJackThis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programmi\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [MPTBox] C:\Programmi\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SMSTray] C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [MAAgent] C:\Programmi\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [OM_Monitor] C:\Programmi\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [SpywareBot] C:\Programmi\SpywareBot\SpywareBot.exe -boot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [gStart] C:\Garmin\gStart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Programmi\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [SpywareBot] C:\Programmi\SpywareBot\SpywareBot.exe -boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MpService - Canon Inc. - C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10145 bytes



Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

[Orange]

ciao.

ti consiglierei di disinstallare SpywareBot, non risulta essere molto "affidabile"...

prova a dare una passata con VirIT, nel log non ci sono tracce del dialer....

[focault]

Spybot disinstallato e fatta la scansione con VIRIT : il risultato è che mi vengono indicati ben 6 files infetti ( alcuni dei quali situati in un percorso che non è rilevabile nel mio pc ....??)
Questi sono nell?ordine i guai riscontrati
possibile variante da trojan win 32 media pass.B
Infezione da Trojan Win.32 dialer IH
Infezione da Trojan Win32.agent.auf
Infezione da trojan Win.32 Rootkit.J
Altra infezione da Trojan Win.32 dialer IH
Infezione da trojan Win.32 Rootkit.K

Essendo passato il periodo di prova VIRIt non procede all? eliminazione: mi chiedo però se,
date le ripetute scansioni degli altri antivirus, (nel frattempo ho aggiunto una scansione con nod32 aggiornato )alle altre, questo risultato possa essere considerato attendibile

[bdoriano]

Prova ad usare Panda Active Scan. Funziona solo con Internet Explorer.
Posta qui il log che verrà generato.

Dovresti postare anche il log di VirIt.

Per sicurezza, salvali entrambi su link e posta qui i link.

[focault]

Ecco il Log di VIRIT:


Avast ha bloccato il procedimento di download su panda ; di seguito il messaggio di AVast
Nome file http://acs.pandasoftware.com/activescan/as5free/motor.cab\pskavs.D
Nome virus Win 32 Ctx

Che faccio disabilito l'antivirus?

[focault]

Pardon , non ho incollato il Log
VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
03/06/2007 - 12:06:26

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\applicazioni\video\The FilmMachine\BeSweet\BeSplit.exe Possibile variante da Trojan.Win32.MediaPass.B
C:\RECYCLER\S-1-5-21-4076784527-4167199695-1313760061-1007\Dc213.exe Infetto da Trojan.Win32.Dialer.IH
C:\WINDOWS\system32\hlpdkytb.exe Infetto da Trojan.Win32.Agent.AUF
C:\WINDOWS\system32\prn.ipt Infetto da Trojan.Win32.RootKit.J
C:\WINDOWS\Temp\pozpaa.exe Infetto da Trojan.Win32.Dialer.IH
C:\_cleaned.tmp Infetto da Trojan.Win32.RootKit.K

Chiavi Registro infette: 0.
Files Infetti: 6.
Files Sospetti: 0.
Files Analizzati: 119897.
Files Totali: 119897.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[Orange]

durante la scansione con Panda disattiva il tuo antivirus, che potrebbe impedire l'analisi e disinfezione.

una precisazione: cosa avevi disinstallato di preciso? io avevo detto SpywareBot e non SpyBot S&D.

[focault]

allego il link con il log di panda active scan
http://www.freefilehosting.net/download/MjE1Mjk3
P.s grazie Orange per la precisazione ; ho sbagliato nella fretta a scrivere ma avevo seguito alla lettera le tue indicazioni

[Orange]

non è che ha trovato molto Panda...

scarica questi due:
AVG Antirootkit
AVG Anti-Spyware

metti qui i risultati della scansione

[focault]

Ecco i risultati :

AVG anti Rootkit ha individuato 1 oggetto
C: Windows\system32\prm
questo invece il Log di AVG anti spyware :

http://www.freefilehosting.net/download/MjE1OTYw

Adesso con il dialer sembra vada meglio, solo che avg antispyware mi segnala ogni 5 minuti la presenza del Trojan.Agent .amf
in C:\ windows\system32\RASAPI32.dll

[Orange]

[focault]

Dunque ... ho fatto il log prima di procedere all'eliminazione; in ogni caso adesso faccio fare un'altra scansione e vediamo:

Tutte le volte che avg antispyware mi segnala i la presenza del Trojan.Agent .amf gli dico di metterlo in quarantena ma lui puntualmente riappare; la cosa non cambia se comando di pulire il file.

C: Windows\system32\prm non l'ho ancora eliminato ; il programma mi dice che potrebbe essere particolarmente pericoloso che faccio agisco lo stesso?

[Orange]

C:\Windows\system32\prm -- è questa la sua posizione esatta? il file non ha nessuna estensione? VirIt segnala un'altra cosa: C:\WINDOWS\system32\prn.ipt...

prima di fare qualche sbaglio: scarica Gmer e scompattalo in una sua cartella.
avvialo, seleziona tab Rootkit
clicca su Scan
al termine della scansione clicca su Copy
apri il blocco notes e con i tasti CTRL+V incolla dentro il log
caricalo su http://www.freefilehosting.net/ posta qui il link

fai anche lo scan dalla posizione Autostart (spunta la casella Show all)

[focault]

Il percorso esatto è proprio quello C:\windows\system32\prn.ipt
si tratta di un file di tipo IPT:?: di dimensioni 157 Kb

Ecco i log che ricavati dall' uso di gmer
P.S. complimenti per lo scatto di "carriera"

Rootkit : http://www.freefilehosting.net/download/MjE2NTM5

Autostart : http://www.freefilehosting.net/download/MjE2NTQx

[bdoriano]

Sbaglio o hai attivi 2 antivirus?
Mi sembra di vedere Avast e VirIt, giusto?
Hai disattivato la scansione in tempo reale di uno dei 2?

Scarica la versione aggiornata di gmer.

[focault]

......... non riesco proprio a combinarne una giusta.......


Adesso ho scaricato la versione aggiornata di gmer, scompattata in una cartella propria non nel desktop ma quando lancio il programma appare il seguente messaggio di errore: gmer device : funzione non corretta. Se do ok si apre il programma ma non mi da la possibilità di effettuare la scansione

[bdoriano]

Attiva la visualizzazione dei files nascosti e di sistema.
Spostati in C:\WINDOWS, esegui il comando gmer_uninstall.cmd.
Riavvia il pc e prova riesegui gmer

[focault]

Complimenti , adesso funziona .
Ecco i log di gmer ; spero di non aver sbagliato nulla questa volta........

Rootkit gmer http://www.freefilehosting.net/download/MjE3MTgx

Autostart gmer http://www.freefilehosting.net/download/MjE3MTgz

P.s. adesso avg antispyware mi segnala i la presenza del Trojan.Agent .amf ogni trenta secondi.........