AESSENET.ORG - Forum Forum di aessenet

Problema malware (almeno credo...)

  • Messaggi
  • OFFLINE
    Alex03
    Post: 268
    Utente Senior
    00 14/12/2008 13:08
    Accendo il pc e mi ritrovo il seguente messaggio:



    oltre al fatto che Firefox si blocca mentre per aprire Explorer devo penare un bel pò perchè mi dà schermate bianche per tre/quattro volte prima di avviarsi regolarmente. Oltre questo, quando si apre un'altra finestra automaticamente (sempre bianca "www.pancolp.com") se prima non la chiudo non riparte...
    Faccio una scansione con Spybot S&D in modalità provvisoria, elimino i problemi individuati e riavvio in modalità ordinaria. Mi ritrovo i due messaggi di prima più questo:



    Nego la modifica e stavolta Firefox funziona mentre Explorer non và. Ma la cosa è passeggera perchè fra poco il problema si ripresenterà dall'inizio.

    Ecco il log di HijackThis fatto subito dopo la scansione con S&D:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12.52.15, on 14/12/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Bonjour\mDNSResponder.exe
    C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Programmi\Eset\nod32krn.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Eset\nod32kui.exe
    C:\Programmi\Unlocker\UnlockerAssistant.exe
    C:\WINDOWS\system32\TPSMain.exe
    C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
    C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
    C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
    C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
    C:\Programmi\SigmaTel\Driver audio di SigmaTel AC97\stacmon.exe
    C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programmi\QuickTime\qttask.exe
    C:\Programmi\ltmoh\Ltmoh.exe
    C:\Programmi\iTunes\iTunesHelper.exe
    C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
    C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\WINDOWS\System32\00THotkey.exe
    C:\Programmi\TOSHIBA\TouchED\TouchED.Exe
    C:\Programmi\iPod\bin\iPodService.exe
    C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
    C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\TPSBattM.exe
    C:\Programmi\Messenger\msmsgs.exe
    C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
    C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
    C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
    C:\Documents and Settings\Alessandro\Documenti\+PROGRAMMI\Hijackthis\hijackthis 2.0.2\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O1 - Hosts: 205.238.40.2 www.winmx.com
    O1 - Hosts: 205.238.40.2 err.winmx.com
    O1 - Hosts: 209.67.209.50 test3201.winmx.com test3203.winmx.com test3205.winmx.com test3207.winmx.com
    O1 - Hosts: 82.43.224.20 test3202.winmx.com test3204.winmx.com test3206.winmx.com test3208.winmx.com
    O1 - Hosts: 209.67.209.50 c3310.z1301.winmx.com c3310.z1302.winmx.com c3310.z1303.winmx.com c3310.z1304.winmx.com c3310.z1305.winmx.com c3310.z1306.winmx.com c3312.z1301.winmx.com c3312.z1302.winmx.com c3312.z1303.winmx.com c3312.z1304.winmx.com c3312.z1305.winmx.com c3312.z1306.winmx.com c3314.z1301.winmx.com c3314.z1302.winmx.com c3314.z1303.winmx.com c3314.z1304.winmx.com c3314.z1305.winmx.com c3314.z1306.winmx.com c3316.z1301.winmx.com c3316.z1302.winmx.com c3316.z1303.winmx.com c3316.z1304.winmx.com c3316.z1305.winmx.com c3316.z1306.winmx.com c3318.z1301.winmx.com c3318.z1302.winmx.com c3318.z1303.winmx.com c3318.z1304.winmx.com c3318.z1305.winmx.com c3318.z1306.winmx.com
    O1 - Hosts: 212.227.64.159 c3313.z1301.winmx.com c3313.z1302.winmx.com c3313.z1303.winmx.com c3313.z1304.winmx.com c3313.z1305.winmx.com c3313.z1306.winmx.com c3317.z1301.winmx.com c3317.z1302.winmx.com c3317.z1303.winmx.com c3317.z1304.winmx.com c3317.z1305.winmx.com c3317.z1306.winmx.com
    O1 - Hosts: 82.195.155.5 c3311.z1301.winmx.com c3311.z1302.winmx.com c3311.z1303.winmx.com c3311.z1304.winmx.com c3311.z1305.winmx.com c3311.z1306.winmx.com c3315.z1301.winmx.com c3315.z1302.winmx.com c3315.z1303.winmx.com c3315.z1304.winmx.com c3315.z1305.winmx.com c3315.z1306.winmx.com
    O1 - Hosts: 82.43.224.20 c3319.z1301.winmx.com c3319.z1302.winmx.com c3319.z1303.winmx.com c3319.z1304.winmx.com c3319.z1305.winmx.com c3319.z1306.winmx.com
    O1 - Hosts: 209.67.209.50 c3520.z1301.winmx.com c3520.z1302.winmx.com c3520.z1303.winmx.com c3520.z1304.winmx.com c3520.z1305.winmx.com c3520.z1306.winmx.com c3522.z1301.winmx.com c3522.z1302.winmx.com c3522.z1303.winmx.com c3522.z1304.winmx.com c3522.z1305.winmx.com c3522.z1306.winmx.com c3524.z1301.winmx.com c3524.z1302.winmx.com c3524.z1303.winmx.com c3524.z1304.winmx.com c3524.z1305.winmx.com c3524.z1306.winmx.com c3526.z1301.winmx.com c3526.z1302.winmx.com c3526.z1303.winmx.com c3526.z1304.winmx.com c3526.z1305.winmx.com c3526.z1306.winmx.com c3528.z1301.winmx.com c3528.z1302.winmx.com c3528.z1303.winmx.com c3528.z1304.winmx.com c3528.z1305.winmx.com c3528.z1306.winmx.com
    O1 - Hosts: 212.227.64.159 c3523.z1301.winmx.com c3523.z1302.winmx.com c3523.z1303.winmx.com c3523.z1304.winmx.com c3523.z1305.winmx.com c3523.z1306.winmx.com c3527.z1301.winmx.com c3527.z1302.winmx.com c3527.z1303.winmx.com c3527.z1304.winmx.com c3527.z1305.winmx.com c3527.z1306.winmx.com
    O1 - Hosts: 82.195.155.5 c3521.z1301.winmx.com c3521.z1302.winmx.com c3521.z1303.winmx.com c3521.z1304.winmx.com c3521.z1305.winmx.com c3521.z1306.winmx.com c3525.z1301.winmx.com c3525.z1302.winmx.com c3525.z1303.winmx.com c3525.z1304.winmx.com c3525.z1305.winmx.com c3525.z1306.winmx.com
    O1 - Hosts: 82.43.224.20 c3529.z1301.winmx.com c3529.z1302.winmx.com c3529.z1303.winmx.com c3529.z1304.winmx.com c3529.z1305.winmx.com c3529.z1306.winmx.com
    O2 - BHO: (no name) - {15761ae4-588d-4016-b784-59874f2a65be} - C:\WINDOWS\system32\bosurezo.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programmi\Xi\NetTransport 2\NTIEHelper.dll
    O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
    O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
    O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
    O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programmi\SigmaTel\Driver audio di SigmaTel AC97\stacmon.exe
    O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
    O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
    O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
    O4 - HKLM\..\Run: [TouchED] C:\Programmi\TOSHIBA\TouchED\TouchED.Exe
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
    O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
    O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM\..\Run: [PWRISOVM.EXE] H:\PowerISO\PWRISOVM.EXE
    O4 - HKLM\..\Run: [CPM47e597a1] Rundll32.exe "c:\windows\system32\lijuhidi.dll",a
    O4 - HKLM\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s
    O4 - HKLM\..\Run: [44d6a43d] rundll32.exe "C:\WINDOWS\system32\wukoraga.dll",b
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
    O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO DI RETE')
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Nod32.bat
    O4 - Global Startup: Reboot.exe
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Salva oggetto con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddLink.html
    O8 - Extra context menu item: Salva tutti gli oggetti con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddList.html
    O8 - Extra context menu item: Save Flash - res://C:\Programmi\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programmi\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} -
    O17 - HKLM\System\CCS\Services\Tcpip\..\{890B8D8A-80F9-499B-BB61-0E413CEFB07B}: NameServer = 80.17.212.208,151.99.125.1
    O20 - AppInit_DLLs: c:\windows\system32\divimuvo.dll c:\windows\system32\monigula.dll c:\windows\system32\latavija.dll c:\windows\system32\jamamafo.dll C:\WINDOWS\system32\towefuzu.dll c:\windows\system32\raromozo.dll c:\windows\system32\mifolole.dll c:\windows\system32\lijuhidi.dll
    O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lijuhidi.dll (file missing)
    O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lijuhidi.dll (file missing)
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    --
    End of file - 12282 bytes

    Faccio l'analisi sul sito ed immagino di dover fixare le seguenti voci:

    O2 - BHO: (no name) - {15761ae4-588d-4016-b784-59874f2a65be} - C:\WINDOWS\system32\bosurezo.dll

    O4 - HKLM\..\Run: [CPM47e597a1] Rundll32.exe "c:\windows\system32\lijuhidi.dll",a

    O4 - HKLM\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s

    O4 - HKLM\..\Run: [44d6a43d] rundll32.exe "C:\WINDOWS\system32\wukoraga.dll",b

    O4 - HKUS\S-1-5-19\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO LOCALE')

    O4 - HKUS\S-1-5-20\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO DI RETE')

    O20 - AppInit_DLLs: c:\windows\system32\divimuvo.dll c:\windows\system32\monigula.dll c:\windows\system32\latavija.dll c:\windows\system32\jamamafo.dll C:\WINDOWS\system32\towefuzu.dll c:\windows\system32\raromozo.dll c:\windows\system32\mifolole.dll c:\windows\system32\lijuhidi.dll

    O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lijuhidi.dll (file missing)

    O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lijuhidi.dll (file missing)

    Suggerimenti? [SM=x53911]
  • OFFLINE
    boyuniversity
    Post: 12.702
    Maestro
    00 14/12/2008 19:08
    elimina tutti gli 01 host inerenti a winmx

    poi

    O2 - BHO: (no name) - {15761ae4-588d-4016-b784-59874f2a65be} - C:\WINDOWS\system32\bosurezo.dll

    O4 - HKLM\..\Run: [44d6a43d] rundll32.exe "C:\WINDOWS\system32\wukoraga.dll",b

    O4 - HKLM\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s

    O4 - HKLM\..\Run: [CPM47e597a1] Rundll32.exe "c:\windows\system32\lijuhidi.dll",a

    O4 - HKUS\S-1-5-19\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO LOCALE')

    O4 - HKUS\S-1-5-20\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO DI RETE')


    O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lijuhidi.dll (file missing)

    O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\lijuhidi.dll (file missing)


    poi sempre in provvisoria fai scansioni con antivirus ancora antispy e pulisci bene il disco poi rifai una volta fatto tutto un nuovo log
  • OFFLINE
    Alex03
    Post: 268
    Utente Senior
    00 15/12/2008 14:34
    Ecco il nuovo log:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14.32.20, on 15/12/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Bonjour\mDNSResponder.exe
    C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Programmi\Eset\nod32krn.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\Eset\nod32kui.exe
    C:\Programmi\Unlocker\UnlockerAssistant.exe
    C:\WINDOWS\system32\TPSMain.exe
    C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
    C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
    C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
    C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
    C:\Programmi\SigmaTel\Driver audio di SigmaTel AC97\stacmon.exe
    C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programmi\QuickTime\qttask.exe
    C:\Programmi\ltmoh\Ltmoh.exe
    C:\Programmi\iTunes\iTunesHelper.exe
    C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
    C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\WINDOWS\System32\00THotkey.exe
    C:\Programmi\iPod\bin\iPodService.exe
    C:\Programmi\TOSHIBA\TouchED\TouchED.Exe
    C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
    C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
    C:\WINDOWS\system32\TPSBattM.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
    C:\Programmi\Messenger\msmsgs.exe
    C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
    C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
    C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
    C:\Documents and Settings\Alessandro\Documenti\+PROGRAMMI\Hijackthis\hijackthis 2.0.2\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: (no name) - {15761ae4-588d-4016-b784-59874f2a65be} - C:\WINDOWS\system32\bosurezo.dll (file missing)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programmi\Xi\NetTransport 2\NTIEHelper.dll
    O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
    O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
    O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
    O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programmi\SigmaTel\Driver audio di SigmaTel AC97\stacmon.exe
    O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
    O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
    O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
    O4 - HKLM\..\Run: [TouchED] C:\Programmi\TOSHIBA\TouchED\TouchED.Exe
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
    O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
    O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM\..\Run: [PWRISOVM.EXE] H:\PowerISO\PWRISOVM.EXE
    O4 - HKLM\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\kegezadu.dll",s
    O4 - HKLM\..\Run: [44d6a43d] rundll32.exe "C:\WINDOWS\system32\wukoraga.dll",b
    O4 - HKLM\..\Run: [CPM47e597a1] Rundll32.exe "c:\windows\system32\jokigaju.dll",a
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
    O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
    O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO DI RETE')
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Nod32.bat
    O4 - Global Startup: Reboot.exe
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Salva oggetto con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddLink.html
    O8 - Extra context menu item: Salva tutti gli oggetti con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddList.html
    O8 - Extra context menu item: Save Flash - res://C:\Programmi\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programmi\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} -
    O17 - HKLM\System\CCS\Services\Tcpip\..\{890B8D8A-80F9-499B-BB61-0E413CEFB07B}: NameServer = 80.17.212.208,151.99.125.1
    O20 - AppInit_DLLs: c:\windows\system32\divimuvo.dll c:\windows\system32\monigula.dll c:\windows\system32\latavija.dll c:\windows\system32\jamamafo.dll C:\WINDOWS\system32\towefuzu.dll c:\windows\system32\raromozo.dll c:\windows\system32\mifolole.dll c:\windows\system32\lijuhidi.dll
    O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file)
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    --
    End of file - 8997 bytes
  • OFFLINE
    |VaLeNTiNa|
    Post: 1.476
    Veterano
    Moderatore
    00 15/12/2008 17:29
    SICUREZZA e RETI

    Per questioni di spazio e ordine, occorre evitare di postare sistematicamente (ad ogni minimo e infondato sospetto, rallentamento o solo per sicurezza) lunghi resoconti (log) del noto programma HiJackThis, allo scopo di chiedere ad altri utenti un'interpretazione dello stesso.
    Esiste un apposito sito in cui copia-incollare il proprio log e riceverne una valida analisi, per chi non conosce processi e componenti di sistema o non è in grado di interpretarli correttamente, e gli utenti sono incoraggiati ad usarlo.

    Successivamente, sono altresì consentiti commenti e richieste di chiarimenti specifici su voci dubbie o controverse, o che hanno dato risultato di allerta (per esempio, un processo del tutto sconosciuto, un virus o presunto tale), copia-incollando solo la parte specifica e non l'intero log.

    Grazie [SM=x53911]


    Così la mattina ti svegli e niente è più fermo,e nella perfezione non c'è più alcun riparo.
    Il giorno non scorre più per conto suo,ma lo devi attraversare tutt'intero com'è.
    Ti butti nel giorno a nuoto come se fosse un mare.
    E' così:un mare che ti si para davanti ineluttabile,visto che alle tue spalle non c'è che una nuova rinuncia
  • OFFLINE
    boyuniversity
    Post: 12.703
    Maestro
    00 15/12/2008 18:36
    allora togli

    O2 - BHO: (no name) - {15761ae4-588d-4016-b784-59874f2a65be} - C:\WINDOWS\system32\bosurezo.dll (file missing)

    O4 - HKLM\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\kegezadu.dll",s

    O4 - HKLM\..\Run: [44d6a43d] rundll32.exe "C:\WINDOWS\system32\wukoraga.dll",b

    O4 - HKLM\..\Run: [CPM47e597a1] Rundll32.exe "c:\windows\system32\jokigaju.dll",a

    O4 - HKUS\S-1-5-19\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO LOCALE')

    O4 - HKUS\S-1-5-20\..\Run: [lazamupiye] Rundll32.exe "C:\WINDOWS\system32\muwatibi.dll",s (User 'SERVIZIO DI RETE')

    O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - (no file)

    fai una cosa

    vai qua e dopo averli cercati prima sul tuo pc inserisci :

    a)muwatibi.dll

    b)wukoraga.dll

    c)jokigaju.dll

    d)kegezadu.dll

    aspetti che ti esca il report e se esce che è un virus prendi il nome dei virus e me li scrivi
  • OFFLINE
    Alex03
    Post: 269
    Utente Senior
    00 15/12/2008 22:01
    Ho provato subito a fare una ricerca dei file tramite la funzione, questo è ciò che viene fuori:

    Kegezadu.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx25.zip
    kegazadu.dll_old C:\WINDOWS\System32

    jokigaju.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx55.zip

    wokogara.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx37.zip

    muwatibi.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx34.zip

    come vedi, quelli che mi avevi detto di cercare si trovano all'interno di un file zip quindi non riesco ad inserirli nel sito per l'analisi...
  • OFFLINE
    Mr Moonlight
    Post: 3.236
    Maestro
    00 15/12/2008 22:39
    Piu' che un malware mi pare una giungla di robaccia...

    Ciao
    [SM=x53911]



    La vita è quello che ci accade mentre siamo impegnati in tutt'altre cose (John Winston Lennon)


  • OFFLINE
    Alex03
    Post: 270
    Utente Senior
    00 15/12/2008 23:44
    L'avevamo notato...
  • OFFLINE
    boyuniversity
    Post: 12.705
    Maestro
    00 16/12/2008 00:09
    Re:
    Alex03, 15/12/2008 22.01:
    Ho provato subito a fare una ricerca dei file tramite la funzione, questo è ciò che viene fuori:

    Kegezadu.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx25.zip
    kegazadu.dll_old C:\WINDOWS\System32

    jokigaju.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx55.zip

    wokogara.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx37.zip

    muwatibi.dll C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Virtumondeprx34.zip

    come vedi, quelli che mi avevi detto di cercare si trovano all'interno di un file zip quindi non riesco ad inserirli nel sito per l'analisi...



    vai su spybot->ripristina->dovrebbero uscirti quei nomi->elimina definitivamente voci selezione(ovviamente prima di schiacciarlo devi spuntare le voci)

    il problema è Virtumondeprx ossia "Virtumonde.prx is a generic detection for trojans that can download and install rogue security application on computers. It can also modify internet browser default homepage."

    questo è un grandissimo rompic...

    consigliato questo software

    Malwarebytes Anti-Malware

    da usare dopo averlo aggiornato in modalità provvisoria

    poi vai sempre sul cerca del pc e trovi e cancella Virtumonde.prx

    qua
    hai dove si mette nel registro (togli tutte le voci che trovi sul tuo registro indicate nel link)

    è molto tosto devi aver pazienza




  • OFFLINE
    Alex03
    Post: 271
    Utente Senior
    00 19/12/2008 19:27
    In ripristina di Spybot trovo: Microsoft.WindowsSecurityCenter.FirewallBypass, Win32.Dialer.aeh,Virtumonde,Virtumonde.prx,Win32.Bifrose.LA. Cancello tutto?

    Come si fà l'aggiornamento di Malwarebytes in modalità provvisoria?

    La parte relativa al registro: quelle contrassegnate con HKEY_LOCAL, HKEY_USERS e HKEY_CLASSESS devo andare a cercarle nel registro seguendo il percorso indicato mentre la parte finale, quelli scritti dopo "The program also..." si trovano nell'HD? Tutto questo in modalità provvisoria oppure posso farlo in modalità normale?
  • OFFLINE
    boyuniversity
    Post: 12.721
    Maestro
    00 20/12/2008 00:17
    Re:
    Alex03, 19/12/2008 19.27:
    In ripristina di Spybot trovo: Microsoft.WindowsSecurityCenter.FirewallBypass, Win32.Dialer.aeh,Virtumonde,Virtumonde.prx,Win32.Bifrose.LA. Cancello tutto?

    Come si fà l'aggiornamento di Malwarebytes in modalità provvisoria?

    La parte relativa al registro: quelle contrassegnate con HKEY_LOCAL, HKEY_USERS e HKEY_CLASSESS devo andare a cercarle nel registro seguendo il percorso indicato mentre la parte finale, quelli scritti dopo "The program also..." si trovano nell'HD? Tutto questo in modalità provvisoria oppure posso farlo in modalità normale?




    Spybot trovo: Microsoft.WindowsSecurityCenter.FirewallBypass, Win32.Dialer.aeh,Virtumonde,Virtumonde.prx,Win32.Bifrose.LA. Cancello tutto?


    certo

    Come si fà l'aggiornamento di Malwarebytes in modalità provvisoria?


    quando vai in mod provvisoria usa l'opzione connesso alla rete( ma fai prima aad aggiornarlo da mod normale e poi usarlo già aggiornato in mod provvisoria)


    La parte relativa al registro: quelle contrassegnate con HKEY_LOCAL, HKEY_USERS e HKEY_CLASSESS devo andare a cercarle nel registro seguendo il percorso indicato mentre la parte finale, quelli scritti dopo "The program also..." si trovano nell'HD? Tutto questo in modalità provvisoria oppure posso farlo in modalità normale?


    esatto e fallo da modalità normale
    [Modificato da boyuniversity 20/12/2008 00:18]
  • OFFLINE
    Alex03
    Post: 272
    Utente Senior
    00 25/12/2008 16:10
    Ultima cosa poi parto all'attacco... [SM=x53914] ho installato ed aggiornato Malwarebytes Anti-Malware però ogni volta che riavvio Spybot S&D mi segnala questa cosa:



    che devo fare?
  • OFFLINE
    boyuniversity
    Post: 12.734
    Maestro
    00 25/12/2008 19:13
    Re:
    Alex03, 25/12/2008 16.10:
    Ultima cosa poi parto all'attacco... [SM=x53914] ho installato ed aggiornato Malwarebytes Anti-Malware però ogni volta che riavvio Spybot S&D mi segnala questa cosa:



    che devo fare?



    elimina immediatamente il tea-time è una gran cazzata [SM=x53914]
  • OFFLINE
    Alex03
    Post: 273
    Utente Senior
    00 25/12/2008 21:03
    ...è anche una gran rottura!!! [SM=x53915]
    Il Tea Time sarebbe l'applicazione che segnala qualsiasi intrusione, buona o cattiva? Sarebbe quello con il simbolo del lucchetto vicino all'orologio...come si elimina? [SM=x53911]
  • OFFLINE
    boyuniversity
    Post: 12.735
    Maestro
    00 25/12/2008 23:37
    MODIFICA->MOD AVANZATA->UTILITà->RESIDENT->DISATTIVA TEA-TIME
  • OFFLINE
    Alex03
    Post: 276
    Utente Senior
    00 26/12/2008 01:01
    Grazie, provvedo subito e poi provo a fare la pulizia! [SM=x53912]
  • OFFLINE
    boyuniversity
    Post: 12.737
    Maestro
    00 26/12/2008 13:26
    Re:
    Alex03, 26/12/2008 1.01:
    Grazie, provvedo subito e poi provo a fare la pulizia! [SM=x53912]



    aspetto le news
  • OFFLINE
    Alex03
    Post: 280
    Utente Senior
    00 27/03/2009 22:02
    Sono riuscito a rimettere mano su questa cosa! Ho fatto in ordine cronologico:
    -aggiornamento di Spybot e Malwarebytes e relativa scansione prima con spybot (da cui ho cancellato tutte le voci della sezione ripristina) e poi con Malwarebytes in modalità provvisoria.
    In modalità ordinaria:
    -cerca Virtumonde.prx su disco fisso con esito negativo
    -cerca di muwatibi.dll, wukoraga.dll, jokigaju.dll, kegezadu.dll su disco fisso con esito negativo.
    Però ho trovato kegezadu.dll_old (C:\WINDOWS\system32), questa è l'analisi su virustotal:

    a-squared 4.0.0.101 2009.03.27 Packed.Win32.Mondera!IK
    AhnLab-V3 5.0.0.2 2009.03.27 -
    AntiVir 7.9.0.129 2009.03.27 TR/Vundo.Gen
    Antiy-AVL 2.0.3.1 2009.03.27 Packed/Win32.Mondera
    Authentium 5.1.2.4 2009.03.27 W32/Vundo.A!Generic
    Avast 4.8.1335.0 2009.03.26 Win32:Trojan-gen {Other}
    AVG 8.5.0.283 2009.03.27 Vundo.BZ
    BitDefender 7.2 2009.03.27 Gen:Trojan.Heur.Vundo.306D928282
    CAT-QuickHeal 10.00 2009.03.26 Win32.Packed.Mondera.b.5
    ClamAV 0.94.1 2009.03.27 Trojan.Spy-58747
    Comodo 1086 2009.03.27 -
    DrWeb 4.44.0.09170 2009.03.27 Trojan.DownLoad.12946
    eSafe 7.0.17.0 2009.03.26 Suspicious File
    eTrust-Vet 31.6.6420 2009.03.27 Win32/Vundo.BNP
    F-Prot 4.4.4.56 2009.03.26 W32/Vundo.A!Generic
    F-Secure 8.0.14470.0 2009.03.27 Packed.Win32.Mondera.b
    Fortinet 3.117.0.0 2009.03.27 -
    GData 19 2009.03.27 Gen:Trojan.Heur.Vundo.306D928282
    Ikarus T3.1.1.48.0 2009.03.27 Packed.Win32.Mondera
    K7AntiVirus 7.10.683 2009.03.27 -
    Kaspersky 7.0.0.125 2009.03.27 Packed.Win32.Mondera.b
    McAfee 5565 2009.03.26 Vundo.gen.q
    McAfee+Artemis 5565 2009.03.26 Vundo.gen.q
    McAfee-GW-Edition 6.7.6 2009.03.27 Trojan.Vundo.Gen
    Microsoft 1.4502 2009.03.27 Trojan:Win32/Vundo.gen!AH
    NOD32 3969 2009.03.27 a variant of Win32/Adware.Virtumonde.NDN
    Norman 6.00.06 2009.03.27 W32/Virtumonde.AGNU
    nProtect 2009.1.8.0 2009.03.27 Trojan-PWS/W32.WebGame.65132.B
    Panda 10.0.0.10 2009.03.27 -
    PCTools 4.4.2.0 2009.03.27 -
    Prevx1 V2 2009.03.27 Medium Risk Malware
    Rising 21.22.41.00 2009.03.27 Trojan.Win32.VUNDO.bym
    Sophos 4.40.0 2009.03.27 Troj/Virtum-Gen
    Sunbelt 3.2.1858.2 2009.03.26 Virtumonde
    Symantec 1.4.4.12 2009.03.27 Trojan.Vundo
    TheHacker 6.3.3.7.292 2009.03.26 -
    TrendMicro 8.700.0.1004 2009.03.27 Mal_Vundo11
    VBA32 3.12.10.1 2009.03.26 -
    ViRobot 2009.3.27.1666 2009.03.27 -
    Informazioni addizionali
    File size: 65315 bytes
    MD5...: 0dcd9f375e26e15802755b697e9f60f8
    SHA1..: 044a279f61653e72a70bed3cbae272e163b93f71
    SHA256: 66252a432a7d58f028964cecd70be55d7de0af08142907a9e93b2e7cab0ce362
    SHA512: 2706544aba60f3290b75809adddc9db3d395502ba966bf5881a788f6f933fb37
    533e6ee67ec668cfe0dcf926f9822067eded3a42a4a43185529fd7d1a3a011eb
    ssdeep: 1536:9gmD9lPUtdXXQPS2eBMmDboEsd5qIKP6LbKZ:9gmJNSiPWBZ3QAIKP66Z
    PEiD..: -
    TrID..: File type identification
    Win32 Executable Generic (42.3%)
    Win32 Dynamic Link Library (generic) (37.6%)
    Generic Win/DOS Executable (9.9%)
    DOS Executable Generic (9.9%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x107c
    timedatestamp.....: 0x3b7dfe99 (Sat Aug 18 05:35:21 2001)
    machinetype.......: 0x14c (I386)

    ( 5 sections )
    name viradd virsiz rawdsiz ntrpy md5
    CODE 0x1000 0x5405 0x5600 7.88 2d92eb06bbbbe37b9ac77c3880f4aab2
    .rdata 0x7000 0x681b 0x6a00 7.88 654e5f5c1b621853cf5ca038b4a999c3
    .data 0xe000 0x2fd0 0x2a00 7.97 82037360956d0cf3cfaf6030670fd432
    .rsrc 0x11000 0x410 0x600 2.46 cc50c25956a152a140858ad7769718e9
    .reloc 0x12000 0xb97b 0xa00 0.74 cba707946139aa82ea6dd6c2687a5361

    ( 4 imports )
    > user32.dll: ToAscii, FillRect
    > KERNEL32.dll: LoadLibraryW, SetHandleCount, ExitProcess, FreeEnvironmentStringsW, GetACP, GetEnvironmentStringsA, GetTimeZoneInformation, GetUserDefaultLCID, LocalFree
    > advapi32.dll: RegSetValueExW, RegCloseKey
    > comdlg32.dll: GetOpenFileNameW, GetFileTitleW

    ( 0 exports )
    RDS...: NSRL Reference Data Set
    -
    Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=19F9D12223E8B227FFA800E92FDC2B009D814F47' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=19F9D12223E8B227FFA800E92FDC2B009D814F47</a>

    Poi passo al registro:
    delle prime due righe e cioè
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"WindowsUpd" = "[ADWARE FILENAME]"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"SysUpd" = "[ADWARE FILENAME]"
    non ho capito cosa cercare, anche se "ad occhio" non mi sembra ci siano voci da eliminare (a parte la riga con /r /s). Qui c'è l'immagine del tutto:

    http://img21.imageshack.us/my.php?image=senzatitolo1bmj.jpg

    per i file da cercare quelli dell'ultima parte con il contrassegno "%" non li ho trovati sul disco fisso


  • OFFLINE
    boyuniversity
    Post: 12.871
    Maestro
    00 29/03/2009 12:23
    le voci da cancellare sono descritte qua
  • OFFLINE
    Alex03
    Post: 281
    Utente Senior
    00 07/10/2009 14:05
    Mi ero dimenticato di scrivere il risultato dell'ultima ricerca... [SM=x53911] non ho trovato le voci nel registro e, considerando che il pc non mi ha più dato problemi, ho pensato che il problema fosse risolto sopratutto grazie all'utilizzo di Malwarebytes.
    Ora, a distanza di diverso tempo ho pensato di rifare la scansione con hijackthis giusto per controllare la situazione e vedo che roba tipo raromozo.dll, lijuhidi.dll, muwatibi.dll",s sono ancora lì...posso postare il logfile per dargli un'occhiata?
1
Sicurezza & Reti
Passa alla versione desktop

  • Anteprima