HEUR:Trojan.W32.Generic[era:Trojan da stanare cercasi aiuto...]

Ragazzi ho un problemino sul mio pc e mi affido a voi per trovare la giusta soluzione.
Tanto per iniziare:
S.O: WinXP SP2
ANTIVIRUS: KASPERSKY 2009 Ovviamente aggiornato.

Nel pomeriggio Kaspersky rileva la presenza di HEUR:Trojan.W32.Generic, il Trojan fa capo al file presente nella directory C:\windows\system32\lhouwije.dll ma durante i tentativi di disinfezione cambia nome es: parojuse.dll ecc.
Vado a buttare l'occhio in esecuzione automatica (msconfig) ed è presente il processo parojuse cha fa capo al comando: Rundll.32.exe"C:\windows1system32\parojouse.dll",s, sul percorso: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

Questi sono i dettagli tecnici.

Vi illustro i tentativi che ho provato per stanarlo, ovviamente se sono qui è perchè non ci sono riuscito.
Intanto ho iniziato col togliere la spunta dal suddetto processo ma ai seguenti riavvii continua ad essere presente quindi si rigenera in automatico.
Ho disattivato il ripristino configurazione di sistema su tutte le unità e eseguito una scansione completa in modalità provvisoria con Kaspersky e spyboot search and destroy.
Il risultato è che Kaspersky vede il virus, non riesce a eliminarlo e mi informa che per eliminarlo occorre il riavvio del sistema.
Al successivo riavvio vado a controllare nell'utilità configurazione di sistema e il processo incriminato è sempre li, rifaccio la scansione, kaspersky individua nuovamente il file e mi chiede il riavvio per eliminarlo, in pratica mi fa fare il girotondo...

Ragazzi chiedo aiuto a voi....Boy cosa posso fare????
Grazie in anticipo

Ragazzi dopo 4 ore di lavoro dovrei aver risolto.
Rimando le spiegazioni a domani ora si è fatto tardi....

Dunque vi aggiorno sulla situazione attuale.
Ieri sera ho eseguito la scansione on-line sul sito della trendmicro più una scansione con malwarebytes tutto in modalità provvisoria.
Il sito della trend mi rileva la presenza di:
Troj_agent.med e
Troj_xpack.vf

Malwarebytes rileva a sua volta:

Trojan.vundo.h
Trojan.agent

Procedo all'eliminazione con Malwarebytes e tutto sembra andare per il meglio, mentre la procedura di eliminazione sul sito non avviene.

Riavvio il pc e controllo in esecuzione automatica dove il programma incriminato è sparito.

Non convinto poco fa riprovo la scansione sul sito trendmicro e mi rileva nuovamente i due virus segnalati sopra.

Ora sto per procedere con l'utilizzo della fixvundo e della scansione ccleaner in provvisoria poi vi aggiorno

Si accettano consigli!!!!

1)guarda nel task manager se c'è qualche file con valore anomalo

2)trova e cancella dal registro queste voci

Click Start > Run.
Type regedit

Then click OK.


Navigate to and delete the following registry entries:


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents\CLSID\"[DEFAULT VALUE]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLEvents.ATLEvents.1\CLSID\"[DEFAULT VALUE]" = "{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce\"*WinLogon = "[TROJAN FULL PATH FILE NAME] ren time:[RANDOM NUMBER]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\"*[TROJAN FILE NAME]" = "[TROJAN FULL PATH FILE NAME] rerun"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"*[TROJAN FILE NAME]" = "[TROJAN FULL PATH FILE NAME]"


Navigate to and delete the following registry subkeys:


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\ActiveState
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02F96FB7-8AF6-439B-B7BA-2F952F9E4800}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2353FCBC-012D-487B-8BF3-865C0929FBEB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATLDistrib\CLSID\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ATLDistrib.ATLDistrib.1\CLSID\
HKEY_USERS\S-1-5-21-2068663838-1736639611-1443527720-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2353FCBC-012D-487B-8BF3-865C0929FBEB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22E85F2A-4A67-4835-B2C3-C575FE4EC322}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADOUsefulNet.ADOUsefulNet.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22E85F2A-4A67-4835-B2C3-C575FE4EC322}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60}
HKEY_CLASSES_ROOT\CLSID\{DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdater
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DPCUpdater.DPCUpdater.1


è per il vundo(anche vundofix va benissimo)

3)usa hijackthis e togli tutte le voci da eliminare e scrivi qua le voci sospette

4)guarda anche in installazione/applicazione se c'è qualcosa di anormale

Mitico Boy!
Allora ho fatto girareil tool della symantec per il vundo, lo ha rilevato e eliminato (a quanto dice)
Attualmente sta girando vundofix (attendo l'esito)

Se vundofix non lo trova più devo comunque intervenire a mano sul registro??

Ho letto che il virus in questione entra a causa di una vulnerabilità del sistema operativo e, laddove la patch non fosse installata (ho provveduto ora) è sufficiente cliccare su un'immagine presente su un sito per venire infettati..
Mi confermi la cosa Boy?
Più che altro vorrei capire perchè il blasonato Kaspersky questa volta non mi ha protetto o dove ho sbagliato...

Ora completo la scansione con vundofix e, nel pomeriggio posto il log di hijackthis così mi dai un'occhiata.

Per ora grazie mille a più tardi

lxmax, 17/12/2008 12.00:

---

Mitico Boy!
Allora ho fatto girareil tool della symantec per il vundo, lo ha rilevato e eliminato (a quanto dice)
Attualmente sta girando vundofix (attendo l'esito)

Se vundofix non lo trova più devo comunque intervenire a mano sul registro??

Ho letto che il virus in questione entra a causa di una vulnerabilità del sistema operativo e, laddove la patch non fosse installata (ho provveduto ora) è sufficiente cliccare su un'immagine presente su un sito per venire infettati..
Mi confermi la cosa Boy?
Più che altro vorrei capire perchè il blasonato Kaspersky questa volta non mi ha protetto o dove ho sbagliato...

Ora completo la scansione con vundofix e, nel pomeriggio posto il log di hijackthis così mi dai un'occhiata.

Per ora grazie mille a più tardi

---

meglio sempre controllare il registro a mano anche se quei tool sono un'ottima alternativa

è vero e falso che sfruttano una vulnerabilità del S.O. poichè un ottimo AV e qualche minuzia personale evitano il problema..tu rientri nel caso degli sfortunati che lo hanno preso nonostante una buona attenzione(non serve tanto cliccare su un file infetto ma essendo normalmente un eseguibile devi aver eseguito un file)
kaspersky è validissimo ma nessuno è perfetto quindi può capitare di beccare qualcosa

ps: fai poi tutte le scansioni con kaspersky malwarebytes e a-squared in mod provvisoria (ccleaner pulisce il disco non toglie i virus )

Ciao Boy la situazione è la seguente: dopo aver eliminato il trojan vundo con l'apposito programma ho rifatto una scansione in mod.provvisoria con malware bytes che mi ha rilevato ancora:
Trojan Agent c:\WINDOW\SYSTEM32\67C6UXKD.EXE.A_A

Quindi ho eliminato.

Ho rifatto due ulteriori scansioni in provvisoria con Kaspersky e malware entrambe con esito negativo. Ho Beccato un paio di cosette in installazione applicazioni e le ho tolte, il registro sembra a posto.
L'unica cosa che rilevo è che in WINDOWS\SYSTEM32 è pieno di file simili con numerazione progressiva,quasi tutte librerie .dll ealcuni .sys penso siano delle copie di backup che mi ha creato Kaspersky in via preventiva sui file infettati, di alcuni files ci sono anche 7/8 copie es: vsdatant.sys(1), vsdatant.sys(2) ecc ecc
Cosa faccio li lascio o li levo a mano uno per uno?

Per ultimo ho postato il log di Hjackthis sul sito e non mi ha creato problemi però, in via precauzionale, avrei piacere di mostrartelo.

Secondo te sono a posto o devo controllare ancora qlc??
Grazie di tutto!

LOG hJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.53.15, on 17/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programmi\Eraser\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Webshots\WebshotsTray.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.facebook.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programmi\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\WebshotsTray.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4397 bytes

togli

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

leego che

vsdatant.sys è il file di zone alarm pro -> qua

quindi direi che sei a posto

Ok speriamo.
Per ora il pc è tranquillo, però Kaspersky un paio di volte mi ha dato degli avvisi di questo tipo:

Windows live mail: Accesso ai file c:\WINDOWS\TEMP\YCPNU730.EXE contenenti Trojan Clicker.Win32.Agent.Ful Eliminato. E'stata creata una copia di backup

Che può essere? sarà rimasta qualche porcheria in giro nel pc??

lxmax, 17/12/2008 23.23:

---

Ok speriamo.
Per ora il pc è tranquillo, però Kaspersky un paio di volte mi ha dato degli avvisi di questo tipo:

Windows live mail: Accesso ai file c:\WINDOWS\TEMP\YCPNU730.EXE contenenti Trojan Clicker.Win32.Agent.Ful Eliminato. E'stata creata una copia di backup

Che può essere? sarà rimasta qualche porcheria in giro nel pc??

---

è nella cartella temp non mi preoccuperei più di tanto

anzi cancella il file manualmente cestinandolo e poi dai un'occhiata se si ripresenta

Ok perfetto, per ora tutto bene, il file non c'è più, se ci sono novità ti informo.
Grazie di tutto, grandissimo!

lxmax, 18/12/2008 9.02:

---

Ok perfetto, per ora tutto bene, il file non c'è più, se ci sono novità ti informo.
Grazie di tutto, grandissimo!

---

di nulla

e se non ti sento più BUON NATALE

Auguroni anche a te!!

lxmax, 18/12/2008 17.08:

---

Auguroni anche a te!!

---

grazie