PDA

Visualizza versione completa : Dialer e trojan?


luca2
19-11-2006, 13.13.50
Ciao
Il pc di un mio amico
visualizza delle finestre che avvertono relativamente a
un presunto dialer:

"Globespan Virata USB ADSL WAN"

L'antivirus, avg, intercetta poi anche un trojan:

"C:\WINDOWS\mkhga1.dll Trojan horse Lop.AH"

che però non riesce ad eliminare e ad ogni
avvio del pc (ma anceh di alcune applicazioni e cartelle)
si ritrova con il messaggio di avvertimento di cui sopra.

Non saprei se le due cose sono collegate (quella relativa
al dialer e quella del trojan) e quindi vi chiedo consigli
su come risolvere i due problemi.
Se può risultare utile aggiungo che il mio amico, stando a quel che dice,
ha da un po' di tempo anche problemi con il firewall di windows
che gli ostacola l'uso di emule.

Vi posto il log di HijackThis (un po' vecchiotto, ma lui dice
che non è cambiato niente):

Logfile of HijackThis v1.99.1
Scan saved at 21.12.46, on 22/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\service32.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\system32\dslagent.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/oggi/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\philips-tool.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Class - {BC606881-220E-A6DA-5148-034402DB8C66} - C:\WINDOWS\mkhga1.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe



Potete aiutarmi? Grazie.

crazy.cat
19-11-2006, 13.37.15
Il log sarebbe da rifare, ma se dice che non è cambiato niente fidiamoci.
Ha il virus gromozn.

Se vuoi provare ad usare tutti i tools, già rinominati e truccati li puoi scaricare da questo indirizzo
http://www.mediafire.com/?dyqoxjdcdnl

Digli che dalla modalità provvisoria deve trascinare questo file philips-tool.exe sul desktop e cambiargli nome, sempre dalla modalità provvisoria, usando il tools della Nod cancelli il file service32.exe.
Poi riavviando il pc dovrebbe riuscire ad usare il tools della Prevx e Virit per fare la scansione con tutti e due i programmi per essere più sicuro.

Le cose che devono sparire sono queste
C:\WINDOWS\service32.exe
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\philips-tool.exe",
O2 - BHO: Class - {BC606881-220E-A6DA-5148-034402DB8C66} - C:\WINDOWS\mkhga1.dll (file missing)

crazy.cat
19-11-2006, 14.43.05
Vista la presenza di un dialer e del service32.exe potrebbe aver beccato anche la nuova variante del gromozon
http://www.pcalsicuro.com/main/

luca2
20-11-2006, 21.52.23
Il log sarebbe da rifare, ma se dice che non è cambiato niente fidiamoci.
Ha il virus gromozn.

Se vuoi provare ad usare tutti i tools, già rinominati e truccati li puoi scaricare da questo indirizzo
http://www.mediafire.com/?dyqoxjdcdnl

Digli che dalla modalità provvisoria deve trascinare questo file philips-tool.exe sul desktop e cambiargli nome, sempre dalla modalità provvisoria, usando il tools della Nod cancelli il file service32.exe.
Poi riavviando il pc dovrebbe riuscire ad usare il tools della Prevx e Virit per fare la scansione con tutti e due i programmi per essere più sicuro.

Le cose che devono sparire sono queste
C:\WINDOWS\service32.exe
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\philips-tool.exe",
O2 - BHO: Class - {BC606881-220E-A6DA-5148-034402DB8C66} - C:\WINDOWS\mkhga1.dll (file missing)



Ho fatto più o meno come mi hai detto.
Ho, in modalità provvisoria, spostato il file philips-tool.exe sul desktop e gli ho cambiato il nome in prova.exe.

Ho avviato i tool ma forse non sono adatti perchè non hanno intercettato niente.
Ho cancellato il cancellabile con HijackThis riavviato e fatto una bella pulizia con ccleaner.
Il problema sembrava risolto (niente più fastidiose finestre di allarme o altro).
Fatto sta che quando ho provato a cancellare il file prova.exe (ex philips-tool.exe) il sistema non me lo permetteva e si è aperta di nuovo la finestra di avg che questa volta diceva che era presente un certo virus,
nella cartella file comuni, ykt.exe (o una cosa del genere).
In pratica credo che il sistema si sia rinfettato anche se sembra che la situazione sia migliorata nonostante tutto.
Come cancello e risolvo definitivamente il problema?
Grazie

Lionsquid
20-11-2006, 23.25.39
usa virit lite o il tools della prevx

cerca le discussioni in questo stesso forum con chiave di ricerca GROMOZON