PDA

Visualizza versione completa : Trojan su xp pro


Rapt
24-11-2007, 13.07.17
Da una settimana AVG mi trova dei trojan nella cartella system32. Il più frequente è un file di nome urqnkjj.dll. Lo rileva automaticamente, al di fuori delle scansioni normali. Nonostante il fatto che lo metta in quarantena e successivamente lo elimini, continua a ripresentarsi, e viene identificato o come Trojan Horse Lop 3.1, il più delle volte, o talvolta come Trojan Horse Generic9YGJ. Il fatto è che nelle scansioni normali non esce nulla, o se anche e sce, il problema continua a presentarsi. Il che mi fa dedurre che AVG non riesce ad identificare la fonte di questi files. Qualcuno ha idea di come si possa risolvere il problema?

leofelix
24-11-2007, 15.42.58
ciao Rapt
potresti essere più specifico? mi spiego: potresti dire che OS utilizzi e che sintomi presenta il sistema? (es: il PC si riavvia costantemente, il navigatore si collega a siti indesiderati, oppure si aprono finestre di pop up etc etc etc).

In ogni caso intanto scarica HiJackThis 2.0.2 da
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

sul desktop, quindi con tutte le finestre chiuse fagli fare uno "Scan" quindi copia e incolla il "log" (risultati) qui per cortesia.
Cercheremo di capire cosa succede al tuo sistema
---
Oltre ad AVG Antivirus (presumo) , altri software di sicurezza che usi hanno rilevato quel Trojan per caso?

Rapt
24-11-2007, 17.21.13
Il SO è XP Pro. AVG è antivirus, e ancora oggi mi ha segnalato la presenza di alcuni trojan nella cartella system32. Ho fatto una scansione con The Cleaner che ha trovato un po' di spazzatura qua e là, fra l'altro alcuni files infilati nelle cartelle di Alice della Telecom (ma non è possibile reindirizzare quel tipo di connessione, vero?).
Dopo di questo, ho riavviato, e lanciato hijackthis. Qui sotto incollo il log, anche se spero proprio di aver risolto il problema.

Logfile of HijackThis v1.99.1
Scan saved at 17.16.27, on 24/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Compaq\Easy Access Keyboard\MMKeybd.exe
C:\Programmi\Compaq\Easy Access Keyboard\MEDIACTR.EXE
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Compaq\Easy Access Keyboard\MMUSBKB2.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\RAPT~1.RAP\IMPOST~1\Temp\Rar$EX00.016\ HijackThis.exe

Sinceramente ci capisco poco, ad ogni modo, grazie per l'aiuto.

crazy.cat
24-11-2007, 17.47.04
pubblica tutto il log, manca il pezzo in basso che è la parte più importante.

Rapt
24-11-2007, 18.25.09
Logfile of HijackThis v1.99.1
Scan saved at 18.22.19, on 24/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programmi\Compaq\Easy Access Keyboard\MMKeybd.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Compaq\Easy Access Keyboard\MEDIACTR.EXE
C:\Programmi\Compaq\Easy Access Keyboard\MMUSBKB2.EXE
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\DOCUME~1\RAPT~1.RAP\IMPOST~1\Temp\Rar$EX00.171\ HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://italian.ircfast2.com/index.php?rvs=hompag
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [EASY ACCESS KEYBOARD] C:\Programmi\Compaq\Easy Access Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copia 1)" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programmi\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programmi\ICQ6\ICQ.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F7DA78E-0E66-4513-AAAE-BB88080FA2E5}: NameServer = 85.37.17.13 85.38.28.81
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

Oltre a questo cmq, una stranezza... ho provato a lanciare PrevXCSIFree e questo dice fdi avermi trovato il Trojan Vundo. Scarico allora il tool della symantec, lo uso secondo istruzioni e questo mi dice che vundo sul mio pc proprio non c'è...

leofelix
25-11-2007, 11.39.49
forse il tool della PREVX si è accorto che qualcosa non va.. dal momento che queste queste stringhe sono vuote

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

avrà individuato anche i files infetti dal Vundo (che in ogni caso ha un comportamento simile a quello di alcune "rogue applications" - come il Winfixer o altri falsi antispyware)

Intanto fossi in te scaricherei sul desktop il VundoFix da qui Link diretto per il download)

http://www.atribune.org/ccount/click.php?id=4

(fai attenzione perché questo questo removal tool è erroneamente identificato come maware da alcuni tipi di antivirus, ma è un falso positivo)

quindi con le finestre del browser, programma di instant messagging e client di posta chiuse, antivirus temporaneamente disattivato e PC disconnesso dalla rete - lancia il VundoFix, clicca su "Scan for Vundo", una volta terminata la ricerca clicca su "Remove Vundo" (se lo trova ovviamente), il VundoFix se trova files infetti ti chiederà se vuoi rimuoverli, clicca su "YES", per qualche secondo potrebbe sparire il desktop, nessuna paura: rientra nella procedura, una volta finito ti verrà richiesto di riavviare (REBOOT).
Ecco, se effettivamente c'è una variante di Vundo, verrà rimossa del tutto.


Altra cosa che io farei, fossi in te, è quella di scaricare il SUPERAntiSpyware free da
http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe

(non è necessario che tu lo imposti nei settings perché si avvi con Windows, presenta uno splash screen per nulla fastidioso solo quando tenti di attivare delle funzioni presenti nella versione PRO a pagamento)
Quindi una volta aggiornato il SUPERAntispyware FREE farei una bella scansione.


Inoltre poiché non capisco come mai quei files nella cartella di alice per ulteriore sicurezza farei un controllo con ad esempio
col TREND MICRO Rootkit Buster 1.6 beta che trovi qui

http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip

(veloce, freeware, accurato e non necessita di installazione).

Infine, inizierei a pensare che forse AVG antivirus sarebbe da sostituire, io ho scelto l'ottimo freeware AntiVir Personal Edition Classic 7.0 che ha superato innumerevoli prove e rileva di tutto, rootkit incluse;)

attendo tuoi riscontri, mi auguro positivi:)

Rapt
25-11-2007, 21.10.37
Preferisco non cantare di nuovo vittoria invano, ma devo dire che superantispyware mi ha stanato vundo più alcuni altri spyware e li ha eliminati, così quando ho usato il removal kit, questo non ne ha più trovato traccia.
A quanto sembra, come diceva il fumetto di Nick Carter, "tutto è bene quel che finisce bene"... e l'ultimo chiuda la portea, nel senso che smetto di contare solo sul firewall di xp (non l'avevo mai fatto prima e mi sa che facevo bene) e me ne piazzo su uno.
Grazissime per l'aiuto. :act:

leofelix
25-11-2007, 23.10.39
e spero anche a backdoor per sempre:)

ecco, non ho mai fatto affidamento sul fw di XP...

uso ZA PRO dal momento che ho acquistato la licenza a un prezzo stracciato qualche tempo fa (c'era una offerta dalla zonelabs) e mi ci trovo bene, per quanto io non sia mai voluto passare alla ver 7.0 che pare succhi troppe risorse e non solo.

Si parla molto bene del Comodo FW PRO 2.4 (meno della versione 3.0) come penso tu abbia notato anche nel forum di witricks.
Io fossi in te quindi mi orienterei su quest'ultimo, che è anche freeware e si comporta molto bene anche nei tests;)


ciao