Olimpo Informatico

[tempestasolare]

Tutte le sere mentre sono connessso intorno alle 23:45, il mio antivirus AVAST ( è attivo anche Zonealarm) mi segnala la presenza di questo trojan (trojan horse yhrx1.exe).
Io lo cancello, ma puntualmente il giorno successivo, se sono collegato, alla stessa ora ricevo lo stesso allarme.

allego log di avast (ultimi 3 mesi)

[holifay]

Ciao e benvenuto

Dal log di HijackThis si direbbe che sia tutto a posto, ma dal log di Avast mi sembra di capire che tutto inizi da un explot wmf di un link che visiti quando ti connetti. Hai installato la patch contro la vulnerabilità wmf?

Ti consiglio:
- verifica l´installazione di quella patch
- fai attenzione a quale sito visiti quando ti compare il primo messaggio e riportalo qui, se vuoi
- cancella le cartelle: C:\\WINDOWS\\Temp, C:\\DOCUME~1\\danav62\\IMPOST~1\\Temp, C:\\Programmi\\LinkOptimizer e i file nXns.exe e kv.exe in C:\\Programmi
- svuota la cache e i cookies del browser
- svuota la cache di Java dal Pannello di Controllo
- disinstalla tutte le versioni di Java ed installa l´ultima

Ciao, fammi sapere

[tempestasolare]

[holifay]

Scusa... ho scritto cancellarle ma volevo scrivere svuotarle. Quali file non riesci a cancellare? Prova con tutte le applicazioni chiuse ed eventualmente segnati i nomi. Abilita la visualizzazione dei file nascosti e di sistema:

[tempestasolare]

i file che non riesco a cancellare sono nella cartella C:/programmi
- bgQLu.exe
- YfmLG.exe

Ho provato anche in mod provv. con tutti gli applicativi chiusi!!!!

per quanto riguarda la cache di java, in pannello di controllo trovo solo
"pannello di controlli di JAVA" e non "pannello di controlli di JAVA plugin" e il tab cache non c'è.
comunque ho installato l'ultima versione di java -
Versione 1.5.0 (build 1.5.0_06-b05)
e disinstallato la precedente (5.0.0_05)

[holifay]

Scarica Killbox e prova a cancellarli al reboot.

Per quanto riguarda java, il motivo è che predico bene e razzolo male: io avevo tre versioni di java installate e la più recente era la versione 1.4 mi pare

Nella nuova che ho installato adesso anche io, i file della cache si eliminano sempre dal Pannello di Controllo >> Java cliccando sul pulsante Elimina file... come in questa figura

[excelsis]

Ragazzi, anch'io sto sperimentando le stesse disavventure che denuncia Tempestasolare. Addirittura oggi il Trj mi ha infettato alle

16:35 mentre ero nella pagina di registrazione al vostro forum, con l'intenzione di chiedervi aiuto.
Qualche cenno:
- Avast denuncia l'infezione da Win32:Agent.gen(Trj) presente nel file C\Windows\Temp\pwqn1.exe
- pochi minuti dopo SpySweeper rileva che si sta cercando d'installare un BHO. Dappima l'installatore non autorizzato era 23.TMP,

adesso era IEXPLORE:EXE
- nego l'autorizzazione e lancio la scansione all'avvio di Avast HE
- lui trova sempre gli stessi files: C\Windows\Temp\pwqn1.exe + C\Windows\xcrkn1.dllentrambi infetti da Win32:Agent.gen(Trj)
- la prima volta li ho spostati nel cestino di Avast, tutte le altre volte ho dovuto cancellarli perchè l'HD risultava pieno
- le 3 scansioni in Safe Mode con SpySweeper non rilevano nulla.
- seguendo le esperienze di Tempestasolare ho trovato il file C\Programmi\Ipt6.exe che appare estremamente sospetto. Infatti non

riesco a cancellarlo in alcun modo: o non viene trovato, oppure risulta incancellabile. Ho provato con KillBox all'avvio ed anche con

Brute Force Uninstaller 1.0.9 senza alcun risultato. E credo che quel file abbia molte responsabilità.
- Tuttavia, non avendo alcuna pratica di script, non sono certo di aver utilizzato correttamente BFU. Ho digitato: DELETE

C\Programmi\Ipt6.exe
Mi aiutate, per favore?
Grazie
Salvatore

[tempestasolare]

Ho fatto girare ripetizione SPYBOT ed EWIDO in mod provv, CCLEANER e REGSEEKER ed altri applicativi e ho smanettato talmente tante volte che effettivamente non so come abbia risolto il mio problema.
Cmq, a sensazione, mi è sembrato risolutivo installazione dell'ultima release di JAVA (cancellando le altre versione) pulendo la cache e i file temporanei.

in bocca al lupo.
Tempestasolare

[holifay]

innanzitutto benvenuto anche a te

Nomi casuali di file eseguibili nelle cartelle temporanee sono associati spesso proprio a varianti del trojan Agent. Gli antivirus fanno fatica a riconoscerli, sia per le nuove varianti, sia perchè alcuni fanno uso di tecniche di rootkit per nascondersi al sistema operativo.

Quindi mi farai un po´ da cavia per capire come debellare questo maledetto. Ti va?

Innanzitutto prova a mettere in un file zip il file C>Programmi>Ipt6.exe e a mandarmelo a www.suspectfile.com
Se riesci a mandarlo possiamo studiarlo meglio e trovare il modo di eliminarlo.

Segui le indicazioni di Tempestasolare: disinstalla tutte le versioni di java, installa l´ultima e svuota la cache e tutte le cartelle temporanee. Per svuotarle ti può essere molto utile ATF CLeaner:

scarica ATFCleaner da Atribune e salvalo sul desktop. Avvialo, clicca sul menu main e poi seleziona la casella Select All. Se usi Firefox o Opera fai la stessa cosa premendo rispettivamente anche su Firefox e Opera (se vuoi mantenere le password deseleziona la rispettiva casella). Adesso clicca sul pulsante Empty selected e aspetta il messaggio Done Cleaning!.

Adesso ti chiedo 3 scansioni, da fare in questo ordine:

1) Quella contro i Rootkit: scarica Rootkitrevelear e fai una scansione. Poi salva e posta il log

2) Quella online con Kaspersky con database esteso

3) Quella di HijackThis. Segui le prima parte della guida per postare il log

Ciao

[excelsis]

ragazzi... grazie di essere accorsi a salvamento. Ti farò da cavia molto volentieri, ci mancherebbe...
Le procedure che mi suggerisce Holifay hanno bisogno di un po' di tempo: vi prego di concedermene.
In ogni modo tenterò di mandarti il file .exe stasera
Grazie della vostra dispnibilità.
Salvatore

[excelsis]

Niente da fare, mio caro Holifay: il file incriminato c:\Programmi\lpt6.exe non si fa trattare in alcun modo. Il tentativo di comprimerlo genere il messaggio: "impossibile creare file di output". Non è nemmeno possibile rinominarlo. Hai qualche suggerimento per manipolarlo?
Infine: io non ho alcun tipo di Consolle Java in Pannello di controllo e non so dove cercare. Trovi che sia possibile che io non abbia Java sul PC? Non faccio alcun uso di giochi...
Ho scaricato i programmi che mi hai suggerito e domani, cioè oggi, procedo.
Grazie ancora

[holifay]

java: prova ad andare a questo link http://java.html.it/demo/java/a343/applet.htm
Vedi il gioco? Se non lo vedi non hai il plugin java per il browser che stai usando.

file che non si comprime: è bloccato da qualche processo. Possiamo cercare di sboccarlo e vedere quale processo lo sta bloccando. Scarica ed installa Unlocker. Una volta installato clicca con il tasto destro sopra il file e seleziona Unlocker come da questa figura:



Se (come sarà) è bloccato, dovrebbe aprirsi una finestra come quella qui sotto con l´indicazione dell´applicazione che lo sta bloccando:



Prova a selezionarlo e a premere Sblocca. Poi verifica cliccandoci sopra nuovamente se è ancora bloccato. Se ti compare la scritta Non sono stati trovati handle che bloccano l´oggetto, allora premi Esci per chiudere la finestra e poi dovresti riuscire a zipparlo (e anche a eliminarlo, ma per ora non farlo).

Se invece è ancora bloccato prova a cliccare prima su Termina processo, poi eventualmente ancora su Sblocca

Se riesci predi nota del nome del processo che lo blocca e del percorso dove si trova e poi riportalo qui.

Ciao

[excelsis]

UNLOCKER
- Il file non è trattabile: compare la finestra: " Si è verificato un errore poichè non si dispone dei privilegi di debug"

Il sito di Unlocker mi ha detto che dipende della impostazioni di sicurezza della mia macchina.
MSDN mi suggerisce la procedura seguente:

Debugging a System Service
To debug a system service, or to debug someone else's program on your own machine,
You must own the process or have administrator privileges. (Script and managed code)
?or?
You must be listed in the local group policy for Debug programs. (Native C/C++)
To access the local group policy

From the Start menu, choose Control Panel.
In Control Panel, double-click Administrative Tools.
In the Administrative Tools window, double-click Local Security Policy.
In the Local Security Settings window, expand the Local Policies folder.
Click User Rights Assignment.
In the Policy column, double-click Debug programs to view current local group policy assignments in the Local Security Policy Setting dialog box.
....

Che io non posso attuare giacchè non dispongo del collegamento Local Security Policy in Administrative Tools.
Che cosa devo fare?
Intanto proseguo con le tue istruzioni.
Grazie moltissimo.
Salvatore

[excelsis]

Perdonami la schematicità: cerco di disturbarti il meno possibile.

Analisi situazione JAVA:
- Non ho Java: dal sito che mi hai indicato ricevo il messaggio: "Il tuo browser non suppiorta Java, oppure la console di Java non è attiva"
- devo ugualmente installare l'ultima versione di Java, come hai consigliato a Tempestasolare?

Svuotato tutto con ATF Cleaner

Dopo l'installazione di Unlocker, il mio SpySweeper rileva l'avvio di C\Windows\syst32\pqunn.exe. E' un componente di Unlocker?
Sai, con i tempi che stanno correndo, sono diventato diffidente...

Disattivati: Avast Antivirus HE + SpySweeper + Funzione di Ripristino del sistema:

Lanciato Rootkit Revealer: dal programma ho disattivato anche Options\Hide std NTFS metadata files
ROOTKITREVEALER LOG:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 10/06/2006 18.45 64 bytes Windows API length not consistent with raw hive data.
C:\WINDOWS\SYSTEM32\NUL.ETZ 08/04/2003 12.00 115.70 KB Hidden from Windows API.

Lanciato HijackThis.
Logfile of HijackThis v1.99.1
Scan saved at 19.02.13, on 17/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programmi 2\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\pqunn.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOCUME~1\SALVAT~1\IMPOST~1\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vodafone.it/vodafone/trilogy/jsp/homePage.do?tabName=HOME%20VODAFONE&ty_skip_md=true
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "D:\Programmi 2\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: NkbMonitor.exe.lnk = D:\Programmi 2\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\programmi 2\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programmi 2\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programmi 2\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.acer.it
O15 - Trusted Zone: http://bunker.altervista.org
O15 - Trusted Zone: http://www.astedam.it
O15 - Trusted Zone: http://www.cdc.it
O15 - Trusted Zone: http://www.centrohl.it
O15 - Trusted Zone: http://www.computerdiscount.it
O15 - Trusted Zone: http://search.ebay.it
O15 - Trusted Zone: http://www.ebay.it
O15 - Trusted Zone: http://www.folgore.com
O15 - Trusted Zone: http://www.fortezzesavonesi.com
O15 - Trusted Zone: http://www.genialloyd.it
O15 - Trusted Zone: http://www.hp.com
O15 - Trusted Zone: http://www.lasecondaguerramondiale.it
O15 - Trusted Zone: http://arianna.libero.it
O15 - Trusted Zone: http://broadband.libero.it
O15 - Trusted Zone: http://digilander.libero.it
O15 - Trusted Zone: http://www.melegnano.net
O15 - Trusted Zone: http://www.ocs.it
O15 - Trusted Zone: http://www.olivetti.it
O15 - Trusted Zone: http://www.paginebianche.it
O15 - Trusted Zone: http://www.teatrostabileveneto.it
O15 - Trusted Zone: http://www.trentoincina.it
O15 - Trusted Zone: http://www.trust.com
O15 - Trusted Zone: http://www.vobis.it
O15 - Trusted Zone: http://www.vso-software.fr
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: WebJip - Unknown owner - \\?\C:\Programmi\lpt6.exe (file missing)

[excelsis]

Scusami: preso dal sacro fuoco virale, ho dimenticato di salutarti e di ringraziarti.
Procedo con la scansione Kaspersky.
Grazie di nuovo
Salvatore

[holifay]

@ EXCELSIS

Fai bene ad essere sospettoso, quel processo va cancellato
Se non hai java, non installarlo finchè non ne avrai bisogno.

Scarica Ewido e installalo. Durante l´installazione nel menu Additional Options deseleziona Install background guard e Install scan via context menu. Avvialo e aggiornalo (bottone Start Update) online, ma non usarlo ancora.

Stampati o copiati in un file queste istruzioni per poterle consultare con comodo.

Premi START >> ESEGUI digita CMD e premi invio. Nella finestra nera di DOS scrivi in successione (scrivilo come l´ho scritto io):

sc stop WebJip (invio)
sc delete WebJip (invio)

prendi nota di eventuali messaggi di errore che ti compaiono.

Avvia Task Manager, seleziona tra i processi attivi pqunn.exe e premi Termina processo

Avvia HijackThis, poi chiudi tutte le finestre aperte e tutte le applicazioni, a parte HijackThis. Metti un segno di spunta accanto a queste voci e poi premi Fix Checked

[excelsis]

@ HOLIFAY

Grazie: una didattica stupefacente.
Permettimi qualche domanda:
- non mi hai suggerito come fare ad ottenere i privilegi di debug e poter usare Unlocker
- non hai più interesse a che ti spedisca C:\Programmi\lpt6.exe?
- posso entrare in modalità provvisoria da: Avvio > esegui >msconfig? In tal modo posso escludere il carico di Avast e di SpySweeper e tanti altri servizi: magari impicciano...
Grazie

[excelsis]

@ HOLIFAY

Scusami, ancora una postilla:
- è sempre necessaria la scansione on line con Kaspersky? Non ho ancora avuto il tempo di farla
- attenderò la tua risposta alle mie domande prima di procedere secondo le tue istruzioni: non vorrei riuscire a distruggere i files prima d'inviarteli, qualora ti possano ancora essere utili
Ed, infine, il dubbio più ingenuo: forse che gli antivirus e gli antispyware più celebrati non sono così onnipotenti come ci dicono?
Grazie ancora ed a presto

[holifay]

I programmi per la sicurezza non trovano tutti le stesse cose. Gli antivirus in particolare sono nati per i virus, ma poi sono nati i worm, gli spyware, i trojan, gli adware, i dialer... tutti applicativi che vengono chiamati genericamente Malware

Considera che il numero delle minacce è in continua crescita e quindi anche la neccessità di aggiornare i loro database virali. Tra l´altro alcuni antivirus per loro politica non cercano nemmeno gli adware e i dialer.

La cosa migliore è prevenire, ma per curare conviene usare quei tool che sono al momento più efficaci. Tra gli antivirus accessibili online c´è Kaspersky e Panda, tra gli antispyware c´è Ewido, Adware e Bitdefender. Non è comunque detto che trovino qualcosa se la minaccia è molto recente.

Veniamo a noi

Il file mi interessa, ma non vorrei crearti problemi con l´invio. La priorità è eliminarlo, se per cercare di mandarlo lo tieni sul PC troppo tempo, non vorrei che alla lunga ti scaricasse altre infezioni dal web e poi diventasse complicato sistemare il PC.

Puoi comunque iniziare la procedura ed arrivare fino al comando sc stop, senza lanciare ancora SC delete. A quel punto se termini da Task manager anche il processo attivo pqunn.exe dovresti riuscire a zipparlo e quindi a mandarmelo. Comunque ripeto: la priorità è cancellarlo.

Per i privilegi di debug (immagino che sei loggato come amministratore) penso che il trojan abbia modificato il registro di sistema per negarteli. Dovremo ripristinare le chiavi di registro, penso nelle policy di windows. Però se il malware è attivo impediirà il suo ripristino; quindi ci dovremo pensare dopo.

Potresti però provare se funziona questo trucco: crei un nuovo utente amministratore e poi entri con quell\'utenza. In questo modo forse il trojan non sarà caricato e potrai cancellarlo/zipparlo... Almeno spero

Ciao

[holifay]

Rileggendo con calma quello che avevi scritto, mi sono accorta di aver male interpretato: avevo capito che non trovavi la cartella Assegnazione Diritti Utente nelle Impostazioni protezione locale. Invece non riesci proprio ad aprire Impostazioni protezione locale dl Pannello di controllo...

Prova a vedere se ti si apre da linea di comando: premi Start > Esegui e digita CMD (invio). Poi nella finestra di dos scrivi secpol.msc (invio). Si apre?

Se non si apre dimmi che messaggio ti viene restituito.

PS: la scansione di Kaspersky falla comunque a fine della procedura che ti ho scritto sopra poi posta il log