Olimpo Informatico

[Incapace]

Ciao a tutti,
Poco dopo ogni avvio, il mio antivirus (Avast!) mi avvisa della presenza di un trojan nel PC. Seguo le istruzioni che compaiono nella finestra di dialogo (Move to Chest oppure Delete), ma, all'avvio successivo, mi ritrovo lo stesso eseguibile di prima, nella stessa posizione di prima e lo stesso avviso di Avast:
Sign of "Win32:Small-BTG [Trj]" has been found in "C:\WINDOWS\Temp\mvag1.exe\[UPX]" file.

Qualche anima pia potrebbe spiegarmi cosa fare?
Grazie!

[Smjert]

Posta perfavore un log di HijackThis
Scaricalo da qua, spacchettalo in una cartella tutta sua (ad esempio C:/hijackthis) avvialo e premi Do a system scan and save a log file poi copia e incolla il contenuto della finestra di Notepad che ti si apre..
Probabilmente hai il LinkOptimizer..

[Incapace]

Grazie dell'aiuto! Ho fatto come mi hai chiesto...almeno credo....

Logfile of HijackThis v1.99.1
Scan saved at 19.03.07, on 29/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Iomega HotBurn\Autolaunch.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {067FA057-B087-0B0D-F85F-B174B5FCF561} - C:\WINDOWS\ulqmd1.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Programmi\Iomega HotBurn\Autolaunch.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {15589FA1-C456-11CE-BF01-00AA0055595A} - http://w4s2.work4sure.com/c/ge/w4sgeen10.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe

[Smjert]

Scusami per il ritardo della risposta! hai proprio il Link Optimizer.
Allora scarica Avenger spacchettalo sul Desktop e per ora lascialo lì.
Scarica questo tool di Symantec per la rimozione del Link Optimizer, avvialo premi Start e aspetta che finisca.

Apri HijackThis e con tutte le applicazione e le finestre chiuse premi Do a system scan only spunta queste voci (se ci sono) e poi premi Fix Checked:

[Incapace]

[quote="Smjert"]Scusami per il ritardo della risposta!
Figurati! Piuttosto, ti ringrazio per avermi risposto!

Ho un problema: non riesco ad eseguire Avenger. Faccio doppio click, ma non succede nulla. Perchè? Che faccio?
Posto comunque il file log del tool di rimozione del Link Optimizer (Symantec):

Symantec Trojan.Linkoptimizer Removal Tool 1.0.2
SeTakeOwnershipPrivilege acquired
Failed to acquire SeDebugPrivilege
service: UpdRob (logon as: .\lDuEEdjUiS, passed filters)
service: UpdRob (file path: C:\Programmi\File comuni\Services\DDtPi.exe - infected)
file: C:\Programmi\File comuni\Services\DDtPi.exe (deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\UpdRob\Security (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\UpdRob\Enum (key deleted)
reg: ...\SYSTEM\CurrentControlSet\Services\UpdRob (key deleted)
reg: ...\SpecialAccounts\UserList\lDuEEdjUiS (value deleted)
folder: \\?\C:\Documents and Settings\lDuEEdjUiS (deleted)
user: lDuEEdjUiS (deleted)




Trojan.Linkoptimizer has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 20206
The number of deleted threat files: 1
The number of directories deleted: 1
The number of threat processes terminated: 0
The number of registry entries fixed: 4
The number of threat services removed: 1
The number of accounts disabled: 1

The tool initiated a system reboot.

[Smjert]

Che strano l'eseguibile di avenger nn va?! l'unica cosa che posso dirti è di provare a fermare il controllo real time di Avast e riprovare..
Ricordati di fare anche gli altri punti (i log di GMER e il nuovo log di hijackthis).

[Incapace]

Ciao,
Se hai un po' di tempo, ti racconto le mie peripezie...
Ho provato a scaricare GMER, ma non riuscivo ad eseguire neanche questo, indipendentemente dalla disattivazione di Avast!
Così ho fatto un'ulteriore ricerca su internet ed ho scovato una casa produttrice di Antivirus (http://www.tgsoft.it/italy/index_ita.html) che assicurava la completa rimozione del trojan che ha infettato il mio PC.
A scansione ultimata (ho copiato il file log), ho riavviato il PC e subito avast! ha individuato il file ulqmd1.dll e lo ha eliminato (evidentemente Virit non aveva fatto una pulizia adeguata...). Così ho provato ad eseguire Avenger, che finalmente ha funzionato, ho eseguito le tue istruzioni e, per finire, ho lanciato anche GMER.
Di seguito i files log:

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.I
[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.I
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
29/09/2006 - 22:47:44

[SCANSIONE DEL REGISTRO]
{2a6af021-17a2-4014-8624-cf6015f82fad} Infetto da BHO.Agent.BA
* * * RIMOSSO * * *

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

%USERPROFILE%\Impostazioni locali\Temp\winsyst32.exe Infetto da Trojan.Win32.Agent.AFG
* * * RIMOSSO * * *
C:\RECYCLER\S-1-5-21-484763869-1935655697-1202660629-500\Dc2.exe Infetto da Trojan.Win32.Small.NE
* * * RIMOSSO * * *
C:\RECYCLER\S-1-5-21-484763869-1935655697-1202660629-500\Dc3.exe Infetto da Trojan.Win32.Small.NE
* * * RIMOSSO * * *
C:\WINDOWS\winsmgr32.dll Infetto da Trojan.Win32.Small.NE
* * * RIMOSSO * * *

Chiavi Registro infette: 1.
Files Infetti: 4.
Files Sospetti: 0.
Files Analizzati: 20457.
Files Totali: 20457.
Chiavi Registro rimosse: 1.
Virus Rimossi: 4.




Logfile of HijackThis v1.99.1
Scan saved at 23.46.04, on 29/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Iomega HotBurn\Autolaunch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\NOTEPAD.exe
C:\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Programmi\Iomega HotBurn\Autolaunch.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe


GMER 1.0.11.11389 - http://www.gmer.net
Autostart 2006-09-30 00:06:37
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
aswUpdSv /*avast! iAVS4 Control Service*/@ = "C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe"
avast! Antivirus /*avast! Antivirus*/@ = "C:\Programmi\Alwil Software\Avast4\ashServ.exe"
CiSvc /*Servizio di indicizzazione*/@ = %SystemRoot%\system32\cisvc.exe
ClipSrv /*ClipBook*/@ = %SystemRoot%\system32\clipsrv.exe
Iomega Activity Disk2 /*Iomega Activity Disk2*/@ = "C:\PROGRA~1\Iomega\System32\ActivityDisk.exe"
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe
viritsvclite /*Virit eXplorer Lite*/@ = C:\VEXPLITE\viritsvc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@Drag'n'Drop_Autolaunch"C:\Programmi\Iomega HotBurn\Autolaunch.exe" = "C:\Programmi\Iomega HotBurn\Autolaunch.exe"
@avast!C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
@VIRIT LITE MONITORC:\VEXPLITE\MONLITE.EXE = C:\VEXPLITE\MONLITE.EXE

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CTFMON.EXEC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@MsnMsgr"C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background = "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/C:\Programmi\Alwil Software\Avast4\ashShell.dll = C:\Programmi\Alwil Software\Avast4\ashShell.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Web Folders*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\Office10\msohev.dll = C:\Programmi\Microsoft Office\Office10\msohev.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\system32\ssmyst.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
cdo@CLSID = C:\Programmi\File comuni\Microsoft Shared\Web Folders\PKMCDO.DLL
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
msnim@CLSID = "C:\PROGRA~1\MSNMES~1\msgrapp.dll"
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Avvio veloce di Adobe Reader.lnk = Avvio veloce di Adobe Reader.lnk
Microsoft Office.lnk = Microsoft Office.lnk

---- EOF - GMER 1.0.11 ----



Non ho postato il resoconto dell'altra scansione con GMER (Rootkit) perchè il programma non ne ha prodotto alcuna; mi è apparso un avviso del genere "...it hasn't found any system modification".

Che dici? E' pulito il PC?
Adesso ti saluto e ti ringrazio per i tuoi preziosissimi consigli
Ciao[/url]

[Smjert]

Probabilmente avevi uno di quei trojan che bloccava l'esecuzione.. complimenti per aver risolto!
I log mi sembrfano puliti.
Una scansione finale con Panda non fa mai male (non è obbligatorio eh! ma ad esempio quando trovo qualcosa comincio a fare un sacco di scansioni quindi se vuoi controllare meglio e se hai tempo fai anche la scansione con Kaspersky(usa il Kaspersky Online Scanner).
Se trova qualcosa con Panda salva il rapporto e postalo.. idem con Kaspersky (forse con K. devi scriverti tu cos'ha trovato :\)

PS: con Kaspersky dopo che ti ha scaricato l'ActiveX e gli aggiornamenti ti appare il pulsante Scan Setting, cliccalo e seleziona la voce "Extended" per mettere il database esteso e poi dai OK

[Incapace]

Sorpresa.....Avast! mi blocca l'installazione di Panda Antivirus dicendomi che l'eseguibile è infetto....
Vabbè, ho capito, considererò il PC pulito....
Ciao

[Smjert]

[Incapace]

Ok, grazie! Tutto a posto! Sembra che il PC sia pulito.
Buona Domenica