Olimpo Informatico

[levatore]

Gentile forum, navigando in internet ad un certo punto si e' aperta una finestra di AVG che mi informava della presenza di un Trojan.
Non avendo la piu' pallida idea su come procedere chiedo il vostro aiuto.
Riporto le informazioni inerenti il PC nel caso servissero:

_Sistema: Window XP Professional
Processore Intel Pentium III
928 MHz
128 MB di RAM

_ Antivirus:
AVG Free edition


_ Antispyware:
Ad-Aware SE Personal


_Allego il log di "HiJackThis" :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.04.50, on 07/08/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\marcello\Desktop\Zeusnews\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programmi\DAP\DAP.EXE" /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: Salva oggetto con Star Downloader - C:\Programmi\Star Downloader\sdie.htm
O23 - Service: AAJLQAA - Sysinternals - www.sysinternals.com - C:\DOCUME~1\marcello\IMPOST~1\Temp\AAJLQAA.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Programmi\Apache Software Foundation\Apache2.2\bin\httpd.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MMUA - Sysinternals - www.sysinternals.com - C:\DOCUME~1\marcello\IMPOST~1\Temp\MMUA.exe
O23 - Service: XAUSWQMVU - Sysinternals - www.sysinternals.com - C:\DOCUME~1\marcello\IMPOST~1\Temp\XAUSWQMVU.exe

--
End of file - 4030 bytes


_Scan di AVG eseguito in modalita' provvisoria:

Object name: 11769-23[1].exe
Object path: C:\Documents and Settings\marcello\Impostazioni locali\Temporary Internet Files\Content.IE5\9TO2G7P7\
Discovery: Trojan horse Dialer.ILV
Date of detection: 06/08/2007 14.26.07
Source computer: ORGANIZZ-97CUCM
Finder: marcello
File size: 29.67 KB (30384 bytes)
Healable: No
Source: Backup copy
Status: Infected


Object name: 11833-23[1].exe
Object path: C:\Documents and Settings\marcello\Impostazioni locali\Temporary Internet Files\Content.IE5\9TO2G7P7\
Discovery: Trojan horse Dialer.IOK
Date of detection: 06/08/2007 14.26.08
Source computer: ORGANIZZ-97CUCM
Finder: marcello
File size: 33.83 KB (34640 bytes)
Healable: No
Source: Backup copy
Status: Infected

Sperando di avere fatto i passaggi giusti ringrazio per l' attenzione e confido in un vostro aiuto.

Ciao Marcello

[**Alex**]

Penso sia sufficiente scaricare l'appposito tool di rimozione che trovi sul sito della symantec, AVG penso dia il nome del trojan... prova

[bdoriano]

Ciao levatore,

I files che ti vengono evidenziati da AVG sono presenti nella cartella temporanea di internet explorer. Ti basta svuotarla per eliminarli.

Pulisci i files temporanei:
Start
Programmi
Accessori
Utilità di sistema
Pulitura disco

Oppure usa ATF-Cleaner o CCleaner.

Ci sono, invece, altre voci che mi risultano strane, per cortesia segui le istruzioni di questo topic per postare il log di hijackthis (che va fatto in modalità normale).

PS: se vuoi, puoi presentarti qui

[levatore]

Scusate se rispondo solo ora ma prima non mi e' stato possibile.
Ringrazio entrambi per avermi risposto e spiego cosa e' accaduto:
dop avere eseguito:

Start
Programmi
Accessori
Utilità di sistema
Pulitura disco

e' comparso un pannello che indicava il calcolo della quantita' di spazio che era possibile liberare su 71_05_37(C
Indicava anche che l' operazione avrebbe richiesto qualche minuto, ma dopo 1 quarto d' ora di orologio, la barra di progressione
con i rettangoli blu era fermo a sole 3 tacche, e li' e' rimasta. Forse sbagliando, ma ho ritenuto opportuno interrompere l' operazione.
ATF-Cleaner, invece, non ha dato segni di vita, o meglio, dopo avere spuntato la voce " Temporary Internet Files" e premuto "Empty Selected"
e' apparsa una finestrella con su scritto "No files were removed". Ho controllato nei Temporanei e la cartella era ancora piena zeppa di files.
Ieri sera ho provato a informarvi di cio' ma ironia della sorte non riuscivo piu' neanche a collegarmi ad internet ( ho passato l' intera serata a fare controlli
nei vari pannelli ma niente da fare). Oggi, dopo pranzo, sono riuscito a svuotare la cartella dei temporanei andando
su Strumenti > Opzioni Internet > Elimina file + Elimina cookie.
Inoltre, magicamente sono riuscito ad ottenere la connessione e finalmente posso inviarvi i vari scan.
Oltretutto ho dimenticato di dire che ancor prima di aprire il thread ho disinstallato-reinstallato AVG perche' gia' qualche tempo fa' genero' un falso allarme risolto grazie
all' intervento di Smjert.
Altra stranezza e' quella del colore blu ( invece che nero ) del testo di descrizione accanto alle icone di alcuni file sparsi qua e la' nelle
cartelle ( cosa di cui non mi ero mai accorto prima!).

_Ecco il log di FindAWF eseguito in modalita' normale:


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report





_Ecco un nuovo log di HJT in modalita' provvisoria:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.41.30, on 10/08/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\marcello\Desktop\Zeusnews\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programmi\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: Salva oggetto con Star Downloader - C:\Programmi\Star Downloader\sdie.htm
O23 - Service: AAJLQAA - Sysinternals - www.sysinternals.com - C:\DOCUME~1\marcello\IMPOST~1\Temp\AAJLQAA.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Programmi\Apache Software Foundation\Apache2.2\bin\httpd.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MMUA - Sysinternals - www.sysinternals.com - C:\DOCUME~1\marcello\IMPOST~1\Temp\MMUA.exe
O23 - Service: XAUSWQMVU - Sysinternals - www.sysinternals.com - C:\DOCUME~1\marcello\IMPOST~1\Temp\XAUSWQMVU.exe

--
End of file - 4064 bytes



Spero di avere eseguito correttamente le istruzioni, o in caso contrario sono a vostra disposizione.
Un saluto e grazie

[bdoriano]

I files temporanei vanno cancellati, anche se ci mette un'ora.

Disabilita il ripristino di sistema e avvia il pc in modalità provvisoria

Avvia ATF-Cleaner
Metti il segno di spunta a Select All
(se vuoi conservare i files del cestino, togli il segno di spunta a Recycle bin)
Clicca su Empty selected e attendi pazientemente... magari fallo di sera, così ci può mettere tutta la notte.

Sempre in modalità provvisoria...
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:

[levatore]

Fatto !!!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.49.59, on 10/08/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\DAP\DAP.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe
C:\Documents and Settings\marcello\Desktop\Zeusnews\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programmi\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: Salva oggetto con Star Downloader - C:\Programmi\Star Downloader\sdie.htm
O23 - Service: Apache2 - Apache Software Foundation - C:\Programmi\Apache Software Foundation\Apache2.2\bin\httpd.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe

--
End of file - 4243 bytes



Non so se sia rilevante, ma la seconda voce delle 4 che hai indicato nella citazione, cioe' :
O23 - Service: AAJLQAA - Sysinternals - http://www.sysinternals.com/ - C:\DOCUME~1\marcello\IMPOST~1\Temp\AAJLQAA.exe

nel pannello di HijackThis non c' era, quella che piu' le somigliava era questa ( che ho comunque fixato ) :
O23 - Service: AAJLQAA - Unknown owner - C:\DOCUME~1\marcello\IMPOST~1\Temp\AAJLQAA.exe (file missing)


A presto !
Ciao Marcello

[bdoriano]

Il log sembra pulito.
Ricordati di installare il ServicePack2 prima possibile.

[levatore]

Ciao bdoriano, scusa il ritardo ma sono stato invitato ad un fine settimana in montagna e cosi ne ho approfittato. Innanzitutto un doveroso " Grazie"
per la tua disponibilita' e gentilezza. Rinfrancato dall' esito finale seguiro' il consiglio sull' aggiornamento e ne approfitto per augurarti buone vacanze
(se ancora dovessi farle, diversamente ........ auguri comunque).

* Mi incuriosisce solo quella faccenda del colore blu dei nomi di alcuni files ma forse sono sempre stati di quel colore e non ci avevo fatto caso.

Ciao e buon lavoro