Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
malware gebcy.dll
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
youtoo78
Mortale devoto
Mortale devoto


Registrato: 25/09/07 19:28
Messaggi: 9
MessaggioInviato: 25 Set 2007 19:58    Oggetto: malware gebcy.dll Rispondi citando
Scusate se riposto qui, ma credo di aver sbagliato thread prima



Salve a tutti, sono nuovo del Forum, spero di poter innaugurare la mia presenza risolven do un problema con cui ho a che fare da un paio di giorni, purtroppo non sul mio pc ma su quello di un cliente, per cui opero in teleassistenza con net meeting, e tutto diventa più complicato.
La signorina impiegata, ha scaricato qualche programmino da interne, del tipo game- casinò on line, e disgrazie varie.
Ho provveduto a rimuoverli, e a far aggiornare l'antivirus.
L'antivirus è un Trend Micro Office Scan. Una volta aggiornato l'antivirus rileva la presenza di un possibile malwere centinaia di volte sempre sullo stesso file.
Il file in questione era il ddayx.dll e stava dentro la system32 di windows xp.
Ho cercato in giro per i forum ed ho fatto diversi tentativi. Ho utilizzato nell'ordine:
- Vundofix.exe - questi trova il file, anzi ne trova diversi, prova ad eliminarli, ma il risultato è negativo, ossia dice che li eliminerà al riavvio di windows ma niente non ce la fa e a questo punto continuo a cercare e trovo un'altra utility
- Combofix.exe - eseguo questa che lavora su cmd, sembra andare tutto a nozze, ovvero l'utility sembra cancellare i file malevoli, fa una serie di operazioni e mi chiede di riavviare la macchina, fatto questo al riavvio lancio Vundofix.exe e questi mi trova degli altri malwere che stavolta si chiamano diversamente (yayabxu.dll), rifaccio la scansione con combofix e sembra eliminarli tutti, ma cosi non è infatti al riavvio...non mi dilungo, il file che mi ritrovo adesso è gebcy.dll.
Ho usato anche ad-aware, HijackThis, unlocker, ma niente c'è qualcosa su esecuzione automatica che ogni volta che si avvia la macchina se io provvedo a disabilitarla cambia nome ed esegue comunque il malware.

Potete aiutarmi ?
sono disperato, sinceramente mi scoccia fare 300 km per andare a formattare la macchina per un malwere.

Help me
Top
Profilo Invia messaggio privato
youtoo78
Mortale devoto
Mortale devoto


Registrato: 25/09/07 19:28
Messaggi: 9
MessaggioInviato: 25 Set 2007 20:26    Oggetto: HijackThis Rispondi citando
Logfile of HijackThis v1.99.1
Scan saved at 20:20, on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\it-it\bin\WindowsSearch.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\it-it\bin\WindowsSearchIndexer.exe
C:\Programmi\NetMeeting\conf.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rsvp.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programmi\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Programmi\Trend Micro\OfficeScan Client\PCCNTMON.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Administrator\Desktop\virus\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\yayabxu.dll
O2 - BHO: (no name) - {808E3BF0-5DBF-4CB3-95CF-21AA5C57AEC9} - C:\WINDOWS\system32\gebcy.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\system32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\it-it\bin\WindowsSearch.exe
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/230?893b96d091c4456eb5d8a1252b162a5b
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/229?893b96d091c4456eb5d8a1252b162a5b
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register3.valueactive.com/323/webolr/OCX/FlashAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C07E410F-574B-4B7C-AEC5-D927D33AFC8F}: NameServer = 10.10.0.4,217.22.209.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: gebcy - C:\WINDOWS\system32\gebcy.dll
O20 - Winlogon Notify: yayabxu - C:\WINDOWS\SYSTEM32\yayabxu.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe




Questo può essere utile?
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 25 Set 2007 20:28    Oggetto: Rispondi citando
ma benvenuto Smile

bhe, visto che hai già provato i metodi più ovvi, proviamo con altri:
segui per favore le indicazioni di questo thread e posta un log di SystemScan.
Top
Profilo Invia messaggio privato
youtoo78
Mortale devoto
Mortale devoto


Registrato: 25/09/07 19:28
Messaggi: 9
MessaggioInviato: 25 Set 2007 21:07    Oggetto: Rispondi citando
link

ecco.. il file l'ho zippato io perchè il programma non lo ha fatto.
Fa qualcosa...
grazie ancora per la disponibilità


vi prego aiuto

aggiungo questo perchè mi sa che il file è di 1 kb

edit by bdoriano: log rimosso perché incompleto
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 25 Set 2007 21:44    Oggetto: Rispondi citando
youtoo78 ha scritto:
aggiungo questo perchè mi sa che il file è di 1 kb
veramente è di 0 kb quello che hai postato Rolling Eyes
quello che hai incollato qui è incompleto.

trova la cartella c:\suspectfile\report.txt, mettila su http://www.freefilehosting.net/ e riposta il link
Top
Profilo Invia messaggio privato
youtoo78
Mortale devoto
Mortale devoto


Registrato: 25/09/07 19:28
Messaggi: 9
MessaggioInviato: 25 Set 2007 21:53    Oggetto: Rispondi citando
link

ecco scusate
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 25 Set 2007 22:46    Oggetto: Rispondi citando
scarica Avenger e scompattalo sul desktop
avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/Edit scrit copia/incolla queste righe:
Citazione:
Files to delete:
C:\WINDOWS\system32\cbxvtqq.dll
C:\WINDOWS\system32\cbxxxut.dll
C:\WINDOWS\system32\dgjlm.tmp
C:\WINDOWS\system32\nhcutddj.exe
C:\WINDOWS\system32\dgjlm.ini2
C:\WINDOWS\system32\jtbileop.exe
C:\WINDOWS\system32\efccaww.exe
C:\WINDOWS\system32\yayabxu.dll
C:\WINDOWS\system32\gebcy.dll
C:\WINDOWS\system32\ycbeg.bak1
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\ycbeg.tmp
C:\WINDOWS\system32\ycbeg.ini2
C:\WINDOWS\Tasks\TedXCopy.job
C:\WINDOWS\Tasks\At1.job
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\catchme.sys

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{808E3BF0-5DBF-4CB3-95CF-21AA5C57AEC9}

Clicca Done
poi sul icona del semaforo
rispondi Yes (a questo punto il PC dovrebbe riavviarsi. se così non fosse riavvialo manualmente)
posta qui il risultato
Top
Profilo Invia messaggio privato
youtoo78
Mortale devoto
Mortale devoto


Registrato: 25/09/07 19:28
Messaggi: 9
MessaggioInviato: 26 Set 2007 10:09    Oggetto: Rispondi citando
ho effettuato l'operazione stamattina e questo è il risultato... la dll gebcy.dll continua ad esistere e l'antivirus, continua ad impallare la macchina


Questo è il log di Avenger


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jkscekhd

*******************

Script file located at: gugvupaf

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!
Top
Profilo Invia messaggio privato
youtoo78
Mortale devoto
Mortale devoto


Registrato: 25/09/07 19:28
Messaggi: 9
MessaggioInviato: 26 Set 2007 11:00    Oggetto: Rispondi citando
ho rieseguito combofix, ha fatto tutte le operazioni di pulitura, ha rliminato la dll in questione...al riavvio il mio antivirus segnala nuovamente il vundo, e stavolta la dll maledetta è pmnnl.dll...


mi arrendo?
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 26 Set 2007 11:11    Oggetto: Rispondi citando
hmmmm...
prova ad eseguire l'operazione in mod. provvisoria.
usa questo script:
Citazione:
Files to delete:
C:\WINDOWS\system32\cbxvtqq.dll
C:\WINDOWS\system32\cbxxxut.dll
C:\WINDOWS\system32\dgjlm.tmp
C:\WINDOWS\system32\nhcutddj.exe
C:\WINDOWS\system32\dgjlm.ini2
C:\WINDOWS\system32\jtbileop.exe
C:\WINDOWS\system32\efccaww.exe
C:\WINDOWS\system32\yayabxu.dll
C:\WINDOWS\system32\gebcy.dll
C:\WINDOWS\system32\ycbeg.bak1
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\ycbeg.tmp
C:\WINDOWS\system32\ycbeg.ini2
C:\WINDOWS\Tasks\TedXCopy.job
C:\WINDOWS\Tasks\At1.job
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\catchme.sys

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{808E3BF0-5DBF-4CB3-95CF-21AA5C57AEC9}

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Top
Profilo Invia messaggio privato
youtoo78
Mortale devoto
Mortale devoto


Registrato: 25/09/07 19:28
Messaggi: 9
MessaggioInviato: 26 Set 2007 19:28    Oggetto: Rispondi citando
Questa volta ha funzionato tutto perfettamente, non so come ringraziarvi, a buon rendere.
Ho fatto una scansione di tutto il sistema con i vari tools e con l'antivirus e non trova più nulla
Wink
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 26 Set 2007 21:49    Oggetto: Rispondi
tieni presente che mi prendo una percentuale Wink Laughing

contenti che hai risolto. Smile


se ti và di presentarti alla comunità divina del Olimpo, abbiamo uno speciale comitato di accoglienza! ti aspettiamo.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi