MegaLab.it

Inviato: **mar set 04, 2007 2:57 pm**

ehm... di nuovo io...

sull'altra macchina in ufficio c'è tutto questo...

KASPERSKY ONLINE SCANNER REPORT
Tuesday, September 04, 2007 11:32:35 AM
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner version: 5.0.93.0
Kaspersky Anti-Virus database last update: 4/09/2007
Kaspersky Anti-Virus database records: 403381

Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\

Scan Statistics
Total number of scanned objects 92654
Number of viruses found 10
Number of infected objects 37
Number of suspicious objects 2
Duration of the scan process 02:07:04

Infected Object Name Virus Name Last Action

C:\Documents and Settings\user\22673354.dll Infected: Trojan-Clicker.Win32.Agent.hz skipped

C:\Documents and Settings\user\22673355.dll Infected: Trojan-Clicker.Win32.Agent.hz skipped

C:\Documents and Settings\user\31144152.dll Infected: Trojan-Clicker.Win32.Agent.hz skipped

C:\Documents and Settings\user\31144159.dll Infected: Trojan-Clicker.Win32.Agent.hz skipped

C:\Documents and Settings\user\312102126.dll Infected: Trojan-Clicker.Win32.Agent.hz skipped

C:\Documents and Settings\user\312102127.dll Infected: Trojan-Clicker.Win32.Agent.hz skipped

C:\Documents and Settings\user\357465.dll Infected: Trojan-Clicker.Win32.Agent.hz skipped

C:\Documents and Settings\user\357468.dll Infected: Trojan-Clicker.Win32.Agent.hz skipped

C:\Documents and Settings\user\3872846.dll Infected: Trojan-Clicker.Win32.Agent.hz skipped

C:\Documents and Settings\user\3872851.dll Infected: Trojan-Clicker.Win32.Agent.hz skipped

C:\Documents and Settings\user\Desktop\222161416.dll Infected: Trojan-Clicker.Win32.Agent.hz skipped

C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\S1EFSTEN\LiveGames[1].cab/tmhpgzye.exe Infected: Trojan-Downloader.Win32.Small.dpa skipped

C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\S1EFSTEN\LiveGames[1].cab CAB: infected - 1 skipped

C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\VEWFRP81\gvo[1].tif Suspicious: Exploit.Win32.IMG-WMF skipped

C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\VEWFRP81\wnt[1].tif Suspicious: Exploit.Win32.IMG-WMF skipped

C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\VZLNJD4W\index[4].html Infected: Trojan-Downloader.VBS.Psyme.fc skipped

C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\VZLNJD4W\index[5].html Infected: Exploit.HTML.IESlice.l skipped

C:\WINDOWS\12155100116.exe Infected: Trojan-Clicker.Win32.Small.kj skipped

C:\WINDOWS\a.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\biti.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\bpjnqr.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\easlstm.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\ewp.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\fun.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\jqkyn.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\jvuogky.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\lcbdw.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\msnhp32.dll Infected: Trojan-Clicker.Win32.Small.kj skipped

C:\WINDOWS\p.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\qwclll.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\r.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\system32\ctfyoqss.exe Object is locked skipped

C:\WINDOWS\system32\fngkhlib.dll Infected: not-a-virus:Monitor.Win32.KeyPressHooker skipped

C:\WINDOWS\system32\fngmhlib.dll Infected: not-a-virus:Monitor.Win32.KeyPressHooker.b skipped

C:\WINDOWS\system32\msmmi.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\system32\svctzgbj.exe Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\Tasks\aag.job Object is locked skipped

C:\WINDOWS\Tasks\aktjr.job Object is locked skipped

C:\WINDOWS\Tasks\aurcvxt.job Object is locked skipped

C:\WINDOWS\Tasks\awcojhek.job Object is locked skipped

C:\WINDOWS\Tasks\bfikuu.job Object is locked skipped

C:\WINDOWS\Tasks\bhfljwca.job Object is locked skipped

C:\WINDOWS\Tasks\cayxni.job Object is locked skipped

C:\WINDOWS\Tasks\chxzmb.job Object is locked skipped

C:\WINDOWS\Tasks\cilz.job Object is locked skipped

C:\WINDOWS\Tasks\cpkin.job Object is locked skipped

C:\WINDOWS\Tasks\cxa.job Object is locked skipped

C:\WINDOWS\Tasks\dddcrix.job Object is locked skipped

C:\WINDOWS\Tasks\eqppsu.job Object is locked skipped

C:\WINDOWS\Tasks\fgw.job Object is locked skipped

C:\WINDOWS\Tasks\fywx.job Object is locked skipped

C:\WINDOWS\Tasks\fzehbcfm.job Object is locked skipped

C:\WINDOWS\Tasks\gchtso.job Object is locked skipped

C:\WINDOWS\Tasks\gcwiux.job Object is locked skipped

C:\WINDOWS\Tasks\icgwj.job Object is locked skipped

C:\WINDOWS\Tasks\iircuqj.job Object is locked skipped

C:\WINDOWS\Tasks\ikv.job Object is locked skipped

C:\WINDOWS\Tasks\itan.job Object is locked skipped

C:\WINDOWS\Tasks\iuuttmhe.job Object is locked skipped

C:\WINDOWS\Tasks\jzyzz.job Object is locked skipped

C:\WINDOWS\Tasks\kftat.job Object is locked skipped

C:\WINDOWS\Tasks\khwolt.job Object is locked skipped

C:\WINDOWS\Tasks\koi.job Object is locked skipped

C:\WINDOWS\Tasks\lkewe.job Object is locked skipped

C:\WINDOWS\Tasks\lxddfjjx.job Object is locked skipped

C:\WINDOWS\Tasks\mga.job Object is locked skipped

C:\WINDOWS\Tasks\mjhyywjp.job Object is locked skipped

C:\WINDOWS\Tasks\nya.job Object is locked skipped

C:\WINDOWS\Tasks\ofm.job Object is locked skipped

C:\WINDOWS\Tasks\olhcv.job Object is locked skipped

C:\WINDOWS\Tasks\ooozehq.job Object is locked skipped

C:\WINDOWS\Tasks\qbi.job Object is locked skipped

C:\WINDOWS\Tasks\scely.job Object is locked skipped

C:\WINDOWS\Tasks\sde.job Object is locked skipped

C:\WINDOWS\Tasks\szejc.job Object is locked skipped

C:\WINDOWS\Tasks\tiezhyr.job Object is locked skipped

C:\WINDOWS\Tasks\tpfoqtb.job Object is locked skipped

C:\WINDOWS\Tasks\tpzsvx.job Object is locked skipped

C:\WINDOWS\Tasks\tttkltk.job Object is locked skipped

C:\WINDOWS\Tasks\ukkk.job Object is locked skipped

C:\WINDOWS\Tasks\utm.job Object is locked skipped

C:\WINDOWS\Tasks\uyvmujtl.job Object is locked skipped

C:\WINDOWS\Tasks\uzgebrm.job Object is locked skipped

C:\WINDOWS\Tasks\wereo.job Object is locked skipped

C:\WINDOWS\Tasks\woa.job Object is locked skipped

C:\WINDOWS\Tasks\xpfoisug.job Object is locked skipped

C:\WINDOWS\Tasks\xsj.job Object is locked skipped

C:\WINDOWS\Tasks\yacjs.job Object is locked skipped

C:\WINDOWS\Tasks\yhyh.job Object is locked skipped

C:\WINDOWS\Tasks\zcjjrm.job Object is locked skipped

C:\WINDOWS\Tasks\zelv.job Object is locked skipped

C:\WINDOWS\Tasks\zryb.job Object is locked skipped

C:\WINDOWS\Temp\wdhfaa.exe Infected: Trojan.Win32.Dialer.ru skipped

C:\WINDOWS\v.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\vklvy.exe Infected: Trojan.Win32.Dialer.rt skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\winhp32.exe Infected: Trojan-Clicker.Win32.Small.kj skipped

C:\WINDOWS\yrmu.exe Infected: Trojan.Win32.Dialer.rt skipped

Scan process completed.

mi chiedono se possono rimuovere tutto manualmente o se è meglio usare l'antirootkit.....
pare che quello della mc afee non rilevi tutte le infezioni...

in caso di infezioni MULTIPLE come mi pare essere questa... la procedura da seguire qual è?

Inviato: **mar set 04, 2007 3:57 pm**

Per iniziare ti consiglierei di fare la scansione con Panda Anti-rootkit. Dopo riavvia il sistema in modalità provvisoria ed elimina tutti i file indicati come infetti con aiuto di AGVPFIX. Poi, sempre dalla modalità provvisoria, svuota le cartelle di file temporanei (puoi usare CCleaner per questo scopo) e fai anche la scansione con qualche antimalware come Virit, Superantispyware o A-squared.
Alla fine postaci il log di Hijackthis.

Inviato: **mar set 04, 2007 4:11 pm**

anche perché hjack ovviamente si lancia.....

Inviato: **mar set 04, 2007 4:15 pm**

triskell ha scritto:anche perché hjack ovviamente si lancia.....

Cioè?
Vorresti dire che Hijackthis non funziona? Se è così allora non ero tenuta a saperlo [;)]

visto che tu in questo topic non l'hai precisato ed io non ho avuto ancora la possibilità di leggere altri.

Inviato: **mar set 04, 2007 4:19 pm**

ne con mc afee ne con panda antirootkit trova qualcosa..

gmer e hjack non si lanciano......
questa la vedo una battaglia tosta......

Inviato: **mar set 04, 2007 4:21 pm**

c'hai raggione.. [:D]

.. ma non lo sapevo nemmeno io... vi [crylol]

mi dicono le cose a rate [devil]

!

Inviato: **mar set 04, 2007 4:31 pm**

triskell ha scritto:questa la vedo una battaglia tosta......

Siamo tosti anche noi [;)]

(anche se ultimamente un po' arrugginita [acc2]

)
Mi puoi fare anche lo screenshot del task manager? I programmi che ti ho consigliato invece funzionano?

Inviato: **mar set 04, 2007 4:34 pm**

Dimenticavo! Prova anche a lanciare Rustbfix, così avremo un problema in meno.

Inviato: **mar set 04, 2007 4:36 pm**

la scansione era quella di kaspersky on line...
quindi visto che ho fatto un po' di casino riepilogo quello che capita.

hjackthis non si lancia... scompaiono tutte le icone non appena si posiziona il mouse sulla cartella

gmer non si installa

gli antirootkit consigliati NON rilevano files infetti.

l'antivirus (f-secure) è installato ma di fatto non funziona:non si lancia la scansione...non si riesce a rimuovere. ho scaricato l'apposito tool dal sito e gliel'ho mandato ma credo che se lo disinstalliamo poi non lo reinstalliamo piu...

questo pc è in rete con altri due: uno l'ho ripulito ieri (aveva solo un rootkit che abbiamo eliminato abbastanza facilmente) la seguente scansione con kaspersky era pulita

ho anche una domanda da assoluta ignorante è: se rimangono in rete possono continuare ad infettarsi a vicenda?

Inviato: **mar set 04, 2007 4:39 pm**

tu e crazy siete i migliori.
Domani provvedo allo screenshot.
l'ufficio infetto è quello del marito e io sono a casa... ma domani piombo li e prendo la situazione in mano... non possiamo aiutarli in questo modo.....

a domani e grazie mille ancora! [^]

Inviato: **mar set 04, 2007 4:42 pm**

triskell ha scritto:ho anche una domanda da assoluta ignorante è: se rimangono in rete possono continuare ad infettarsi a vicenda?

Dipende dal tipo d'infezione. Comunque, se non sposti i file manualmente dal un pc all'altro, il rischio è minimo.
Hai guardato se dalla modalità provvisoria riesci a lanciare i programmi come AGVPFIX, Virit, Superantispyware ed A-squared?
Lo screenshot del task manager nel tuo caso mi sarebbe molto utile.

Inviato: **mar set 04, 2007 6:11 pm**

Se potessi mettere le mani suoi tuoi pc, penso che impazzirei di gioia con tutti i virus che ti ritrovi.

Prova con the avenger
http://www.MegaLab.it/2656/1
e dagli questo script

Files to delete:
C:\Documents and Settings\user\22673354.dll
C:\Documents and Settings\user\22673355.dll
C:\Documents and Settings\user\31144152.dll
C:\Documents and Settings\user\31144159.dll
C:\Documents and Settings\user\312102126.dll
C:\Documents and Settings\user\312102127.dll
C:\Documents and Settings\user\357465.dll
C:\Documents and Settings\user\357468.dll
C:\Documents and Settings\user\3872846.dll
C:\Documents and Settings\user\3872851.dll
C:\Documents and Settings\user\Desktop\222161416.dll
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\S1EFSTEN\LiveGames[1].cab/tmhpgzye.exe
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\S1EFSTEN\LiveGames[1].cab
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\VEWFRP81\gvo[1].tif
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\VEWFRP81\wnt[1].tif
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\VZLNJD4W\index[4].html
C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\VZLNJD4W\index[5].html
C:\WINDOWS\12155100116.exe
C:\WINDOWS\a.exe
C:\WINDOWS\biti.exe
C:\WINDOWS\bpjnqr.exe
C:\WINDOWS\easlstm.exe
C:\WINDOWS\ewp.exe
C:\WINDOWS\fun.exe
C:\WINDOWS\jqkyn.exe
C:\WINDOWS\jvuogky.exe
C:\WINDOWS\lcbdw.exe
C:\WINDOWS\msnhp32.dll
C:\WINDOWS\p.exe
C:\WINDOWS\qwclll.exe
C:\WINDOWS\r.exe
C:\WINDOWS\system32\ctfyoqss.exe
C:\WINDOWS\system32\fngkhlib.dll
C:\WINDOWS\system32\fngmhlib.dll
C:\WINDOWS\system32\msmmi.exe
C:\WINDOWS\system32\svctzgbj.exe
C:\WINDOWS\Temp\wdhfaa.exe
C:\WINDOWS\v.exe
C:\WINDOWS\vklvy.exe
C:\WINDOWS\winhp32.exe
C:\WINDOWS\yrmu.exe

e poi svuoterei anche la cartella C:\WINDOWS\Tasks\ da tutti quei job fasulli.
Pulizia generale con ccleaner

Inviato: **mer set 05, 2007 12:44 pm**

NON SONO MIEI I COMPUTER! .... [:D]

il mio è lindo e pulito come un lenzuolo steso al sole..... [fischio]

comunque grazie crazy! come sempre...

provo e poi ti aggiorno...

Inviato: **gio set 06, 2007 12:45 pm**

the avenger, hjack e gmer non si lanciano manco dipinti.....

Inviato: **gio set 06, 2007 1:00 pm**

triskell ha scritto:the avenger, hjack e gmer non si lanciano manco dipinti.....

Non per caso avevo chiesto questo...

Amantide ha scritto:Lo screenshot del task manager nel tuo caso mi sarebbe molto utile.

Ah, i file infetti puoi eliminare manualmente con AGVPFIX, questo dovrebbe funzionare.

Inviato: **gio set 06, 2007 2:29 pm**

Inviato: **gio set 06, 2007 5:43 pm**

Purtroppo non vedo ciò che speravo di vedere nel task manager, e vabbè [uhm]

Proviamo ad agire in un altro modo.
Dopo aver scaricato Avenger ed aver copiato (oppure salvato in un file .txt) lo script, avvia il task manager e termina il processo explorer.exe. Fatto ciò, sempre dal task manager, vai su File--> Nuova operazione (Esegui...) ed esegui in questo modo Avenger. Nello stesso modo, con Explorer.exe terminato, prova ad eseguire Gmer ed effettuare le scansioni Autostart e Rootkit.

Inviato: **gio set 06, 2007 6:11 pm**

che brutti nomi il secondo e terzo della foto.
Prova a installare il trial del nuovo kaspersky, lo aggiorni e scansioni.
Se non ripulisce lui, non ti rimane che un bel format.

Inviato: **gio set 06, 2007 10:26 pm**

spetta spetta [:)]

amantide l'ha beccato... è un mix complesso, in generale symantec classifica il tutto come linkoptimizer.b

dato che ci tocca prima o poi, prima di usare avenger, Scarica systemscan, estrailo, avvialo, metti la spunta a tutte le voci e premi "Scan". poi vai su www.easy-share.com e metti lì il suo log (che trovi in C:\suspectfile\report.txt). poi dacci il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting)

Oppure puoi direttamente metterlo qui sul forum, ma come allegato!!!

PS: se non riesci a scaricare il tool, scaricalo da un altro pc e poi trasportalo su quello infetto

qualora systemscan non si avviasse per la mancanza di alcuni privilegi (il SeDebugPrivilege) scarica anche questo tool

http://download.bleepingcomputer.com/sU ... estore.exe

e usalo. poi riavvia il pc, dopo di che potrai usare systemscan

MegaLab.it

scansione virustotal

scansione virustotal

allora Ci devo andare di persona....

Re: allora Ci devo andare di persona....

ciao Amantide...

Re: ciao Amantide...

errata corrige e riepilogo

amantide

Re: errata corrige e riepilogo

ENNO!

ehm

Re: ehm

eccolo qui