Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

win32/trojanclicker.delf NAZ non rimovibile

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Messaggioda ste_95 » mer feb 13, 2008 4:12 pm

chiedo una cortesia a figio:

Prima di eliminare il file, potresti inoltrarne una copia e www.softnews.altervista.org/upload_malware.php
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda chtomma » mer feb 13, 2008 4:15 pm

allegate anche il log di HijackThis!!!
Avatar utente
chtomma
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer feb 13, 2008 10:43 am

mah?!

Messaggioda figio87 » mer feb 13, 2008 5:51 pm

ciao grazie per l'interessamento.
ho provato a fare quello che m'hai detto...
neanche così riesco a eliminarlo.

con f3 poi ho provato cercare altri file con quel nome e me ne dava altri ma anche quelli non si facevano cancellare.

Di sicuro non mi metto a formattare il computer però insomma è fastidioso sapere di essere contaminati...

se avete altri consigli...
grazie di tutto per ora.
ciao
Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am


log hijackthis

Messaggioda figio87 » mer feb 13, 2008 6:02 pm

ecco il log scusate...
ma cosa devo spedire a quel sito non ho capito?
system32\drivers\exhapvxy.dat ?
ciao
Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am

Messaggioda chtomma » mer feb 13, 2008 6:12 pm

togli questa stringa da hijack

Winlogon Notify: ooeqjdbm - C:\WINDOWS\SYSTEM32\kbdbenev.dll

vai dentro il registro regedit in modalità provvisoria e togli tutti i riferimenti a ooeqjdbm

e dopo anche a

kbdbenev.dll


vai a cancellare il file manualmente dopo.

devi cercare di interrompere il processo che attiva quella dll per poi andare a togliere il file che il nod ti trova come infetto.
Avatar utente
chtomma
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer feb 13, 2008 10:43 am

Messaggioda figio87 » gio feb 14, 2008 7:45 am

niente ragazzi [cry+]

ho mandato il file al sito...
ho fixed il file con hijackthis ma poi se rifaccio la scansione lo ritrova.

ho provato a fare in modalità provvisoria regedit...
ma non mi elimina quasi niente ne ooeqjdbm ne kbdbenev.dll.

kbdbenev.dll
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wgpcqyes
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgpcqyes\Parameters sembrava si ricreasse ma adesso non lo trova più.
HKEY_CLASSES_ROOT\CLSID\{1F9F1983-2C24-46F5-86D6-606C3D202086}\InprocServer32 non lo ha eliminato
Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am

Messaggioda chtomma » gio feb 14, 2008 12:12 pm

Hai mantenuto disabilitato windows restore?

Le procedure di regedit e eliminazione file li hai fatti in modalità provvisoria?
Avatar utente
chtomma
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer feb 13, 2008 10:43 am

Messaggioda ste_95 » gio feb 14, 2008 1:17 pm

Proviamo così:

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il flag su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\wgpcqyes


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Poi dopo il riavvio inserisci ancora questo script:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\SYSTEM32\kbdbenev.dll
C:\WINDOWS\system32\drivers\exhapvxy.dat
C:\WINDOWS\system32\drivers\exhapvxy.dat.bak


Quindi posta entrambi i log di avenger.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda zupermax » gio feb 14, 2008 3:58 pm

Un saluto a tutti,

Ho scoperto questo forum nel tentativo di debellare lo stesso Trojan.

Purtroppo, anche nel mio caso non sono state sufficienti le indicazioni sinora fornite dai disponibili e competenti frequentatori di questo forum. [V]

Il file che e' stato infettato dal TrojanClicker e' pero' diverso da quello segnalato da Figio87, e per la precisione si tratta di c:\windows\sistem32\cmutilb.dll
Ho notato che anche in questo caso e' stato creato un file identico a quello infetto che presenta un'estensione .bak

Ho provato con la cancellazione delle chiavi di registro, dei file infetti, ho usato Avenger, ma tutto senza successo. Evidentemente ci sono dei processi attivi in memoria che impediscono l'accesso a quei file o chiavi di registro.
Purtroppo non mi e' stato possibile eseguire alcune delle prove suggerite in quanto operavo sul pc infetto da remoto. Stasera mi porteranno a casa il 'malato' e seguiro' il consiglio suggerito da STE_95 usando un live cd di windows XP, magari uno con un buon antivirus.

Vi terro' aggiornati e nel caso chiedero' un vostro aiuto.


Saluti.
Avatar utente
zupermax
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: gio feb 14, 2008 3:21 pm

Messaggioda ste_95 » gio feb 14, 2008 4:04 pm

Proviamo con Virit, per queste infezioni si è sempre rivelato valido.

@zupermax

Posta anche un log di hijackthis e quelli di GMER.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda chtomma » gio feb 14, 2008 4:36 pm

Sicuramente i file sono "protetti" da un processo nascosto che essendo in esecuzione mantengono i file in esecuzione e non si riesce a cancellarli. In attesa dei log del nuovo partecipante riprovo a dare una mano a figio, il virus l'ho già tolto da un pc di un cliente ma non mi ricordo passo passo i procedimenti e una cosa è averlo sott'occhio e un'altra è spiegare a qualcuno il procedimento.

Ho analizzato con un attimo di calma il log di hijack e io vedrei di fixare varie stringhe:

O2 - BHO: (no name) - {1F9F1983-2C24-46F5-86D6-606C3D202086} - c:\windows\system32\kbdbenev.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
[size=18]O4 - HKLM\..\RunServices: [Microsoft SDKb] winsqa.exe
O4 - HKLM\..\RunServices: [Microsft Upgraed] htoniyatn.exe
[/size]

O4 - HKUS\S-1-5-21-568730901-448486026-72185382-1009\..\Run: [Microsoft SDKb] winsqa.exe (User 'TOMMASO')
O4 - HKUS\S-1-5-21-568730901-448486026-72185382-1009\..\Run: [WinService] c:\windows\system32\Diup.exe (User 'TOMMASO')
O4 - HKUS\S-1-5-21-568730901-448486026-72185382-1009\..\Run: [AVantivirus] c:\windows\Antivirus32.exe (User 'TOMMASO')
O4 - HKUS\S-1-5-21-568730901-448486026-72185382-1009\..\Run: [Servicewin] c:\windows\system32\Hide32.exe (User 'TOMMASO')
O4 - HKUS\S-1-5-21-568730901-448486026-72185382-1009\..\Run: [kvbdi] "C:\DOCUME~1\STEFANO\IMPOST~1\Temp\35774984.exe" (User 'TOMMASO')
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: ooeqjdbm - C:\WINDOWS\SYSTEM32\kbdbenev.dll
O23 - Service: WsSec(wssec) (WsSec) - Unknown owner - C:\WINDOWS\system32\wssec.exe (file missing)

poi cercherei di eliminare dal registro i vari riferimenti a :

winsqa.exe
kbdbenev.dll
htoniyatn.exe
kbdbenev.dll
ooeqjdbm

rimuovere manualmente o tramite killbox o avenger i seguenti file:
c:\windows\system32\kbdbenev.dll
winsqa.exe

diup e hide32 qualcuno li conosce? non mi sanno di buono...

scarica ccleaner

vai in opzioni - avanzate - togli la spunta in cancella file temp solo se più vecchi di 48 ore

vai in impostazioni e metti cancellazione sicura lenta 1 passaggio


riavvia e posta tutti i log e fammi sapere...
Avatar utente
chtomma
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mer feb 13, 2008 10:43 am

Messaggioda ste_95 » gio feb 14, 2008 5:21 pm

Queste due non sono nocive:

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll

Dovresti specificare a chi ti riferisci, visto che il problema lo hanno tre persone.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda figio87 » gio feb 14, 2008 5:48 pm

dunque con avenger1 e avenger2 (allegati)
e con hijackthis (hijackthis pre è prima di averli fixed) (hijackthis post è la scansione che ha fatto dopo la cancellazione)
m'ha cancellato tutti quelli che m'avevi detto tranne:

O2 - BHO: (no name) - {1F9F1983-2C24-46F5-86D6-606C3D202086} - c:\windows\system32\kbdbenev.dll
O20 - Winlogon Notify: ooeqjdbm - C:\WINDOWS\SYSTEM32\kbdbenev.dll
O23 - Service: WsSec(wssec) (WsSec) - Unknown owner - C:\WINDOWS\system32\wssec.exe (file missing)

nel registro (con regedit) ho provato a eliminare uno di questi
winsqa.exe
kbdbenev.dll
htoniyatn.exe
ooeqjdbm
ma non li ha trovati, a parte kbdbenev.dll

inoltre mi sono accorto che il ripristino del sistema s'era attivato.
l'avevo disattivato riprovando tutto, ma per esempio ora prima di scrivervi s'era di nuovo attivato...
[boh]
Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am

Messaggioda ste_95 » gio feb 14, 2008 5:51 pm

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda figio87 » gio feb 14, 2008 6:13 pm

Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am

Messaggioda ste_95 » gio feb 14, 2008 6:39 pm

Dai una passata con ComboFix, poi rifai entrambi i log.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

hope....

Messaggioda sole2608 » gio feb 14, 2008 10:16 pm

ragazzi.. ho scaricato combofix.. l'ho avviato.. e una volta terminato.. ho riavviato.. beh.. non so se sto sognando [cry] [cry] [cry] ma nod32 non mi segnala più il virus..
Avatar utente
sole2608
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: mer feb 13, 2008 1:54 pm

Messaggioda zupermax » gio feb 14, 2008 11:11 pm

Allora...

Ho seguito l'ottimo tutorial per la creazione del MEGACD, ho Bootato dal CD live ed ho dato una passata con antivir PE il quale e' riuscito ad eliminare il nostro caro amico, insieme ad altra robaccia.

Al successivo riavvio ho fatto una scansione della memoria ed effettivamente il virus non viene piu' rilevato.

Nonostante cio', esistono ancora delle tracce del virus. Infatti il log di Hijackthis continua ad evidenziarle.

A questo indirizzo http://www.freefilehosting.net/download/3c3dg ho caricato un file compresso contenente tutti i log ottenuti e piu' precisamente quelli di:
Antivir PE,
Hijackthis, gmer (prima di combofix)
Combofix
Hijackthis, gmer (dopo combofix)

Immagino che a questo punto, per togliere ogni traccia del trojan dovro' usare avenger indicandogli nello script la cancellazione delle chiavi di registro collegate al virus. giusto ? Esattamente quale chiave devo indicargli ?
Ci sono altre azioni da eseguire ?

Grazie in anticipo per l'aiuto.
Avatar utente
zupermax
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: gio feb 14, 2008 3:21 pm

Re: hope....

Messaggioda ste_95 » ven feb 15, 2008 7:13 am

sole2608 ha scritto:ragazzi.. ho scaricato combofix.. l'ho avviato.. e una volta terminato.. ho riavviato.. beh.. non so se sto sognando [cry] [cry] [cry] ma nod32 non mi segnala più il virus..


Posta anche tu il log di combofix e quelli di gmer.

@zupermax
Azzo, dal log di combofix si riconoscono anche altre cose, tra le quali il CiD e il dialer Labbra Rosse.

Fai scansionare il file C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Update_0801_KB241618.exe su www.virustotal.com

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il flag su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\Tasks\A4089085919302CD.job
C:\WINDOWS\system32\drivers\dizneghy.dat
c:\windows\system32\cmutilv.dll
c:\windows\system32\cmutilv.dll.bak
C:\WINDOWS\system32\libssl32.dll
C:\WINDOWS\system32\libeay32.dll
C:\WINDOWS\system32\drivers\^bctyudc.sys
C:\WINDOWS\system32\elsa.dll

Files to move:
C:\WINDOWS\system32\ctfmon.exe | C:\WINDOWS\system32\bak\ctfmon.exe

Folders to delete:
c:\docume~1\raffaele\datiap~1\siteau~1

Registry Keys to delete:
HKLM\software\microsoft\shared tools\msconfig\startupreg\Poke bind
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7BA283A7-8678-4EF6-8A0B-9E1CE987EF53}


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Poi cortesemente utilizza nuovamente combofix e posta il log anche di quello.
E ancora, potresti gentilmente a rimozione ultimata, caricare il file C:\avenger\avenger.zip a questo indirizzo.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

veloce combofix

Messaggioda figio87 » ven feb 15, 2008 8:09 am

ho fatto una veloce scansione con combofix perché non ho trovato nel megalabcd antivir PE.
e poi per provare insomma...nod32 non me lo trova più. tra l'altro è comparsa una cartella "catchme" in cui è contenuto quel bast*** di kbdbenev.dll.

questi i log
sto pomeriggio magari provo a scaricarmi l'antivirus
anche perché mi sembra che non sia solo kdbbenev.dll il problema.
Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am

PrecedenteProssimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising